Анализ данных интеллектуальной платформы Сбербанка X Threat Intelligence и BI.Zone показал, что за последние пять лет среднее время между публикацией уязвимости и её первой эксплуатацией злоумышленниками (Time-to-Exploit) сократилось в 20 раз. В 2025 году этот показатель составляет менее 40 дней, а более 60% известных уязвимостей начинают использоваться в атаках в течение первых семи дней после публикации, в некоторых случаях — уже через несколько часов.

Этот тренд обусловлен автоматизацией процессов разработки эксплоитов: генеративные модели и инструменты на базе искусственного интеллекта способны анализировать патчи, код исправлений и описания уязвимостей, чтобы автоматически генерировать рабочие эксплоиты без участия человека. Это позволяет злоумышленникам переходить от ручной разработки к масштабируемой, почти мгновенной атаке на уязвимости, даже если они ещё не были исправлены в продуктах.

По данным BI.Zone CPT, в 80% организаций, прошедших внешнюю проверку в 2025 году, были обнаружены активно эксплуатируемые уязвимости, которые уже использовались в реальных атаках с прямым ущербом — от кражи данных до остановки бизнес-процессов. Это указывает на то, что большинство компаний не контролируют свою внешнюю поверхность атак, не выявляют уязвимости до их эксплуатации и не реагируют в необходимые сроки.

Согласно данным BI.Zone GRC, до 15% элементов ИТ-инфраструктуры остаются без полного покрытия средствами защиты, а на каждом из них в среднем обнаруживается до 20 известных уязвимостей. При этом более 80% критических уязвимостей не устраняются в установленные сроки — чаще всего из-за сложности приоритизации, отсутствия автоматизации и зависимости от ручных процессов.

Динамика угроз усугубляется ростом числа публичных PoC-эксплоитов. По данным BI.Zone WAF, за период с зимы 2024/25 года по лето 2025 года доля критических уязвимостей в общем массиве веб-уязвимостей выросла на 10%, а количество доступных публичных эксплоитов — более чем на 40%. Это означает, что даже низкоспециализированные злоумышленники могут успешно атаковать организации, не обладая глубокими техническими знаниями.

Рост числа уязвимостей нулевого дня (zero-day) и снижение Time-to-Exploit делают традиционные подходы к управлению уязвимостями — основанные на регулярных сканированиях и патч-менеджменте — неэффективными. Организации, которые ждут появления эксплоитов или ждут патчей от вендоров, уже уязвимы.

Для снижения рисков необходимо перейти от реактивного к проактивному подходу. Это требует:
— внедрения платформ класса EASM (External Attack Surface Management) для постоянного мониторинга внешней поверхности атак;
— использования WAF с адаптивными правилами для блокировки эксплуатации уязвимостей до их исправления;
— применения систем, основанных на машинном обучении, для прогнозирования рисков на основе анализа трендов, паттернов эксплуатации и поведения злоумышленников — таких как BI.Zone GRC, который моделирует сценарии атак до их реализации.

Такие решения позволяют сократить время между обнаружением уязвимости и её устранением в четыре раза, объединяя управление уязвимостями, комплаенсом и рисками в единый цикл. Однако ключевым фактором остаётся не выбор инструмента, а скорость реакции: в условиях, когда эксплуатация происходит за часы, а не недели, любая задержка в устранении уязвимости становится критической.

Организации, не внедрившие автоматизированные и предиктивные механизмы управления уязвимостями, остаются в зоне высокого риска — не потому что их системы уязвимы, а потому что их процессы не успевают за темпами атак.