Analýza CISA Known Exploited Vulnerabilities za poslední čtyři roky ukazuje, že kritické zranitelnosti stále otevřené v 7. dni se zhoršily z 56 % na 63 %, přestože týmy uzavřely 6,5krát více tiketů. Navyšování počtu zaměstnanců tento problém nevyřeší.
Z 52 sledovaných zbrojených zranitelností bylo 88 % opraveno pomaleji, než byly zneužity. Polovina z nich byla zbrojeny dříve, než existovala jakákoli záplata.
Problémem není rychlost. Problémem je samotný operační model.
Kumulativní expozice, nikoliv počty CVE, jsou skutečnou metrikou rizika, kterou musí bezpečnostní týmy nyní měřit. Zatímco řídicí panely odměňují sprint za nasazením záplat, narušení bezpečnosti využívají opomíjených aktiv na okraji. Umělá inteligence nepředstavuje jen další útočnou plochu – přechodné období, kdy útočníci vyzbrojení AI čelí lidským obráncům, je pro celé odvětví nejnebezpečnějším oknem. V reakci na to musí obránci zavést vlastní autonomní operace řízení rizik s uzavřenou smyčkou.
Rozbité fyzikální zákony
Nový výzkum Qualys Threat Research Unit, který analyzoval více než miliardu záznamů o nápravě CISA KEV z více než 10 000 organizací za čtyři roky, kvantifikuje to, co odvětví dlouho tušilo, ale nikdy nedokázalo potvrdit v takovém rozsahu. Operační model tvořící základ podnikové bezpečnosti je rozbitý.
Objem zranitelností vzrostl od roku 2022 6,5krát. Podle zprávy Google M-Trends 2026 průměrná doba do zneužití zranitelnosti klesla na minus sedm dní. Jinými slovy, protivníci zbrojí nejzávažnější zranitelnosti ještě před tím, než existují záplaty. Procento kritických zranitelností stále otevřených v sedmý den vzrostlo z 56 na 63 procent.
To však není způsobeno nedostatečnou snahou. Organizace nyní ročně uzavřou o 400 milionů více událostí týkajících se zranitelností než na začátku sledovaného období. Týmy pracují pilněji, ale tam, kde to skutečně záleží, to nestačí. Výzkumníci tento jev nazývají „lidským stropem“ – strukturálním omezením, které žádné množství zaměstnanců ani vyspělost procesů nepřekonají. Omezením není snaha. Je jím samotný model.
Z 52 vysoce sledovaných zbrojených zranitelností s kompletními časovými osami exploitace bylo 88 procent opraveno pomaleji, než byly zneužity. Jako příklad lze uvést zranitelnost Spring4Shell, která byla zneužita dva dny před zveřejněním, přičemž průměrný podnik potřeboval 266 dní k její nápravě.
Podobně byla zranitelnost v Cisco IOS XE zbrojeny celý měsíc před oznámením; průměrná doba uzavření činila 263 dní.
Výhoda útočníka se měřila ve dnech. Reakce obránce se měřila v ročních obdobích. Není to selhání zpravodajství. Je to selhání operacionalizace.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
