Евгений Нургалиев, Директор департамента предоставления ИТ- и ИБ-услуг Simplity
Ключевой тренд в кибератаках 2025
Основным вызовом в части киберугроз является развитие технологий таргетированных фишинговых атак, которые способны обходить известные средства защиты от фишинга. Это свело на нет тактику защиты периметра компаний от проникновения за счет использования решений класса NGFW (Next Generation Firewall и Threat Intelligence). Мы имеем ситуацию так называемого «мертвого периметра».
Фигурально выражаясь – наличие защищенных ворот у крепости, у которой нет стен, не обеспечивает ее защиту. А если учесть, что используемое хакерами ВПО зачастую не детектируется антивирусными системами, то все это многократно повышает вероятность реализации хакерской атаки в отношении целевых компаний.
Из этого вытекает и основной тренд ответа на киберугрозы: использования принципов целостности, всеракурсности и многослойности при построении архитектуры ИБ. В среде ИТ и ИБ подразделений бытует очаговый подход к построению ИБ: когда покупается несколько дорогостоящих решений, закрывающих какой-то один вид угроз из множества потенциально реализуемых. Сегодня такой подход не обеспечивает даже минимально необходимого уровня защиты и в принципе может считаться бессмысленной тратой средств и сил.
Актуальная стратегия киберзащиты «Обнаружить и Остановить»
Если коротко сформулировать стратегию успешной киберзащиты, то это стратегия О2 – «Обнаружить и Остановить». Таким образом и архитектура кибербезопасности должна обеспечивать реализацию такого принципа за счет применения, к примеру решений класса EDR (Endpoint Detection and Response) с заведением событий от них на внешний SOC (Security Operation Center). Правда такая система работает эффективно только при 100% покрытии EDR серверов и рабочих станций ИТ ландшафта.
Самые атакуемые предприятия и отрасли в 2025
Сложно выделить конкретную область экономики, подвергающуюся наибольшему количеству атак. Обычно объектами атак являются крупные корпорации из всех отраслей экономики, объекты КИИ и Госорганы, причем можно говорить практически о равномерном распределении этих атак среди представителей различных отраслей.
Следует отметить рост атак на средний и малый бизнес – это связано с тем, что крупные предприятия могут себе позволить внедрение и использование дорогостоящих средств обеспечения ИБ, которые компаниям МСБ недоступны из-за их высокой стоимости. Подробнее о причинах рассказали тут.
Градацию по отраслям можно построить по «успешно» реализованных атакам – здесь наименьшее количество у банков в силу жесткого контроля за обеспечением ИБ со стороны ЦБ РФ, а вот лидерами по реализации недопустимых событий по праву могут считаться компании из ретейла, логистики и агрегаторы – традиционно относящие ИБ к издержкам, которые необходимо сокращать.
Опубликованные же на данный момент статистики по отраслям от различных провайдеров ИБ услуг носит несколько лукавый характер – или учитывает только собственные кейсы провайдера, или только кейсы о ставших известными успешно реализованных атаках, при этом огромный пласт реализованных атак компании-жертвы не предают огласке, опасаясь репутационных издержек.
Как хакеры ломают компании в 2024-2025 году: фишинг и эксплойты
Основным путем проникновение хакеров во внутреннюю инфраструктуру атакуемых компаний являются социотехнические атаки, в частности фишинг, в том числе в сочетании с использованием атаки на слабые пароли. Использование таких техник составляет более 90% процентов выявленных, по результатам расследований киберинцидентов в 2024-2025 годах, успешно реализованных хакерами векторов атак.
Примерно 5-6% приходится на уязвимости периметра ИТ инфраструктуры и ошибки конфигурации опубликованных сервисов. Еще около 1% приходится на действия инсайдеров.
Если же говорить об уязвимостях, то наиболее опасные и часто встречающиеся:
- уязвимости платформы 1С
- уязвимости центров сертификации доменной инфраструктуры и принтеров, связанные с ошибками их настройки и администрирования
- «древняя» уязвимость ETERNALBLUE – ее наличие обусловлено использованием устаревших версий операционных систем во внутрикорпоративной ИТ инфраструктуре
Главные цели атак хакеров – какие они?
Главными мишенями хакеров в 2024-2025 году традиционно были Госорганы и объекты КИИ, крупные корпорации, но нельзя не отметить смещение вектора таргетированных атак в сторону среднего и малого корпоративного сегмента.
Если говорить о целях хакеров, то их можно разделить на две условные группы по типу реализуемых недопустимых событий:
- атаки, направленные на кражу данных, уничтожение ИТ инфраструктуры, повреждение технологического оборудования, в отношении Госорганов, оборонного сектора и других объектов КИИ;
- атаки, направленные на кражу данных и шифрование ИТ инфраструктуры с целью получения выкупа, отношении частного корпоративного сектора.
Что выгоднее – защищаться от кибератак или минимизировать последствия?
С точки зрения законодательства любая организация является обработчиком персональных данных и обязана обеспечить их безопасность и защиту от атак. Но на практике, выбор между защитой от атак и минимизацией ущерба от них определяется:
- размером, сложностью целевой ИТ инфраструктуры
- требованиями, предъявляемыми бизнесом к непрерывности предоставления внутренних и внешних сервисов
- требованиями законодательства к обеспечению безопасности данных (размер штрафа, наличие уголовной ответственности)