НаверхИИ-атаки — новая реальность. 5 правил, которые спасут ваши данные
Хакеры вооружились искусственным интеллектом. ИТ-специалистам пора отвечать тем же. Как не отстать от злоумышленников в 2026 году?
Основные идеи
Мнение автора
В 2022 году передача доступа занимала 8 часов, сейчас — 22 секунды. Уязвимости нулевого дня эксплуатируют в среднем 7 дней. QUIETVAULT крадет токены GitHub, проверяя системы на наличие ИИ-инструментов. При этом 52% организаций сами находят вторжения — раньше было 43%. Главный вывод: идентификация — новый периметр. MFA и смена паролей не спасут. Нужно изолировать бэкапы, увеличить хранение логов и перейти к постоянной верификации личности.
Вот парадокс нынешней кибервойны: атакующие всё чаще полагаются на машины, которые способны действовать на порядки быстрее людей, стоящих у руля. В ответ жертвы тоже переходят на автоматизированные средства выявления и отражения угроз.
Однако в битве алгоритмов главным звеном остаётся человек, и он же оказывается самым уязвимым местом. К такому выводу пришли эксперты Mandiant — подразделения Google Cloud, специализирующегося на расследовании крупных инцидентов и консультировании по вопросам защиты.
Современные корпоративные сети разветвлены, многие задачи передаются внешним подрядчикам по модели «софт как услуга». В Mandiant отмечают, что преступники действуют схоже: одна группировка с помощью малозаметных методов вроде вредоносной рекламы или фальшивых обновлений браузера проникает в сеть, а затем передаёт взломанную цель другой команде для дальнейших действий.
Всё это происходит с невероятной скоростью. В 2022 году «время передачи» доступа превышало 8 часов. К 2025-му автоматизация сократила этот процесс до 22 секунд. Сократилось и окно для эксплуатации уязвимостей нулевого дня: в среднем у злоумышленников есть семь дней до выхода патча.
Выявление атакующих
Группы, которые проводят «ручные операции» в скомпрометированных сетях, делятся на две категории с противоположными подходами. Киберпреступники охотятся за выгодой, применяя вымогательское ПО. Шпионские же группировки стремятся закрепиться надолго и оставаться незамеченными.
Первые делают ставку на быстрый ущерб и максимально затрудняют восстановление. Вторые — на скрытность, используют периферийные устройства и штатные сетевые функции, чтобы не привлекать внимание.
Среднее время от проникновения до обнаружения — 14 дней. Для шпионских операций этот срок достигает 122 дней.
Специалисты Mandiant зафиксировали более 16 отраслей, которые попадают под удар. Лидируют высокие технологии (17%) и финансы (14,6%).
Откуда приходят атаки
Почти треть вторжений происходит через эксплуатацию уязвимостей. На втором месте — «голосовая социальная инженерия», когда атакующие звонят в техподдержку, чтобы обойти многофакторную аутентификацию и получить доступ к средам SaaS.
Растёт применение инструментов на базе ИИ для разведки, социнженерии и создания вредоносов. После проникновения в сеть злоумышленники используют ИИ как оружие: например, программа для кражи учётных данных QUIETVAULT проверяет компьютеры на наличие инструментов командной строки на основе ИИ, чтобы собирать конфигурационные файлы и токены GitHub и NPM.
При этом искусственный интеллект пока остаётся на вторых ролях. В Mandiant подчёркивают: несмотря на стремительное развитие технологий, в 2025 году взломы не происходили исключительно за счёт ИИ. Подавляющее большинство успешных атак по-прежнему связаны с фундаментальными человеческими и системными ошибками.
Злоумышленники ускоряются и всё ломают
Киберпреступники усвоили принцип «быстро и без оглядки». Атаки с вымогательским ПО становятся эффективнее, когда нацелены на виртуальную инфраструктуру резервного копирования.
Преступники уже не просто шифруют данные — они уничтожают возможность восстановления. Удаляют объекты резервных копий из облачных хранилищ, атакуют уровень хранения виртуализации или шифруют хранилища гипервизора, выводя из строя все связанные виртуальные машины.
Есть и позитивная тенденция: организации учатся быстрее обнаруживать угрозы. В 2025 году в 52% случаев компании сами выявляли признаки вторжения, тогда как годом ранее этот показатель составлял 43%. Чем раньше найдена атака, тем быстрее начинается восстановление.
Как противостоять
С ростом изощрённости атак ИТ-специалистам приходится повышать квалификацию. В Mandiant советуют обучать сотрудников и техподдержку распознаванию современных векторов: социальной инженерии, голосовых атак, подозрительных запросов на сброс MFA.
Среди стратегий защиты:
- Относиться к платформам виртуализации и управления как к активам нулевого уровня с жёсткими ограничениями доступа.
- Изолировать среды резервного копирования от Active Directory и использовать неизменяемое хранилище.
- Внедрить расширенное обнаружение угроз и увеличить срок хранения логов сверх стандартных 90 дней.
- Регулярно проверять интеграцию с SaaS и пропускать все SaaS-приложения через центральный провайдер идентификации.
- Использовать модели обнаружения на основе поведенческих факторов для выявления аномалий.
В Mandiant подчёркивают: идентификация — это новый периметр. Простой смены паролей и внедрения MFA больше не хватает. Главное — усилить контроль за учётными записями и перейти к постоянной верификации личности, особенно в отношениях со сторонними поставщиками.
Актуальность ИИ-атак для России
Российские компании и государственные структуры давно находятся в зоне повышенного внимания киберпреступников. С переходом атакующих на использование искусственного интеллекта угрозы стали сложнее и быстрее. Время между проникновением в сеть и началом активных действий сократилось до секунд, а человек остается самым уязвимым звеном.
Для России эта проблема стоит особенно остро из-за импортозамещения в ИТ-сфере. Многие компании переходят на отечественное программное обеспечение, и этот переход создает новые уязвимости, которыми пользуются злоумышленники.
Человеческий фактор — главная мишень
Хакеры активно используют ИИ для социальной инженерии. Голосовые атаки на службы технической поддержки стали обычным делом. Злоумышленники звонят в техподдержку, имитируют голос сотрудника и добиваются сброса многофакторной аутентификации.
В российских компаниях проблема усугубляется тем, что многие сотрудники службы поддержки не проходят регулярное обучение распознаванию таких атак. Специалистам нужно знать, как выглядят подозрительные запросы на сброс паролей и как проверять личность звонящего.
Скорость атак и уязвимости
Атаки развиваются быстрее, чем раньше. Если несколько лет назад у злоумышленников были часы, то сейчас — секунды. Уязвимости нулевого дня эксплуатируются в среднем в течение недели, прежде чем выходит патч.
В российских условиях это означает, что полагаться только на своевременное обновление ПО нельзя. Многие организации используют нелицензионное или устаревшее программное обеспечение, что делает их легкой мишенью.
Защита резервных копий
Современные вымогатели не просто шифруют данные — они уничтожают возможность восстановления. Злоумышленники удаляют объекты резервных копий из облачных хранилищ и атакуют виртуальную инфраструктуру.
Для российских компаний критически важно изолировать среды резервного копирования от основной сети. Резервные копии не должны находиться в том же домене Active Directory, что и рабочие станции. Неизменяемое хранилище — единственный способ гарантировать, что данные не будут стерты даже при полной компрометации сети.
Мониторинг и логирование
Организации, которые сами обнаруживают вторжения, быстрее восстанавливаются после атак. Российские компании часто экономят на системах сбора и хранения логов, ограничиваясь стандартными 90 днями. Этого недостаточно.
Для эффективного расследования инцидентов нужно хранить журналы событий минимум полгода. Расширенное обнаружение угроз и поведенческий анализ помогают выявить аномалии, которые стандартные антивирусы пропускают.
Контроль идентификации
Идентификация стала новым периметром безопасности. Простой смены паролей и внедрения двухфакторной аутентификации больше не хватает. Злоумышленники обходят MFA через голосовую социнженерию и фишинговые сайты.
В российских условиях нужно внедрять постоянную верификацию личности. Это значит, что система проверяет пользователя не один раз при входе, а постоянно — анализирует поведение, местоположение, устройства, с которых происходит доступ. Особенно это важно для работы со сторонними поставщиками и подрядчиками.
Интеграция SaaS-сервисов
Многие российские компании используют облачные сервисы. Все SaaS-приложения стоит пропускать через единого провайдера идентификации. Это позволяет централизованно управлять доступом и быстро отзывать права при увольнении сотрудника или компрометации учетной записи.
Обучение персонала
Сотрудники и служба технической поддержки должны проходить регулярные тренинги. Нужно учить распознавать голосовые атаки, фишинговые письма, подозрительные запросы на сброс паролей. В России культура кибербезопасности на уровне рядовых сотрудников остается слабой, и это основная точка входа для злоумышленников.
Что делать прямо сейчас
Провести аудит систем резервного копирования и убедиться, что копии изолированы от основной сети. Увеличить срок хранения логов как минимум до 180 дней. Внедрить поведенческий анализ для выявления аномалий. Пересмотреть политику доступа для сторонних поставщиков. Провести учения для службы техподдержки по отражению голосовых атак. Не ждать идеального решения — начинать с малого, но системно.
Гонка нейросетей набирает обороты: Samsung вливает рекордные суммы в искусственный интеллект
