Чем SLEM Partners отличается от традиционного аудита?

Традиционный аудит отвечает на вопрос соответствия регуляторным требованиям. Мы переводим киберриск в стратегическую бизнес-плоскость: количественные оценки в рублях и процентах, threat-модели под вашу архитектуру и roadmap с приоритетами на 30/90/365 дней.

Получаете ли вы комиссию от вендоров?

Нет. Мы независимая консалтинговая компания — не продаём коробки и не получаем комиссию от поставщиков. Рекомендации основаны исключительно на ваших рисках и бизнес-целях.

Что такое методология 5 этапов?

GRC-аудит из пяти этапов: инвентаризация активов, анализ угроз, количественная оценка риска, меры защиты с приоритизацией и отчётность. Каждый этап даёт артефакты для собственника, CTO и CISO.

Что такое SLEMGUARD?

SLEMGUARD — концепция системы защиты API-периметра на основе машинного обучения и Zero Trust. Система анализирует API-запросы в реальном времени и выявляет аномалии до реализации атаки. Продукт в разработке.

Как попасть в пилотную программу?

Пилотная программа — лето 2026. Формируем первую группу из трёх компаний среднего бизнеса. Реальная инфраструктура, реальные результаты. Напишите на vp@slempartners.ru — ответ в течение 24 часов.

Окно эксплуатации уязвимостей: как сжимается время реакции защитников (2019–2026)

Аналитический обзор SLEM Partners Group. Подготовлен по методологии многоперспективного исследования (Stanford STORM): тезисы собраны через вопросы от лица SOC-аналитика, разработчика, CISO, атакующего и регулятора и заземлены на первичные источники. Все ключевые цифры приведены со ссылкой на оригинальный отчёт; вторичные пересказы не используются как доказательная база.

Методология и ограничения

Метод: Stanford STORM — многоперспективный сбор тезисов от SOC-аналитика, разработчика, CISO, атакующего и регулятора с последующей верификацией по первичным источникам.
Период данных: 2018–2026; ключевые метрики TTE — Mandiant/Google (2023, 2025), VulnCheck (2023–1П2025), Verizon DBIR 2025.
Ограничения: TTE −7 дней — оценка по конкретной выборке Mandiant, не универсальная константа; данные по российскому ПО — направление, подтверждаемое ежегодной аналитикой вендоров (Positive Technologies), без собственной выборки SLEM.

Рис. 1. Динамика среднего времени до эксплуатации (TTE), 2018–2025

Рис. 1. Сокращение TTE: от 63 дней (2018–2019) до 5 дней (2023) и отрицательного значения по оценке M-Trends 2026. Источники: [1], [2].

1. Что такое «окно эксплуатации» и почему метрика важна

Окно эксплуатации (exploitation window) — интервал между публичным раскрытием уязвимости (как правило, присвоением CVE-идентификатора) и началом её эксплуатации в реальных атаках. Чем короче окно, тем меньше времени у защитников на оценку риска, тестирование и установку обновления.

В классической модели окно измерялось неделями: организация успевала пройти цикл «оценка → тест → патч». К середине 2020-х этот запас времени практически исчез, а в части случаев стал отрицательным — эксплуатация начинается до выхода патча. Ниже мы показываем динамику на проверяемых данных и отделяем подтверждённые факты от оценок.

Для руководителя бизнеса это означает прямой сдвиг риска: инвестиции в «закрыть все дыры до атаки» перестают окупаться при текущем объёме CVE. Стратегически выигрывает тот, кто быстрее обнаруживает компрометацию и ограничивает lateral movement.

2. Перспективы, через которые собран материал

SOC-аналитик / Blue Team — что меняется в скорости детектирования и реагирования.
Разработчик / DevSecOps — какие классы дефектов чаще эксплуатируются.
CISO — как перестраивать приоритизацию при перегрузке CVE.
Атакующий — какие активы и типы уязвимостей дают лучший «возврат».
Регулятор — как меняются нормативные ожидания по срокам устранения.

3. Динамика времени до эксплуатации (Time-to-Exploit)

По данным Google Threat Intelligence Group / Mandiant, среднее время до эксплуатации (TTE) устойчиво сокращается: 63 дня в 2018–2019 годах, 44 дня в 2020–2021, 32 дня в 2021–2022 и 5 дней по итогам анализа 138 уязвимостей, эксплуатировавшихся в 2023 году [1]. Это ключевая, корректно датированная цифра: «5 дней» относятся к данным 2023 года, опубликованным в 2024-м, а не к 2024 году.

В отчёте Mandiant M-Trends 2026 для популяции уязвимостей, вооружённых в 2025 году, среднее TTE оценивается приблизительно в минус 7 дней: по этой оценке эксплуатация в среднем начиналась раньше, чем выходил патч вендора [2]. Эту величину следует трактовать именно как оценку по конкретной выборке Mandiant, а не как универсальную константу рынка.

