По данным Positive Technologies (а я этим данным привык доверять, потому что сам с ними пересекался по работе), Россия в прошлом году вошла в тройку стран-лидеров по количеству кибератак. С кем мы соседствуем? С США и Китаем. Компания, как говорится, подобралась та еще. Вдумайтесь просто в цифры: 123 киберпреступные группировки, которые активно работают на пространстве СНГ, и 57 из них целенаправленно атакуют именно российские компании. Это почти половина. То есть стреляют конкретно по нам.
И цели у них вполне конкретные — промышленность, госучреждения, банки.
Почти 50% всех атак приходится именно на эти сектора. И это не просто «кто-то там стучится в firewall». Это реальные попытки либо украсть деньги, либо разрушить инфраструктуру, либо просто насолить по политическим мотивам.
Честно говоря, когда я начинал работать в информационной безопасности лет 15 назад, всё было проще. Пришел вирус — поставил сигнатуру, вылечил. Сейчас же это похоже на игру в шахматы с гроссмейстером, который каждый раз меняет правила прямо во время партии.
Кто на нас нападает: от фанатиков до профессионалов
APT-группировки: тихая охота
Если говорить о реальной угрозе номер один — это, без сомнения, APT-группировки (Advanced Persistent Threat). Это не школьники-хулиганы, которые взламывают сайты ради прикола. Это серьезные структуры, часто с государственным финансированием, с четкой иерархией, планированием и бюджетами.
В нашей практике мы регулярчески сталкиваемся с такими ребятами как Rare Werewolf (редкий случай, когда название говорящее — действуют действительно как оборотни, днем тихо, ночью разносят инфраструктуру). Или Lifting Zmiy — эти специализируются на промышленном шпионаже, вытаскивают чертежи, технологические процессы. PhantomCore вообще ребята без комплексов — могут месяц сидеть тихо, просто собирать информацию, а потом одним ударом положить всю сеть.
Что любопытно: раньше считалось, что APT — это что-то далекое, американское про китайцев или наоборот. Сейчас же наши локальные группы работают ничуть не хуже. Silent Crow, TA558, Goffee — это всё реальность российского рынка.
Хактивисты: 19% атак и политический подтекст
Отдельная история — хактивисты. На их долю приходится около 19% атак, и это не просто вандалы. Часто за ними стоят вполне конкретные политические мотивы. Они не всегда хотят украсть деньги — им важнее нашуметь, опубликовать переписку, испортить репутацию.
По моему опыту, с хактивистами работать даже сложнее, чем с профессиональными группировками. Почему? Потому что у них высокая мотивация и им не жалко своих ресурсов. Они готовы ломаться годами, лишь бы добиться цели. А когда человек готов умереть, но сделать дело — это страшная сила, даже если технически он слабее.
Как они проникают: точка входа есть всегда
Фишинг — старая песня о главном
Знаете, что меня больше всего бесит в современной безопасности? Мы уже 20 лет учим сотрудников не кликать по подозрительным ссылкам, а они всё равно кликают. И в 2026 году фишинг остался основным вектором атаки. Просто теперь письма выглядят настолько идеально, что отличить подделку от оригинала почти невозможно.
Вот вам реальный случай из практики. Приходит финансовому директору крупного завода письмо от «ФНС» — требование предоставить документы за последние три года по новой форме. Бланк, печати, подпись — всё один в один. Даже ссылка ведет на сайт, который копирует налоговую с точностью до пикселя. Только вместо документов начали уходить деньги. И знаете что? Директор не виноват — письмо было составлено идеально, с учетом всех бюрократических тонкостей, которых хакеры нахватались где-то внутри системы.
Уязвимости в публичных приложениях
Второй по популярности путь — дыры в веб-приложениях. У вас есть сайт, личный кабинет клиента, CRM, доступная из интернета? Поздравляю, у вас есть потенциальная точка входа. Эксплуатация уязвимостей (по классификации MITRE это T1190) — это хлеб с маслом для любой APT-группировки.
