- В 2026 году количество новых уязвимостей CVE впервые превысит 50 000 и может достигнуть 59 000, а в экстремальных сценариях — до 100 000.
- Организации призваны готовиться к росту количества уязвимостей за счёт стратегического планирования и приоритизации реально критичных рисков для их инфраструктуры.
- Ключевую роль играет участие информационной безопасности с ранних этапов технологических решений и эффективное управление уязвимостями третьих сторон.
Аналитики некоммерческой организации Forum of Incident Response and Security Teams (FIRST) прогнозируют беспрецедентный рост числа новых уязвимостей CVE в 2026 году — впервые их количество превысит рубеж в 50 000. По усреднённому сценарию ожидается появление около 59 тысяч новых CVE, а в худшем случае их может быть от 70 до 100 тысяч. В среднесрочной перспективе тенденция роста сохранится: в 2027 году прогнозируется свыше 51 тысячи, а в 2028-м — более 53 тысяч новых уязвимостей. Согласно верхнему пределу развития событий, к 2028 году количество CVE может достигнуть почти 193 тысяч.
Эксперты FIRST обращают внимание на необходимость стратегического подхода к управлению уязвимостями. Их представитель Эйренн Леверетт отмечает, что организациям жизненно важно оценивать готовность сотрудников и процессов к обработке возросшего объёма данных, а также уделять внимание тем уязвимостям, которые действительно ставят под угрозу безопасность корпоративных данных. Как пример, она приводит аналогию с градостроением, где учитывается рост населения при проектировании инфраструктуры.
Генеральный директор компании Talion Кевин Найт подчёркивает, что масштабные показатели CVE охватывают всё программное обеспечение и платформы по всему миру, поэтому многие из этих уязвимостей могут быть неактуальны для конкретного предприятия. По его мнению, акцент следует делать на потенциальном влиянии уязвимостей именно в своей среде, а не на количестве сводных показателей.
Крайне важным остаётся вовлечение служб информационной безопасности с самых ранних этапов закупок и внедрения новых IT-систем, чтобы избежать появляющихся «слепых зон», которые могут привести к пропуску критически важных уязвимостей. Нейт также обращает внимание на риски, связанные с меньшим контролем над уязвимостями в решениях и сервисах сторонних поставщиков, что увеличивает поверхность атаки и подвергает корпоративные данные угрозам.
В условиях ожидаемого резкого роста числа уведомлений о CVE организациям рекомендуется разрабатывать планы на усреднённый прогноз с учётом возможностей более масштабных сценариев, а также расставлять приоритеты исправления багов исходя из реального влияния уязвимостей на бизнес и безопасность, а не только по техническим баллам CVSS.
Таким образом, прогнозы FIRST служат сигналом для усиления стратегического управления уязвимостями и более тесного взаимодействия бизнес- и IT-подразделений с целью эффективной защиты от потенциальных киберугроз.
