Согласно анализу организации Forum of Incident Response and Security Teams (FIRST), число новых распространённых уязвимостей и угроз (CVE) в этом году впервые превысит 50 000.
В своём прогнозе некоммерческая организация ожидает появления около 59 тысяч новых CVE в 2026 году, но при этом отмечает, что их число может составить от 70 до 100 тысяч.
Примечательно, что в рамках своего трёхлетнего прогноза FIRST предсказывает дальнейший рост этих показателей. В среднем, в 2027 году ожидается появление 51 018 новых CVE, а в 2028-м — 53 289. При этом верхний предел достигнет почти 193 тысяч к 2028 году.
«Сейчас организациям необходимо задать себе вопрос: готовы ли мои сотрудники и процессы справиться с таким объёмом данных, и уделяю ли я приоритетное внимание уязвимостям, которые действительно ставят под угрозу мои данные? Подобно градостроителю, учитывающему рост населения перед вводом в эксплуатацию новой инфраструктуры, командам безопасности полезно понимать вероятный объём и характер уязвимостей, которые им придется обрабатывать», — сказала Эйренн Леверетт, представитель FIRST и ведущий член группы по прогнозированию уязвимостей.
Эксперт отмечает, что разница в подготовке к большему числу уязвимостей заключается в стратегическом планировании.
Кевин Найт, генеральный директор компании кибербезопасности Talion, отметил, что это не наихудший сценарий. По его мнению, именно на влиянии уязвимостей в конкретных средах следует сосредоточиться руководителям предприятий и директорам по информационной безопасности. «Эти цифры охватывают всё программное обеспечение и платформы по всему миру, а это значит, что многие CVE будут неактуальны для отдельных предприятий», — сказал он.
По мнению экспертов FIRST, подготовка к ожидаемому увеличению количества уязвимостей имеет ключевое значение. Учитывая это, организациям следует сосредоточиться на CVE, представляющих наибольший риск для их конкретной среды, а не только на тех, которые имеют самые высокие баллы CVSS.
Некоммерческая организация призвала предприятия подготовиться к усреднённому прогнозу, но разработать планы действий на случай более масштабных сценариев.
Найт отметил, что команды безопасности часто привлекаются на поздних этапах процесса закупок — иногда после подписания контрактов. В некоторых случаях приложения также развёртываются без ведома директора по информационной безопасности, создавая «слепые зоны» и увеличивая риск того, что критически важные уязвимости будут пропущены.
Наконец, неэффективное управление рисками, связанными с третьими сторонами, означает, что организации могут неосознанно сталкиваться с их уязвимостями, фактически расширяя поверхность атаки и подвергая свои конфиденциальные данные риску утечки.
«Поскольку количество уведомлений о CVE продолжает расти, предприятиям необходимо обеспечить участие директора по информационной безопасности с самого начала принятия решений в области технологий. Это позволяет командам безопасности правильно оценивать риски, минимизировать риски, связанные с третьими сторонами, гарантировать, что новые системы соответствуют уровню безопасности организации, а также расставлять приоритеты и устранять уязвимости на основе реального влияния на бизнес, а не на основе статистических данных», — сказал Найт.
С подборкой самых нашумевших киберкампаний 2025 года можно ознакомиться здесь.
