Проект Zero-Day Clock показал, как быстро схлопывается «окно безопасности»: среднее время от обнаружения уязвимости до её эксплуатации упало с почти года в 2021 до чуть больше суток в 2026. По их прогнозу, в 2027 показатель дойдёт до одного часа, а дальше — до одной минуты.
Zero-Day Clock (ZDC) сделал инженер и исследователь Сергей Эпп из Sysdig. Проект собирает данные и визуализирует тренды по публично раскрытым уязвимостям, для которых известен факт реальной эксплуатации.
«Окно на патч» сжалось до суток и продолжает падать
ZDC свёл в одну шкалу то, о чём индустрия спорит годами: ИИ-инструменты ускорили поиск багов и сборку эксплойтов. В цифрах это выглядит жёстко. Если в 2021 злоумышленникам в среднем требовались месяцы после обнаружения уязвимости, то к 2026 средняя задержка сократилась до уровня «сегодня нашли — завтра уже ломают».
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Дальше ZDC рисует ещё более агрессивную траекторию. Прогноз на 2027 год — около часа. Следующая «остановка» на графике — одна минута между находкой и эксплуатацией.
Доля настоящих zero-day выросла до 73,2%
Вторая метрика у ZDC бьёт не слабее. Доля уязвимостей, которые уже эксплуатировали до публичного раскрытия, выросла с 31% пять лет назад до 73,2% сейчас.
Одновременно просела доля уязвимостей, которые «не трогают» на момент раскрытия. В 2021 это было примерно 60-70%, а сейчас — около 25%. И даже эти 25% не выглядят как «можно выдохнуть».
По временной оси видно, что сейчас уязвимости редко остаются неэксплуатируемыми дольше пары недель. После шести недель не остаётся ни одной «неиспользованной» уязвимости. Для сравнения, в прошлом году около 24% уязвимостей ещё не имели эксплуатации даже после этого срока.
Что ZDC считает фактами, а где начинается «верхушка айсберга»
У ZDC есть важное ограничение, и авторы его прямо проговаривают. Датасет включает только публично раскрытые уязвимости, у которых известна эксплуатация. То есть это не вся реальность, а то, что удалось увидеть снаружи.
Команда ZDC отдельно подчёркивает: «мы отслеживаем только публично видимые эксплойты. Частные или государственные эксплойты могут существовать раньше». В переводе на человеческий язык это значит, что реальное окно может быть ещё меньше, чем на графиках.
Какие меры предлагают авторы Zero-Day Clock
В своём обращении ZDC перечисляет набор шагов, которые должны уменьшить ущерб от такого темпа атак. Часть звучит как инженерная гигиена, часть — как смена правил игры.
- Безопасные настройки по умолчанию: включать защитные функции в прошивках, ПО, фреймворках и платформах без ручной «докрутки».
- Zero-trust: строить инфраструктуру так, чтобы доверие не выдавалось «авансом».
- Переход на memory-safe языки: ZDC указывает, что около 70% уязвимостей связаны с ошибками безопасности памяти, поэтому Rust и аналоги должны вытеснять C/C++ там, где это реально.
- «Одноразовые» системы: проектировать окружения так, чтобы скомпрометированную машину можно было быстро и чисто восстановить.
- Открытые AI-инструменты для защиты: раз атакующим помогают боты, защитникам нужны доступные AI-инструменты с прозрачностью коду и логам.
Самая спорная рекомендация ZDC — ответственность производителей за ущерб от критичных уязвимостей. Эксперт по безопасности Брюс Шнайер формулирует это жёстко: «Ни одна индустрия за последние 150 лет не улучшала безопасность без давления со стороны государства». И добавляет практичный аргумент: небезопасный продукт, который первым вышел на рынок или проще в использовании, почти всегда победит более вылизанного конкурента.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Проект Zero-Day Clock ведёт публичную базу и графики на сайте: zerodayclock.com.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.