При этом, что характерно, большинство проблем — это старые-добрые SQL-инъекции, межсайтовый скриптинг и небезопасные прямые ссылки на объекты. Никакого rocket science. Просто программисты спешат, менеджеры торопят, тестирование делают «для галочки» — и вуаля, дыра готова.
Искусственный интеллект на службе у зла
Это, пожалуй, самая страшная история 2026 года. Раньше, чтобы написать вредонос, нужно было быть программистом. Теперь ChatGPT или любой его аналог напишет код за минуту. И этот код будет обфусцирован, замаскирован и готов к бою.
Я сам экспериментировал: попросил нейросеть написать простой скрипт для сбора паролей с объяснением, что это «для учебных целей». Через 30 секунд получил рабочий код, который еще и сам зашифровался, чтобы антивирус не заметил. А теперь представьте, что таких запросов делают тысячи, а потом эти скрипты кастомизируют под конкретную цель.
Использование ИИ для генерации фишинговых писем вообще вывело мошенничество на новый уровень. Письма пишутся без ошибок, с учетом культурных особенностей, с правильными оборотами, которые используются именно в вашей компании. Как этому противостоять? Честно скажу: пока не очень понятно.
Маскировка и обфускация: невидимки в сети
Современные вредоносы — это вам не «трояны» 2000-х, которые писались на коленке. Сейчас это сложные программные комплексы, которые:
- Маскируются под легитимные файлы (svchost.exe, explorer.exe — классика, но работает)
- Проверяют среду выполнения (если видят, что запущены в песочнице или виртуалке — просто спят и не проявляют активность)
- Используют легитимные инструменты администрирования (PowerShell, WMI, планировщик задач) — так называемый Living off the Land
- Шифруют свой код и расшифровывают только в памяти
При этом автозагрузка через реестр или планировщик задач — это уже настолько стандартный прием, что даже обсуждать скучно. Но работает же, черт возьми!
Скомпрометированные учетные данные
Знаете, что самое обидное в нашей работе? Когда приходишь на объект, начинаешь разбираться, а там... пароль от всего — «Qwerty123». Или «P@ssw0rd». Или, что еще хуже, один и тот же пароль на всех сервисах уже 10 лет.
Утечки баз данных происходят постоянно. Ваши сотрудники регистрируются на левых сайтах, используют корпоративную почту, ставят те же пароли — и всё, привет. Через полгода эти базы сливают, и у злоумышленников уже есть готовые связки логин-пароль для входа во всё, что можно.
Мониторинг скомпрометированных учетных данных — это то, что мы сейчас рекомендуем всем клиентам как базовую гигиену. Просто проверять, не светятся ли корпоративные адреса в публичных сливах. Казалось бы, элементарно, но сколько компаний этого не делают...
Последствия: когда прилетает по-настоящему
Утечки данных
Это, пожалуй, самое частое последствие. Утекли паспорта клиентов, коммерческие предложения, стратегия развития на 5 лет, переписка с ключевыми партнерами. Последствия? Во-первых, репутационные потери. Во-вторых, штрафы от регуляторов (152-ФЗ никто не отменял). В-третьих, конкурентное преимущество потеряно — ваши планы теперь у всех.
По моему опыту, компании готовы простить финансовые потери, но утечка данных — это удар по самолюбию собственников. Особенно когда это становится публичным.
Вывод инфраструктуры из строя
Это страшнее денег. Представьте завод, который остановился. Простаивают станки, люди получают зарплату просто так, контракты срываются, неустойки летят со всех сторон. А виновата какая-то мелкая программа, которая заблокировала АСУ ТП.
В 2026 году атаки на промышленные предприятия — это не фантастика, а реальность. Причем злоумышленники часто даже не требуют выкуп. Им просто нужно, чтобы вы не работали. Политический заказ, конкурентная борьба — причины могут быть разными, а результат один: многомиллионные убытки.
Майнинг криптовалюты
Казалось бы, мелочь. Ну подзаряжает кто-то свои кошельки на ваших серверах. Но если посчитать электроэнергию, износ оборудования и снижение производительности — набегают приличные суммы.
