Тренды в ИБ
Ирина Зиновкина
Руководитель направления аналитических исследований, Positive Technologies
Мировой рынок
Рост спроса на ИИ в кибербезопасности
ИИ может выполнять задачи на всех этапах обеспечения ИБ: он ассистирует специалисту, берет на себя рутину и повышает эффективность обнаружения угроз. Постепенно роль технологий искусственного интеллекта в защите будет расширяться: ИИ полноценно займет место второго пилота, а в перспективе полностью автоматизирует отдельные процессы. Например, можно будет создавать беспилотные SOC. Это касается как зарубежных, так и российских решений.
Развитие рынка киберстрахования
Быстрая компенсация и помощь в кризисных ситуациях (например, услуги по реагированию на атаки, консультации и восстановление после инцидентов) помогают минимизировать ущерб для бизнеса. Появляются новые виды покрытий — например, для убытков от атак на цепочки поставок и репутационных потерь.
Кроме того, в некоторых юрисдикциях наличие киберстраховки рекомендуется или становится обязательным условием для соответствия нормам законодательства.
Акцент на защите облаков
Компании активно используют cloud-сервисы и гибридные архитектуры, сочетающие локальные дата-центры и облачные ресурсы. Так что защита облаков и гибридных сред — одно из ключевых направлений развития рынка в 2026 г.
Отдельно отмечу тренд на развитие соответствующих средств защиты — например, облачных SIEM.
Защита ИИ — приоритет для малого и среднего бизнеса
Малый и средний бизнес применяет ИИ повсеместно — от кодинга и создания медиаконтента до разработки новых лекарств.
При этом ИИ-модели, встроенные в процессы защиты, могут не только становиться целью атак, но и быть источником угроз. Компании внедряют генеративные ИИ для автоматизации и ускорения разработки, а также для проектирования ИТ-продуктов, решений и модулей на всех уровнях производства, начиная с аппаратного. В обозримом будущем это может привести к появлению новых и росту числа уже известных уязвимостей в информационных системах, для разработки которых применялся ИИ.
Безопасная разработка — всему голова
Внедрение искусственного интеллекта в разработку (в формате low- и no-code-платформ, ассистентов и полностью автономных агентов) приводит к росту объемов выпускаемого кода. При этом недостаточный контроль результатов и отсутствие проверок безопасности влекут за собой рост числа уязвимостей в коде и недостатков защиты API, а также раскрытие конфиденциальных данных в открытых репозиториях.
Соответственно, развивается рынок решений по безопасной разработке. Основной тренд — интеграция безопасности в процессы DevOps, что выражается в автоматизации проверки кода, конфигураций и зависимостей на наличие уязвимостей на всех этапах жизненного цикла разработки (DevSecOps).
Российский рынок
Ужесточение законодательства в сфере кибербезопасности
В последние годы в России наблюдается значительное усиление нормативно-правовой базы, регулирующей вопросы ИБ. Это связано с ростом числа кибератак, развитием цифровизации и необходимостью защиты критической информационной инфраструктуры.
Развитие комплексных платформ защиты
По нашим данным, в 39% российских компаний были выявлены следы присутствия известных APT-группировок, а в 35% организаций злоумышленники смогли зашифровать или уничтожить информацию и нарушить бизнес-процессы. Стоит отметить, что активность APT-группировок и вымогателей, направленная против российских компаний, не прекратится даже в случае нормализации геополитики. Киберпреступники продолжат операции, нацеленные на промышленный шпионаж и нанесение ущерба критической инфраструктуре.
Поэтому развиваются комплексные платформы защиты информации, объединяющие различные функции кибербезопасности в единую систему.
Акцент на защите IoT-систем
Безопасность IoT-систем остается на низком уровне. Киберпреступники продолжат наращивать темпы атак на них для похищения данных и нарушения работы предприятий.
Кроме того, IoT является важной составляющей не только производств, но и умных городов, домов и транспорта, особенно в условиях развивающегося автопилотирования. Атака на такие системы нарушит дорожное движение и логистику, вызовет панику и нанесет физический вред жителям.
Рост популярности MDR
Все популярнее становятся управляемые сервисы безопасности (MDR), обеспечивающие круглосуточный мониторинг и реагирование, — особенно у малого и среднего бизнеса. Этому способствуют дефицит квалифицированных кадров и сложность современных киберугроз. MDR экономически эффективны, так как создание и поддержка собственного SOC требуют значительно больших инвестиций.
