Verizon DBIR 2026: Управление патчами стало проблемой мощности

Каждый год в конце мая сообщество безопасников получает своё подобие футбольного трансферного окна: выходит Verizon DBIR, и все неделю спорят о том, что изменилось. Воспринимайте его не как сводку погоды, а как карту приливов — ту, что капитаны гаваней вешали на стену. Она ничего не скажет о сегодняшнем шторме, но покажет, в каком направлении двигалась вода последние двенадцать месяцев. И в этом году прилив повернул в направлении, которое защитникам явно не понравится.

Что произошло

Обзор от Help Net Security, написанный Брайаном Хонаном, CEO компании BH Consulting, разбирает ключевые выводы Verizon 2026 Data Breach Investigations Report, основанного на более чем 31 000 инцидентов безопасности и свыше 22 000 подтверждённых утечек данных в 145 странах. Источниками служат полицейские службы, компании по кибербезопасности и CSIRT — именно это делает отчёт наиболее нейтральным отраслевым базисом.

Главный сдвиг: эксплуатация уязвимостей обогнала кражу учётных данных как наиболее распространённый вектор первоначального доступа. Эксплойты теперь составляют 31% взломов. Злоупотребление учётными данными упало до 13%. Для всех, кто последние пять лет строил всю концепцию безопасности вокруг фишинговых презентаций и внедрения MFA, — это звонкая пощёчина.

Программы-вымогатели тоже выросли: они задействованы в 48% взломов против 44% годом ранее. Небольшое утешение: 69% жертв отказались платить выкуп. Взломы через цепочку поставок выросли на 60%, и третьи стороны теперь фигурируют в 48% инцидентов. Иными словами, в каждом втором инциденте где-то есть чужой логотип.

Раздел об AI подтверждает то, о чём каждый CISO уже догадывался. 45% сотрудников теперь регулярно используют AI-инструменты на работе — против 15% в прошлом году. 67% из тех, кто заходит в AI с корпоративных устройств, используют личные аккаунты. Исходный код, внутренние документы, структурированные данные и техническая документация загружаются на платформы, которые никто в службе безопасности не одобрял. Люди по-прежнему в деле: они задействованы в 62% взломов. Состав действующих лиц просто стал больше.

Технический анализ

Интересно не то, что эксплуатация уязвимостей выросла. Интересно — почему. Только 26% критических уязвимостей из каталога CISA KEV были полностью устранены в 2025 году — против 38% годом ранее. Медианное время полного устранения выросло до 43 дней. Вот она — карта приливов. Вода движется в неверном направлении сразу по двум осям: исправляется меньше, а то, что исправляется, требует больше времени.

Хонан называет это проблемой мощности, а не дисциплины — и я считаю, что такая формулировка принципиальна. Старая история звучала так: ленивые ops-команды игнорируют Patch Tuesday. Новая история такова: объём раскрытых и эксплуатируемых уязвимостей превысил численность людей, которые должны их сортировать. Mythos от Anthropic упоминается в отчёте как AI, нашумевший благодаря поиску уязвимостей в масштабе. Что бы вы ни думали о маркетинге вокруг AI-assisted bug hunting, асимметрия реальна: машины генерируют раскрытие информации быстрее, чем люди создают тикеты на изменения.

Добавьте к этому цифры по цепочке поставок — и инженерная картина становится ещё мрачнее. Рост взломов через цепочку поставок на 60% означает, что поверхность патчинга — это уже не только ваши системы. Это системы вашего SaaS-вендора, вашего MSP, аутсорсинговой системы расчёта зарплаты, в которую у команды безопасности нет SSO. Отсчёт MTTR начинается в момент появления CVE, но для половины вашей поверхности атаки очередь тикетов вам даже не принадлежит.

И ещё проблема теневого AI. 67% пользователей корпоративных устройств, подключающихся к AI-сервисам через личные аккаунты, означают, что ваш DLP — это, мягко говоря, декорация. DBIR прямо указывает на загрузку исходного кода и технической документации на несанкционированные платформы. С точки зрения модели угроз, рассматривайте каждую несанкционированную AI-сессию как канал экфильтрации, который приветливо улыбается пользователю. Каждый, кто пытался написать разумную политику исходящего трафика для инженерной организации на 5000 человек, знает разницу между «у нас есть политика» и «трафик ей действительно следует».

Кто пострадает

Вертикали, которые интересуют читателей RiverCore, находятся прямо в зоне поражения. Операторы iGaming управляют разветвлёнными инфраструктурами интернет-facing систем — от KYC-провайдеров до игровых интеграций и партнёрских платформ, — и регуляторный дедлайн ЕС поверх всего этого не делает паузу, пока вы разбираетесь со своим backlog патчей. Медианное окно устранения в 43 дня против атакующих, которые вооружают публичные PoC за часы — плохая сделка.

