Verizon DBIR 2026: Встановлення патчів як проблема потужностей

Щороку наприкінці травня спільнота кібербезпеки отримує власну версію трансферного вікна у футболі: виходить Verizon DBIR, і всі тиждень сперечаються про те, що змінилось. Сприймайте його не як зведення погоди, а як таблицю припливів — ту, що начальники гаваней вішали на стіну. Вона нічого не скаже про сьогоднішній шторм, але покаже, в якому напрямку рухалась вода впродовж дванадцяти місяців. І цього року приплив повернувся в бік, який захисникам явно не сподобається.

Що сталося

Огляд від Help Net Security, написаний Браяном Хонаном, CEO BH Consulting, розбирає ключові висновки Verizon 2026 Data Breach Investigations Report, побудованого на основі понад 31 000 інцидентів безпеки та більш ніж 22 000 підтверджених витоків даних у 145 країнах. Джерела включають поліцейські підрозділи, компанії з кібербезпеки та CSIRT-и, що робить цей звіт найближчим до нейтрального галузевого еталону.

Головний зсув: експлуатація вразливостей випередила викрадені облікові дані як найпоширеніший вектор початкового доступу. На експлойти тепер припадає 31% витоків. Зловживання обліковими даними обвалилось до 13%. Для тих, хто останні п'ять років будував весь свій наратив безпеки навколо фішингових презентацій і розгортання MFA — це ляпас холодною рибою.

Програми-вимагачі також зростають: вони задіяні у 48% витоків проти 44% роком раніше. Невелика розрада: 69% жертв відмовились платити. Витоки через ланцюжки постачання зросли на 60%, а треті сторони тепер фігурують у 48% витоків. Іншими словами, в половині всіх інцидентів десь є чужий логотип.

Розділ про AI підтверджує те, що кожен CISO вже підозрював. 45% співробітників тепер регулярно використовують AI-інструменти на роботі — порівняно з 15% роком раніше. 67% з тих, хто заходить до AI з корпоративних пристроїв, використовують особисті облікові записи. Вихідний код, внутрішні документи, структуровані дані та технічна документація завантажуються на платформи, які ніхто в ІБ-службі не погоджував. Люди теж нікуди не зникли — вони задіяні у 62% витоків. Список учасників лише збільшився.

Технічна анатомія

Цікавість не в тому, що експлуатація вразливостей зросла. Цікавість у тому, чому. Лише 26% критичних вразливостей із каталогу CISA KEV були повністю усунені протягом 2025 року — проти 38% роком раніше. Медіанний час до повного усунення виріс до 43 днів. Ось вам таблиця припливів: вода рухається в неправильному напрямку одразу по двох осях — виправляють менше, а те, що виправляють, займає більше часу.

Хонан називає це проблемою потужностей, а не дисципліни, і я вважаю, що таке формулювання принципово важливе. Стара версія — ледачі ops-команди ігнорують Patch Tuesday. Нова версія — обсяг виявлених та експлуатованих вразливостей перевищив кількість людей, покликаних їх тріажувати. Mythos від Anthropic згадується у звіті як AI, що потрапив у заголовки завдяки пошуку вразливостей у масштабі. Що б ви не думали про маркетинг навколо AI-асистованого пошуку помилок, асиметрія реальна: машини можуть генерувати розкриття швидше, ніж люди можуть генерувати тікети на зміни.

Додайте до цього цифри по ланцюжках постачання — і технічна картина стає ще похмурішою. Зростання на 60% у витоках через ланцюжки постачання означає, що патч-поверхня — вже не лише ваше середовище. Це і середовище вашого SaaS-вендора, і вашого провайдера керованих послуг, і аутсорсингової системи розрахунку зарплат, до якої у жодного члена ІБ-команди немає SSO. Лічильник MTTR починає відраховувати час у момент появи CVE, але для половини вашої поверхні атаки ви навіть не є власником черги тікетів.

І є ще проблема тіньового AI. 67% користувачів на корпоративних пристроях, які звертаються до AI-сервісів через особисті акаунти, означає, що ваш DLP — щедро кажучи — декоративний. DBIR прямо вказує на завантаження вихідного коду та технічної документації на несанкціоновані платформи. З точки зору моделювання загроз, ставтеся до кожної несанкціонованої AI-сесії як до каналу ексфільтрації, який до того ж усміхається користувачеві. Кожен, хто намагався написати розумну egress-політику для інженерної організації на 5 000 робочих місць, знає відстань між «у нас є політика» і «трафік їй реально підкоряється».

Хто постраждає

Вертикалі, що цікавлять читачів RiverCore, знаходяться прямо в зоні ураження. Оператори iGaming управляють розгалуженими середовищами інтернет-систем — від KYC-провайдерів до ігрових інтеграцій і партнерських платформ — і регуляторний годинник ЄС поверх усього цього не зупиняється, поки ви розбираєтеся зі своїм бекlogом патчів. Медіанне вікно усунення в 43 дні проти зловмисників, які озброюють публічні PoC за лічені години — погана угода.

