Новые киберугрозы и методы защиты: взгляд в будущее

Введение

Киберпространство стало полем битвы, где ставки растут с каждым днём. В 2025 году число успешных атак превысило показатели предыдущего года на 6%, а по сравнению с 2023-м — на 11% Positive Technologies1. Злоумышленники больше не довольствуются простыми схемами — они вооружаются искусственным интеллектом, проникают через доверенных партнёров и выстраивают целые индустрии киберпреступности. Защитники тоже не стоят на месте: автоматизация, проактивный поиск угроз и принципиально новые архитектуры безопасности меняют правила игры. Вопрос не в том, атакуют ли вас, а в том, насколько быстро вы сможете обнаружить и нейтрализовать угрозу.

Новый ландшафт угроз: чего нам ждать

Если раньше большинство атак было похоже на граффити на стене — неприятно, но не смертельно, то сегодня киберпреступники стали настоящими диверсантами. По данным экспертов, в 15% случаев целью атаки на крупные и средние компании было не получение выкупа, а преднамеренное разрушение инфраструктуры Forbes.ru2. Представьте: кто-то специально ломает ваш бизнес не ради денег, а просто чтобы вы не работали.

Геополитическая ситуация добавляет масла в огонь. В условиях конфликта кибератаки продолжат расти как за счёт увеличения числа атакующих группировок, так и за счёт усложнения самих методов. Границы между хактивистами, организованной преступностью и государственными акторами размываются — часто понять, кто именно вас атакует, становится невозможно.

Искусственный интеллект как оружие: новая эра кибератак

ИИ перестал быть просто помощником — он стал полноценным инструментом в руках злоумышленников. В 2025 году специалисты обнаружили первые образцы вредоносного ПО, созданные с помощью нейросетей Habr3. Вирусы PromptLock и LAMEHUG — это не просто код, написанный программистом. Это самообучающиеся угрозы, которые меняют своё поведение в зависимости от среды, в которой оказываются.

Фишинговые письма, созданные с помощью больших языковых моделей, стали неотличимы от настоящих деловых сообщений. Грамматика безупречна, тон убедителен, детали выверены. Добавьте сюда технологии клонирования голоса — и получается, что злоумышленник может позвонить вашему финансовому директору от имени генерального, причём голос будет абсолютно идентичным Mastercard4.

Тревожная статистика. 60-70% всех фишинговых атак в 2025 году проводились через платформы Phishing-as-a-Service (PhaaS) Positive Technologies1. Это означает, что для организации масштабной атаки больше не нужны глубокие технические знания — достаточно арендовать готовый набор инструментов. Инструменты вроде Tycoon 2FA и EvilProxy научились обходить даже многофакторную аутентификацию, перехватывая сессионные токены в реальном времени.

Особенно опасен феномен Shadow AI — несанкционированное использование искусственного интеллекта внутри организаций. Сотрудники загружают конфиденциальные данные в публичные ChatGPT-подобные сервисы, не подозревая, что эта информация может быть использована для обучения моделей или украдена через уязвимости в самих ИИ-платформах. Это как оставить ключи от сейфа на стойке регистрации отеля — вроде бы удобно, но крайне рискованно.

Атаки через цепочки поставок: ваши партнёры — ваши слабые места

Современный бизнес построен на доверии и взаимодействии. ИТ-подрядчики, облачные провайдеры, системы электронного документооборота — всё это звенья единой цепи. И злоумышленники это прекрасно понимают. В 2025 году эксперты зафиксировали почти 100 атак на российских ИТ-подрядчиков Habr3. Взламывая небольшую компанию-подрядчика, хакеры получают доступ к десяткам или даже сотням клиентов этого подрядчика.

Это как эффект домино: падает одна костяшка — и рушится вся конструкция. Показательный пример — атака на Jaguar Land Rover привела к каскадным сбоям у сотен партнёров и подрядчиков Habr3. Производство остановилось, финансовые потери исчислялись значительной долей годового оборота.