Fintech и платёжные компании находятся в ещё худшем положении. EU DORA уже вступила в силу и требует, чтобы риски сторонних ICT-поставщиков получали то же внимание, что и собственная инфраструктура. Вывод DBIR о том, что третьи стороны фигурируют в 48% взломов — это не абстрактная оценка риска, это прямая строчка в следующей анкете регулятора. Прибавьте к этому расширение EU NIS2 на категории существенных и важных субъектов, а также штрафы EU GDPR, — и правовая ответственность накапливается стремительно.

Крипто- и DeFi-проекты живут или умирают благодаря безопасности смарт-контрактов, но большинство реальных инцидентов происходит на off-chain периметре — а этот периметр теперь представляет собой проблему незакрытых CVE. Ad-tech работает на сторонних SDK и DSP-интеграциях — это, по сути, профиль риска цепочки поставок, написанный неоновыми буквами.

Небольшие операторы страдают сильнее всего. DBIR указывает, что один лишь сбой от программы-вымогателя — не говоря уже о выкупе — может причинить больший ущерб, чем сама сумма требования. У МСП в любой из этих вертикалей нет достаточного кадрового резерва, чтобы одновременно вести круглосуточную программу управления уязвимостями, программу регуляторного соответствия и программу управления AI. Что-то уступает. Обычно — скучная часть, то есть очередь патчей, которая только что стала вектором взлома номер один.

Руководство для команд безопасности

Если вы прочитаете на этой неделе одну цифру — читайте 43 дня. Затем прочитайте 26%. Ваши следующие девяносто дней инвестиций в безопасность должны быть нацелены именно на эти два показателя.

Во-первых, примите тот факт, что вы не можете закрыть все уязвимости. Создайте pipeline приоритизации, который начинается с каталога CISA KEV и подмножества ваших активов, реально доступных из интернета. Если у вас нет точной инвентаризации интернет-facing систем — вот первый тикет. Вся история DBIR в том, что атакующие находят забытые вами серверы раньше вас самих.

Во-вторых, рассматривайте управление уязвимостями как проблему мощности с соответствующими решениями. Это означает автоматизацию создания тикетов, эскалации SLA и верификации исправлений. Это означает жёсткие разговоры об устаревшем ПО, которое вообще не должно быть открыто. Hardening, сегментация и сокращение поверхности атаки дают вам время, которое чистый патчинг обеспечить не может.

В-третьих, управление рисками третьих сторон должно иметь реальные инструменты воздействия. Договорные SLA в части патчинга, сроки уведомления об инцидентах и право на аудит — это больше не бумажные упражнения в режимах типа DORA. Составьте карту критичных поставщиков и считайте, что любой из них может оказаться первопричиной вашего следующего инцидента.

В-четвёртых, займитесь теневым AI в этом квартале. Не меморандумом о политике — реальным контролем. Введите корпоративный AI-уровень с SSO и логированием, а затем заблокируйте остальное на egress. 67% пользователей на личных аккаунтах — это цифра, которую можно изменить одним грамотно реализованным правилом на шлюзе.

В-пятых, отработайте реагирование на атаку программы-вымогателя. 69% не платящих — обнадёживает, но те, кто не платил, — это те, кто проверял резервные копии до того, как они понадобились.

Ключевые выводы

• Эксплуатация уязвимостей (31%) обогнала злоупотребление учётными данными (13%) как главный вектор первоначального доступа. Программы патчинга теперь находятся на передовой, а не в тылу.
• Только 26% критических уязвимостей CISA KEV были полностью устранены в 2025 году против 38% ранее. Медианное время устранения выросло до 43 дней. Защитники теряют позиции и по объёму, и по скорости.
• Программы-вымогатели задействованы в 48% взломов против 44%, но 69% жертв отказались платить. Возможность восстановления — это и есть реальные переговоры о выкупе.
• Взломы через третьи стороны и цепочку поставок фигурируют в 48% инцидентов — рост на 60% год к году. Риск вендоров — это уже не галочка в чеклисте закупок при DORA и NIS2.
• 45% сотрудников используют AI-инструменты на работе (против 15%), причём 67% — через личные аккаунты. Санкционированный AI-инструментарий с логированием egress-трафика — приоритет третьего квартала, а не пункт дорожной карты на 2027 год.

Вернёмся к капитану гавани и карте приливов. Вода планомерно убывала целый год, и все, кто следил за отметками на стене, это видят. Опасность в том, что защитники принимают медленный отлив за стабильную почву. DBIR выполнил свою работу, проведя черту. Вопрос в том, соответствуют ли следующие двенадцать месяцев работы с очередями патчей, проверками вендоров и AI-шлюзами тому, что карта уже показывает.