Какие киберуроки мы вынесли из 2025 года?

Взломы компаний случаются не первый год, так что же изменилось в 2025-м?

Злоумышленники стали действовать жестче в части ущерба и перестали торопиться, как было в 2022 году — тогда среднее время реализации кибератаки составляло порядка недели до наступления последствий. Сейчас они действуют осторожнее — стараются лучше понять взломанную компанию и определить, как нанести ей максимальный урон. Мы видим хорошую подготовку злоумышленников на этапах киберразведки — они заранее собирают по крупицам все досье: какие подрядчики работают с компанией, какой софт используется внутри, какая у компании сфера деятельности и где ее самые болезненные места, ударив в которые получится вывести ее из режима операционной работы. Например, если компания имеет розничные точки продаж, то уничтожение единой системы управления товарными позициями заставит эти точки продаж временно закрыться, а если компания транспортная, то вывод из строя системы контроля транспорта приостановит перевозки. Ключевое в тренде взломов 2025 года — не просто громко заявлять о кибератаках и оказывать психологическое давление на людей, а наносить реальный ущерб экономике страны.

При этом ежегодно мы видим усложнение кибератак, поиск новых путей проникновения в инфраструктуру жертвы, использование ИИ злоумышленниками, смещение акцентов векторов кибератак. Например, сразу после обнаружения уязвимости CVE-2025-55182 (затрагивает десятки тысяч компаний, использующих компонент React в своих приложениях) все ринулись использовать LLM для написания эксплойта, и в итоге уже на следующий день начались массовые кибератаки с применением этой уязвимости. Другой пример — участившиеся атаки через подрядчиков и цепочки поставок. В этом году этот тренд стал одним из ключевых, хотя еще несколько лет назад таких атак были единицы. Хакеры осознали, что нужно учитывать не только мгновенный ущерб во время кибератаки, но и время восстановления, и чем оно больше — тем лучше для них. Поэтому целью стали не только ключевые системы, но и резервные копии этих систем, которые можно уничтожить или внедрить в них вредоносное ПО для повторного шифрования. Кто бы мог подумать, что ленточные бэкапы с возможностью отключения их от сети вновь станут очень популярными объектами кибератак? В целом кибератаки стали тщательнее планироваться, жестче проводиться, а весь мир, включая злоумышленников, применяет LLM, — это все задает определенные вызовы для вендоров ИБ.

В ответ на эти сгущающиеся тучи количество организаций, стремящихся к повышению киберустойчивости, растет, а компании сегмента SMB/SME (те самые, которые думали, что до них хакеры не доберутся) все чаще организуют у себя подразделение информационной безопасности.

Как защититься в это смутное время?

В 2025 году мы наблюдали изменения и со стороны защитников — служб информационной безопасности. Рост осознанности, что их компания может стать очередной жертвой, переход от бумажной безопасности к практической, снятие продуктов кибербезопасности с полок и попытки использовать их потенциал на полную мощность… Но несмотря на все усилия, спать спокойно может позволить себе далеко не каждый директор по ИБ.

Поэтому идеальная компания для безопасника — та, у которой нет доступа в интернет. И будь воля этого безопасника, то он бы заблокировал все, что можно заблокировать (например, запретил бы использовать флешки на рабочем компьютере, открывать документы с макросами, присланные от неизвестных отправителей, загружать внутренние документы на облачные ресурсы). Но современные реалии диктуют другие подходы, а цифровые сервисы являются двигателем бизнеса, поэтому вместо повсеместных блокировок на помощь приходит мониторинг как способ контроля за состоянием защищенности.

Важно понимать, что кибербезопасность имеет две точки опоры:

• Проактивная защита инфраструктуры. Это базовые средства защиты сети, хостов, веб-приложений и пользователей (это NGFW, антивирус, web application firewall и комплексная защита почты соответственно) и продукты информационной безопасности классов vulnerability management и host & network compliance control (дают ответ на вопрос «а можно ли меня взломать быстро через уязвимости, слабые пароли и неправильные конфигурации, „плоскую“ сетевую ИТ-инфраструктуру?»).
• Мониторинг ИТ-инфраструктуры для оперативного выявления угроз и своевременного реагирования на них — security operations center (SOC) c технологиями SIEM, EDR, NTA «под капотом».

Технологии защиты, мониторинга, аудита ИТ-инфраструктуры существуют много лет, но компании продолжают взламывать — скажете вы. И будете правы: основная проблема заключается в непонимании того, что является объектом защиты (что такое недопустимое событие для компании и как можно не допустить его реализации), и в недостатке квалифицированных кадров, которые могут эффективно работать с продуктами информационной безопасности.

Козырь в схватке хакеров и защитников

Единственный путь, способный кардинально изменить подход к обеспечению кибербезопасности, — создание технологий, позволяющих компенсировать недостаток квалифицированных кадров, и заместить сложные процессы информационной безопасности на понятные инструкции и шаги. Находясь на острие кибератак, специалисты ведущих ИБ-вендоров, хорошо понимают, что главным козырем в схватке хакеров и защитников станет искусственный интеллект. Да, не закатывайте глаза, снова ИИ всех спасет. Вокруг данной темы существует много маркетингового хайпа у большинства разработчиков софта, в том числе ИБ, но, на наш взгляд, единственным критерием результативности использования ИИ являются подтвержденные референсы предотвращения кибератак в компаниях за счет его использования.

В наших подходах к написанию правил и сигнатур для детектирования хакеров мы комбинируем опыт лучших специалистов в области исследования киберугроз с возможностями искусственного интеллекта. Например, продукт MaxPatrol SIEM обладает одной из лучших в мире базой правил детектирования действий хакеров, а модуль MaxPatrol BAD, основанный на ML-моделях, позволяет выявлять аномалии, которые не обнаруживаются правилами и сигнатурами, на потоке в сотни тысяч событий в секунду. Наша единая консоль оператора связывает сетевые признаки кибератак с хостовыми в едином окне, за счет чего оператор SOC выявляет цепочку кибератаки целиком. Но по-настоящему сложная задача — проведение полного расследования инцидентов под ключ. Для ее решения необходимо применение целой цепочки AI/ML-моделей, начиная от самых простых, продолжая нейронными сетями и заканчивая большими языковыми моделями. Такой конвейер может позволить себе не каждый заказчик ввиду дороговизны оборудования и сложности в найме AI-команды для реализации потенциала таких моделей. Поэтому мы строим собственное защищенное облако, которое позволяет компаниям, использующим наши SOC-продукты — PT NAD, MaxPatrol SIEM, MaxPatrol EDR — получать решение задачи мониторинга из облака. Это дополнительная обработка, скоринг, расследование инцидента с помощью выстроенного AI-конвейера и обвязки вокруг него для обработки, хранения и передачи результата на понятном языке и с итоговым вердиктом по инциденту в единую консоль на стороне клиента. Главное отличие нашего подхода — измеримость результата. Мы оцениваем сонаправленность вердиктов AI-конвейера по инцидентам в сравнении с результатами работы топовых аналитиков SOC команды Positive Technologies. При этом измеримость результатов нужна и нам самим, чтобы понимать динамику развития AI-конвейера и оценивать, насколько эффективны прорывные технологии.

По нашим прогнозам, 2026 год станет рубиконом в части применения AI-технологий в кибербезе и те, кто смогут показать измеримый и подтвержденный результат с помощью них, будут лидерами рынка.