Параллельно сокращается «окно безнаказанности» атакующих и в части передачи доступа: по данным M-Trends, медианное время «жизни» инцидента (dwell time) в 2025 году выросло до 14 дней, но это вызвано двумя «длинными хвостами» (долгий шпионаж и операции северокорейских ИТ-работников), тогда как для остальной популяции dwell time сжимается [2].

Что это значит: TTE как агрегат снизился на порядок за пять лет; для значимой доли уязвимостей патч-менеджмент перестал быть превентивной мерой и стал реактивной.

4. Скорость на уровне отдельных уязвимостей

Данные VulnCheck по «первой замеченной эксплуатации в дикой природе»:

2023 год — 639 уязвимостей, эксплуатируемых впервые;
2024 год — 768 (+20% год к году);
первое полугодие 2025 года — 432 [3][4].

Доля уязвимостей, по которым эксплуатация фиксировалась в день публикации CVE или раньше, выросла с 23,6% в 2024 году до 32,1% в первом полугодии 2025 года [3][4]. Это прямой индикатор того, что почти каждая третья «свежая» эксплуатируемая уязвимость весной 2025 года была, по сути, zero-day на момент огласки.

Исправление частой ошибки: цифра «883» иногда приводится как число эксплуатируемых уязвимостей за 2025 год. Это некорректно. VulnCheck фиксирует 768 за весь 2024 год и 432 за первое полугодие 2025 года [3][4].

5. Перегрузка по объёму CVE

Поток новых уязвимостей бьёт рекорды. В 2025 году опубликовано 46 407 CVE против 40 009 в 2024-м — рост на 16%, в среднем около 127 новых CVE в день [5]. При этом база NVD не успевает их обрабатывать: полный анализ (CVSS, метаданные) получили лишь 28% раскрытых в 2025 году CVE против 46,2% в 2024-м [5]. NIST в апреле 2026 года официально признал, что переводит значительную часть накопленного бэклога в статус «Not Scheduled», приоритизируя прежде всего записи из каталога KEV [6].

Последствие для защитника: более двух третей новых записей приходят без базовой оценки серьёзности, и приоритизация «вручную» становится невозможной — нужна автоматизация на основе фактической эксплуатации (KEV) и вероятностных моделей (EPSS).

6. Каталог CISA KEV как индикатор реальной эксплуатации

Каталог Known Exploited Vulnerabilities (KEV) фиксирует только уязвимости с подтверждённой эксплуатацией. Корректная динамика (с выверенной арифметикой) такова [7][8]:

Год	Добавлено за год	Накопленный итог
2021 (с ноября)	311	311
2022	555	866
2023	187	1 053
2024	186	1 239
2025	245	1 484

Исправление частой ошибки: всплеск 2022 года — это 555 добавленных записей (отражение «догоняющего» наполнения каталога), а не «около 200». Прежние версии таблицы не сходились арифметически — здесь итоговые значения согласованы.

Из 245 записей 2025 года 24 связаны с программами-вымогателями, а 94 относятся к уязвимостям, раскрытым в 2024-м и ранее [8]. Последнее подтверждает: атакующие активно используют не только «свежие», но и давно известные, но непропатченные дефекты.

KEV сознательно консервативен и отстаёт от телеметрии коммерческих источников: VulnCheck регулярно фиксирует эксплуатацию раньше попадания записи в государственный каталог [3]. Поэтому реальное окно эксплуатации, как правило, не длиннее, а короче, чем показывает официальная статистика.

7. Профиль эксплуатируемых уязвимостей: периметр и edge-устройства

Verizon DBIR 2025 показывает, что эксплуатация уязвимостей стала вектором первоначального доступа в 20% всех утечек — рост на 34% год к году, вплотную приблизившись к злоупотреблению учётными данными (22%) [9]. Доля периметровых и VPN-устройств в действиях по эксплуатации выросла почти восьмикратно — с 3% до 22% [9].

При этом организации физически не успевают закрывать периметр: по данным того же отчёта, полностью устранены лишь около 54% уязвимостей периметровых устройств, а медианное время устранения составило 32 дня [9] — что несопоставимо с TTE в единицы дней.

Вывод раздела: атакующие концентрируются на интернет-доступных устройствах (VPN-шлюзы, файрволы, почтовые шлюзы) — они видны снаружи, слабо логируются и обновляются медленнее бизнес-приложений.

8. Роль ИИ: где факт, а где преувеличение

ИИ действительно снижает порог входа в разработку эксплойтов, но публичные тезисы здесь часто завышаются, поэтому формулируем аккуратно.

Контролируемое исследование Fang et al. (2024) показало, что агент на базе GPT-4 смог автоматически эксплуатировать 87% из выборки в 15 «one-day» уязвимостей при условии, что модели предоставлялось текстовое описание CVE [10]. Это значимый результат, но важны оговорки: выборка мала (15 уязвимостей), это «one-day» (патч уже существует), а среда — контролируемая. Поэтому корректная формулировка — «в узком эксперименте LLM-агент достиг 87% успеха», а не «ИИ ломает 87% уязвимостей».

