Статья Verizon DBIR 2026: эксплуатация уязвимостей — вектор номер один и что с этим делать пентестеру

Распечатанная столбчатая диаграмма на кремовой бумаге с данными отчёта Verizon DBIR 2026. Рядом лежат латунное пресс-папье и перьевая ручка, мягкий дневной свет.


На внешнем пентесте в начале 2025 года я получил shell в корпоративной сети через VPN-шлюз с CVE из KEV-каталога CISA. От первого сканирования до доступа - три часа. Никакого фишинга, никаких утёкших паролей. Непатченный edge-device на периметре, стандартный Nuclei-шаблон, рабочий эксплоит. Когда в мае 2026 вышел Verizon DBIR 2026, цифры подтвердили то, что я видел руками: 31% всех утечек данных начинается с эксплуатации уязвимостей - впервые за 19 лет существования отчёта этот вектор обогнал кражу учётных данных. Для пентестера это не абстрактная статистика, а сигнал пересмотреть методологию, приоритеты скоупа и инструментальный стек.

Кража учётных данных vs эксплуатация уязвимостей: статистика DBIR 2026

Verizon DBIR 2026 построен на анализе более 22 000 подтверждённых утечек из 145 стран (общее число инцидентов - свыше 31 000). Картина initial access однозначная: эксплуатация уязвимостей (Exploit Public-Facing Application, T1190 по MITRE ATT&CK, тактика Initial Access) отвечает за 31% инцидентов с компрометацией данных. Годом ранее - 20%. Рост на 55% за один цикл отчёта.

Параллельно кража учётных данных (Valid Accounts, T1078) просела с 22% до 13%. Причины понятны любому практику: MFA-rollout, password managers, identity-aware proxies делают своё дело. Фронтальный вход через украденные пароли стал сложнее. Атакующие не стали этичнее - они сместились на путь наименьшего сопротивления.

Вектор initial accessDBIR 2025DBIR 2026Изменение
Эксплуатация уязвимостей20%31%+55%
Кража учётных данных22%13%-41%
Фишинг / Social Engineering~16%16%Стабильно
Pretexting (новая категория)-6%Выделен отдельно

Pretexting - синхронная социальная инженерия, звонки и переписки с установлением доверия - выделен в отдельную категорию initial access в этом году. Частичное снижение credentials может объясняться этим перераспределением, но тренд на рост эксплуатации уязвимостей устойчивый: он наблюдается три года подряд в датасете DBIR и подтверждается другими отчётами. Mandiant M-Trends 2025 назвал exploits наиболее распространённым initial access вектором в 2024 году с долей 38% - DBIR с годовым лагом фиксирует ту же динамику.

Вывод для пентестера конкретный: если стандартный engagement начинается с брутфорса (Brute Force, T1110) и credential stuffing - вы тестируете вчерашнюю угрозу. Реальный атакующий в 2025 году чаще начинает с vulnerability scanning (T1595.002) по периметру, чем с Hydra по RDP.

Initial access вектор 2026: edge-устройства и attack surface​

1783891033926.webp

Verizon DBIR 2026 называет конкретные классы активов, через которые проходит эксплуатация: веб-приложения, VPN-шлюзы и инфраструктура удалённого доступа (External Remote Services, T1133). Отчёт впервые выделил remote access devices в отдельную категорию "Network" - она подскочила с 1.5% до 5% всех утечек. В абсолюте цифра невелика, но динамика x3.3 за год показывает направление удара.

На каждом втором внешнем пентесте за последний год мои основные находки - edge-устройства. VPN-шлюз с непатченной CVE из KEV - готовый initial access без взаимодействия с пользователем. Сценарий укладывается в два шага ATT&CK: Vulnerability Scanning (T1595.002) для разведки, затем Exploit Public-Facing Application (T1190) для проникновения.