Границы риска больше не совпадают с границами вашей компании. ИТ-службе необходимо знать не только состояние собственного периметра — наличие непропатченных уязвимостей, забытых теневых активов, скомпрометированных учётных записей — но и быть уверенной в защищённости экосистемы партнёров, подрядчиков и аутсорсеров Forbes.ru

«С управленческой точки зрения это означает, что границы риска больше не совпадают с границами компании. Необходимо контролировать безопасность всей экосистемы доверенных партнёров.»

Фишинг эволюционирует: от писем к сложным социальным сценариям

Забудьте о тех топорных письмах от «нигерийских принцев», которые все привыкли высмеивать. Современный фишинг — это высокотехнологичная индустрия с разделением ролей, подписной моделью обслуживания и техподдержкой для «клиентов». PhaaS-платформы предоставляют готовые шаблоны, инфраструктуру для доставки, инструменты обхода защиты и даже аналитику по эффективности кампаний.

Появились новые методы вроде ClickFix и FileFix, которые используют манипуляцию пользователями для запуска вредоносного кода Positive Technologies. Вместо того чтобы полагаться на уязвимости в ПО, злоумышленники эксплуатируют уязвимости в человеческой психологии. «Для просмотра документа нажмите Ctrl+V и Enter» — и пользователь сам запускает вредоносный скрипт из буфера обмена.

QR-фишинг набирает обороты: злоумышленники размещают поддельные QR-коды в общественных местах, на парковках, в ресторанах. Человек сканирует код, думая, что открывает меню или оплачивает парковку, а попадает на фишинговую страницу, которая крадёт данные банковских карт.

Особенно тревожит рост использования SVG-вложений в фишинговых письмах — к 2025 году их доля выросла до 4,9% Positive Technologies1. SVG-файлы могут содержать встроенный JavaScript, который многие почтовые фильтры не распознают как опасность.

Методы защиты будущего: как перехватить инициативу

Хорошая новость: арсенал защитников тоже расширяется. Переход от реактивной модели безопасности (реагировать на инциденты по факту) к проактивной (предотвращать атаки до их реализации) становится стандартом индустрии. Компании внедряют архитектуры, где каждое соединение проверяется заново, автоматизация берёт на себя рутину, а искусственный интеллект работает в режиме 24/7, выявляя аномалии раньше, чем они превратятся в инциденты.

Zero Trust: никому не доверяй, всегда проверяй

Представьте, что ваша корпоративная сеть — это не крепость с толстыми стенами и рвом, а аэропорт с множеством зон безопасности. Каждый раз, когда вы переходите из одной зоны в другую, вас проверяют заново, независимо от того, что вы уже прошли проверку раньше. Это и есть суть архитектуры Zero Trust — «нулевого доверия».

В отличие от традиционных моделей, где пользователь, попавший во внутреннюю сеть, получает широкий доступ к ресурсам, Zero Trust предполагает отказ от доверия к любому пользователю или устройству, независимо от их расположения SecurityMedia5. Каждое соединение проверяется с учётом контекста: откуда пользователь подключается, какое устройство использует, в какое время суток, к каким данным пытается получить доступ.

Практические преимущества Zero Trust. Zero Trust позволяет компаниям безопасно развиваться в условиях удалённой работы и гибридных облачных инфраструктур Kaspersky Daily6. Становится возможным:

• Безопасное использование SaaS-сервисов
• Политика BYOD (принеси своё устройство)
• Экономически эффективные сетевые решения
• Непрерывная адаптивная защита с проверкой каждого соединения

Краеугольным камнем Zero Trust является развитая система управления идентификацией (IAM). Это не просто база данных с логинами и паролями — это динамическая система, которая постоянно отслеживает, кто вы, где вы, что вы делаете и имеете ли вы право это делать. Внедрение требует не только технических решений, но и тесного взаимодействия HR, IT и бизнес-подразделений для поддержания актуальности данных о сотрудниках Kaspersky Daily6.

