08.09.2025 10:49
Alksegrv 0 381 Источник

Меня зовут Алексей Егоров, я главный архитектор проектов Positive Technologies. Каждый день я вижу, как киберугрозы эволюционируют быстрее, чем успевает обновляться защита. В этой статье я хочу поделиться тем, что определяет ландшафт кибербезопасности прямо сейчас: ключевыми трендами, навыками, которые становятся необходимыми, и прогнозами о том, к чему стоит готовиться. Все основано на практическом опыте и данных аналитики Positive Technologies.

Семь ключевых трендов в кибербезопасности прямо сейчас

Ландшафт кибербезопасности сегодня складывается из нескольких взаимосвязанных направлений. С одной стороны, мы видим новые мотивы атакующих и новые техники, с другой — трансформацию самой цифровой среды, которая диктует появление новых точек входа.

Политизация атак стала новой реальностью. Если раньше злоумышленники преследовали в первую очередь финансовую выгоду и выбирали отдельные компании в качестве целей, то с 2022 года акценты сместились кардинально. Кибератаки все чаще направлены на государства и инфраструктуру целиком. В первой половине 2025 года государственные учреждения оказались жертвами 21% всех успешных атак на организации, и это максимальный показатель за последние годы. Основная цель таких кампаний состоит в дестабилизации: 68% атак на госструктуры имели задачу нарушить их работу, а 29% были направлены на причинение ущерба государственным интересам. В феврале 2025 года Роскомнадзор отразил 822 DDoS-атаки на государственные системы управления, а одна из них длилась 71 час подряд. В мае массированный DDoS одновременно вывел из строя сервисы ФНС, «Госключ», «Честный знак» и региональные платформы.

Атаки на цепочку поставок превратились в мультипликатор угроз. Чем быстрее развивается цифровизация, чем больше сервисов и приложений создается, тем выше становится риск закладки вредоносного кода на этапе разработки. Злоумышленники используют это окно возможностей, они переходят от массового фишинга к целевым атакам на разработчиков. Их новая цель — цепочки поставок различных технологий. Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Согласно исследованию, ВПО остается основным методом успешных атак на организации (используется в 63% случаев). При этом доля распространения ВПО через сайты достигла 13%: это почти вдвое больше, чем раньше. С помощью компрометации открытых репозиториев и тайпсквоттинга киберпреступники внедряются в цепочки поставок ПО. За счет этого растет интерес к DevSecOps и AppSec: компании вынуждены внедрять практики безопасной разработки, проверять код и тестировать продукты на уязвимости еще до релиза.

Облачная инфраструктура стала основной мишенью. Бизнесу дорого содержать собственное «железо», прогнозировать рост и закупать ресурсы впрок, поэтому сервисы массово переезжают в облака. Вместе с этим туда же перемещаются и атаки. Сегодня под ударом оказываются микросервисные приложения и облачные сервисы, которые стали частью критически значимой инфраструктуры компаний.

Искусственный интеллект изменил правила игры. Злоумышленники закладывают ИИ прямо во вредоносное ПО, и это позволяет вирусам действовать адаптивно. Попадая в новую среду, ВПО учится, перестраивает свое поведение и подбирает способы обхода защиты самостоятельно. Это упрощает разработку вредоносов и одновременно усложняет работу специалистов по ИБ, поскольку стандартные методы детектирования перестают работать эффективно. Аналитика фиксирует резкий рост интереса ВПО: во II квартале 2025 года доля атак с его использованием выросла до 76%, на 26 процентных пунктов больше, чем кварталом ранее. Примеры вроде GIFTEDCROOK, который эволюционировал из простого стилера в инструмент кибершпионажа, показывают, насколько быстро ИИ меняет характер угроз.

Автоматизация SOC стала ответом на дефицит кадров. Масштабы цифровизации увеличивают число атак в геометрической прогрессии, а людей для реагирования катастрофически недостает. Поэтому в работу внедряют инструменты автоматизированного расследования, которые помогают фильтровать инциденты, выделять приоритетные и готовить аналитику для экспертов. Искусственный интеллект становится частью этой экосистемы, позволяя ускорить реагирование: человек принимает только финальное решение.

Социальная инженерия стала основным оружием атакующих. Количество мошеннических схем  применением методов социальной инженерии растет экспоненциально. В первой половине 2025 года на организации приходилось 50% атак с использованием социальной инженерии, а на частных лиц целых 93%. Основным каналом остается электронная почта, вместе с этим активно растет роль сайтов и мессенджеров... Мы видим, что человек стал ключевым звеном инфраструктуры, и именно он чаще всего становится слабым местом. Отсюда важность обучения и повышения грамотности, которую я называю  кибергигиеной.

Криптоактивы и Web3 создают новые векторы атак. Блокчейн развивается стремительно, капитал туда идет все активнее, и это делает его привлекательной целью. Web3 security становится самостоятельным направлением, требующим специфических инструментов и подходов.

Эти тенденции вместе создают среду, где атаки становятся сложнее, быстрее и масштабнее одновременно. Мы видим рост числа атак на крипто активы, появление новых вредоносов и расширение арсенала атакующих от вымогателей с функцией wiper, которые полностью стирают данные, до шпионских программ и кейлоггеров нового поколения. Именно в такой среде приходится строить защиту, и именно она определяет ключевые навыки, которые специалисту придется развивать.

Какие навыки и инструменты нужны специалистам

Чтобы соответствовать этому уровню угроз, специалисту недостаточно знать базовую нормативку. Я убежден: главный навык сегодня состоит в умении видеть картину шире. Необходимо понимать, как компания зарабатывает деньги или осуществляет общественно важную функцию, и выстраивать защиту так, чтобы она сохраняла устойчивость и при этом оставалась эффективной с точки зрения процессов. Любое решение по усилению информационной безопасности обязательно должно учитывать бизнес-контекст.

Также специалисту по ИБ важно всегда уметь мыслить как атакующий. Хакер всегда делает первый ход, и карьера защитника напрямую зависит от того, насколько быстро он может адаптироваться к изменениям. Поэтому еще один ключевой навык состоит в способности учиться и перестраиваться вместе с изменением ландшафта угроз. Когда речь идет о сетях, DevOps-процессах или языках программирования, важно выходить за рамки поверхностного знания: нужно уметь строить защиту, которая реально работает, и глубоко понимать техническую сторону задач.

Современный ИБ-специалист должен владеть инструментами анализа рисков и уметь просчитывать различные пути проникновения злоумышленника в инфраструктуру. На основании этого нужно прогнозировать действия атакующих и выстраивать защиту, направляя усилия именно туда, где они принесут максимальную пользу. Здесь приходит на помощь тренд риск-ориентированной модели информационной безопасности, который в России известен как результативная кибербезопасность.

Разрыв между тем, чему учат в вузах, и тем, что требуется на практике, по-прежнему остается огромным. Теория дает понимание базовых принципов, но выпускники не получают даже минимального опыта работы с реальной инфраструктурой. Поэтому стажировки и практикумы становятся критически важными элементами подготовки, и мы в Positive Technologies строим обучение именно так: создаем среду, максимально приближенную к реальности, где специалист работает с данными и системами, которые используются в настоящих инфраструктурах.

Обучение трендам обеспечения информационной безопасности требуется специалистам на всех уровнях штатной структуры организации, от вчерашних стажеров до руководителей подразделений. Знание и, что важно, понимание актуальной ситуации в мире ИБ всеми сотрудниками подразделения позволяет успешно реализовывать лучшие практики и быть уверенными в своих действиях.

Именно для безопасников с разным опытом мы с коллегами разработали практикум «Архитектура сетевой безопасности предприятия». Я являюсь автором и знаю программу изнутри: мы строили ее на основе реальных кейсов и заложили внутрь системный подход к защите корпоративных сетей: от выявления угроз до внедрения инструментов и контроля защиты. Программа дает знания, которые невозможно получить только из учебников: расчет рисков, построение архитектуры системы обеспечения информационной безопасности, управление уязвимостями и многие другие. Плюс под капотом практика на облачных стендах, где можно поработать с передовыми инструментами защиты на примере реальных атак (DDoS, фишинга, проникновения в сеть).

Архитектура сетевой безопасности предприятия

Старт ближайшего потока: 6 октября 2025

Формат: онлайн

Длительность: 6 недель

Нагрузка: 6–8 часов в неделю

Кому подойдет: архитекторам решений по ИБ и ИТ, руководителям архитекторских отделов, специалистам по сетям и инженерам сетевой безопасности

Киберпрогноз на будущее

Я бы описал будущее кибербезопасности тремя ключевыми словами: интеллект, квант и результативность.

Интеллект будет определять новую эру атак. Мы увидим рост мультифакторных атак, в которых искусственный интеллект будет одновременно управлять фишингом, создавать дипфейки и автоматизировать подбор уязвимостей. Атаки станут комплексными: злоумышленники смогут с помощью ИИ атаковать компанию сразу в нескольких направлениях, пытаясь проникнуть в инфраструктуру, рассылать фишинговые письма и воздействовать на сотрудников с помощью социальной инженерии.

Квант изменит основы криптографии полностью. Появление квантовых компьютеров приведет к пересмотру всех криптографических алгоритмов. Действующие алгоритмы утратят эффективность, поскольку рост количества операций в единицу времени сделает их уязвимыми. Криптографам придется разрабатывать новые алгоритмы либо адаптировать существующие, а вендорам программного обеспечения и средств защиты необходимо будет учитывать все это и внедрять эти алгоритмы в свои продукты.

Результативность станет мерилом эффективности защиты. Все больше компаний будут переходить к риск-ориентированным моделям безопасности. Это значит, что защита будет строиться исходя из перечня недопустимых для организации событий, а ресурсы будут распределяться точечно для предотвращения именно этих сценариев. Уход зарубежных вендоров с российского рынка показал, что сфера информационной безопасности политизирована, поэтому перед производителями средств защиты и перед специалистами по кибербезопасности стоит глобальная задача по поиску средств защиты, которые гарантированно останутся на рынке и эффективному использованию опенсорсного программного обеспечения для решения вопросов кибербезопасности.

Такое будущее требует от специалистов способности работать на опережение: прогнозировать сценарии атак, рассчитывать пути проникновения злоумышленника и строить архитектуру, которая выдержит этот уровень давления. Будущее кибербезопасности состоит в умении просчитывать различные пути проникновения злоумышленника в инфраструктуру и на основании этого прогнозировать его действия, выстраивая защиту и тратя на это ровно столько ресурсов, сколько действительно необходимо.

Построение комплексной системы защиты информации требует принятия важных концептуальных решений, которые невозможны без постоянного обучения. От вашего выбора зависит киберустойчивость вашей организации. Запомните, вас повысят, а кому-то потом с этим работать!

Комментарии (0)