Külön vizsgált, együtt veszélyes
A gyakorlatban a sérülékenységeket sokszor egyesével értékelik, holott a támadók össze tudják kapcsolni azokat. A cégek riasztási és jelzőrendszerei ma is általában így működnek: minden CVE-t önálló eseményként kezelnek. A CVSS-rendszer pontosan erre lett tervezve, viszont a támadók ennél jóval összetettebben dolgoznak. Ennek köszönhetően a láncolt sérülékenységek könnyen átcsúsznak a szűrőkön, és a fontosabb hibák közé már nem férnek be, amíg nem történik nagyobb baj.
A következő generációs fenyegetések gyorsasága
Az elmúlt évben 42%-kal nőtt a nulladik napi, azaz még nem javított sérülékenységek sikeres kihasználásának száma. A támadók átlagosan 29 perc alatt törnek be, de volt példa mindössze 27 másodperces áttörésre is. Ennek oka, hogy a javítások kiadásától számítva kínai érdekeltségű hekkerek már 2–6 nap alatt fegyverré tudják alakítani az új hibaleírásokat. Ma már nem elég a havonta érkező Patch Tuesday javítások tempója, hiszen a veszélyek minden nap, minden órában jelentkeznek.
Évekig őrzött rések és elmaradt javítások
Vannak sérülékenységek, amelyeket állami hátterű hekkerek akár évekig is őriznek, mielőtt kihasználják azokat. Amerikai politikusok levelezéséhez például két Cisco-hibát kapcsoltak össze – noha a hibajavítás több mint egy éve elérhető volt, nem telepítették. 2025-ben a kínai érdekeltségű betörések 67%-a olyan hibák kihasználásával történt, amelyek azonnali hozzáférést adtak az egész rendszerhez. A CVSS sem a hibák korát, sem azt nem jelzi, hogy mennyire régóta van felhasználatlanul javítás.
Az emberi tényező sebezhetősége
Nem minden sérülékenység technikai: 2023-ban egy telefonos ügyfélszolgálati csalás több mint 36 milliárd forint veszteséget okozott egy nagyvállalatnak. Nem volt rá szabványos CVE-azonosító, sem pontszám, sem javítófolyamat. A hibát az okozta, hogy nem ellenőrizték kellően a hívó kilétét. Ráadásul egyre több mesterséges intelligencián alapuló rendszer saját belépési azonosítókat, API-tokeneket és jogosultságokat kezel, amelyek kívül esnek a hagyományos hibakezelési rendszereken. Ezáltal az ilyen „emberi” rések szabályozatlan területek maradnak.
Az MI ugrásszerűen növeli a sebezhetőségek számát
Az Anthropic MI-je önállóan, emberi beavatkozás nélkül kutatta fel a hibákat, például az OpenBSD TCP SACK alrendszerében, alig 1000 tesztfutás alatt. Ha a fejlődő mesterséges intelligencia tízszeresére növeli a hibák volumenét, akkor éves szinten 480 000 új sérülékenység is jelentkezhet – miközben csak 48 000 kezelésére épültek ki jelenleg a biztonsági csatornák. Ez egyszerűen összeomláshoz vezethet.
Ennek köszönhetően több nagy cég – köztük a CrowdStrike, az Accenture, az EY, az IBM, a Kroll és az OpenAI – összefogott, hogy kezelni tudják az MI által generált hibaözönt. Egyetlen szervezet önmagában képtelen lépést tartani a mesterséges intelligencia tempójával.
Öt lépés a kibervédelem megerősítésére
Védekezésül első lépésként minden szervezetnek teljes körű függőségi vizsgálatot kell végeznie valamennyi fontos CVE esetében, különösen, ha azok kombinálhatók. Az azonosítás során minden olyan párost, ahol hitelesítés megkerülése után jogosultságemelés is lehetséges, azonnal kritikusnak kell tekinteni, függetlenül az egyedi pontszámoktól.
Másodszor, az internet felé nyitott rendszereknél a javítási határidőket három napra kell csökkenteni, mivel a támadók szinte azonnal támadásba lendülnek.
Harmadik lépésként minden hónapban jelenteni kell a vezetésnek, ha van javítatlan kritikus rés, megjelölve, mióta ismert, és ki felelős érte.
Negyedszer, az ügyfélszolgálati és MI-hez köthető azonosítási réseknek is ugyanabba a jelentési rendszerbe kell kerülniük, mint a szoftverhibáknak.
Ötödik ajánlásként a hibakezelő rendszerek terhelhetőségét legalább másfélszeres, de inkább tízszeres volumenre kell tesztelni, és a hiányosságokat előre a pénzügyi vezetés elé kell vinni.
Következtetés
Mindezt figyelembe véve csak rendszerszintű, gyors és összetett védekezés adhat választ a mai és jövőbeli hálózati veszélyekre. Az MI új időszámítást indít a kibervédelemben – a kérdés: tudják-e tartani a tempót a védők?