Кроме того, в ближайшие годы нас ожидает вал шаблонных атак на малый и средний бизнес. Низкоквалифицированные киберпреступники будут искать компании, пренебрегающие своей безопасностью.
Еще один интересный факт: сервисная модель развивается на рынке не только кибербезопасности, но и преступных киберуслуг. Злоумышленники в дарквебе продают услуги для каждого шага кибератаки, будь то распространение первоначальных доступов или подписка на готовое ВПО.
Снижение темпов импортозамещения
Новому отечественному ПО необходимо время для наращивания необходимого функционала, а также избавления от «детских болезней», которые могут эксплуатировать киберпреступники. В целом российские компании ожидают смягчения требований по резкому переходу на отечественные решения, а также предоставления дополнительного времени на такой переход.
Процент применения зарубежного ПО в России остается высоким, а кроме того, страна пока зависима от импорта аппаратных средств. Несмотря на активные государственные инвестиции в микроэлектронику, в ближайшие пять лет проблема не решится.
Топ-5 стран-партнеров для PT
Евгения Попова
Директор по международному бизнесу, Positive Technologies
Индонезия: инвестиции в развитие человеческого капитала
Основной лейтмотив нашего партнерства с компаниями в Индонезии — это развитие человеческого капитала. Мы активно вовлечены в коммуникацию с локальными провайдерами ИТ-решений и услуг, агентством по кибербезопасности BSSN и представителями крупного бизнеса, который уже не понаслышке знает о влиянии кибератак на целые отрасли. Совместно с партнерами мы запустили программу по подготовке студентов на базе технических университетов — например, Universitas Gadjah Mada, Universitas Muhammadiyah Jakarta, Universitas Nahdlatul Ulama Nusa Tenggara Barat. Ядро проекта — тренажер-симулятор, на котором студенты проходят практические задания, отрабатывая навыки реагирования и расследования инцидентов. Наша локальная команда состоит из граждан Индонезии, поэтому поддержка на индонезийском бахаса обеспечена.
Вьетнам: в центре повестки суверенитет
Наши предложения по защите государственного суверенитета находят отклик у компаний во Вьетнаме. Их доверие к нам помогает выстраивать совместные проекты по защите ключевых отраслей страны. Так, один их наших флагманских продуктов — NGFW — был внедрен во Вьетнаме практически одновременно с первыми коммерческими внедрениями в России.
ОАЭ: философия лидерства и хаб на Ближнем Востоке
ОАЭ для Позитива — это прежде всего комфортная среда для ведения бизнеса со всем Ближневосточным регионом. Именно там сформировалась наша самая многочисленная команда за пределами стран — соседей России. Привлекательность ОАЭ — в ее открытости, нейтральном отношении к иностранцам и государственной политике в области цифровизации и кибербезопасности. Именно эта наработанная за десятилетия традиция привлекать лучшие компании со всего мира (в том числе для участия в отраслевых публичных мероприятиях, таких как ИТ-выставки-конференции GISEC и GITEX) помогает нам выстраивать отношения с бизнес-сообществом в регионе, а также поставлять ИБ-решения как для финансового сектора, так и для промышленных компаний.
Иран: стратегическому партнерству быть
Иран, будучи стратегическим партнером России по многим направлениям, является перспективным рынком для Позитива. Геополитическая обстановка вокруг Ирана и России вносит определенную турбулентность в планирование сотрудничества с местными поставщиками решений в области кибербезопасности, однако локальный бизнес уже хорошо адаптировался и взвешенно подходит к выбору вендоров и технологических решений, которые будут приобретаться для внедрения внутри страны. Решения Позитива были рекомендованы агентством по кибербезопасности AFTA, что укрепило нашу репутацию среди партнеров и заказчиков в Иране, а наличие локального представителя упростило техническую поддержку и коммуникацию на языке фарси.
Мексика: испанский язык определяет возможности
Не каждый предприниматель из России готов заходить так далеко в развитии международного бизнеса, как в Мексику, — в буквальном смысле… А Позитив зашел! Понимая, что Мексика — это ключевой рынок в Латинской Америке, мы обратились с предложением о сотрудничестве к местному бизнесу, обеспечив инструменты коммуникации на испанском языке. Сейчас наш локальный представитель, гражданин Мексики, поддерживает работу с другими испаноговорящими странами в Латинской Америке. Также он оказывает техническую поддержку первым заказчикам, которые выбрали решение по мониторингу сетевого трафика от Позитива для внедрения в компании с критической информационной инфраструктурой.
