Последствия несвоевременного устранения уязвимостей (2022-2023)

Компания Positive Technologies опубликовала отчёт, посвящённый анализу последствий несвоевременной ликвидации уязвимостей в инфраструктуре за 2022–2023 годы. Документ включает статистику, собранную исследовательской группой PT SWARM, а также обзор активности в дарквебе и динамики разработки эксплойтов.

На протяжении пяти лет эксплуатация уязвимостей программ, устройств и веб-сервисов остаётся одним из самых частых способов проникновения в корпоративные сети. По внутренним данным компании, в 2023 году доля успешных атак с задействованием уязвимостей составила 32%. Для сравнения: в 2019 году этот показатель был на 14 процентных пунктов ниже.

Ситуация усугубляется ростом общего числа обнаруживаемых уязвимостей и сокращением времени между публикацией информации и созданием рабочих эксплойтов. По сведениям специалистов Mandiant, если в 2018–2019 годах злоумышленники тратили в среднем 63 дня на разработку эксплойта, то в 2021–2022 годах срок сократился до 32 дней. Такая динамика говорит о том, что риски для организаций растут быстрее, чем они успевают внедрять защитные меры.

Авторы подчёркивают необходимость усиления усилий по оперативному поиску, анализу и устранению уязвимостей. Эксперты PT SWARM сосредотачиваются на самых опасных и сложных типах, представляющих прямую угрозу бизнес-процессам. За два года исследователи выявили 285 уязвимостей в продуктах 84 вендоров, причём 70% из них получили высокую или критическую оценку по шкале CVSS 3.1.

Аналитики также проанализировали публикации в дарквебе, чтобы отследить, как быстро появляются первые PoC-эксплойты и как часто они обсуждаются на форумах. Это позволило выделить наиболее резонансные уязвимости и зафиксировать средний временной интервал между публикацией и началом разработки вредоносных инструментов.

В отчёте отмечается, что основными затруднениями в управлении уязвимостями остаются медленная реакция компаний, отсутствие единой стратегии закрытия критичных дыр и низкий приоритет патчей в ИТ-планировании. Специалисты Positive Technologies предлагают пересмотреть приоритеты в инфобезопасности, наладить взаимодействие с вендорами и внедрить регулярный аудит систем с обязательной классификацией найденных уязвимостей по степени риска.