Владимир Дрюков - каждая организация должна изначально выступать как взломанная

На фоне сохраняющейся геополитической напряженности масштаб атак хакеров на российские организации не уменьшается. Владимир Дрюков, руководитель центра борьбы с кибератаками Solar JSOC ГК "Солар", в интервью РИА Новости рассказал о задачах и тактиках злоумышленников, новых методах защиты и эволюции роли информационной безопасности (ИБ) в бизнесе. – – Количество атак не только остается высоким, но и значительно увеличивается их плотность: если в последнем квартале 2024 года одна компания сталкивалась в среднем с 40 случаями заражения вредоносным ПО, то в настоящее время этот показатель вырос почти в 2,5 раза — до 99. Главным драйвером роста стала активизация профессиональных хакерских группировок, чье число в текущем году удвоилось, а к ноябрю 2025 года их присутствие в инфраструктурах российских компаний превышало 35%. Основной мотив продвинутых киберпреступников — промышленный шпионаж, составляющий свыше 60% инцидентов. В то же время количество атак с финансовыми целями снизилось до 17%, а хактивистские акции с политической направленностью – до 11%. Вместо громких и заметных взломов злоумышленники все чаще выбирают более сложные и скрытные методы, хотя публичные происшествия продолжают иметь место.Чаще всего объектами профессиональных атак становились госструктуры — на них пришлось треть всех выявленных инцидентов (33%). Следующие по частоте сектора — промышленный (20%) и IT, где число расследованных случаев сложных атак возросло с 6 до 16%, что связано с ростом атак через подрядчиков. Также зафиксирован всплеск хакерской активности в сферах энергетики, здравоохранения и розничной торговли. Ранее ретейл редко становился целью злоумышленников и потому вкладывался в кибербезопасность недостаточно. Сейчас же наблюдается масштабное перераспределение атак в сторону отраслей, которые раньше не были фокусом атакующих.– – Мы отмечаем увеличение уровня сложности атак. Это обусловлено тем, что многие хактивистские объединения из Восточной Европы начали получать поддержку от более профильно подготовленных групп. При этом число сложных инцидентов, запускаемых через доверенные связи, выросло в три раза, что подтверждает популярность атак с использованием подрядчиков. Профессиональные злоумышленники стали дольше сохранять присутствие в инфраструктуре жертвы: доля атак с длительностью от полугода до года приблизилась к 20%, а случаев с продолжительностью от одного до двух лет — 14%. Одновременно хакеры все активнее применяют социальную инженерию для проникновения, что касается как коммерческих компаний, так и обычных пользователей. В настоящее время преступники обладают обширной базой данных о гражданах России, которая активно применяется. При организации фишинговых рассылок они чаще всего знают не только имена сотрудников, но и внутренние процессы компаний, что позволяет им создавать правдоподобные письма от руководства, HR или административных отделов. Такое глубокое погружение в работу организации значительно повышает успех атак.Кроме того, растет использование искусственного интеллекта в кибератаках. В одном из расследований в вредоносном ПО обнаружили комментарии, стилистически схожие с генерацией AI-помощника GPT. Хакеры явно используют публичные AI-платформы для автоматизации создания сценариев атак и их развития: сейчас подобные технологии не порождают кардинально новых методов, однако позволяют ускорить рутинные процессы и масштабировать атаки с меньшими затратами человеческих ресурсов. К примеру, если раньше одна группировка могла одновременно атаковать 10–15 компаний, то сейчас с помощью ИИ это число может вырасти до сотен. Такая ситуация становится серьезным вызовом для служб безопасности с точки зрения объема и эффективности защиты. Тем не менее, ответом на эти угрозы становится внедрение собственных AI-инструментов для автоматизации мониторинга и реагирования на инциденты. В наших сервисах ИИ повышает оперативность и качество работы систем мониторинга, а также помогает выявлять шаблоны активности киберпреступных групп.– Сложная геополитическая ситуация удерживает российские организации под постоянным шквалом кибератак уже более трех лет, и поводов рассчитывать на ослабление этого давления пока нет. В связи с этим в следующем году значительно возрастет потребность в комплексном подходе к обеспечению кибербезопасности, включающем не только технические средства, но и усиленный контроль над подрядчиками (например, учетные записи подрядчиков должны рассматриваться как потенциально скомпрометированные), регулярное обновление ПО, защиту веб-приложений, соблюдение требований к паролям и отслеживание актуальных трендов в сфере киберугроз.Современное движение в области безопасности все меньше ориентируется на концепцию zero trust, когда не доверяют никому, и все больше смещается к подходу, при котором организация изначально рассматривает себя как уже взломанную. Такая модель позволяет создать максимально защищенную инфраструктуру, потому что ключевой угрозой в любой кибератаке является не сам факт вторжения, а то, насколько глубоко злоумышленники смогут проникнуть и какие действия совершить. При условии грамотной защиты данных и бизнес-процессов, а также регулярного анализа уровня компрометации, вероятность атаки нельзя снять полностью, но можно сделать последствия контролируемыми и прогнозируемыми. Эта парадигма будет актуальна как в 2026, так и в 2030 году. На техническом уровне она предполагает использование систем обнаружения скомпрометированных аккаунтов, анализа пользовательского поведения для выявления аномалий, а также мониторинга сетевого трафика, где любую подозрительную активность нужно рассматривать как потенциальную опасность. Важным элементом является автоматизация реагирования и аналитики сложных атак с применением продвинутых технологий для быстрого выявления угроз.При этом часть предприятий при сокращении бюджетов может прибегнуть к условно «милитаризированному» подходу, минимизируя точки доступа, сужая поверхность атаки, отключая неиспользуемые внешние сервисы и ограничивая права пользователей. Такой путь обеспечивает защиту за счет ухудшения удобства и ужесточения внутренних политик.– – Крайне важно внедрять современные системы, которые станут обязательной частью корпоративной инфраструктуры кибербезопасности в ближайшем десятилетии. Среди них — песочницы (Sandbox) для безопасного анализа потенциально вредоносных файлов, почтовые шлюзы (SEG) для блокировки спама и вредоносных писем, межсетевые экраны нового поколения (NGFW), обеспечивающие мониторинг и фильтрацию сетевого трафика, а также средства для защиты веб-приложений (WAF), препятствующие атакам на онлайн-ресурсы. Неотъемлемой частью должна стать технология обнаружения и реагирования на угрозы на конечных устройствах (EDR), платформы для централизованного сбора и анализа событий информационной безопасности (SIEM) с возможностью автоматической реакции на инциденты (SOAR), а также интеграция информационных потоков о текущих угрозах (TI Feeds) для оперативного противодействия опасностям. Использование такого комплекса решений позволит значительно повысить уровень защиты компаний и свести к минимуму последствия возможных киберинцидентов.– – Готовность российских предприятий вкладывать средства в кибербезопасность зависит от отрасли и размера бизнеса. Пока не наблюдается явного общего сокращения бюджетов на ИБ, скорее наоборот — запросы усиливаются. Если раньше при бюджете условно в 100 рублей компании получали подключение к коммерческому SOC и обучение по распознаванию фишинга, то сейчас за эту же сумму заказчики хотят дополнительно видеть сервисы киберразведки и защиту интернет-ресурсов. Таким образом, при том же объеме финансирования возрастает спрос на более широкий набор технологий, сервисов и услуг. Одновременно требования к качеству и глубине выполняемых работ становятся гораздо строже. Такая динамика создает у поставщиков более жесткую конкуренцию и сложные экономические условия, так как необходимо уместить стоимость двух-трех продуктов в прежний бюджет одного. В итоге динамика инвестиций в ИБ неоднородна: одни компании сохраняют финансирование на стабильном уровне, другие увеличивают вложения, а третьи рассматривают ИБ как статью сокращаемых затрат. В современных условиях компаниям выгодно выбирать единственного надежного поставщика кибербезопасности. Стремительный рост сложности интеграции решений от разных поставщиков значительно увеличивает расходы. Преимущество получают интегрированные предложения от одного подрядчика, использующего полный спектр ИБ-продуктов в едином технологическом стеке. Если ранее клиенты собирали свои системы из разрозненных компонентов от разных компаний, то сейчас тенденция смещается в пользу комплексных "под ключ" решений от проверенного поставщика, что упрощает управление технологиями и сокращает затраты на интеграцию.