Топ-5 подарков для хакера, или Что нужно проверить в своей инфраструктуре в первую очередь
Алексей Леднев
Руководитель экспертизы PT Expert Security Center (PT ESC), Positive Technologies
- Трендом последних нескольких лет, несомненно, стали уязвимости в конфигурациях Active Directory Certificate Services (AD CS). Самые опасные из них позволяют злоумышленнику повысить свои привилегии в домене: после попадания в инфраструктуру атакующий фактически захватывает домен за пару шагов. Обязательно проверьте свою инфраструктуру, чтобы не оставлять подарков для хакера (утилита Certipy может в этом помочь 😉).
- Вторая распространенная проблема по счету, но не по значимости — слабые пароли. В каждой компании есть сотрудники, которые считают, что пароль Pbvf2025! (Зима2025! в русской раскладке) является хорошим решением, которое еще и легко запомнить. Каждый думает, что это уникальная идея, но, как правило, в одной компании такие «уникальные» идеи приходят в голову еще нескольким десяткам, а то и сотням пользователей. Идеально для атаки password spraying. Также часто администраторы используют «стандартные» пароли и для сервисных учетных записей — привет, атака kerberoasting! Обязательно анализируйте свою текущую парольную политику и периодически проверяйте пароли на надежность и утечки. Это можно делать вручную через брут базы доменных пользователей (ntds.dit) или использовать специализированные решения.
- Еще одна нестареющая классика — relay-атаки. Они также позволяют хакерам в случае попадания в инфраструктуру быстро улучшить положение и захватить новые ресурсы. Благо уже давно существуют встроенные защитные механизмы — осталось только убедиться, что они включены. Проверьте, включены ли в вашей инфраструктуре механизмы SMB Signing, LDAP Signing, LDAP Channel Binding и схожие для противодействия relay-атакам.
- В этом пункте речь пойдет о том, что за последние несколько лет стало стандартом безопасности де-факто, — об использовании второго фактора. Сейчас происходит много утечек, а пользователи часто применяют одинаковые пароли. Ну или, как в одном из пунктов выше, пароль может быть не таким уникальным, как задумывал пользователь. Все это также подарок для злоумышленника, так как он может получить доступ к почте, корпоративным ресурсам или даже попасть внутрь инфраструктуры. Доступ ко всем внешним сервисам (а еще лучше и к критичным сервисам внутри) должен быть с использованием 2FA. Сделайте это, и злоумышленнику будет в разы сложнее преодолеть ваш периметр — придется искать уязвимости, применять фишинг или же идти на другие ухищрения.
- Последний пункт в этом топе, но не в жизни: проверяйте общие корпоративные ресурсы и вводите политики/правила их использования. Пользователи часто используют сетевые папки для обмена чувствительными данными. На практике я не раз сталкивался с ситуацией, когда злоумышленник находил давно всеми забытый бэкап контроллера домена на публичной сетевой шаре. Вместо атаки ему достаточно было просто осмотреться. Если ввести политику автоочистки таких папок, шансы «забыть» что-то важное уменьшаются. Это лишь один из способов, подходящий нужно подбирать, учитывая особенности инфраструктуры. Но одно понятно точно: не стоит оставлять таких подарков хакерам. Удачи!
Топ-5 хорошо известных техник атак и уязвимостей, через которые можно взломать инфраструктуру
Владислав Дриев
Ведущий специалист отдела наступательной безопасности PT ESC, Positive Technologies
Уязвимость родом из нулевых — это миф или реальность? Как показывает практика — реальность. Ниже мы приводим хорошо известные техники атак, которые продолжают развиваться, порождать новые исследования и успешно работают при автоматизированном тестировании на проникновение.
NTLM Relay
Одной из таких техник стала атака NTLM Relay, известная с нулевых. Думаем, многие также помнят ее под именем SMB Relay. И казалось бы, что нового там можно придумать? Но за последние годы было опубликовано несколько исследований, которые показывают расширение возможностей Relay на другие протоколы: HTTP, WinRMS, LDAP, MSSQL. Эта техника отлично работает в современных инфраструктурах и позволяет повышать привилегии атакующего вплоть до администратора домена.
Помимо расширения плоскости атаки, появляются и другие опасности — например, по-настоящему серьезная уязвимость CVE-2025-33073, в результате эксплуатации которой может быть скомпрометирован любой узел в домене AD. Но для этого нужны определенные условия, в том числе отсутствие принудительного требования подписи SMB. Примечательно, что рекомендация включать его известна еще с нулевых — как раз для защиты от NTLM Relay. Соответственно, если вы вовремя приняли меры, вам не будет страшна ни «классическая», ни новая угроза.
