Zero-Day Clock: время эксплуатации уязвимостей сократилось с года до одного дня из-за ИИ

Сайт Zero-Day Clock (ZDC) наглядно демонстрирует, как искусственный интеллект ускоряет процесс эксплуатации уязвимостей, сокращая время между их обнаружением и использованием с года до одного дня.

Проект, созданный Сергеем Эппом из Sysdig, показывает, что среднее время между обнаружением уязвимости и её эксплуатацией сократилось с почти года в 2021 году до чуть более дня в 2026 году. Согласно прогнозам ZDC, к 2027 году этот показатель может упасть до одного часа и одной минуты.

Доля эксплойтов нулевого дня (zero-day), то есть уязвимостей, которые уже использовались злоумышленниками до официального раскрытия информации, выросла с 31% пять лет назад до 73,2% на сегодняшний день. Если в 2021 году около 60-70% уязвимостей оставались неиспользованными на момент раскрытия, то сейчас этот показатель составляет лишь 25%. Примечательно, что через шесть недель после раскрытия не остается ни одной неиспользованной уязвимости, тогда как в прошлом году этот показатель составлял около 24%.

Важно отметить, что данные ZDC основаны только на публично раскрытых уязвимостях с известными случаями эксплуатации. Исследователи предупреждают, что это может быть лишь верхушкой айсберга, так как частные или государственные эксплойты могут существовать задолго до их публичного обнаружения.

Для противодействия этой угрозе ZDC предлагает несколько мер. Во-первых, необходимо обеспечить, чтобы все функции безопасности были включены по умолчанию во всех прошивках, программном обеспечении и аппаратных платформах, а также повсеместно внедрять архитектуру с нулевым доверием (zero-trust). Поскольку 70% уязвимостей связаны с ошибками безопасности памяти, рекомендуется использовать Rust или другие безопасные языки программирования вместо C или C++.

Системы должны проектироваться так, чтобы их можно было легко восстановить в случае компрометации. Для защиты от атак с использованием ИИ необходимы бесплатные инструменты с открытым исходным кодом, аналогичные тем, что используют злоумышленники.

Самой сложной рекомендацией является введение ответственности разработчиков программного обеспечения за опасные уязвимости. Как отмечает эксперт по кибербезопасности Брюс Шнайер:

«Ни одна отрасль за последние 150 лет не повышала безопасность без принуждения со стороны правительства».

Кроме того, ZDC призывает пересмотреть законы об ИИ, которые дают преимущество атакующим. Например, инициативы вроде европейского «Stop the Clock», направленные на замедление распространения ИИ, на деле вредят безопасности, так как замедляют защищающиеся стороны, в то время как кибератакующие не следуют законам и только ускоряют свои действия.

Проект также считает, что безопасность программного обеспечения должна иметь геополитический приоритет и получать соответствующее финансирование. Наконец, ZDC призывает включать исследователей кибербезопасности в процесс законотворчества, так как люди, пишущие законы, часто не до конца понимают предмет регулирования.