Главный практический эффект ИИ — не магическая «генерация любого эксплойта», а ускорение и удешевление рутинных шагов (триаж описаний, написание PoC по уже понятным классам багов), что в совокупности сжимает окно от раскрытия до массовой эксплуатации.

9. Российский контекст

Импортозамещение вывело на рынок большой объём отечественного ПО, часть которого не проходила столь же длительного аудита безопасности, как зрелые западные продукты. Profильные аналитики (Positive Technologies и др.) фиксируют, что это сопровождается ростом числа выявляемых уязвимостей в российском ПО и появлением «трендовых» (активно эксплуатируемых) уязвимостей в отечественных продуктах [11]. Здесь мы сознательно приводим тезис как направление, подтверждаемое ежегодной аналитикой вендоров, и рекомендуем при публикации ссылаться на конкретный свежий отчёт Positive Technologies с актуальными числами, поскольку они пересматриваются от года к году.

Двойная экспозиция российских организаций: с одной стороны — известные уязвимости в западном ПО, которое продолжает эксплуатироваться без поддержки вендора; с другой — «детские болезни» нового отечественного ПО, для которого ещё не сложились зрелые практики быстрого патч-менеджмента.

10. Что следует из данных

TTE снизился на порядок — с 63 дней (2018–2019) до 5 дней по данным 2023 года, а по оценке M-Trends 2026 для выборки 2025 года стал отрицательным [1][2].
Доля zero-day-эксплуатации растёт — 32,1% эксплуатируемых уязвимостей в 1П2025 атаковались в день раскрытия или раньше [3].
Объём CVE перегружает процессы — 46 407 CVE за 2025 год, лишь 28% с полным анализом NVD [5][6].
Периметр — главная мишень — +34% к доле эксплуатации в утечках, восьмикратный рост доли edge/VPN [9].
ИИ ускоряет, но не всемогущ — 87% относится к узкому эксперименту с one-day-уязвимостями [10].

Практический вывод: центр тяжести смещается от «устранить до атаки» к «быстро обнаружить и ограничить ущерб». Приоритизация должна строиться на фактической эксплуатации (KEV), вероятности (EPSS) и контексте актива, а не на попытке закрыть весь поток CVE.

11. Рекомендации

Перестроить приоритизацию CVE: KEV + EPSS + контекст актива (интернет-доступность, критичность бизнес-процесса) вместо «закрыть всё по CVSS».
Усилить периметр: ускоренный патч-цикл для VPN, файрволов, почтовых шлюзов; сегментация и мониторинг lateral movement.
Сместить KPI с MTTR патча на MTTD: измерять время обнаружения компрометации и скорость изоляции, а не только скорость установки обновлений.
Автоматизировать триаж: интеграция KEV/EPSS в процесс управления уязвимостями; ручной разбор только для top-N по риску.
Для российского ПО: закладывать независимый аудит и контроль цепочки поставки при импортозамещении.

12. Открытые вопросы

Как измерять эффективность защиты, когда TTE отрицателен и метрика MTTR теряет смысл?
Как масштабировать приоритизацию при 46 000+ CVE в год и неполном анализе NVD?
Как выстроить раннее предупреждение для отечественного ПО на этапе его быстрого вывода на рынок?

Источники

[1] Google Cloud (Mandiant) — «How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends». https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023

[2] Mandiant — M-Trends 2026 (оценка среднего TTE ≈ −7 дней для выборки 2025 года; динамика dwell time).

[3] VulnCheck — «State of Exploitation: 1H-2025». https://www.vulncheck.com/blog/state-of-exploitation-1h-2025/

[4] VulnCheck — данные 2024 года: 768 впервые эксплуатируемых CVE (+20% к 639 в 2023). https://www.securityweek.com/exploitation-of-over-700-vulnerabilities-came-to-light-in-2024/

[5] Zafran — «The 2025 Spike in Vulnerabilities Isn't the Full Story» (46 407 CVE за 2025; 28% полного анализа NVD против 46,2% в 2024). https://www.zafran.io/resources/the-2025-spike-in-vulnerabilities-isnt-the-full-story

[6] NIST — «NVD Updates Operations to Address Record CVE Growth», апрель 2026. https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

[7] CISA — Known Exploited Vulnerabilities Catalog (первичный реестр). https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[8] SecurityWeek / Cyble — динамика KEV за 2025 год (245 добавлено, итог 1 484; 24 ransomware-связанных; 94 «старых»). https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries/

[9] Verizon — 2025 Data Breach Investigations Report (эксплуатация уязвимостей 20% утечек, +34% YoY; edge/VPN 22%; 54% устранения, медиана 32 дня). https://www.verizon.com/business/resources/reports/dbir/

[10] R. Fang et al. — «LLM Agents can Autonomously Exploit One-day Vulnerabilities», 2024 (87% на выборке из 15 one-day уязвимостей при наличии описания CVE). https://arxiv.org/abs/2404.08144

[11] Positive Technologies — ежегодная аналитика уязвимостей и трендовых угроз (рекомендуется ссылаться на актуальный годовой отчёт). https://www.ptsecurity.com/ru-ru/research/analytics/