Один мой знакомый админ жаловался: «Сервера тормозят, ничего не пойму». А оказалось, у них полгода работал майнер, который использовал 70% мощностей дата-центра. И никто не замечал, потому что системные администраторы просто не смотрели в ту сторону.
Промышленный шпионаж
Это тихая угроза. Вас могут не ломать, не требовать выкуп, не публиковать данные. Просто аккуратно вытаскивать чертежи, технологические карты, рецептуры, списки поставщиков. И вы об этом никогда не узнаете.
Через год ваш конкурент выпускает точно такой же продукт, но дешевле. И вы не понимаете — как? А он просто знает все ваши издержки, всех ваших поставщиков и все технологические секреты.
Как защищаться: техника, организация и процессы
Технические меры: от сигнатур к поведению
Знаете, чем отличается хороший специалист от плохого? Плохой ставит антивирус и успокаивается. Хороший понимает, что антивирус — это вчерашний день.
Проактивный анализ угроз (threat hunting) — это когда вы не ждете, пока что-то случится, а сами ищете потенциальные проблемы. Это как врач, который не лечит симптомы, а проводит диспансеризацию, чтобы предотвратить болезнь. В нашей практике мы регулярно находим заражения, о которых никто не подозревал, просто потому что начали копать глубже.
Реалистичное тестирование (red teaming, penetration testing) — это не просто «сканирование портов и отчет на 200 страниц». Это попытка реально взломать вас, используя все доступные методы: социальную инженерию, физическое проникновение, технические уязвимости. И только когда вы увидите, как «хакер» заходит в кабинет генерального и забирает сейф, потому что охрана его пропустила по поддельному пропуску — только тогда вы поймете, где реальные дыры.
Обнаружение обфускации и маскировки (behavioral analysis, EDR/XDR) — вот это то, что реально работает против современных угроз. Вредонос может маскироваться под что угодно, но его поведение всегда выдает. Он начинает стучаться в странные IP, открывать нестандартные порты, копировать файлы в необычное время. EDR-системы это видят и бьют тревогу. Если у вас до сих пор нет EDR — вы просто не представляете, сколько всего происходит у вас в сети каждую минуту.
Контроль автозагрузки и командной строки — звучит скучно, но это база. Большинство вредоносов запускаются именно через эти механизмы. Если настроить мониторинг PowerShell и планировщика задач, половина проблем отвалится сама собой.
Мониторинг скомпрометированных учетных данных — я уже говорил, но повторюсь. Это просто и дешево, а спасает от огромного количества проблем.
Организационные меры: люди — главная проблема
Обучение команд по распознаванию фишинга и ИИ-генерируемых угроз
Вот смотрите. Мы проводим тренинги для сотрудников. Рассказываем, показываем примеры, устраиваем тестовые рассылки. И всё равно процент кликов по фишинговым ссылкам остается примерно одинаковым. Что делать?
По моему опыту, работает только одно — постоянное, регулярное, навязчивое напоминание. Не раз в год, а каждый месяц. С конкретными примерами, с разбором реальных случаев из вашей же компании. И обязательно с обратной связью — чтобы сотрудник знал: если он сомневается, он может позвонить в ИБ и спросить, и ему за это ничего не будет.
Сегментация сети для промышленных и критических объектов
Это боль. Промышленные сети (АСУ ТП, SCADA) часто проектировались тогда, про кибербезопасность вообще не думали. Станки подключены к той же сети, что и бухгалтерия. И любой вирус с компьютера секретарши теоретически может остановить производство.
Разделение сетей, воздушные зазоры (air gap), шлюзы с односторонней передачей данных — это дорого, но это единственный способ защитить промышленное оборудование. Если у вас завод — не экономьте на этом.
Процессные меры: как не проспать угрозу
Регулярный аудит публичных приложений на уязвимости
Ваш сайт, ваш личный кабинет, ваши API должны проверяться постоянно. Не раз в год перед отчетом, а хотя бы раз в квартал, а лучше — непрерывно в режиме DAST/IAST. Уязвимости появляются с каждым обновлением кода, и если не проверять — рано или поздно что-то проскочит.
