Миллиард записей CISA KEV проанализировали. Счёт не в нашу пользу: хакеры взламывают раньше, чем выходит патч

Уязвимости начали обгонять защиту не на часы, а на дни еще до выхода исправлений. По данным нового анализа, среднее Time-to-Exploit для самых опасных багов уже ушло в минус 7 дней. Иными словами, злоумышленники все чаще успевают подготовить эксплуатацию раньше, чем вендор выпускает патч. Поэтому привычная схема защиты, при которой команда находит проблему, заводит тикет и вручную гонит его по длинной цепочке согласований, перестает работать не местами, а целиком.

Исследование Qualys Threat Research Unit опирается более чем на миллиард записей об устранении уязвимостей из каталога CISA KEV, собранных по 10 тысячам организаций за 4 года. Картина получилась довольно жесткой. С 2022 года объем уязвимостей вырос в 6,5 раза. При этом доля критических дыр, которые оставались незакрытыми на 7-й день, не сократилась, а выросла с 56% до 63%. То есть команды стали закрывать гораздо больше тикетов, но положение по-настоящему опасных проблем не улучшилось.

Авторы отдельно подчеркивают: дело не в нехватке старания. Организации сегодня ежегодно закрывают на 400 млн событий уязвимостей больше, чем на стартовой точке сравнения. Люди работают больше, процессов стало больше, задач закрывается больше. Но в той зоне, где риск действительно превращается во взлом, прироста почти не видно. Исследователи называют этот предел human ceiling, то есть потолком человеческой обработки. Смысл простой: на определенном масштабе ни найм, ни дополнительная дисциплина уже не вытягивают модель, которая изначально рассчитана на более медленный темп атак.

Особенно наглядно это видно на уязвимостях, для которых известна полная хронология эксплуатации. В выборку попали 52 громких бага, по которым можно было отследить момент появления оружия у атакующих и момент устранения в инфраструктуре компаний. В 88% случаев организации устраняли проблему медленнее, чем эксплуатировать уязвимости. Половину таких уязвимостей вообще начали использовать еще до появления патча.

Примеры в отчете выглядят неприятно даже по меркам отрасли. Spring4Shell начали эксплуатировать за 2 дня до публичного раскрытия, а средняя компания закрывала проблему 266 дней. С уязвимостью в Cisco IOS XE ситуация была похожей: эксплуатация началась примерно на месяц раньше, чем ожидали многие защитники, а средний срок устранения составил 263 дня. Разрыв между сторонами здесь измерялся не одинаковыми единицами. У атакующих счет шел на дни, у защитников — на месяцы и сезоны.

Авторы исследования считают, что такая картина говорит не о плохой аналитике и не о слабой разведке угроз. Проблема глубже: компании умеют замечать риски, но не умеют быстро превращать знание об угрозе в реальное действие внутри своей инфраструктуры. Иначе говоря, сбой происходит на уровне операционной модели.

В отчете есть еще один важный термин — Manual Tax. Так исследователи называют штраф за ручную работу, который особенно болезненно бьет по длинному хвосту активов. Пока команда успевает быстро обработать часть систем, остальные тянут средний срок вверх и растягивают окно риска с недель до месяцев. На примере Spring4Shell это видно очень хорошо: среднее время устранения оказалось в 5,4 раза выше медианного. Медиана создает ощущение, что ситуация более или менее под контролем. Среднее показывает, насколько долго живет хвост плохо управляемых активов.

Для инфраструктурных систем картина еще хуже. Если на конечных устройствах медианные сроки часто остаются ниже 14 дней, то для Cisco IOS XE даже медиана составила 232 дня. Когда лучший типичный результат для значимой части среды равен примерно 8 месяцам, ручная работа перестает быть просто слабым местом. Она и становится базовой причиной риска.

Поэтому авторы предлагают смотреть не столько на число CVE, сколько на накопленную экспозицию. Для этого они используют метрику Risk Mass — количество уязвимых активов, умноженное на число дней, в течение которых они оставались под риском. Такой подход лучше отражает реальную опасность, потому что сам по себе счетчик уязвимостей плохо показывает, сколько именно времени открытая дыра висела в инфраструктуре и сколько систем она затрагивала.

Рядом с Risk Mass используется еще одна метрика — Average Window of Exposure, или среднее окно экспозиции. Она измеряет полный промежуток от начала эксплуатации до фактического закрытия уязвимости во всей среде. На примере Follina цифры особенно показательные. Уязвимость начали использовать за 30 дней до раскрытия, а среднее закрытие пришлось на 55-й день. Но полное окно экспозиции растянулось до 85 дней. Из них 36% пришлись на период до публичного раскрытия, когда защитники еще не знали о проблеме, а еще 44% дал тот самый длинный хвост затянутого устранения. В сумме на слепую зону до disclosure и на затяжную доработку пришлось 80% всего окна риска. Та часть процесса, которую обычно измеряют и хвалят в отчетах, заняла меньше 20%.

Еще один вывод исследования бьет по самому стилю работы многих ИБ-команд. В 2025 году было раскрыто 48 172 уязвимости, но реально удаленно эксплуатируемыми и активно используемыми оказались только 357. Получается, значительная часть ресурсов уходит на теоретическую поверхность атаки, тогда как по-настоящему опасные и уже используемые дыры продолжают жить в инфраструктуре слишком долго.

Дальше, по версии авторов, разрыв будет только расти. Кибербезопасность долго развивалась как реакция на крупные технологические сдвиги: сначала рынок адаптировался к эпохе Windows, потом к облакам. С ИИ ситуация другая. Здесь меняется не только поверхность атаки, но и сама природа атакующего. Автономные агенты уже способны искать, проверять и готовить эксплуатацию быстрее, чем это может переварить классическая команда защиты, завязанная на людей, очереди задач и ручную маршрутизацию.

Самый опасный период начинается именно сейчас, пока атакующие уже ускоряются за счет ИИ, а защитники в массе своей остаются на человеческой скорости. Эту фазу авторы считают самым рискованным окном для отрасли. На него накладываются и другие системные проблемы: поверхность атаки разрослась сильнее, чем команды успевают ей управлять, идентичностей и прав доступа стало слишком много, а рабочие процессы по исправлению уязвимостей до сих пор строятся вокруг ручного исполнения.

На этом фоне исследователи предлагают отказаться от классической модели scan-and-report, где все строится по цепочке найти, оценить, завести тикет, вручную направить и ждать выполнения. Такая схема возникла в эпоху, когда CVE было меньше, а окно между публикацией и эксплуатацией оставляло хоть какой-то запас времени. Сейчас его уже нет.

Вместо этого авторы продвигают модель Risk Operations Center — по сути, непрерывный контур управления риском, где аналитика как логика. Дальше система должна сама подтверждать, эксплуатируема ли конкретная уязвимость именно в этой среде, и сама запускать нужные действия в темпе, которого требует угроза.

При этом речь не идет о полном исключении человека. Наоборот, авторы предлагают поднять человека уровнем выше. Специалист должен не вручную гонять однотипные задачи, а задавать правила систем, и контролировать их логику. По мысли Qualys, успешнее остальных оказываются не те компании, которые просто набрали больше сотрудников, а те, которые убрали человеческую задержку из критического пути.

Финальный вывод в отчете сформулирован так. Time-to-Exploit уже не вернется к положительным значениям, поток уязвимостей не остановится, а реактивная модель защиты уперлась в жесткий математический предел. Теперь вопрос не в том, можно ли еще немного ускорить старую схему, а в том, готовы ли компании перейти на другую архитектуру защиты до того, как окно между человеческой обороной и автономным наступлением закроется окончательно.