Данные по remediation из DBIR 2026 объясняют, почему этот вектор работает так стабильно:

МетрикаDBIR 2025DBIR 2026Тренд
Медианное время патчинга KEV32 дня43 дняРост
Доля полностью закрытых KEV38%26%Падение
Медианное количество KEV на организацию11/год16/годРост
Статус KEV на 7-й день-60-70% открытыПотолок
Общий объём уязвимостей в датасете68.7M (2022)527M (2025)x7.7 за 3 года

Организации получают больше KEV, закрывают меньший процент и тратят на это больше времени. По данным IBM X-Force Threat Intelligence Index 2025, среднее время от публикации CVE до устранения - 29 месяцев (по всей популяции CVE, включая низкоприоритетные; для критических KEV медиана существенно короче).

Отдельный нюанс: 60-70% KEV остаются открытыми на 7-й день после обнаружения, вне зависимости от зрелости организации и инвестиций. Исследователи Verizon называют это "потенциальным теоретическим потолком процесса remediation". Потолок - не пол. Быстрее чинить по текущей модели не получается. И это окно, через которое мы заходим на каждом втором энгейджменте.

Приоритизация уязвимостей 2026: recency важнее severity​

Одна из самых полезных находок Verizon DBIR 2026 для vulnerability management - анализ вероятности повторной эксплуатации. Результат - decay-кривая:
  • Через 30 дней без зафиксированной эксплуатации вероятность повторного использования CVE падает примерно вдвое
  • Через 90 дней - ещё вдвое
  • Через ~9 месяцев - ещё вдвое
  • Через ~1 год без активности вероятность эксплуатации сопоставима с CVE, которая никогда не эксплуатировалась
Практический вывод: recency of exploitation - более надёжный сигнал приоритизации, чем CVSS score или принадлежность к статическому каталогу. CVE с CVSS 9.8, которую никто не эксплуатировал 14 месяцев, в реальности менее опасна, чем CVE с CVSS 7.5 и зафиксированной активностью на прошлой неделе. watchTowr описывает тот же подход: "recency of real-world exploitation is a stronger prioritization signal than severity scores or static lists""Недавние случаи эксплуатации уязвимостей в реальных условиях являются более сильным сигналом, определяющим приоритетность, чем оценки серьезности или статические списки".

На практике я калибрую скоуп внешнего теста по трём критериям:
  1. CVE из KEV-каталога CISA с активной эксплуатацией за последние 30 дней
  2. CVE, затрагивающие edge-устройства в скоупе (VPN, WAF, file transfer appliance)
  3. CVE с публичным PoC и Nuclei-шаблоном
Этот фильтр сужает тысячи CVE из сканера до десятков - и именно эти десятки дают initial access на реальных энгейджментах. Всё остальное - шум для отчёта, не для эксплуатации.

Third-party как initial access вектор: тренды кибератак 2026

Вторая цифра DBIR 2026, которую пентестеры почему-то пропускают: доля утечек с участием третьей стороны выросла на 60% и достигла 48%. Почти каждая вторая утечка проходит через вендора, поставщика или сервис-провайдера.

По данным отчёта, третья сторона участвует в утечках по трём паттернам:
  1. Уязвимость в продукте вендора - компрометация через CVE в используемом ПО
  2. Вендор хостит данные клиента - компрометация облачного провайдера открывает доступ к вашим данным
  3. Вендор имеет сетевой доступ к среде клиента - подрядчик с VPN-доступом или интеграцией становится точкой входа
Корневые причины по данным DBIR 2026: отсутствие MFA (только 23% третьих сторон полностью устранили проблему с MFA в облачных аккаунтах), неправильная ротация credentials и нарушение least privilege для сервисных аккаунтов. Всё это тестируемые условия - при условии что они в скоупе.

А вот тут проблема. В большинстве стандартных engagement letter эти поверхности явно не перечислены. Стандартный периметр внешнего пентеста заканчивается там, где начинается trust boundary с вендором: OAuth redirect URI, API-ключи сервисных аккаунтов, SSO-конфигурации, webhook-эндпоинты без валидации подписи. Атакующие идут через эти поверхности, потому что там заканчивается доверие и начинается бардак. При планировании engagement в 2026 году интерфейсы пересечения с третьими сторонами должны быть явно включены в scope of work.

При ежегодном пентесте каждая KEV, вышедшая после последнего теста, ни разу не валидировалась. Если последний внешний пентест был 9 месяцев назад - это примерно 12 непроверенных CVE из каталога, который по определению содержит уязвимости с подтверждённой эксплуатацией.

