„0-day“ kaip norma: ką saugumo vadovai (CISO) turi persvarstyti savo gynybos strategijoje jau dabar

Trys 2026-ųjų balandžio įvykiai

2026 m. balandžio pradžioje įvyko trys įvykiai, kuriuos reikėtų vertinti kartu. Atskirai paėmus, kiekvienas jų yra skambi antraštė; kartu jie žymi perėjimą prie iš esmės kitokio grėsmių modelio. Balandžio 7 d. „Anthropic“ pristatė „Claude Mythos Preview“ – pažangiausią modelį, kuris per kelias savaites autonomiškai aptiko tūkstančius kritinių nulinės dienos („zero-day“) pažeidžiamumų visose pagrindinėse operacinėse sistemose ir naršyklėse. Iškart po to buvo pradėtas projektas „Glasswing“ – uždaras konsorciumas, kuriam priklauso AWS, „Microsoft“ ir NVIDIA, skirtas paversti šiuos gynybinius pajėgumus ginklais, kol jie dar nenutekėjo į platesnę rinką. Galiausiai, balandžio 8 d., JAV iždo departamentas ir FED sušaukė sistemiškai svarbių bankų vadovus aptarti riziką, kurią „Mythos“ kelia pasauliniam finansiniam stabilumui. Kai reguliuotojai suburia bankininkus, o Pentagonas kviečia dirbtinio intelekto (DI) įmonių vadovus dėl vieno kalbos modelio, pramonė privalo pripažinti, kad saugumo bazinė linija pasikeitė.

Ekspertiškumo apribojimo žlugimas

Anksčiau tradicinis grėsmių modelis rėmėsi prielaida, kad norint rasti rimtą pažeidžiamumą brandžiame produkte, reikia aukštos kvalifikacijos specialisto, praleidžiančio savaites ar mėnesius atliekant rankinius tyrimus. Šis ekspertiškumo deficitas buvo tylus gynėjų sąjungininkas, natūraliai ribojantis išnaudojimo programų („exploits“) kiekį. „Mythos“ sugriovė šią prielaidą. Identifikavęs 27 metų senumo klaidą „OpenBSD“ sistemoje už maždaug 20 000 JAV dolerių žetonų („tokens“) kainą, modelis įrodė, kad pažeidžiamumų tyrimai neberibojami žmogaus išradingumo, o tik grynosios skaičiavimo galios.

Norėdami įvertinti šio pokyčio mastą, palyginkite: ankstesnė „Anthropic“ versija „Opus 4.6“ sėkmingai išnaudojo „Firefox“ „JavaScript“ variklį mažiau nei 1 % bandymų. „Mythos Preview“ tai pavyko padaryti 72 % atvejų. Jis ne tik aptinka klaidas; jis autonomiškai jas jungia į grandines. Vienu dokumentuotu atveju modelis susiejo keturis atskirus naršyklės pažeidžiamumus, kad išeitų iš atvaizdavimo smėlio dėžės („renderer sandbox“) ir apeitų operacinės sistemos lygio apsaugą. Praktiškai tai reiškia, kad laikas nuo pažeidžiamumo atsiradimo iki jo pramoninio masto išnaudojimo traukiasi link nulio.

„0-day“ kaip pramoninis standartas

Jei DI modelis sistemingai ir tokiu greičiu atskleidžia nulinės dienos pažeidžiamumus, logika pasikliauti brandžiais, patikrintais produktais praranda pagrindą. 99 % „Mythos“ aptiktų pažeidžiamumų pranešimo metu nebuvo ištaisyti. Tai sukuria realybę, kurioje bet kokia technologijų krūva yra potencialiai pažeidžiama, o pažeidžiamumas gali būti aptiktas greičiau, nei tiekėjas spės sukurti pataisą.

Pagrindinis pokytis yra prieigos asimetrija. Nors „Mythos“ šiuo metu prieinamas tik privilegijuotiems partneriams, istorija patvirtina, kad šios galimybės bus atkartotos. „Google DeepMind“ projektas „Big Sleep“ ir būsimi „OpenAI“ į kibernetinį saugumą orientuoti modeliai jau matomi horizonte. Saugumo vadovas (CISO) turi kurti gynybą remdamasis prielaida, kad per 12–18 mėnesių šie įrankiai atsidurs sudėtingų grėsmių sukėlėjų rankose.

Architektūrinis atsparumas: už perimetro ribų

Požiūris „sukurk perimetrą ir saugok viską“ nebeatrodo realistiškas. Logika keičiasi į tris pagrindinius principus: darykite prielaidą, kad įsilaužimas jau įvyko, sumažinkite poveikio zoną ir pagreitinkite reagavimą. Šioje aplinkoje tinklo sprendimai, tokie kaip naujos kartos ugniasienės (NGFW), turi evoliucionuoti. Tai nebe tik filtrai; tai fiziniai mikrosegmentuotos architektūros barjerai.

„Zero Trust“ (nulinis pasitikėjimas) iš teorinės geriausios praktikos tampa praktine būtinybe. Kiekviena užklausa turi būti autentifikuota ir autorizuota, nepriklausomai nuo jos kilmės. Pasitikėjimas vidiniu srautu yra lėtesnės eros reliktas. Jei užpuolikas, naudodamas DI įrankį, randa įėjimo tašką – o šioje naujoje ekonomikoje tai yra matematinė būtinybė – svarbu tik tai, kaip toli jis gali judėti horizontaliai („laterally“). Aiškumo dėlei: DMZ nebėra bendro naudojimo zona; ji turi būti vertinama kaip atskira vienutė.

