Кризис долга безопасности и всплеск уязвимостей высокого риска

В быстро меняющейся цифровой среде отставание в устранении уязвимостей программного обеспечения больше не является вариантом. Скорость появления недостатков решительно опережает текущие возможности по их устранению. Несмотря на незначительное улучшение скорости исправлений, волна долга безопасности продолжает расти.

«Путь вперед состоит не в том, чтобы бежать быстрее по беговой дорожке бесконечных уязвимостей. Он заключается в принятии взвешенных решений о том, какие риски допустимы, а какие требуют немедленной нейтрализации».

Кризис долга безопасности усиливается

Долг безопасности, определяемый как известные уязвимости, остающиеся неисправленными более года, резко возрос. Это не отдаленная проблема, а настоящая реальность для 82% организаций, что представляет собой рост на 11% за один год. Бэклог растет быстрее, чем возможности команд по его устранению.

Критический долг в цифрах

• Влияние на организации: 60% организаций страдают от критического долга безопасности, что на 20% больше, чем в прошлом году.
• Всплеск высокого риска: Уязвимости, которые одновременно обладают высокой степенью серьезности и легкостью эксплуатации, показали относительный рост на 36%.
• Долг на уровне приложений: 49% приложений теперь имеют накопленный долг безопасности.

Обнаружение против устранения

В то время как организации успешно сокращают общее количество недостатков и улучшают показатели обнаружения, данные показывают постоянные трудности с их достаточно быстрым исправлением, чтобы закрыть расширяющееся окно уязвимости.

Прогресс в обнаружении

• Распространенность недостатков: Общая распространенность уязвимостей по всем типам сканирования снизилась до 78%.
• Скорость исправления: Период полураспада для устранения недостатков по всем типам сканирования немного улучшился и составил 243 дня.

Проблемы с устранением

• Уровень отказов OWASP: Доля приложений, не соответствующих базовым стандартам OWASP Top 10, выросла до 50%.
• Исправления стороннего кода: Период полураспада для уязвимостей сторонних компонентов остается исключительно высоким — 358 дней.
• Проблемы третьих сторон: Сторонний код продолжает доминировать в критическом долге безопасности, составляя 66% наиболее опасных, долгоживущих уязвимостей.

Практическая стратегия: Prioritize, protect, prove

Чтобы справиться с этими проблемами, организации должны применять новый подход. Стремление исправить каждый недостаток — это гонка, которую невозможно выиграть. Все начинается с определения ваших ключевых активов («crown jewels») и концентрации ресурсов на наиболее критически важных областях. Инструменты на базе ИИ могут помочь увеличить ежемесячные возможности по исправлению и эффективно справиться с длинным хвостом простых и повторяющихся уязвимостей.