Число уязвимостей, которые будут раскрыты в 2026 году, почти наверняка превысит прошлогодний показатель и может приблизиться к 100 000, согласно новому анализу. — computerweekly.com
Общее количество раскрытых уязвимостей и угроз (CVE) в 2026 году, по прогнозам, превысит отметку в 50 000 и впервые может достичь шестизначных цифр. Об этом говорится в ежегодном отчете Форума команд реагирования на инциденты и по безопасности (First) «Прогноз уязвимостей на 2026 год». Согласно последним прогнозам First, верхняя граница 90% доверительного интервала приближается к 118 000 CVE, а реалистичные сценарии предполагают возможность раскрытия от 70 000 до 100 000 уязвимостей. Медианное значение для 2026 года, как ожидается, составит около 59 000. Независимо от итоговой цифры, First подчеркивает «срочную необходимость» для организаций масштабировать свои операции по обеспечению безопасности и стратегически приоритизировать реагирование на уязвимости и их исправление. «Вопрос, который организации должны задать себе прямо сейчас: готовы ли мои сотрудники и процессы справиться с таким объемом, и приоритизирую ли я уязвимости, которые действительно ставят мои данные под угрозу?» — сказал Эйрен Леверетт, представитель First и ведущий член команды First по прогнозированию уязвимостей. «Наш прогноз позволяет защитникам перестать реагировать на каждый новый CVE и начать принимать стратегические решения о том, куда направить ограниченные ресурсы, прежде чем злоумышленники воспользуются пробелами».
Проблема 50 000 уязвимостей
В своем отчете за 2025 год First сообщил, что верхняя граница прогнозируемого диапазона составила 50 000 CVE — число, которое, по мнению аналитиков, будет комфортно превышено в этом году. Отчасти это связано с быстрым внедрением программного обеспечения с открытым исходным кодом (OSS) и использованием инструментов искусственного интеллекта для обнаружения уязвимостей. В течение года также, вероятно, сказалось появление феномена vibecoding. Фактически, прогноз First оказался точным: по данным Леверетта, 31 декабря 2025 года было зафиксировано 49 972 CVE, что всего на 28 меньше заветной отметки. Однако в идеале верхняя граница доверительного интервала должна была прийтись на 2026 год, а медианная — на канун Нового года. В связи с этим First пересмотрел свои подходы и методологию. Покажет ли это, что прогноз на 2026 год будет еще точнее, еще предстоит увидеть. «[Наш] новый метод прогнозирования… позволяет использовать асимметричные доверительные интервалы. Это означает, что мы учитываем, что число публикаций с большей вероятностью превысит прошлогоднее, чем будет меньше», — сказал Леверетт Computer Weekly. «Таким образом, хотя мы ожидаем, что число будет ближе к 60 000, существует 10% вероятность того, что оно превысит 118 000. Большая часть этого — просто статистика, но также обсуждаются новые технологии и то, как они могут расширить диапазон возможных чисел, что позволило нам с большей уверенностью опубликовать результаты этого смоделированного исхода, чем некоторые другие».
Следующие шаги
Хотя на первый взгляд ежегодный отчет First по CVE может показаться просто интересным статистическим показателем, этот прогноз служит потенциально важным инструментом планирования для сектора безопасности при планировании мощностей по устранению уязвимостей, написании скоординированных раскрытий или разработке новых сигнатур обнаружения для платформ SIEM, EDR или IDS. «Подобно тому, как городской планировщик учитывает рост населения перед строительством новой инфраструктуры, команды безопасности выигрывают от понимания вероятного объема и характера уязвимостей, с которыми им придется иметь дело», — сказал Леверетт. «Разница между подготовкой к 30 000 уязвимостей и 100 000 — это не просто операционная, а стратегическая». Независимо от того, столкнутся ли они с 50 000 или 100 000 CVE, всегда помня, что не каждая уязвимость затронет каждый бизнес, руководители служб безопасности в организациях конечных пользователей могут начать решать эту проблему прямо сейчас. Отличной отправной точкой является оценка того, есть ли у организации люди, процессы и возможности для решения такого большого количества проблем. Хорошо подготовленный CISO будет готов к медианному прогнозу, но также разработает планы действий на случай непредвиденных обстоятельств для сценариев с большим объемом. Специалисты по безопасности также должны освоить искусство беспощадной приоритизации, сосредоточившись на уязвимостях, которые представляют наибольший риск для их конкретных ИТ-активов, а не только на тех, у которых самые высокие показатели CVSS. Наконец, руководители должны использовать внешние прогнозы уязвимостей в сочетании со своими собственными инвентарными списками активов для подготовки к конкретным поставщикам и продуктам. «Ни одна компания не может решить проблемы уязвимостей и кибербезопасности в изоляции. Организации, которые восстанавливаются быстрее всего, — это те, у кого уже есть надежные сети, которые обмениваются информацией об угрозах и координируют реагирование до наступления кризиса», — сказал генеральный директор First Крис Гибсон.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton