IRCNF

Verizon 2026 DBIR: برای نخستین بار، نفوذ از طریق نرمافزار وصلهنشده از رمزهای سرقت شده پیشی گرفت

Verizon
اشتراک‌گذاری:
Verizon 2026 DBIR: برای نخستین بار، نفوذ از طریق نرمافزار وصلهنشده از رمزهای سرقت شده پیشی گرفت

ورایزن این هفته گزارش 2026 خود را منتشر کرد. یافته اصلی آن تیمهای امنیتی را متوقف میکند: برای اولین بار در 19 سال تاریخ این گزارش، بهرهبرداری از آسیبپذیریها از رمزهای سرقت شده به عنوان بردار اصلی دسترسی اولیه پیشی گرفته است. نرمافزار وصلهنشده اکنون رایجترین راه ورود مهاجمان است. شکاف بین توانایی مهاجمان در بهرهبرداری از آسیبپذیریهای شناخته شده و توانایی سازمانها در وصله آنها در حال افزایش است.

اعدادی که تغییر را تعریف میکنند

بهرهبرداری از آسیبپذیریها 31 درصد از تمام نفوذهای تأیید شده در DBIR 2026 را تشکیل میدهد که نسبت به 20 درصد سال قبل افزایش یافته است. رمزهای سرقت شده که بیش از یک دهه در صدر فهرست بودند، اکنون پشت آن قرار دارند. این نوسان آماری نیست – جهش 11 درصدی سال به سال در یک مجموعه داده با این مقیاس نشاندهنده یک تغییر ساختاری واقعی در رفتار مهاجمان است.

دادههای وصله علت را روشن میکند. میانگین زمان وصله از 32 روز به 43 روز افزایش یافته است – سازمانها زمان بیشتری برای رفع نقصهای شناخته شده صرف میکنند. آسیبزاتر این که تنها 26 درصد از آسیبپذیریهای حیاتی در کاتالوگ KEV سازمان CISA در سال 2025 بهطور کامل رفع شدند، در حالی که سال قبل 38 درصد بود. کاتالوگ KEV دقیقاً برای علامت دادن به سازمانها درباره آسیبپذیریهایی که به طور فعال سلاحسازی میشوند وجود دارد. نرخ 74 درصدی عدم رفع برای آن کاتالوگ یک مشکل وصله نیست. یک بحران است.

AI پنجره بهرهبرداری را فشرده میکند

DBIR نقش AI در این تغییر را با عبارات مشخص مستند میکند. بازیگران تهدید از AI برای تسریع بهرهبرداری از آسیبپذیریهای شناخته شده استفاده میکنند و پنجره بین افشای عمومی و بهرهبرداری فعال را از ماهها به ساعتها کاهش میدهند. ابزارهای مبتنی بر AI آسیبپذیریهایی را در نرمافزارهای تولیدی شناسایی میکنند که محققان انسانی پیشتر از دست داده بودند. میانگین بازیگر تهدید در مجموعه داده DBIR از کمک AI در 15 تکنیک حمله مجزا استفاده کرده است؛ برخی از آنها در 40 تا 50 تکنیک.

این فشردهسازی جدول زمانی بهرهبرداری، اعداد تأخیر وصله را حتی پراهمیتتر میکند. زمانی که پنجره بین افشا و بهرهبرداری فعال هفتهها یا ماهها بود، میانگین زمان وصله 43 روز دردناک اما برای بسیاری از سازمانها قابل تحمل بود. اما اکنون که آن پنجره با ساعت اندازهگیری میشود، 43 روز به معنای تقریباً قطعی بودن قرار گرفتن در معرض هر آسیبپذیری شناخته شده و وصلهنشده در زیرساختهای متصل به اینترنت است.

سه برابر شدن Shadow AI

یکی از نگرانکنندهترین یافتههای DBIR 2026 به مهاجمان خارجی مربوط نمیشود. استفاده کارمندان از Shadow AI تأییدنشده در دستگاههای شرکتی در یک سال سه برابر شده است و از 15 درصد به 45 درصد کارمندان رسیده است. رایجترین نوع دادهای که به این پلتفرمهای AI غیرمجاز ارسال میشود؟ کد منبع – که از طریق حسابهای شخصی و بدون هیچ نظارت سازمانی، کنترلهای طبقهبندی داده و ثبت وقایع وارد شده است.

DBIR در مورد پیامد صریح است: از نظر نشت داده، ارسال کد منبع اختصاصی به حساب شخصی ChatGPT یا Gemini از طریق یک افزونه مرورگر غیرمجاز، تأثیری مشابه خروج داده دارد. کد از کنترل سازمان خارج شده است. این که نیت مخرب بوده یا نه، برای نشت داده بیاهمیت است. بیش از 15 درصد از کاربران شرکتی افزونههای مرورگر AI غیرمجاز نصب کردهاند – افزونههایی که مخصوصاً برای ضبط متن مرورگر به عنوان ورودی مدل، از جمله سیستمهای داخلی و دادههای غیرعمومی طراحی شدهاند.

ریسک شخص ثالث به ریسک نفوذ تبدیل شده است

DBIR همچنین افزایش قابل توجهی در نفوذهایی که از طریق فروشندگان شخص ثالث و زنجیره تأمین آغاز میشوند مستند میکند. مهاجمان دریافتهاند که هدف قرار دادن مستقیم شرکتها با دفاع قوی اغلب سختتر از هدف قرار دادن فروشندگان، پیمانکاران و ارائهدهندگان نرمافزاری است که آن شرکتها به آنها اعتماد دارند. دادههای 2026 نشان میدهد که این استراتژی با نرخ فزایندهای نتیجه میدهد و نفوذهای آغاز شده توسط شخص ثالث به بخش قابل توجهی از مجموعه داده نفوذهای تأیید شده تبدیل شده است، نه یک نگرانی حاشیهای.

سمت دفاع

ارزیابی DBIR از AI در دفاع محتاطانهتر است. در حالی که ابزارهای AI برای تشخیص تهدید، تریاژ خودکار و اسکن آسیبپذیری به کار گرفته شدهاند، گزارش اشاره میکند که «AI اقتصاد حمله را تغییر میدهد، اما هنوز نمیتوان همین را برای دفاع گفت». اتوماسیون حمله از اتوماسیون دفاع جلوتر است. ابزارهایی که به مدافعان کمک میکنند سریعتر هشدارها را پردازش کنند، به مهاجمان نیز کمک میکنند هشدارهای بیشتری تولید کنند. اثر خالص در این مرحله از پذیرش به نفع حمله است.

تیمهای امنیتی چه باید از این بگیرند

تغییر از سرقت رمز به بهرهبرداری از آسیبپذیری به عنوان بردار اصلی، پیامدهای مستقیمی برای اولویتبندی دفاعی دارد. سازمانهایی که به شدت روی مدیریت هویت و دسترسی تمرکز کردهاند – احراز هویت چندعاملی، خطمشیهای رمز عبور، نظارت بر رمز – سرمایهگذاری خود را هدر ندادهاند، اما ممکن است نسبت به محیط تهدید فعلی در مدیریت آسیبپذیری کم سرمایهگذاری کرده باشند. کاهش میانگین زمان وصله، بهبود پوشش رفع آسیبپذیریهای KEV سازمان CISA و ایجاد کنترلهایی برای استفاده از AI توسط کارمندان، سه حوزهای هستند که دادههای DBIR 2026 به وضوح به شکافهای قابل اقدام اشاره میکند.

یافته Shadow AI نیاز به فوریت خاصی دارد. سه برابر شدن استفاده غیرمجاز از AI در یک سال روندی نیست که تنها با بیانیههای خطمشی پاسخ دهد. سازمانهایی که هنوز کنترلهای فنی – فهرست سفید افزونههای مرورگر، قوانین پیشگیری از نشت داده برای دامنههای پلتفرم AI، نظارت بر استفاده سازمانی از AI – را پیادهسازی نکردهاند، به احتمال زیاد در حال تجربه نشت دادهای هستند که DBIR توصیف میکند، چه بدانند چه ندانند.

cybersecurityVerizon DBIRdata breachesvulnerability managementshadow AIunpatched softwareCISA KEV

Originally reported by Verizon. Read the original article for additional details.

View original source
اشتراک‌گذاری: