Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
1054 подписчика

Ландшафт киберугроз: ключевые тренды и как им противостоять

3
9 мин
В открытых источниках регулярно публикуются данные об инцидентах, когда злоумышленники получали доступ к информационным системам организаций не напрямую, а через доверенных партнёров — ИТ-подрядчиков, интеграторов, сервисных компаний. Такие сценарии фиксируются во многих отраслях: при формально выстроенной защите периметра (межсетевые экраны, антивирусные средства, DLP, EDR) атака может развиваться через учётные записи внешних поставщиков услуг. По данным отраслевых отчётов, в 2025 году объём утекших записей составил 1,6 миллиарда. Средний размер одной утечки — 3,27 миллиона записей, что на 26% больше, чем годом ранее. При этом количество атак на промышленный сектор увеличилось на 357%. На практике многие руководители продолжают считать, что их компания не представляет интереса для злоумышленников, однако анализ инцидентов свидетельствует об обратном. Данный материал основан на общедоступных источниках и предназначен для понимания ключевых векторов угроз, а также для выработки мер по с
Оглавление
Ускорение жизненного цикла атак (от доступа до действий)
Ускорение жизненного цикла атак (от доступа до действий)

Риски, связанные с доступом подрядчиков к корпоративной инфраструктуре: аналитика и рекомендации

В открытых источниках регулярно публикуются данные об инцидентах, когда злоумышленники получали доступ к информационным системам организаций не напрямую, а через доверенных партнёров — ИТ-подрядчиков, интеграторов, сервисных компаний. Такие сценарии фиксируются во многих отраслях: при формально выстроенной защите периметра (межсетевые экраны, антивирусные средства, DLP, EDR) атака может развиваться через учётные записи внешних поставщиков услуг.

По данным отраслевых отчётов, в 2025 году объём утекших записей составил 1,6 миллиарда. Средний размер одной утечки — 3,27 миллиона записей, что на 26% больше, чем годом ранее. При этом количество атак на промышленный сектор увеличилось на 357%. На практике многие руководители продолжают считать, что их компания не представляет интереса для злоумышленников, однако анализ инцидентов свидетельствует об обратном.

Данный материал основан на общедоступных источниках и предназначен для понимания ключевых векторов угроз, а также для выработки мер по снижению рисков.

Основной тренд 2025–2026 годов: компрометация через доверенных партнёров

Согласно оценкам, основанным на данных Threat Intelligence, не менее 30% атак в настоящее время реализуются через компрометацию ИТ-подрядчиков, интеграторов и поставщиков управляемых услуг (MSP). Типовая ситуация: у организации выстроен защищённый периметр, внедрена многофакторная аутентификация для сотрудников, работает SIEM. При этом у подрядчика, который обслуживает учётную систему или администрирует VPN, зачастую отсутствует необходимый уровень контроля.

Злоумышленники активно используют следующие факторы:

  • вход через доверенный канал не вызывает немедленного подозрения;
  • появляется возможность обойти часть проверок;
  • период нелегального присутствия может составлять месяцы.

В публичных кейсах описываются ситуации, когда федеральный интегратор (название не раскрывается) имел доступ к внутренним сетям нескольких десятков клиентов. В результате атаки с использованием известной уязвимости в почтовом сервере злоумышленники скомпрометировали доменную инфраструктуру подрядчика, после чего получили доступ к системам его клиентов. Инцидент был обнаружен только спустя несколько месяцев.

Вывод, подтверждаемый практикой: управление кибербезопасностью цепочки поставок становится критическим элементом обеспечения устойчивости бизнеса.

Среднее время развития атаки

По данным CrowdStrike, медианное время от первичного проникновения до целевых действий сократилось до 48 минут. В ряде случаев этот интервал может составлять менее одной минуты. За такой короткий промежуток злоумышленники способны получить доступ к клиентским базам и другим критическим данным.

Современные атаки часто комбинируют несколько типов воздействия:

  • шифрование данных;
  • выгрузка (экфильтрация) информации;
  • угрозы публикации похищенных данных;
  • параллельные DDoS-атаки.

Такой подход превращает инцидент в комплексную операцию. Компании, не имеющие плана реагирования на инциденты (IRP), как правило, сталкиваются с серьёзными потерями уже в первые сутки.

Доля атак с использованием уже известных уязвимостей выросла на 30% по сравнению с 2024 годом, что указывает на системную проблему несвоевременного применения обновлений безопасности.

Новые характеристики DDoS-атак

Зафиксирована эволюция DDoS-атак: ранее они использовались преимущественно для вымогательства или отвлечения внимания, теперь же стали частью комбинированных кампаний. Количество атак на сетевом уровне увеличилось на 24%. Самая мощная атака, зафиксированная в 2025 году, достигла 1,57 Тбит/с.

В открытых источниках упоминаются активности групп: IT Army of Ukraine, CyberSec (BadB), Himars DDOS, «Киберкорпус». Их целями, по опубликованным данным, становятся российские телеком-провайдеры и промышленные предприятия. Рост числа атак на промышленный сектор (357%) требует особого внимания со стороны организаций в сфере производства и ТЭК.

Критические уязвимости (CVE) для российского рынка

Согласно аналитике УЦСБ SOC, выделено 65 критических уязвимостей, актуальных для российских организаций. Распределение по категориям:

  • 44% — операционные системы и рабочие станции (в том числе устаревшие версии Windows);
  • 27% — сетевая инфраструктура (маршрутизаторы, межсетевые экраны с неисправленными проблемами);
  • 23% — прикладное ПО и библиотеки (включая Java, Log4j);
  • 6% — корпоративные ИТ-платформы.

Около 43% эксплуатируемых уязвимостей приходится на продукты Microsoft. Патчи для них выпускаются регулярно, однако на практике их внедрение часто откладывается.

Активизация APT-групп

По оценкам, основанным на мониторинге угроз, число APT-операций против российских организаций выросло на 25–30%. В открытых источниках упоминаются такие группы, как Turla, Cozy Bear, Fancy Bear. Их целевые отрасли — оборонно-промышленный комплекс, энергетика, финансы, государственный сектор.

Известны случаи, когда APT-группа находилась в инфраструктуре проектной организации около 11 месяцев, используя легитимный трафик (например, видеоконференции) для скрытия своей активности. Такие инциденты трудно выявлять с помощью классического SIEM — требуются поведенческий анализ и методы Threat Hunting.

Важно понимать: даже небольшая компания может стать транзитным звеном для атаки на её подрядчиков или партнёров.

Использование искусственного интеллекта злоумышленниками

Искусственный интеллект применяется не только для защиты, но и для проведения атак. На практике фиксируются:

  • генерация адаптивного вредоносного трафика, обходящего типовые правила фильтрации;
  • фишинговые письма без грамматических ошибок (что ранее служило признаком подделки);
  • поддельные голосовые звонки с использованием deepfake;
  • автоматизированный поиск незащищённых облачных хранилищ и API.

Наиболее распространённые векторы проникновения

Согласно данным УЦСБ и практики реагирования на инциденты, основными точками входа являются:

  • удалённый доступ подрядчиков (VPN без многофакторной аутентификации, устаревшие учётные данные, открытые RDP-порты);
  • необновлённые операционные системы и приложения (Microsoft Exchange, SharePoint и другие);
  • почтовые системы и серверы видеоконференцсвязи (TrueConf, Vinteo, Zoom);
  • публичный периметр (незадокументированные API, облачные интерфейсы, тестовые стенды);
  • IoT-устройства и промышленные контроллеры (заводские пароли, отсутствие сегментации сети).

В одном из кейсов при проверке продовольственного производителя было обнаружено 12 открытых портов на устройствах взвешивания на складе, через которые потенциально можно было получить доступ к сети управления логистикой.

Последствия инцидентов для бизнеса

В случае реализации атаки возможны следующие негативные последствия:

  • Утечка персональных данных. Средний объём — 3,27 млн записей. Штрафы по 152-ФЗ могут достигать 3–15 млн рублей за один факт, а также оборотные штрафы до 3% выручки.
  • Простои производства. В промышленности восстановление может занимать дни и недели, особенно при атаках на ICS/OT.
  • Финансовые потери: выкуп (от 500 тыс. до десятков миллионов рублей), восстановление ИТ-инфраструктуры, юридическое сопровождение, репутационные риски.
  • Потеря партнёров и клиентов из-за публичного раскрытия данных.
  • Уголовная ответственность по 187-ФЗ за нарушения на объектах критической информационной инфраструктуры (КИИ).

