Алексей Варлаханов

Если еще два-три года назад основной целью злоумышленников было шифрование данных ради выкупа или кража баз для последующей продажи на теневых форумах, то теперь ландшафт принципиально иной. По данным экспертов Angara MTDR, хакерские группировки перешли к тактике «выжженной земли»: от демонстративного эффекта они уходят в сторону целенаправленного нанесения максимального ущерба конкретным российским организациям — с упором на нарушение процессов, потерю данных и долгосрочные последствия для бизнеса. Фокус сместился на отрасли, где сбой быстро оборачивается реальным ущербом для людей и экономики. Так, наиболее заметными в 2025 году стали атаки на телеком-провайдеров, авиаперевозчиков, транспортные компании и электронные торговые площадки.

Среди применяемых хакерами инструментов лидируют криптовирусы (44%) и вайперы (32%) — вредоносное ПО, безвозвратно разрушающее данные без возможности восстановления. Это не побочный ущерб, а целенаправленная стратегия, нацеленная на долгосрочный паралич бизнеса, нарушение цепочек поставок и разрушение критических сервисов.

Масштаб угрозы продолжает нарастать. Исследование Angara MTDR, построенное на реальных инцидентах 2024 — первого полугодия 2025 года, выявило тревожные закономерности: у 67% компаний были зафиксированы случаи компрометации корпоративных учетных записей, причем в 4% из них злоумышленникам доставалась связка логин/пароль, позволяющая напрямую проникнуть в инфраструктуру. В 52% случаев обнаружены упоминания компаний в мошеннических схемах на форумах в даркнете и в закрытых Telegram-группах. А 67% упоминаний на хакерских форумах — это целенаправленный поиск инсайдеров для проведения атак. Злоумышленники активно автоматизируют атаки: почти 50% кибератак переходят к финальной фазе за срок до двух недель, в среднем — за 3-4 дня. Для сравнения: в 2022 году на это уходило 16 дней, а в 2012-м — 243.

Почему классические методы оценки теряют актуальность

Традиционно для проверки устойчивости ИТ-периметра использовались два подхода: тестирование на проникновение (Pentest) и Red Teaming. Пентест — это «спринт», где за ограниченное время ищутся эксплуатируемые уязвимости по заранее согласованному сценарию. Редтим — «марафон» с элементами скрытности, эмулирующий поведение реальной APT-группировки. Оба формата критически важны, особенно для объектов критической информационной инфраструктуры (КИИ) и организаций, поднадзорных Банку России. Но у таких методов анализа защищенности есть фундаментальное ограничение: они дискретны. Проверка проходит раз в квартал, полгода или год.

Проблема в том, что скорость изменения ИТ-ландшафта и тактик атакующих сегодня исчисляется даже не днями, а часами. По данным Angara MTDR, в трети случаев (33%) злоумышленники получали первоначальный доступ в корпоративные сети, используя украденные или подобранные учетные данные, — этот вектор сместил с первого места традиционный фишинг (8%). Получается парадокс: как только пентестеры покидают периметр, в инфраструктуре происходят изменения, появляются новые уязвимости, и уже через короткое время оценка перестает быть релевантной. При этом, по данным Angara MTDR, почти половина атак (48%) переходят к своей финальной фазе за срок до двух недель, а медианный показатель составляет всего 3-4 дня. Компании нужны не только «фотоснимки» состояния защиты, но и непрерывное «видеонаблюдение».

BAS: робот, который думает как хакер

Рынок ответил на этот вызов появлением класса решений Breach & Attack Simulation (BAS). Это не замена живому интеллекту эксперта, а автоматизированный инструмент, закрывающий слепую зону между дорогостоящими ручными проектами.

Если отбросить маркетинговые наслоения, BAS-система решает конкретную прикладную задачу: верификацию средств защиты в режиме 24/7. Она не ищет гипотетические zero-day уязвимости, а методично проверяет, работают ли уже внедренные защитные механизмы. По сути, это роботизированный пентестер, который по расписанию имитирует действия злоумышленника по цепочке Cyber Kill Chain и смотрит, детектирует ли его ваша SIEM, блокирует ли трафик NGFW и срабатывает ли антивирус на хосте.

Глобальный рынок BAS переживает взрывной рост. По оценкам аналитиков, его объем увеличится с примерно 9,5 млрд долларов в 2025 году до более чем 45 млрд к 2032 году при среднегодовом темпе роста около 25%. Это подтверждает, что бизнес больше не готов полагаться исключительно на «бумажную» безопасность отчетов — требуется непрерывная валидация на уровне конкретных техник MITRE ATT&CK.

От процесса к результату

Ручной пентест по-прежнему незаменим, когда речь идет о нестандартной логике атаки, сложной социальной инженерии или глубокой экспертизе специфического веб-приложения. Редтим бесценен для тренировки команды SOC и проверки оркестрации процессов реагирования. BAS же берет на себя рутину — то, что в пентесте называется «прогнать чек-лист».

Современная зрелая стратегия киберустойчивости выглядит так: редкие, но глубокие погружения силами Red Team, регулярные синхронизированные пентесты и непрерывный автоматизированный контроль BAS-платформой. Именно такой комплексный подход позволяет не просто реагировать на инциденты, а выстраивать превентивную оборону. В реалиях, где злоумышленники перешли к тактике тотального уничтожения данных, где каждая минута простоя критичных систем стоит бизнесу репутации и денег, а среднее время полного цикла атаки сократилось до 3-4 дней, непрерывность контроля становится не просто опцией, а прямой необходимостью.

Источник: