Проект Zero-Day Clock (ZDC), созданный Сергеем Эппом из Sysdig, опубликовал данные о динамике эксплуатации уязвимостей программного обеспечения, а в число подписантов инициативы вошли практически все крупные технологические и кибербезопасные компании.
Согласно отчёту, средний интервал между обнаружением уязвимости и её использованием снизился с примерно одного года в 2021 году до чуть более одного дня в 2026 году. По прогнозу ZDC, в 2027 году этот показатель может сократиться до одного часа, а со временем — до одной минуты. Доля zero-day эксплойтов, когда злоумышленники используют уязвимость до её официального раскрытия, выросла с 31% пять лет назад до 73,2% в текущем году. Доля неэксплуатируемых уязвимостей на момент раскрытия снизилась с 60–70% в 2021 году до 25%. Отмечается, что большинство уязвимостей используются в течение нескольких недель, а по истечении шести недель эксплуатируются практически все — для сравнения, в прошлом году около 24% уязвимостей оставались неиспользованными и после этого срока.
Авторы исследования указывают, что используемый датасет охватывает только публично раскрытые уязвимости с известными случаями эксплуатации, тогда как частные или государственные эксплойты могут существовать и ранее, сообщает shazoo.
В качестве мер противодействия исследователи рекомендуют включать все функции безопасности по умолчанию в каждой прошивке, программе, фреймворке и аппаратной платформе, а также повсеместно применять архитектуру нулевого доверия. Поскольку 70% уязвимостей связаны с ошибками управления памятью, переход с C и C++ на Rust или другой memory-safe язык называется обязательным. Кроме того, ZDC советует проектировать системы так, чтобы они были «одноразовыми» по умолчанию, позволяя легко восстановить скомпрометированную машину. Поскольку ИИ-боты усиливают атакующих, защитникам нужны бесплатные и открытые ИИ-инструменты, дающие полное знание о собственных системах, исходниках и логах.
Среди более сложных предложений — введение юридической ответственности производителей ПО за уязвимости, наносящие ущерб. Известный эксперт по кибербезопасности Брюс Шнайер пояснил, что ни одна индустрия за последние 150 лет не улучшала безопасность, пока её не заставляло правительство, поскольку небезопасный, технически слабый продукт, вышедший на рынок первым или более удобный в использовании, всегда побеждает более качественно сделанных конкурентов.
Также высказывается призыв пересмотреть законы об ИИ вроде европейского «Stop the Clock», которые тормозят действия защитников, тогда как атакующие просто игнорируют любые регуляции. ZDC считает, что безопасность ПО должна стать геополитическим приоритетом и общественной проблемой с соответствующим финансированием. Наконец, исследователи призывают включать специалистов по кибербезопасности в законотворческий процесс, так как пишущие законы зачастую не понимают предмета регулирования.
