На внешнем пентесте в начале 2025 года я получил shell в корпоративной сети через VPN-шлюз с CVE из KEV-каталога CISA. От первого сканирования до доступа - три часа. Никакого фишинга, никаких утёкших паролей. Непатченный edge-device на периметре, стандартный Nuclei-шаблон, рабочий эксплоит. Когда в мае 2026 вышел Verizon DBIR 2026, цифры подтвердили то, что я видел руками: 31% всех утечек данных начинается с эксплуатации уязвимостей - впервые за 19 лет существования отчёта этот вектор обогнал кражу учётных данных. Для пентестера это не абстрактная статистика, а сигнал пересмотреть методологию, приоритеты скоупа и инструментальный стек.
Кража учётных данных vs эксплуатация уязвимостей: статистика DBIR 2026
Verizon DBIR 2026 построен на анализе более 22 000 подтверждённых утечек из 145 стран (общее число инцидентов - свыше 31 000). Картина initial access однозначная: эксплуатация уязвимостей (Exploit Public-Facing Application, T1190 по MITRE ATT&CK, тактика Initial Access) отвечает за 31% инцидентов с компрометацией данных. Годом ранее - 20%. Рост на 55% за один цикл отчёта.Параллельно кража учётных данных (Valid Accounts, T1078) просела с 22% до 13%. Причины понятны любому практику: MFA-rollout, password managers, identity-aware proxies делают своё дело. Фронтальный вход через украденные пароли стал сложнее. Атакующие не стали этичнее - они сместились на путь наименьшего сопротивления.
| Вектор initial access | DBIR 2025 | DBIR 2026 | Изменение |
|---|---|---|---|
| Эксплуатация уязвимостей | 20% | 31% | +55% |
| Кража учётных данных | 22% | 13% | -41% |
| Фишинг / Social Engineering | ~16% | 16% | Стабильно |
| Pretexting (новая категория) | - | 6% | Выделен отдельно |
Pretexting - синхронная социальная инженерия, звонки и переписки с установлением доверия - выделен в отдельную категорию initial access в этом году. Частичное снижение credentials может объясняться этим перераспределением, но тренд на рост эксплуатации уязвимостей устойчивый: он наблюдается три года подряд в датасете DBIR и подтверждается другими отчётами. Mandiant M-Trends 2025 назвал exploits наиболее распространённым initial access вектором в 2024 году с долей 38% - DBIR с годовым лагом фиксирует ту же динамику.
Вывод для пентестера конкретный: если стандартный engagement начинается с брутфорса (Brute Force, T1110) и credential stuffing - вы тестируете вчерашнюю угрозу. Реальный атакующий в 2025 году чаще начинает с vulnerability scanning (T1595.002) по периметру, чем с Hydra по RDP.
Initial access вектор 2026: edge-устройства и attack surface
Verizon DBIR 2026 называет конкретные классы активов, через которые проходит эксплуатация: веб-приложения, VPN-шлюзы и инфраструктура удалённого доступа (External Remote Services, T1133). Отчёт впервые выделил remote access devices в отдельную категорию "Network" - она подскочила с 1.5% до 5% всех утечек. В абсолюте цифра невелика, но динамика x3.3 за год показывает направление удара.
На каждом втором внешнем пентесте за последний год мои основные находки - edge-устройства. VPN-шлюз с непатченной CVE из KEV - готовый initial access без взаимодействия с пользователем. Сценарий укладывается в два шага ATT&CK: Vulnerability Scanning (T1595.002) для разведки, затем Exploit Public-Facing Application (T1190) для проникновения.
Данные по remediation из DBIR 2026 объясняют, почему этот вектор работает так стабильно:
| Метрика | DBIR 2025 | DBIR 2026 | Тренд |
|---|---|---|---|
| Медианное время патчинга KEV | 32 дня | 43 дня | Рост |
| Доля полностью закрытых KEV | 38% | 26% | Падение |
| Медианное количество KEV на организацию | 11/год | 16/год | Рост |
| Статус KEV на 7-й день | - | 60-70% открыты | Потолок |
| Общий объём уязвимостей в датасете | 68.7M (2022) | 527M (2025) | x7.7 за 3 года |
Организации получают больше KEV, закрывают меньший процент и тратят на это больше времени. По данным IBM X-Force Threat Intelligence Index 2025, среднее время от публикации CVE до устранения - 29 месяцев (по всей популяции CVE, включая низкоприоритетные; для критических KEV медиана существенно короче).
Отдельный нюанс: 60-70% KEV остаются открытыми на 7-й день после обнаружения, вне зависимости от зрелости организации и инвестиций. Исследователи Verizon называют это "потенциальным теоретическим потолком процесса remediation". Потолок - не пол. Быстрее чинить по текущей модели не получается. И это окно, через которое мы заходим на каждом втором энгейджменте.