Интеграция ИИ в обнаружение (но с умом)
Да, злоумышленники используют ИИ. Но и мы можем. Современные SIEM и XDR системы уже вовсю применяют машинное обучение для выявления аномалий. Другой вопрос, что надо понимать: ИИ — это инструмент, а не панацея. Он может давать ложные срабатывания, может пропускать новые атаки, если они не похожи на известные шаблоны.
Стандарты и фреймворки: на что опереться
NIST Cybersecurity Framework
Американский стандарт, но структура настолько логичная, что грех не использовать. Identify, Protect, Detect, Respond, Recover — пять простых шагов, которые покрывают всё. Мы часто строим стратегию защиты именно вокруг NIST CSF, потому что это понятно и бизнесу, и техническим специалистам.
MITRE ATT&CK
Это библия любого специалиста по кибербезопасности. Там расписаны все тактики и техники злоумышленников. Когда вы видите атаку, вы можете найти ее в MITRE и понять: ага, они использовали T1566 (фишинг), потом T1190 (эксплуатация публичных приложений), потом T1059 (запуск через PowerShell). Это позволяет системно подходить к защите и не пропускать целые классы угроз.
OWASP
Для веб-приложений это святое. Top 10 уязвимостей — то, с чем сталкиваются 90% сайтов. Если ваш разработчик не знает OWASP — гоните его, он опасен.
CIS Controls
Практические рекомендации, расписанные по приоритетам. Control 1 — инвентаризация оборудования (нельзя защитить то, чего вы не знаете). Control 13 — защита данных. Просто, понятно, работает.
ISO/IEC 27001
Это уже про процессы и менеджмент. Если вы хотите сертифицироваться, показывать клиентам, что серьезно относитесь к безопасности — без ISO никуда. Annex A.12 как раз про безопасность операционной деятельности, включая защиту от вредоносного кода.
Отраслевые практики: как делают профессионалы
SOC с поведенческим анализом
Security Operations Center — это не просто «комната с мониторами». Это центр компетенций, который 24/7 мониторит вашу инфраструктуру. Поведенческий анализ позволяет видеть то, что не видят сигнатурные методы.
По данным Positive Technologies, внедрение поведенческого анализа повышает обнаруживаемость сложных атак на 70-80%. Цифры, конечно, средние, но тренд понятен.
Blue team practices для endpoint detection
Синяя команда (защитники) должна не просто сидеть и ждать, а постоянно улучшать процессы. Эндпоинт-детекшн — это когда каждый компьютер, каждый сервер постоянно светится в мониторинге. Любое подозрительное действие — сразу сигнал.
Threat intelligence sharing в СНГ
Обмен информацией об угрозах — это то, чего нам очень не хватает. В Европе есть CERT-координация, общие базы индикаторов компрометации. У нас это только начинает развиваться. Но даже существующие неформальные сообщества позволяют узнавать о новых атаках на день-два раньше, чем они доберутся до вас.
Типовые ошибки: на чем прогорают
Игнорирование поведенческого анализа в пользу сигнатур
Это классика. Ставим антивирус Касперского (хороший, кстати, антивирус) и думаем, что защищены. А антивирус видит только то, что уже известно. Новые модификации, обфусцированные поделки ИИ — для них сигнатур просто нет. Итог — успешный обход, утечка данных, остановка производства.
Отсутствие проактивного анализа
«У нас ничего не происходит, мы спокойны». Знакомо? А когда начинаешь копать — выясняется, что полгода работает майнер, или данные потихоньку утекают в Китай, или кто-то по ночам сканирует сеть. Проактивный анализ — это не роскошь, а необходимость.
Недооценка ИИ в атаках
«Ну что нам сделает какой-то ChatGPT?» Сделает. Уже делает. Фишинговые письма, которые невозможно отличить от настоящих. Вредоносы, которые пишутся за минуты под конкретную цель. Социальная инженерия с использованием синтеза голоса и видео. Если вы не учитываете это в своей модели угроз — вы проиграли еще до начала игры.
Отсутствие мониторинга скомпрометированных учеток
Утек пароль где-то на стороннем ресурсе. Злоумышленники пробуют его везде. А вы не знаете и даже не проверяете. Потом удивляетесь — откуда они зашли?