NBNS LLMNR Spoofing
Атаки не существуют в вакууме друг от друга. Для реализации NTLM Relay нужны вспомогательные техники — например, NBNS/LLMNR Spoofing. В ее основе простейшая концепция: узел пытается обнаружить IP-адрес сервиса, используя мультиадресный NBNS- или LLMNR-запрос. Атакующий отвечает на любой такой запрос своим IP-адресом. Узел пробует пройти аутентификацию на IP-адресе атакующего. Злоумышленник получает хеш пароля учетной записи, который можно отправить на восстановление по словарю. А в момент установления сессии атакующий может выполнить NTLM Relay, о последствиях которой мы уже упоминали.
Техника также известна с нулевых годов и до сих пор отлично работает в продовых инфраструктурах. Хотя, казалось бы, для защиты от нее существуют понятные и давно известные рекомендации: откажитесь от использования LLMNR/NBNS, если это возможно, и ограничьте сегмент распространения мультиадресных запросов.
Дамп SAM и SECURITY
После успешно проведенных атак NBNS/LLMNR Spoofing и NTLM Relay злоумышленник зачастую может получить SMB-сессию с привилегиями администратора на целевом узле. Но тут встает вопрос: что делать дальше? Скорее всего, первое, что придет на ум, — дамп lsass. Но нет, современные антивирусные решения достаточно хорошо защищают от этой атаки.
Наиболее вероятно сдампить ветки реестра HKLM\SAM и HKLM\SECURITY и извлечь оттуда учетные данные. Но современные EDR при определенных настройках защищают и от этого. Однако тут стоит уточнить, что зачастую в инфраструктуре настройки применены не ко всем узлам, и классический дамп реестра через reg save отлично работает. А там, где это не получается, всегда работают более продвинутые способы. Поэтому данной техникой атакующие до сих пор активно пользуются.
Переиспользование учетных данных
Самое логичное, что можно сделать после получения первых учетных данных в инфраструктуре, — попробовать их на всех доступных узлах и сервисах. Ведь самое слабое звено в ИБ — человек. Люди любят удобство, а использовать один пароль для всех сервисов однозначно просто и удобно. С помощью техники переиспользования учетных данных можно скомпрометировать различные сервисы, в том числе Active Directory.
Периодически встречаются интересные случаи. Например, когда пароли локального и доменного администраторов совпадают. Или пароли используются по типам оборудования: для камер — один пароль, для сетевого оборудования — другой, для систем резервного копирования — третий. Такая настройка — желанная находка для атакующего. Рекомендация по защите простая: используйте разные пароли и применяйте лучшие практики для их генерации. А для хранения используйте менеджеры паролей.
Уязвимости в центре сертификации AD
После успешного использования описанных техник атакующий может иметь привилегии администратора домена или скомпрометировать несколько важных серверов. По крайней мере, у него на руках будет несколько учетных записей с разными правами. С их помощью можно провести разведку шаблонов центра сертификации AD, зачастую там можно обнаружить ошибки в конфигурациях. И атакующий повысит свои привилегии в домене AD.
Казалось бы, эта техника была опубликована в 2021 г., но до сих пор часто применяется. Почему? Во-первых, появляются новые векторы атаки — например, опубликованный в 2024 г. ESC15. Во-вторых, большинство известных векторов обусловлены именно проблемой в настройке шаблона, а если по-простому — проблемой в одной галочке при настройке. Бывает, что по результатам проведения пентеста такие шаблоны не исправляют, а просто отключают. Но позже либо включают снова, либо создают новый шаблон, скопировав конфигурацию уязвимого. И проблема остается нерешенной.
Список техник можно продолжить, но в большинстве случаев именно этих пяти достаточно для повышения привилегий. Чтобы не стать жертвой, достаточно регулярного пентеста — даже автоматизированного.
Топ-5 целей злоумышленника при реверс-инжиниринге мобильных приложений
Николай Анисеня
Руководитель отдела перспективных технологий, Positive Technologies
Реверс-инжиниринг — обязательный этап любой атаки на мобильное приложение. Неважно, какие у вас дальнейшие цели, интересует вас клиентская часть или серверная, будете вы использовать статический или динамический анализ. Прежде чем сделать что-то с приложением, нужно понять, как оно устроено.
Реверс-инжиниринг мобильных приложений — очень простая задача, в особенности Android-приложений. Достать программу из устройства, получить код, близкий к исходному, натравить на приложение сканер или основанного на LLM ИИ-агента — все это атакующий может сделать за пять минут и отправиться смотреть сериал, пока техника работает. По итогу злоумышленник сможет читать код приложения как открытую книгу, в которой уже сделали пометки с интересными местами.
Реализация техник защиты от реверс-инжиниринга в мобильных приложениях из года в год остается на низком уровне. За 10 лет работы мне встретилось ровно одно приложение, чью «броню» не удалось преодолеть за выделенное на проект время. Однако даже в этом случае защита не помешала найти критичную уязвимость с исполнением кода на сервере.
На западе к этому подходят серьезнее, но даже там среднестатистическое мобильное приложение крайне легко разреверсить. А в России ситуация еще хуже: большинство даже не понимают ценности такой защиты. И хотя ситуация понемногу меняется, мы все еще находимся в роли догоняющих.
Меня периодически спрашивают: в чем смысл использовать продукты класса Application Shielding / In-App Protection, если реверс-инжиниринг все равно невозможно запретить? Дело в том, что подобная защита не исключает реверс-инжиниринга, но может кратно и даже на порядки увеличить его стоимость. Проведу аналогию с более привычным продуктом — межсетевым экраном. Регулярно появляются новые способы обойти WAF, чтобы доставить полезную нагрузку далее, но это не делает такую защиту бесполезной. Любой, кто хотя бы раз сталкивался с анализом приложений под WAF, знает, насколько это трудоемкий, болезненный и долгий процесс по сравнению с пентестом голого стенда.
Разобраться в том, зачем защищаться, может помочь взгляд атакующего. Давайте посмотрим, какие цели могут преследовать злоумышленники при реверс-инжиниринге мобильного приложения.
Поиск уязвимостей: в клиентской и серверной частях. Невозможно искать уязвимости в мобилке, не выполнив хотя бы базовых действий реверс-инженера: декомпиляция, получение трафика, запуск под инструментацией. Если не защищаться от этих действий, то последствия могут быть плачевными — как у австралийского сотового оператора Optus, допустившего утечку данных 10 млн пользователей из-за уязвимости в API мобильного приложения. Или как у тысяч приложений, которые в открытом виде хранят в своем коде секреты от API Twitter, что может привести к краже аккаунтов. К тому же API мобильных приложений полюбились создателям ботов и скрапперов.
Создание вредоносных клонов. С 2022 г., когда приложения многих банков были удалены из AppStore и Google Play, появилось множество вредоносных клонов банковских приложений. С такими приложениями сталкивался каждый третий пользователь, а некоторые даже потеряли деньги. При чем тут реверс-инжиниринг? Да при том, что для создания качественного клона, неотличимого обычным пользователем от оригинала, с внедренным туда вредоносом необходимо перепаковать приложение банка. Перепаковка — одна из техник динамического анализа, используемая при реверс-инжиниринге. В итоге пользователь получит полноценное банковское приложение и будет им активно пользоваться, а атакующий получает жертву на крючке, которую можно обокрасть в любой момент.
Изучение бизнес-логики и кража интеллектуальной собственности. Ни одна компания не признается вам в том, что ворует идеи у конкурентов. Но все мы видим, как успешно распространяются удачные идеи: от дизайна до технологий. Отличный способ ускорить процесс — реверс-инжиниринг, ведь это буквально возможность заглянуть под капот и скопировать ноу-хау.
Кража рекламных доходов или отключение рекламы. Многие приложения и игры монетизируются через показ рекламы. Злоумышленники это понимают, поэтому могут создавать и распространять модификации популярных приложений с отключенной или подмененной рекламой. Подмена рекламного идентификатора ведет к прямым финансовым потерям бизнеса, ведь доход от рекламы уходит атакующему. Техника все та же — перепаковка с измененным кодом.
Разблокировка платных функций, создание читов — еще одна цель перепаковки приложений. Бесконечные алмазы, бесконечные жизни, wall hack или aim hack, дающие преимущество в онлайн-шутерах, — вот лишь первые три угрозы, что приходят на ум. Может показаться, что бояться стоит только играм, но вспомните, сколько еще приложений предоставляют платную функциональность за подписку: менеджеры паролей, трекеры тренировок, трекеры задач и многое другое. Большинство таких приложений уже содержат в себе всю платную функциональность, которую можно бесплатно разблокировать простой перепаковкой.
