Нарушение работы бизнеса, атаки с использованием искусственного интеллекта, внутренние угрозы и участившиеся вторжения на нескольких фронтах определяют новый ландшафт киберугроз.
Сегодня Palo Alto Networks Unit 42 опубликовал свой отчет о реагировании на глобальные инциденты за 2025 год , в котором говорится, что 86% крупных киберинцидентов в 2024 году привели к простою в работе, репутационному ущербу или финансовым потерям. Отчет (основанный на 500 крупных киберинцидентах, на которые Unit 42 отреагировал в 38 странах и каждой крупной отрасли) подчеркивает новую тенденцию: финансово мотивированные злоумышленники переключили свое внимание на преднамеренное нарушение работы, отдавая приоритет саботажу — уничтожению систем, блокировке клиентов и длительному простою — чтобы максимизировать воздействие и заставить организации платить вымогательства. Скорость, сложность и масштаб атак достигли беспрецедентного уровня благодаря угрозам с использованием искусственного интеллекта и многосторонним вторжениям, что подчеркивает, что в 2024 году организации столкнулись со все более нестабильной картиной угроз.
Основные выводы — киберугрозы распространяются быстрее и наносят больший урон.
Пока нападающие переписывают правила ведения боя, защитники изо всех сил стараются не отставать. Новая стратегия нападающих многогранна, ориентирована на облако и управляется искусственным интеллектом. В Глобальном отчете о реагировании на инциденты 2025 года выделено несколько тенденций:
- Кибератаки развиваются быстрее, чем когда-либо. В 25% случаев злоумышленникам удалось украсть данные менее чем за 5 часов, что в три раза быстрее, чем в 2021 году. Еще более тревожным является то, что в каждом пятом случае кража данных происходила менее чем за 1 час.
- Рост инсайдерских угроз . В 2024 году число киберинцидентов, связанных с Северной Кореей и спровоцированных инсайдерами, утроилось. Было замечено, что спонсируемые северокорейским государством субъекты проникают в организации, выдавая себя за ИТ-специалистов, устраиваются на работу, а затем методично внедряют бэкдоры, похищают данные и даже изменяют исходный код.
- Многоаспектные атаки стали новой нормой. В 70% инцидентов злоумышленники использовали три или более направлений атак, вынуждая службы безопасности защищать конечные точки, сети, облачные среды и человеческий фактор одновременно.
- Фишинг возвращается – После того, как уязвимости заняли первое место среди векторов первоначального доступа в прошлом году, фишинг снова стал самой распространенной точкой входа для кибератак, отвечая за 23% всех первоначальных доступов. Подпитываемые генеративным ИИ, фишинговые кампании теперь стали более сложными, убедительными и масштабируемыми, чем когда-либо.
- Число атак на облака растет. Почти 29% киберинцидентов были связаны с облачными средами , причем 21% из них нанесли эксплуатационный ущерб облачным средам или активам, поскольку злоумышленники внедрялись в неправильно настроенные среды для сканирования обширных сетей в поисках ценных данных.
- ИИ ускоряет жизненный цикл атаки – Злоумышленники используют методы на основе ИИ для более убедительных фишинговых кампаний , автоматизируют разработку вредоносного ПО и ускоряют продвижение по цепочке атак , что делает кибератаки более сложными для обнаружения и более быстрыми для выполнения. В контролируемом эксперименте исследователи из Подразделения 42 обнаружили, что атаки с помощью ИИ могут сократить время до эксфильтрации всего до 25 минут.
Почему кибератаки успешны — злоумышленники используют сложность, пробелы в видимости и чрезмерное доверие. В отчете подчеркиваются три основных фактора, которые позволяют противникам добиться успеха:
Сложность убивает эффективность безопасности — 75% инцидентов имели доказательства в журналах, но разрозненность препятствовала обнаружению .Пробелы в видимости позволяют атакам оставаться незамеченными. 40% инцидентов в облаке были вызваны неконтролируемыми облачными активами и теневыми ИТ-ресурсами, что облегчает злоумышленникам горизонтальное перемещение.Избыточное доверие делает атаки более разрушительными — 41% атак использовали чрезмерные привилегии , что позволяло осуществлять горизонтальное перемещение и привилегированную эскалацию.
Злоумышленники переписали свои сценарии, используя ИИ, автоматизацию и многоцелевые стратегии атак, чтобы обойти традиционные защиты. Время между первоначальным взломом и полномасштабным воздействием сокращается, что делает быстрое обнаружение, реагирование и устранение критически важными. Ключом к опережению в 2025 году является проактивная защита сетей, приложений и облака, а также расширение возможностей операций по обеспечению безопасности с помощью обнаружения и реагирования на основе искусственного интеллекта для обеспечения полной прозрачности и более быстрого устранения угроз.
Защитникам необходимо адаптироваться по мере развития стратегии атакующих. Будьте в курсе событий, просмотрите Глобальный отчет о реагировании на инциденты 2025 года Unit 42 .
здесь: https://start.paloaltonetworks.com/unit-42-incident-response-report.html