Слабый аудит публичных приложений
Сделали сайт, запустили, забыли. А там дыра, через которую можно получить доступ ко всей внутренней сети. Эксплуатация уязвимостей публичных приложений — это основной вектор входа для APT. Просто потому что это проще, чем слать фишинг и ждать, пока кто-то кликнет.
10 правил кибербезопасности 2026 (коротко и с примерами)
- Проводите охоту на угрозы каждый месяц. Пример: выделите один день, когда ваша команда ИБ не занимается текучкой, а просто ищет аномалии в логах.
- Тестируйте защиту реальными атаками. Пример: наймите внешнюю команду, которая попробует проникнуть к вам любыми способами, включая социальную инженерию.
- Внедрите EDR на все endpoints. Пример: выберите решение (CrowdStrike, SentinelOne, отечественные аналоги) и поставьте на все серверы и рабочие станции.
- Контролируйте PowerShell и командную строку. Пример: настройте логирование всех запусков и анализируйте подозрительные конструкции.
- Мониторьте утечки паролей. Пример: подпишитесь на сервис вроде HaveIBeenPwned для корпоративных доменов.
- Учите сотрудников на реальных кейсах. Пример: раз в месяц рассылайте тестовые фишинговые письма и обсуждайте результаты.
- Сегментируйте сети жестко. Пример: бухгалтерия не должна видеть промышленные контроллеры, даже теоретически.
- Проверяйте веб-приложения автоматически. Пример: поставьте сканер уязвимостей в CI/CD пайплайн.
- Используйте ИИ для защиты. Пример: включите модули машинного обучения в SIEM, но настраивайте их под свою инфраструктуру.
- Обменивайтесь данными с коллегами. Пример: вступите в отраслевые чаты, телеграм-каналы по безопасности, участвуйте в обмене индикаторами.
Что делать прямо сейчас
Если вы дочитали до этого места (а я специально писал так, чтобы было не скучно), значит, вам реально не плевать. И это уже хорошо. Но мало понимать — нужно действовать.
Прямо сейчас, не откладывая, сделайте хотя бы три вещи:
- Проверьте, не светятся ли корпоративные адреса в публичных утечках.
- Посмотрите, включено ли логирование PowerShell на всех серверах.
- Напишите план пентеста на ближайший месяц.
А лучше — позвоните нам. Потому что самому, без опыта, можно наломать дров.
FAQ (чтобы закрыть самые частые вопросы)
1. Какие основные типы кибератак сейчас в России?
APT-группировки и хактивисты. Первые — профессионально и тихо, вторые — громко и политизировано. Цели — промышленность, госсектор, финансы.
2. Какие векторы атак самые популярные?
Фишинг (все еще), уязвимости веб-приложений, скомпрометированные учетки, использование легитимных инструментов администрирования.
3. Что будет, если меня взломают?
Утечка данных, остановка производства, майнинг на ваших мощностях, шпионаж. В худшем случае — все сразу.
4. EDR — это обязательно?
Если у вас больше 50 сотрудников — обязательно. Сигнатурные антивирусы уже не справляются.
5. Как часто нужно проводить пентесты?
Хотя бы раз в год полноценные, и раз в квартал — точечные проверки после изменений.
6. Что делать с фишингом?
Учить людей, фильтровать почту, внедрить многофакторную аутентификацию, мониторить подозрительную активность.
7. Нужно ли защищать АСУ ТП?
Обязательно. Это часто самое уязвимое место, а цена ошибки — остановка производства.
8. Какие стандарты читать?
NIST CSF — для стратегии, MITRE ATT&CK — для тактики, OWASP — для веба, CIS Controls — для практики.
9. Сколько стоит безопасность?
Меньше, чем стоимость одной успешной атаки. Это аксиома, проверенная годами.
10. Помогут ли российские решения?
Да, многие отечественные продукты сейчас на уровне мировых. Главное — правильно настроить.
══════
Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок! 🎁
══════
Больше материалов: Центр знаний SecureDefence.