Пять способов защитить сеть от атак, которые ускорились до 22 секунд

Отчёт Mandiant за 2025 год фиксирует качественный сдвиг в скорости кибератак. Если три года назад одна преступная группа взламывала периметр, а затем передавала доступ другой в течение восьми с лишним часов, то теперь этот «хэндофф» занимает в среднем 22 секунды. Параллельно сократилось и окно для патчинга: среднее время до начала эксплуатации новой уязвимости нулевого дня составляет семь дней — нередко раньше, чем вендор успевает выпустить исправление.

Модель атак стала похожа на аутсорсинг. Одна группа использует низкорисковые методы — вредоносную рекламу или поддельные обновления браузера — чтобы получить первоначальный доступ. Затем она передаёт цель второй группе, которая уже работает «руками»: устанавливает инструменты, изучает инфраструктуру, развёртывает вымогательское ПО или закрепляется для долгосрочного шпионажа. Mandiant разделяет атакующих на два полюса: киберпреступники нацелены на быстрый финансовый результат и намеренно уничтожают возможность восстановления, тогда как шпионские группы оптимизируются под незаметность — медианное время их присутствия в сети составляет 122 дня.

Рансомware-группы эволюционировали: теперь они не просто шифруют данные, но и целенаправленно уничтожают резервные копии. Атаки идут на уровень виртуализации — шифруются хранилища гипервизоров, что одновременно выводит из строя все связанные виртуальные машины. Удаляются объекты резервного копирования из облачного хранилища. Цель — сделать восстановление физически невозможным, а не просто дорогим.

ИИ в арсенале атакующих пока играет вспомогательную роль. Инструменты на базе языковых моделей применяются для разведки, социального инжиниринга и разработки вредоносного кода. Зафиксирован случай, когда стилер QUIETVAULT после проникновения в систему проверял наличие ИИ-инструментов командной строки и использовал их для поиска конфигурационных файлов и токенов GitHub и NPM. Тем не менее Mandiant прямо указывает: 2025 год не стал годом, когда взломы стали прямым следствием ИИ. Большинство успешных атак по-прежнему эксплуатируют фундаментальные человеческие и системные ошибки.

Наиболее атакуемые отрасли — высокотехнологичный сектор (17% инцидентов) и финансовый (14,6%). Голосовой социальный инжиниринг занял второе место среди векторов вторжения: злоумышленники звонят в IT-службы поддержки, убеждают сотрудников сбросить многофакторную аутентификацию и получают доступ к SaaS-средам.

Mandiant формулирует пять структурных мер защиты. Первая — присвоить платформам виртуализации и управления статус Tier-0 с максимально жёсткими ограничениями доступа. Вторая — изолировать резервные среды от корпоративного домена Active Directory и перейти на иммутабельное хранилище, которое нельзя удалить или перезаписать. Третья — развернуть продвинутое обнаружение угроз по всей экосистеме и расширить хранение логов за пределы стандартных 90 дней. Четвёртая — регулярно проверять SaaS-интеграции и маршрутизировать все SaaS-приложения через единый провайдер идентификации. Пятая — внедрить поведенческие модели обнаружения, которые фиксируют аномалии и отклонения от установленных базовых паттернов.

Общий вывод исследователей: «идентификация — это новый периметр». Ротация паролей и стандартная многофакторная аутентификация уже не обеспечивают достаточной защиты. Акцент смещается на непрерывную верификацию идентификации, особенно применительно к сторонним вендорам и подрядчикам, которые имеют доступ к корпоративной инфраструктуре.