Приоритизация уязвимостей 2026: recency важнее severity
Одна из самых полезных находок Verizon DBIR 2026 для vulnerability management - анализ вероятности повторной эксплуатации. Результат - decay-кривая:- Через 30 дней без зафиксированной эксплуатации вероятность повторного использования CVE падает примерно вдвое
- Через 90 дней - ещё вдвое
- Через ~9 месяцев - ещё вдвое
- Через ~1 год без активности вероятность эксплуатации сопоставима с CVE, которая никогда не эксплуатировалась
На практике я калибрую скоуп внешнего теста по трём критериям:
- CVE из KEV-каталога CISA с активной эксплуатацией за последние 30 дней
- CVE, затрагивающие edge-устройства в скоупе (VPN, WAF, file transfer appliance)
- CVE с публичным PoC и Nuclei-шаблоном
Third-party как initial access вектор: тренды кибератак 2026
Вторая цифра DBIR 2026, которую пентестеры почему-то пропускают: доля утечек с участием третьей стороны выросла на 60% и достигла 48%. Почти каждая вторая утечка проходит через вендора, поставщика или сервис-провайдера.По данным отчёта, третья сторона участвует в утечках по трём паттернам:
- Уязвимость в продукте вендора - компрометация через CVE в используемом ПО
- Вендор хостит данные клиента - компрометация облачного провайдера открывает доступ к вашим данным
- Вендор имеет сетевой доступ к среде клиента - подрядчик с VPN-доступом или интеграцией становится точкой входа
А вот тут проблема. В большинстве стандартных engagement letter эти поверхности явно не перечислены. Стандартный периметр внешнего пентеста заканчивается там, где начинается trust boundary с вендором: OAuth redirect URI, API-ключи сервисных аккаунтов, SSO-конфигурации, webhook-эндпоинты без валидации подписи. Атакующие идут через эти поверхности, потому что там заканчивается доверие и начинается бардак. При планировании engagement в 2026 году интерфейсы пересечения с третьими сторонами должны быть явно включены в scope of work.
При ежегодном пентесте каждая KEV, вышедшая после последнего теста, ни разу не валидировалась. Если последний внешний пентест был 9 месяцев назад - это примерно 12 непроверенных CVE из каталога, который по определению содержит уязвимости с подтверждённой эксплуатацией.
Disclosure - непрерывный процесс. Эксплуатация - непрерывный процесс. Единственное дискретное событие - engagement letter раз в год. Эта модель тестировала угрозы 2018 года, когда credentials были основным вектором и годовой цикл был допустим.
Это не значит что нужно отказаться от ручных тестов. Между ними должна работать автоматизированная валидация периметра на свежие KEV.
Nuclei + KEV: практический стек для vulnerability management на пентесте
Требования к окружению:- ОС: (GNU/Linux)/macOS (Windows через WSL2)
- Nuclei v3.x+ (Go-бинарь, без внешних зависимостей)
- curl, jq для скриптования
- Доступ к интернету для обновления шаблонов
- Файл
targets.txtсо списком хостов в скоупе
Bash:
# Обновляем шаблоны и сканируем скоуп по KEV-каталогу
nuclei -update-templates
nuclei -t cves/ -tags kev -l targets.txt -o kev_results.txt
# Фильтруем по severity для отчёта
grep -i "critical\|high" kev_results.txt > kev_priority.txt
Bash:
# Извлекаем CVE из результатов, проверяем EPSS
cat kev_results.txt | grep -oP 'CVE-\d{4}-\d+' | sort -u | \
while read cve; do
epss=$(curl -s "https://api.first.org/data/v1/epss?cve=$cve" | jq -r '.data[0].epss // empty')
[ -n "$epss" ] && echo "$cve EPSS:$epss"
done | awk -F'EPSS:' '$2 > 0.1'
Векторы атак 2026: shadow AI и мобильный фишинг
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Эти данные DBIR 2026 подтверждаются другими vendor threat intelligence отчётами. CrowdStrike Global Threat Report 2025 зафиксировал среднее breakout time - 62 минуты (время от initial access до lateral movement; рекорд - 51 секунда). Окно на реакцию сжимается с обеих сторон: initial access стал быстрее за счёт автоматизации эксплоитов, lateral movement и так измеряется минутами. Тренд на эксплуатацию уязвимостей как ведущий initial access вектор - не аномалия одного отчёта. Это индустриальный консенсус.
Последние полтора года я наблюдаю одну и ту же картину: на внешних тестах vulnerability exploitation даёт результат быстрее любого другого вектора. Данные Verizon DBIR 2026 - не откровение, а статистическое подтверждение того, что практики видят на энгейджментах каждый месяц.
Проблема в другом: индустрия пентеста не перестроилась. Большинство engagement letter написаны под модель "раз в год, неделя работы, 50-страничный PDF".
Сейчас - 16 KEV в год, 43 дня на патч, 26% closure rate. Ежегодный тест гарантированно пропускает десятки окон, через которые проходят реальные атаки. Не потому что пентестер плохо работает, а потому что engagement model не соответствует тактовой частоте угроз.
Моя позиция прямолинейна: если методология пентеста за последний год не изменилась - она отстала. Если между ручными тестами нет автоматизированной валидации - клиент остаётся без покрытия на 90% календарного года. И если в скоупе нет интерфейсов третьих сторон - вы не тестируете 48% реальной attack surface.
Verizon DBIR 2026 - не повод для паники, но повод открыть собственные engagement templates и спросить: они описывают тест, который нужен клиенту сегодня, или тот, который было удобно продавать три года назад?
Последнее редактирование модератором: