Китайские хакеры против вашего антивируса. Как (и кто) прошел главную проверку года на кибербезопасность.

MITRE ATT&CK Evaluations кибербезопасность облачная инфраструктура Scattered Spider Mustang Panda вендоры
Китайские хакеры против вашего антивируса. Как (и кто) прошел главную проверку года на кибербезопасность.
MITRE ATT&CK Evaluations кибербезопасность облачная инфраструктура Scattered Spider Mustang Panda вендоры

Как читать отчеты кибербезопасников и не сойти с ума.

image

Одна из самых популярных "контрольных" для вендоров кибербезопасности снова разошлась по презентациям и маркетинговым буклетам: организация MITRE опубликовала результаты программы ATT&CK Evaluations за 2025 год для корпоративных решений защиты.

В этом цикле испытаний участвовали 11 компаний: Acronis, AhnLab, CrowdStrike, Cyberani, Cybereason, Cynet, ESET, Sophos, Trend Micro, WatchGuard и WithSecure. MITRE ATT&CK Evaluations позиционируется как независимая проверка, которая показывает, как коммерческие продукты ведут себя в условиях максимально приближенных к реальным атакам, а не в лабораторных синтетических тестах.

В 2025 году эксперты MITRE смоделировали два сложных сценария. Первый был вдохновлен операциями киберпреступной группы Scattered Spider, второй опирался на тактику китайской государственной группировки Mustang Panda. Сценарий Scattered Spider стал первым случаем, когда в оценке ATT&CK официально проверяли, как продукты справляются с атаками на облачную инфраструктуру, а не только на классические корпоративные сети. Кроме того, впервые отдельно оценивалась способность решений замечать разведывательную активность злоумышленника, когда он только собирает информацию и готовит почву для атаки.

MITRE отмечает, что сама методика тестирования заметно сменила акценты. Внимание сильнее сместили в сторону защиты и сдерживания атак: насколько решение умеет блокировать действия противника и локализовывать угрозы в реальном времени. Оценка возможностях по детектированию тоже осталась, но теперь больше веса отдано "высокофиделити" оповещениям, которые дают понятный контекст аналитикам SOC и снижают утомление от бесконечных, слабо полезных алертов.

Полные результаты ATT&CK Evaluations 2025 опубликованы на сайте MITRE, с подробной разбивкой по техникам, этапам атаки и типам срабатываний. При этом MITRE традиционно подчеркивает, что программа не занимается расстановкой мест и не объявляет победителей. Задача отчета другая: дать организациям прозрачные, основанные на фактах данные, чтобы они сами могли понять, какие решения лучше подходят под их архитектуру, процессы и уровень зрелости.

Как и в прошлые годы, участники не упустили возможности рассказать о своих достижениях. В пресс-релизах и постах в блогах производители осторожно избегают прямых заявлений "мы заняли первое место", но активно выделяют участки, где им удалось показать 100% обнаружения или защиты в отдельных категориях сценариев.

На этом месте полезно вспомнить прошлогодний комментарий аналитика Forrester Элли Меллен. Она предупреждала, что заявления в духе "мы получили 100% в тестах MITRE" стоит воспринимать крайне осторожно. По ее словам, если вендор говорит о стопроцентном результате, часто это означает одно или несколько из следующего: он показывает только те фрагменты отчета, которые ему выгодны, включает в продукт агрессивные настройки, слабо пригодные для реальной эксплуатации, или превращает участие в оценке в маркетинговое соревнование вместо того, чтобы использовать его как возможность честно улучшить продукт.

Дополнительную интригу результатам 2025 года добавляет список отсутствующих. Крупные игроки вроде Microsoft, Palo Alto Networks и SentinelOne в этот раз от участия отказались. Формально они объясняют это тем, что участие в программе MITRE требует слишком много ресурсов и внимания команд, а приоритизировать приходится другие задачи. Для заказчиков это означает, что сравнивать по свежим данным получится далеко не всех ключевых игроков рынка, даже если они продолжают ссылаться на старые циклы ATT&CK Evaluations в своих рекламных материалах.