0-Day как норма: о чем CISO нужно переосмыслить в своей стратегии защиты прямо сейчас

Три события апреля 2026 года

В начале апреля 2026 года произошли три события, которые следует рассматривать в совокупности. По отдельности каждое из них — громкий заголовок; вместе они знаменуют переход к принципиально иной модели угроз. 7 апреля компания Anthropic представила Claude Mythos Preview — передовую модель, которая автономно обнаружила тысячи критических уязвимостей нулевого дня во всех основных операционных системах и браузерах всего за несколько недель. Сразу за этим последовал запуск Project Glasswing — закрытого консорциума, включающего AWS, Microsoft и NVIDIA, созданного для вооружения этими оборонительными возможностями до того, как они утекут на широкий рынок. Наконец, 8 апреля Казначейство США и ФРС созвали глав системно значимых банков для обсуждения рисков, которые Mythos представляет для глобальной финансовой стабильности. Когда регуляторы собирают банкиров, а Пентагон вызывает руководителей ИИ-компаний из-за одной языковой модели, индустрия должна признать: базовый уровень безопасности изменился.

Крах ограничения экспертности

Ранее традиционная модель угроз строилась на допущении, что поиск серьезной уязвимости в зрелом продукте требует высококвалифицированного специалиста, тратящего недели или месяцы на ручное исследование. Этот дефицит экспертных знаний служил негласным союзником защитников, создавая естественный ограничитель объема эксплойтов. Mythos разрушил это предположение. Обнаружив 27-летнюю ошибку в OpenBSD при затратах на токены около 20 000 долларов, модель доказала, что исследование уязвимостей больше не ограничено человеческой изобретательностью, а лишь вычислительной мощностью.

Чтобы оценить масштаб этого сдвига, представьте, что предыдущая итерация Anthropic, Opus 4.6, успешно эксплуатировала движок JavaScript в Firefox менее чем в 1% попыток. Mythos Preview добилась успеха в 72%. Она не просто обнаруживает ошибки; она автономно выстраивает их в цепочки. В одном задокументированном случае модель связала четыре отдельные уязвимости браузера, чтобы выйти из песочницы рендерера и обойти защиту на уровне ОС. На практике это означает, что окно между появлением уязвимости и ее промышленной эксплуатацией сокращается до нуля.

0-Day как промышленный стандарт

Если ИИ-модель систематически раскрывает уязвимости нулевого дня с такой скоростью, логика опоры на зрелые, протестированные продукты теряет фундамент. 99% уязвимостей, обнаруженных Mythos, не были исправлены на момент анонса. Это создает реальность, в которой любой стек потенциально уязвим, а уязвимость может быть обнаружена быстрее, чем вендор успеет разработать патч.

Суть сдвига заключается в асимметрии доступа. Хотя Mythos в настоящее время доступен только привилегированным партнерам, история подтверждает, что эти возможности будут воспроизведены. Big Sleep от Google DeepMind и будущие кибер-ориентированные модели от OpenAI уже на горизонте. CISO должен проектировать защиту исходя из предположения, что в течение 12–18 месяцев эти инструменты окажутся в руках изощренных злоумышленников.

Архитектурная устойчивость: выход за пределы периметра

Подход «построй периметр и защищай всё внутри» больше не реалистичен. Логика смещается к трем основополагающим принципам: предполагайте компрометацию, минимизируйте радиус поражения и ускоряйте реагирование. В этой среде сетевые решения, такие как межсетевые экраны нового поколения (NGFW), должны эволюционировать. Они больше не просто фильтры; они являются физическими барьерами микросегментированной архитектуры.

Zero Trust превращается из теоретической лучшей практики в практическую необходимость. Каждый запрос должен быть аутентифицирован и авторизован независимо от его происхождения. Доверие к внутреннему трафику — это реликт более медленной эпохи. Если злоумышленник с ИИ-инструментом находит точку входа — а в этой новой экономике это математическая неизбежность — единственное, что имеет значение, это то, насколько далеко он сможет продвинуться горизонтально. Для ясности: DMZ больше не является общей зоной; ее нужно рассматривать как индивидуальную одиночную камеру.