Переход к Zero Trust — это не технический проект на квартал, а стратегическая трансформация, требующая административной и политической поддержки руководства. Начинать стоит с небольших шагов: внедрить многофакторную аутентификацию для привилегированных учётных записей, настроить условный доступ к критически важным системам, провести аудит сети и приложений. Попытки «большого взрыва», когда компания пытается за раз перестроить всю инфраструктуру, обычно заканчиваются провалом.

Автоматизация реагирования: SOAR и SIEM как ваши цифровые стражи

Человеческий фактор остаётся слабым звеном — не потому что люди плохи, а потому что их физически не хватает, чтобы обработать современный поток угроз. По данным исследований, около 50% компаний даже не проводят обучение сотрудников по основам кибербезопасности Positive Technologies1. Но даже обученный персонал не справится с тысячами событий безопасности в день.

Именно здесь на помощь приходят системы SIEM (Security Information and Event Management) и SOAR (Security Orchestration, Automation and Response). SIEM собирает и анализирует логи со всех систем компании, выявляя аномалии и подозрительные паттерны. SOAR идёт дальше — автоматизирует рутинные задачи реагирования на инциденты Habr7.

Когда система обнаруживает подозрительную активность, SOAR может автоматически:

• Заблокировать вредоносные IP-адреса
• Изолировать зараженные системы от сети
• Ограничить права скомпрометированных учётных записей
• Запустить дополнительное сканирование на наличие следов атаки
• Создать тикет для специалиста с полным контекстом инцидента

Всё это происходит в течение секунд, а не часов или дней. Когда специалист по безопасности приходит на работу утром, большая часть «шума» уже обработана, и он может сосредоточиться на действительно сложных и нестандартных угрозах.

Интеграция с потоками Threat Intelligence (данных об известных угрозах) делает эти системы ещё эффективнее. Если где-то в мире обнаружена новая кампания с определёнными индикаторами компрометации, ваша SOAR-система автоматически начнёт искать эти индикаторы в вашей инфраструктуре и превентивно заблокирует их Habr7.

ИИ на службе защиты: когда машина бьётся с машиной

Если злоумышленники используют искусственный интеллект для атак, логично применять его и для защиты. Началась настоящая гонка вооружений, где алгоритмы машинного обучения работают круглосуточно, анализируя петабайты данных в поисках аномалий.

ИИ способен обнаруживать паттерны, которые человек никогда не заметит. Например, незначительное изменение в поведении пользователя — чуть другое время входа в систему, обращение к необычным для него файлам, изменение скорости набора на клавиатуре — может сигнализировать о том, что учётной записью завладел злоумышленник Mastercard4.

Компании внедряют решения для постоянного сканирования новых и эволюционирующих киберугроз. Системы безопасности развиваются в более сложные, многослойные инструменты, ориентированные на предотвращение атак, а не просто реагирование на них. Это как переход от пожарной команды к системе автоматического пожаротушения — лучше не допустить возгорания, чем героически его тушить.

Эффективность ИИ в цифрах. Компании, внедрившие ИИ-решения для кибербезопасности, сообщают о сокращении времени обнаружения угроз с недель до минут. Автоматизированные системы обрабатывают тысячи потенциальных угроз одновременно, что физически невозможно для человеческой команды.

Критически важен и феномен межотраслевого сотрудничества. Mastercard, Deutsche Telekom и GSMA объединили усилия для обмена информацией об угрозах и борьбы с ними с разных сторон Mastercard4. Ни одна сеть не обладает достаточным объёмом данных в одиночку, но вместе они создают мощный защитный щит, который видит полный цикл мошеннических операций.

Что делать прямо сейчас: практический чеклист для вашей компании

Теория — это прекрасно, но бизнесу нужны конкретные действия. Вот что можно начать внедрять уже сегодня, не дожидаясь, пока киберпреступники постучат в вашу дверь.

1. Инвестируйте в обучение персонала

Половина компаний не проводит обучение по кибербезопасности — это как отправлять солдат в бой без оружия. Организуйте регулярные тренинги, проводите симуляции фишинговых атак, учите сотрудников распознавать социальную инженерию. Человек, который понимает риски, — ваша первая линия защиты.