Naujas pataisų valdymo tempas

Tradicinis pataisų diegimo ciklas – dažnai mėnesinis ritmas su rankiniu prioritetų nustatymu – negali išlikti esant DI skatinamam atradimų tempui. Procesas, kai kritinis CVE laukia kito priežiūros lango, yra prabanga, kurios įmonių saugumas nebegali sau leisti.

Būtent tai, ką reikia persvarstyti, yra perėjimas nuo planinio pataisų diegimo prie nuolatinių, neeilinių atnaujinimų. Pasenusiems komponentams, kurių neįmanoma atnaujinti, izoliacija yra privaloma. Esant naujam atradimų greičiui, nesegmentuotos pasenusios sistemos yra atviros durys, kurias kiekvienas DI agentas, turintis prieigą prie išeities kodo, jau žino, kaip išspirti. Organizacijos turi pereiti prie automatizuotų prioriteto nustatymo įrankių, kurie vertina kritiškumą pagal specifinį infrastruktūros kontekstą, o ne pagal abstrakčius CVSS balus.

Saugus kūrimas ir greičio paradoksas

Dabartinėje situacijoje egzistuoja paradoksas: DI gali rasti pažeidžiamumus, bet jis juos ir sukuria. Kūrėjams pradedant naudoti „vibecoding“ – generuojant didžiulius kodo kiekius per DI asistentus – atakų paviršius plečiasi eksponentiškai. Nors DI pagrįsti SAST ir DAST įrankiai CI/CD sraute dabar yra bazinė higiena, jų vienų nepakanka.

Programinės įrangos sudėties analizė (SCA) turi būti vykdoma nuolat. Priklausomybės yra vertingas įėjimo taškas automatizuotoms išnaudojimo grandinėms. Bendroje saugumo vadovo (CISO) ir technologijų vadovo (CTO) darbotvarkėje turi būti griežta DI įrankių naudojimo politika. Supratimas, kas naudoja kokius modelius ir su kokiais duomenimis, dabar yra pagrindinis atakų paviršiaus valdymo komponentas.

Saugumo vadovo (CISO) planas: 12 mėnesių gairės

Norėdami prisitaikyti prie šios aplinkos, vadovai turi pereiti nuo reaktyvios gynybos prie architektūrinio stiprinimo. Tikslas nėra užkirsti kelią visiems įsilaužimams, bet užtikrinti, kad pažeidimas netaptų katastrofa.

1. Segmentavimo auditas: Atlikite vidinį įsilaužimo testą („pentest“), sutelkdami dėmesį tik į horizontalų judėjimą. Jei užpuolikas gali patekti iš pažeistos darbo vietos į jautrią duomenų bazę daugiau nei per du žingsnius neatsidūręs prieš kietą architektūrinį barjerą, tinklą būtina perprojektuoti.
2. Pagreitintas pataisų diegimas: Peržiūrėkite pataisų valdymo ciklą, kad kritinius atnaujinimus būtų galima įdiegti per 24–72 valandas. Nustatykite griežtą terminą pasenusių sistemų išjungimui arba visiškai izoliacijai.
3. DI pagrįsta gynyba: Suformuokite DI integracijos į saugumo operacijų centrą (SOC) gaires. Perėjimas prie DI-SOC ir NDR („Network Detection and Response“) yra vienintelis būdas atitikti DI skatinamų atakų greitį.
4. Tiekimo grandinės kontrolė: Įdiekite privalomą programinės įrangos komponentų sąrašą (SBOM) ir nuolatinį priklausomybių stebėjimą. Pasaulyje, kuriame DI modeliai yra integruoti į kūrimo įrankius, pati įrankių grandinė yra pagrindinis vektorius.
5. Proaktyvi paieška: Nelaukite viešų atskleidimų. Integruokite prieinamus pažangiausius modelius į vidinį pažeidžiamumų valdymą, kad rastumėte ir ištaisytumėte klaidas anksčiau, nei jas aptiks išorės veikėjai.

Išvada

Era, kai pažeidžiamumų tyrimus ribojo žmogaus ekspertiškumo trūkumas, baigėsi. Saugumas dabar priklauso nuo to, kaip protingai suprojektuotas tinklas, kaip greitai reaguojama ir kaip mažai užpuolikas gali padaryti patekęs į vidų. Išgyvenimas „Mythos“ amžiuje reikalauja šalto, pragmatiško suvokimo: perimetro nebėra, o architektūra yra vienintelė likusi gynyba.

Šaltiniai: Anthropic Research (Claude Mythos Technical Report), Bloomberg (Treasury/Fed Meeting Minutes), DeepMind (Project Big Sleep Documentation), Linux Foundation (Glasswing Consortium Briefing).

Atsakomybės apribojimas: Šis straipsnis skirtas tik informaciniams ir švietimo tikslams. Jis nepakeičia profesionalaus kibernetinio saugumo audito, architektūrinės peržiūros ar reagavimo į incidentus paslaugų.