Fintech і платіжні компанії, мабуть, у гіршому становищі. EU DORA вже оперативно діє і вимагає, щоб ризик ІКТ третіх сторін отримував таке ж ставлення, як і власна інфраструктура. Висновок DBIR про те, що треті сторони фігурують у 48% витоків — це не абстрактний театр ризиків, а пряма лінія до наступного запитальника вашого регулятора. Поєднайте це з розширенням EU NIS2 визначення суттєвих та важливих суб'єктів і EU GDPR, який продовжує охоче виписувати штрафи — і юридична відповідальність накопичується швидко.

Криптовалютні та DeFi-компанії живуть і помирають завдяки безпеці смарт-контрактів, але більшість реальних інцидентів відбувається на off-chain периметрі, і цей периметр тепер є проблемою непатчених CVE. Ad-tech працює на SDK третіх сторін і інтеграціях DSP — це, по суті, профіль ризику ланцюжка постачання, написаний неоном.

Менші оператори страждають найбільше. DBIR зазначає, що лише збій від програми-вимагача — навіть без самого викупу — може завдати більше шкоди, ніж сам запит. МСП у будь-якій із цих вертикалей не мають достатнього кадрового резерву, щоб одночасно вести цілодобову програму управління вразливостями, програму регуляторної відповідності та програму управління AI. Щось поступається. Зазвичай нудна частина — черга патчів — яка щойно стала вектором витоків номер один.

Посібник для команд безпеки

Якщо ви прочитаєте цього тижня лише одну цифру — прочитайте 43 дні. Потім прочитайте 26%. Ваші наступні дев'яносто днів інвестицій у безпеку мають бути спрямовані саме на ці два показники.

По-перше, прийміть, що ви не можете виправити все. Побудуйте конвеєр пріоритизації, що починається з каталогу CISA KEV і підмножини ваших активів, які дійсно доступні з інтернету. Якщо у вас немає точного реєстру інтернет-доступних систем — це перший тікет. Вся суть DBIR у тому, що зловмисники знаходять забуті вами сервери раніше, ніж ви самі.

По-друге, ставтеся до управління вразливостями як до проблеми потужностей і шукайте рішення в площині потужностей. Це означає автоматизацію тікетів, ескалацію SLA та верифікацію виправлень. Це означає жорсткі розмови про програмне забезпечення, що досягло кінця терміну підтримки і не повинно бути відкритим взагалі. Захист, сегментація та скорочення поверхні атаки дають вам час, якого чистий патчинг дати не може.

По-третє, ризик третіх сторін потребує реальних важелів. Договірні SLA щодо патчинга, вікна сповіщення про витоки та право на аудит — це вже не паперові вправи в умовах DORA-подібних режимів. Складіть карту критичних постачальників і виходьте з припущення, що будь-який із них може стати кореневою причиною вашого наступного інциденту.

По-четверте, цього кварталу зробіть щось із тіньовим AI. Не меморандум про політику — реальний контроль. Санкціонуйте корпоративний AI-рівень із SSO і логуванням, а потім заблокуйте решту на egress. 67% користувачів на особистих акаунтах — це цифра, яку можна змінити одним добре реалізованим правилом шлюзу.

По-п'яте, відпрацюйте реагування на програми-вимагачі. 69% тих, хто не платить — це обнадійливо, але ті, хто не платив, — це саме ті, хто перевіряв свої резервні копії до того, як вони знадобились.

Ключові висновки

• Експлуатація вразливостей (31%) випередила зловживання обліковими даними (13%) як головний вектор початкового доступу. Програми патчинга тепер на передовій, а не в тилу.
• Лише 26% критичних помилок CISA KEV були повністю усунені у 2025 році — проти 38% роком раніше. Медіанний час усунення зріс до 43 днів. Захисники втрачають позиції одразу за двома показниками: обсягом та швидкістю.
• Програми-вимагачі фігурують у 48% витоків проти 44%, але 69% жертв відмовились платити. Здатність до відновлення — це і є реальні переговори про викуп.
• Витоки через треті сторони та ланцюжки постачання фігурують у 48% інцидентів, зростання на 60% рік до року. Ризик вендора — вже не галочка в закупівельному чеклисті за умов DORA та NIS2.
• 45% співробітників використовують AI-інструменти на роботі (зростання з 15%), і 67% роблять це через особисті акаунти. Санкціонований AI-інструментарій із логованим egress — це пріоритет третього кварталу, а не пункт дорожньої карти 2027 року.

Повернемось до начальника гавані та таблиці припливів. Вода рівно відходила цілий рік, і кожен, хто спостерігав за позначками на стіні, це бачить. Небезпека — коли захисники плутають повільний відплив зі стабільним ґрунтом. DBIR виконав свою роботу, намалювавши лінію. Питання в тому, чи відповідатимуть наступні дванадцять місяців черг патчів, перевірок вендорів і AI-шлюзів тому, що таблиця вже нам показує.