Новый темп управления патчами

Традиционный цикл установки исправлений — часто ежемесячный ритм с ручной приоритизацией — не может выжить в темпе обнаружения уязвимостей с помощью ИИ. Процесс, при котором критическая CVE ждет следующего окна обслуживания, — это роскошь, которую корпоративная безопасность больше не может себе позволить.

То, что именно необходимо пересмотреть, — это переход от планового патчинга к непрерывным внеплановым обновлениям. Для устаревших компонентов, которые невозможно обновить, изоляция обязательна. При новой скорости обнаружения несегментированные legacy-системы — это открытая дверь, которую любой ИИ-агент с доступом к исходному коду уже знает, как выбить. Организации должны переходить к инструментам автоматизированной приоритизации, которые оценивают критичность на основе конкретного контекста инфраструктуры, а не абстрактных оценок CVSS.

Безопасная разработка и парадокс скорости

В текущем ландшафте существует парадокс: ИИ может находить уязвимости, но он же их и создает. По мере того как разработчики осваивают «вайб-кодинг» (vibecoding) — генерацию огромных объемов кода через ИИ-ассистентов — поверхность атаки расширяется экспоненциально. Хотя SAST и DAST на базе ИИ в конвейере CI/CD теперь являются базовой гигиеной, сами по себе они недостаточны.

Анализ состава программного обеспечения (SCA) должен выполняться непрерывно. Зависимости — это высокоценная точка входа для автоматизированных цепочек эксплойтов. Совместная повестка дня CISO и CTO должна включать жесткую политику использования инструментов ИИ. Понимание того, кто использует какие модели и с какими данными, теперь является основным компонентом управления поверхностью атаки.

План действий CISO: дорожная карта на 12 месяцев

Чтобы адаптироваться к этому ландшафту, руководство должно перейти от реактивной обороны к архитектурному укреплению. Цель состоит не в том, чтобы предотвратить все взломы, а в том, чтобы гарантировать, что компрометация не превратится в катастрофу.

1. Аудит сегментации: Проведите внутренний пентест, сфокусированный исключительно на горизонтальном перемещении. Если злоумышленник может перейти от скомпрометированной рабочей станции к конфиденциальной базе данных более чем за два шага, не встретив жесткого архитектурного барьера, сеть необходимо перепроектировать.
2. Ускоренный патчинг: Пересмотрите цикл управления исправлениями, чтобы обеспечить развертывание критических обновлений в течение 24–72 часов. Установите жесткий дедлайн для вывода из эксплуатации или полной изоляции устаревших систем.
3. Оборона на базе ИИ: Сформулируйте дорожную карту по интеграции ИИ в центр мониторинга безопасности (SOC). Переход к AI-SOC и NDR (Network Detection and Response) — единственный способ соответствовать скорости атак, управляемых ИИ.
4. Контроль цепочки поставок: Внедрите обязательный программный список материалов (SBOM) и непрерывный мониторинг зависимостей. В мире, где ИИ-модели встроены в инструменты разработки, сама цепочка инструментов является основным вектором.
5. Проактивный поиск: Не ждите публичных раскрытий. Интегрируйте доступные передовые модели во внутреннее управление уязвимостями, чтобы находить и исправлять ошибки до того, как их обнаружат внешние акторы.

Заключение

Эпоха, когда исследования уязвимостей были ограничены дефицитом человеческого опыта, закончилась. Безопасность теперь зависит от того, насколько грамотно спроектирована сеть, насколько быстро происходит реагирование и как мало может сделать злоумышленник, оказавшись внутри. Выживание в эпоху Mythos требует холодного прагматичного осознания: периметра больше нет, и архитектура — единственная оставшаяся защита.

Источники: Anthropic Research (Claude Mythos Technical Report), Bloomberg (Treasury/Fed Meeting Minutes), DeepMind (Project Big Sleep Documentation), Linux Foundation (Glasswing Consortium Briefing).

Отказ от ответственности: Данная статья носит исключительно информационный и образовательный характер. Она не заменяет профессиональный аудит кибербезопасности, архитектурный обзор или услуги по реагированию на инциденты.