2. Внедрите многофакторную аутентификацию везде, где возможно

Начните с привилегированных учётных записей — администраторов, финансистов, топ-менеджеров. Используйте устойчивые к фишингу методы MFA: аппаратные токены, биометрию, push-уведомления. SMS-коды легко перехватываются, это лучше, чем ничего, но не панацея.

3. Проведите аудит цепочек поставок

Составьте список всех ИТ-подрядчиков, облачных провайдеров и сервисов, с которыми работает ваша компания. Для критически важных партнёров запросите информацию об их уровне кибербезопасности, наличии сертификатов, проведённых аудитах. Включите требования по безопасности в контракты с подрядчиками Forbes.ru2.

4. Начните с Threat Hunting

Не ждите, пока системы мониторинга что-то обнаружат — активно ищите угрозы. Инициативный поиск угроз (Threat Hunting) позволяет выявлять признаки компрометации, которые не триггерят автоматические алерты. Это может быть незначительное изменение в конфигурации, необычный сетевой трафик в нерабочее время, подозрительные процессы на серверах.

5. Автоматизируйте управление патчами

Время эксплуатации уязвимостей (Time to Exploit) сокращается — злоумышленники действуют быстрее, чем компании успевают закрыть бреши. Автоматизируйте процесс установки обновлений безопасности для критических систем. Да, это может вызвать краткосрочные неудобства, но они несопоставимы с последствиями успешной атаки.

6. Рассмотрите страхование киберрисков

Даже самая сильная защита не даёт стопроцентной гарантии. Полис киберстрахования может покрыть расходы на расследование инцидента, восстановление данных, юридическую поддержку и компенсацию репутационного ущерба. Это не замена защиты, а дополнительная страховочная сеть Forbes.ru2.

7. Проводите киберучения

Симулируйте реальные атаки в контролируемых условиях. Как ваша команда отреагирует на ransomware? Кто принимает решения? Кто связывается с клиентами, регуляторами, СМИ? Проигранное на киберполигоне лучше, чем паника в реальном инциденте.

Важно помнить. Кибербезопасность — это не одноразовый проект, а непрерывный процесс. Угрозы эволюционируют, методы защиты тоже должны развиваться. Выделяйте бюджет не только на закупку решений, но и на их постоянную поддержку, обновление и обучение команды.

Взгляд в будущее: к чему готовиться в 2026 году и далее

Тренды, о которых мы говорили, будут только усиливаться. Искусственный интеллект станет неотъемлемой частью как атакующих, так и защитных технологий. Вероятно, мы столкнёмся с полностью автономными ИИ-атаками, когда нейросеть самостоятельно выбирает цель, изучает её инфраструктуру, подбирает метод проникновения и эксплуатирует уязвимости — всё без участия человека Forbes.ru2.

Атаки на цепочки поставок останутся главным вектором, потому что они доказали свою эффективность. Компании будут вынуждены внедрять принцип «нулевого доверия» не только внутри своей инфраструктуры, но и в отношениях с партнёрами Anti-Malware.ru8.

Системы безопасности будут развиваться в сторону превентивности и проактивности. Будет расти внимание к архитектурной киберустойчивости, принципам конструктивной защищённости (Secure by Design) и непрерывному анализу API-трафика. Биометрическая и поведенческая аутентификация станут стандартом, а пароли — уходящей эпохой.

Самое главное — кибербезопасность перестаёт быть чисто технической задачей для ИТ-отдела. Это стратегический вопрос выживания бизнеса, требующий внимания советов директоров, инвестиций в обучение и культуру безопасности, межотраслевого сотрудничества и государственного регулирования.

Вперёд — к защищённому будущему. Начните с малого, но начните сегодня. Проведите аудит текущего уровня защищённости, обучите команду базовым принципам, внедрите многофакторную аутентификацию для ключевых учётных записей. Каждый шаг к безопасности — это инвестиция в устойчивость вашего бизнеса. И помните: в кибервойне побеждает не тот, у кого самые высокие стены, а тот, кто быстрее всех адаптируется к меняющимся угрозам.