Рекомендации по снижению рисков

На основе анализа инцидентов можно предложить следующие меры, которые рекомендуются к внедрению:

  1. Внедрение многофакторной аутентификации (MFA) для всех внешних подключений, включая подрядчиков и сервисные аккаунты. Особое внимание — VPN и почтовым системам.
  2. Регламентированное управление обновлениями: критические патчи рекомендуется устанавливать в течение 72 часов с использованием автоматизированных систем.
  3. Регулярный аудит подрядчиков (не реже одного раза в квартал) на предмет их ИБ-зрелости.
  4. Микросегментация сети: подрядчик должен иметь доступ только к тем ресурсам, которые необходимы для выполнения его функций.
  5. Внедрение мониторинга аномалий (SIEM или XDR) с поведенческим анализом и хранением логов не менее 6 месяцев.
  6. Разработка и регулярное тестирование плана реагирования на инциденты (IRP) с практическими учениями.
  7. Шифрование резервных копий и хранение их офлайн для защиты от ransomware.
  8. Контроль привилегированных доступов (PAM): запрет на использование учётных записей с правами Domain Admin для повседневной работы.
  9. Регулярное обучение сотрудников с проведением практических фишинг-тренингов.
  10. Периодический аудит защищённости внешнего периметра (пентест, сканирование уязвимостей, анализ API) не реже двух раз в год.

Дополнительно: требования регуляторов

С 2025 года ужесточились требования к защите КИИ (187-ФЗ) и персональных данных (152-ФЗ). В приказах №17, №21, №239 установлены:

  • уровневая защита для КИИ категорий 1–3;
  • обязательный контроль защищённости мобильных устройств и мессенджеров;
  • внедрение средств класса «А» для EDR/XDR.

Около 74% утекающей информации составляют персональные данные, что делает DLP-системы на почтовых серверах важным элементом защиты.

Ответы на частые вопросы

  1. Какие типы атак были наиболее разрушительными в 2025 году?
    Комбинированные атаки, включающие шифрование, кражу данных и DDoS.
  2. Действительно ли около 30% атак происходит через подрядчиков?
    Согласно оценкам Threat Intelligence, да. Тренд демонстрирует рост.
  3. Каково среднее время от проникновения до шифрования?
    По открытым данным — около 48 минут, в рекордных случаях — менее минуты.
  4. Какие уязвимости критичнее всего закрыть?
    Уязвимости Microsoft Exchange, SharePoint, VPN без MFA, открытые RDP-порты, Log4j в Java-приложениях.
  5. Как ИИ помогает злоумышленникам?
    Генерация адаптивного трафика, deepfake-звонки, качественный фишинг, автоматический поиск уязвимых API и облачных хранилищ.
  6. Какие последствия самые болезненные для бизнеса?
    Штрафы, простои, репутационные потери, уголовная ответственность руководства (ст. 274.1 УК РФ).
  7. С чего начать при ограниченном бюджете?
    С внедрения MFA, аудита подрядчиков, базового мониторинга (например, Wazuh) и регулярного создания офлайн-бэкапов.

Заключение

Ландшафт угроз в 2026 году характеризуется атаками через подрядчиков, высокой скоростью развития инцидентов, комбинированными DDoS и шифрованием, а также активным использованием незакрытых уязвимостей. APT-группы наращивают активность, а искусственный интеллект делает атаки более адаптивными.

Для поддержания приемлемого уровня защищённости рекомендуется:

  • регулярно оценивать риски цепочки поставок;
  • внедрять многофакторную аутентификацию повсеместно;
  • использовать поведенческий мониторинг;
  • проводить реальные учения по реагированию на инциденты.

Если вы хотите получить независимую оценку текущего уровня защищённости вашей организации или провести аудит подрядчиков и внешнего периметра, вы можете обратиться за консультацией. Специалисты помогут сформировать дорожную карту усиления информационной безопасности.

Для получения консультации оставьте заявку на сайте: https://securedefence.ru/

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.