Обнаружение уязвимостей ИИ опережает сроки развертывания исправлений

Проблема скорости в безопасности на основе ИИ

Специалист по безопасности, связанный с экосистемой Mythos, выражает обеспокоенность по поводу задержки развертывания между обнаруженными ИИ уязвимостями и примененными патчами. Основной аргумент: даже если инструменты ИИ, такие как Mythos, могут находить и исправлять уязвимости с беспрецедентной скоростью, последующий конвейер развертывания не успевает за ними.

Ключевые моменты обсуждения

• Больше уязвимостей впереди: Утверждается, что модели ИИ, такие как Mythos, находят уязвимости более эффективно, и с нарастающим импульсом будет обнаружено гораздо больше.
• Цепочки эксплойтов меняют правила игры: Значительная возможность заключается не только в обнаружении уязвимостей, но и в их последовательном объединении для создания сложных цепочек эксплойтов.
• Дисбаланс между обнаружением и исправлением: Автор сомневается, что Mythos может предоставлять исправления так же эффективно, как находит уязвимости, предсказывая, что он будет «НАХОДИТЬ больше, чем может ИСПРАВИТЬ».
• Узкие места развертывания: Даже при мгновенных исправлениях патчи сталкиваются с задержками в принятии вышестоящими проектами, тестировании, процессах утверждения и последующей упаковке.

Данные о сроках развертывания

Источник предоставляет сгенерированные ИИ временные рамки для критической уязвимости:

• Исправление вышестоящим проектом: 24–48 часов после подтверждения основной командой проекта
• Упаковка нижестоящими дистрибутивами: 12–48 часов для основных дистрибутивов (Ubuntu LTS, RHEL, Debian Stable) на обратный порт и тестирование
• Доступность для пользователя: 2–5 дней с момента первоначального публичного раскрытия

Реальная статистика установки патчей

На примере Log4j:

• 10-й день: Организации установили патчи только на 45% уязвимых облачных ресурсов
• Среднее время устранения: 17 дней для обнаруженных и отслеживаемых систем
• Приоритетное исправление: Системы, обращенные вовне, в среднем 12 дней; внутренние системы отставали
• Через год: 72% организаций все еще имели хотя бы один уязвимый экземпляр Log4j
• Долгосрочная перспектива: Совет по обзору кибербезопасности (CSRB) Министерства внутренней безопасности США предсказал, что полное устранение Log4j из глобальной цепочки поставок программного обеспечения займет десятилетие или больше

Основная проблема

Проблема со временем сохраняется, даже если бы скорость обнаружения и исправления была равной (чего не будет). Вся последующая система — от вышестоящих проектов до развертывания конечным пользователем — не может двигаться со скоростью, необходимой для устранения уязвимостей, обнаруженных ИИ, до их эксплуатации. Это создает стресс у разработчиков и вынужденные переходы в аварийный режим, которые поглощают время и ресурсы.