Disclosure - непрерывный процесс. Эксплуатация - непрерывный процесс. Единственное дискретное событие - engagement letter раз в год. Эта модель тестировала угрозы 2018 года, когда credentials были основным вектором и годовой цикл был допустим.

Это не значит что нужно отказаться от ручных тестов. Между ними должна работать автоматизированная валидация периметра на свежие KEV.

Nuclei + KEV: практический стек для vulnerability management на пентесте​

Требования к окружению:
  • ОС: (GNU/Linux)/macOS (Windows через WSL2)
  • Nuclei v3.x+ (Go-бинарь, без внешних зависимостей)
  • curl, jq для скриптования
  • Доступ к интернету для обновления шаблонов
  • Файл targets.txt со списком хостов в скоупе
Минимальный пайплайн - обновление шаблонов и сканирование скоупа по KEV-тегам:
Bash:
# Обновляем шаблоны и сканируем скоуп по KEV-каталогу
nuclei -update-templates
nuclei -t cves/ -tags kev -l targets.txt -o kev_results.txt

# Фильтруем по severity для отчёта
grep -i "critical\|high" kev_results.txt > kev_priority.txt
Для приоритизации по recency - пересечение результатов Nuclei с EPSS (Exploit Prediction Scoring System). EPSS score > 0.1 указывает на повышенную вероятность активной эксплуатации (порог 0.1–0.2 рекомендуется FIRST.org для приоритизации patching):
Bash:
# Извлекаем CVE из результатов, проверяем EPSS
cat kev_results.txt | grep -oP 'CVE-\d{4}-\d+' | sort -u | \
while read cve; do
  epss=$(curl -s "https://api.first.org/data/v1/epss?cve=$cve" | jq -r '.data[0].epss // empty')
  [ -n "$epss" ] && echo "$cve EPSS:$epss"
done | awk -F'EPSS:' '$2 > 0.1'
Этот пайплайн не заменяет ручной пентест. Он закрывает разрыв между ежегодными тестами: периметр клиента проверяется на CVE, которые прямо сейчас эксплуатируются. Запуск еженедельно - по данным Verizon DBIR 2026, на 7-й день 60-70% KEV ещё открыты. Вот и ловите это окно.

Векторы атак 2026: shadow AI и мобильный фишинг​

1783891193218.webp

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Эти данные DBIR 2026 подтверждаются другими vendor threat intelligence отчётами. CrowdStrike Global Threat Report 2025 зафиксировал среднее breakout time - 62 минуты (время от initial access до lateral movement; рекорд - 51 секунда). Окно на реакцию сжимается с обеих сторон: initial access стал быстрее за счёт автоматизации эксплоитов, lateral movement и так измеряется минутами. Тренд на эксплуатацию уязвимостей как ведущий initial access вектор - не аномалия одного отчёта. Это индустриальный консенсус.

Последние полтора года я наблюдаю одну и ту же картину: на внешних тестах vulnerability exploitation даёт результат быстрее любого другого вектора. Данные Verizon DBIR 2026 - не откровение, а статистическое подтверждение того, что практики видят на энгейджментах каждый месяц.

Проблема в другом: индустрия пентеста не перестроилась. Большинство engagement letter написаны под модель "раз в год, неделя работы, 50-страничный PDF".

Сейчас - 16 KEV в год, 43 дня на патч, 26% closure rate. Ежегодный тест гарантированно пропускает десятки окон, через которые проходят реальные атаки. Не потому что пентестер плохо работает, а потому что engagement model не соответствует тактовой частоте угроз.

Моя позиция прямолинейна: если методология пентеста за последний год не изменилась - она отстала. Если между ручными тестами нет автоматизированной валидации - клиент остаётся без покрытия на 90% календарного года. И если в скоупе нет интерфейсов третьих сторон - вы не тестируете 48% реальной attack surface.

Verizon DBIR 2026 - не повод для паники, но повод открыть собственные engagement templates и спросить: они описывают тест, который нужен клиенту сегодня, или тот, который было удобно продавать три года назад?
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab