מרדף ה-CVEs חייב להיפסק 

לאחרונה עלה לרשת אתר בשם Zero Day Clock. האתר מציג את השינוי בחלון הזמן מרגע שנחשפת איזושהי חולשה ועד לניצול שלה על ידי תוקפים – בפועל. במונחים מקצועיים זה מכונה Time to Exploit מרגע שיש פרסום פומבי של חולשה, מה שמכונה – Common Vulnerabilities Exposures – CVE.

הנתונים דרמטיים: אם בשנת 2020 זה לקח לתוקפים שנה ורבע להשמיש חולשה, ב-2022 זה לקח 10 חודשים, ב-2024 זה ארך 56 ימים ואילו כעת זה לוקח קצת יותר מיום וחצי. ברור שבזמן הזה לא כל הארגונים מצליחים לחקור את הרשת  – גם אם זה לא חג או סופ"ש. פשוט אין מספיק זמן. פאצ'ינג הוא תהליך שמצריך זמן בדיקות, הדרגתיות, ולפעמים גם הדלקה "חמה" של שרתים ותחנות. ולפי הערכת האתר: הזמנים רק יתקצרו, וכבר במהלך 2026, ייקח לתוקפים שעה להפוך חולשה, לנשק.

"מאזן הכוחות הנוכחי מחייב מעבר ממגננה פסיבית לאסטרטגיית חוסן (Resilience) אקטיבית. במקום מרדף סיזיפי אחרי CVEs, על הארגון לאמץ את תפיסת ה-Assume Breach ולבצר את התשתית מבפנים. ובמקום לחכות לרגע ה-Breach עם אורות אדומים מהבהבים – לגבש אסטרטגיה של מניעה לאיום בלתי ידוע ומזוהה"

האתר מנה גם Zero Days אמיתיים, זאת אומרת אחוז המקרים שבהם יש השמשה של חולשה אירע עוד לפני שיש חשפה פומבית – Pre-CVE – מקרים שבהם הרעים עקפו את הטובים במירוץ. נכון ל-2026 מדובר במספר מפחיד של 67% מכלל ה-CVEs.

וזו רק לא האיכות, זו הכמות – לאחרונה חברה אנת'רופיק למוזילה ויחד הם השתמשו במודל Claude Opus 4.6 כדי למצוא פגיעויות בגרסה הכי עדכנית של פיירפוקס. המודל מצא בקלות 22 חולשות בדפדפן – יותר מכל החולשות שמתגלות במוזילה בחודש "רגיל" ובדרכים מסורתיות. 14 מהחולשות הוגדרו בדרגת חומרה גבוהה. החודש נחשף המודל הבא של אנת'רופיק "שמקדים בהרבה כל מודל AI אחר ביכולת הסייבר שלו"  – מה שעורר חשש לגל תקיפות נוספות.

כולם מבינים לאן כל זה הולך: ה-AI מאפשרת סריקת קוד ומציאת חולשות במהירות אל-אנושית. זהו נשק עוצמתי חדש שהגיע למרחב הסייבר קינטי והוא כרגע זמין למגנים ולתוקפים גם יחד. התוקפים יכולים למצוא יותר חולשות, שהן יותר חמורות ובכל המערכות. כי אם בעבר תוקפים לא טרחו בכלל לחפש חולשות לפיירפוקס, כי בואו, 2% מנפח הגלישה בעולם, ה-AI אומרת: למה בעצם לא?

כבר ב-2021 סברתי, שמירוץ ה-CVEs נידון לכישלון. עוד לפני ה-AI זה היה קשה. היום זה פשוט חסר סיכוי, להקדים את התוקפים בעדכוני תוכנה לאורך כל ה-Stack הטכנולוגי של חברה. לא משנה כמה החבר'ה מה-IT חרוצים ובעניינים. ל-Eve יש אינסוף ג'וקרים בחבילה.

שינוי פרדיגמה

מאזן הכוחות הנוכחי מחייב מעבר ממגננה פסיבית לאסטרטגיית חוסן (Resilience) אקטיבית. במקום מרדף סיזיפי אחרי CVEs, על הארגון לאמץ את תפיסת ה-Assume Breach ולבצר את התשתית מבפנים. ובמקום לחכות לרגע ה-Breach עם אורות אדומים מהבהבים – לגבש אסטרטגיה של מניעה לאיום בלתי ידוע ומזוהה.

איך עושים את זה? יש לצאת מתוך הנחה, ש"הצלחה" של התוקף היא לא בחדירה אלא בגישה למשאבים קריטיים, ולנסות למנוע זאת: צריך לזהות קונפיגורציות רופפות ברשת שמאפשרות גישה למשאבים יקרי ערך בארגון. יש לוודא סגמנטציה של הרשת כדי שהתוקף לא יוכל לנוע רוחבית בארגון, גם אם הוא השיג תחנה אחת.

בנוסף, כדאי לצמצם למינימום את ההרשאות, בהתאם לזהויות ולצרכים האמיתיים של המשתמשים. יש לדרוש MFA מול כל משאב ואל מול משאבים רגישים במיוחד (נניח תשלום לספקים) – לאכוף גישת Four Eyes – מנגנון שגורס שפעולה לא יכולה להתבצע רק על ידי אדם אחד אלא מחייבת אישור או נוכחות של אדם שני. פרקטיקה זו תגן על כל המערך במקרה של דליפת חשבון אדמין. לבסוף, את כל המערך הזה חובה לבדוק בבדיקות חדירות תקופתיות ואף רציפות – דבר שאפשרי היום הודות ל-AI.

הכותב הוא הוא מייסד משותף ו-CTO של חברת אבטחת הסייבר Zero Networks.