2024 год стал переломным в сфере киберугроз: хаотичные атаки сменились точечными операциями. Хакеры используют старые уязвимости в новых сценариях, атакуя через публичные интерфейсы, VPN и цепочки поставок. Более 40% компаний пострадали от ransomware — и чаще всего виноваты базовые ошибки.

Основные векторы атак:

• 39% инцидентов начинались с компрометации публичных сервисов: веб-интерфейсов, почты, VPN.
• 31% — с утечки или подбора учетных данных.
• 12% — через подрядчиков и IT-аутсорсеров (supply chain-атаки).

Хакеры активно используют легитимные инструменты и техники Living off the Land: PowerShell, PsExec, AnyDesk, DNS-туннелирование и планировщик задач. Это позволяет обходить защиту и затрудняет обнаружение атак даже при наличии EDR.

Что ломали и как: Атаки стали многофазными: разведка, повышение привилегий, закрепление, шифрование или эксфильтрация данных. Среднее время захвата инфраструктуры — 30–50 часов. 20% атак были полностью автоматизированы. Применялись известные эксплойты к уязвимостям Microsoft, Cisco, OpenSSH (в том числе Zerologon и regreSSHion). Причины — устаревшие системы, слабые пароли и избыточные права.

Фишинг и инсайдеры: В 2024 году фишинг стал точечным. Письма шли от имени HR, ИБ или партнеров, применялся pretexting, иногда — deepfake-звонки. Ссылки вели на легитимные облачные сервисы, что позволяло обходить фильтры.

Сферы риска:

• Промышленность (24%) — из-за слабой сегментации IT и OT.
• Госсектор (16%) — из-за устаревшей инфраструктуры.
• Финансовые организации (13%) — из-за высокой ценности данных. Почти половина атак пришлась на СНГ. Но тренд глобален — точечные, длительно подготавливаемые кампании.

Почему защита не сработала:

• Отсутствие обновлений и контроля патчей.
• Слабые пароли и отсутствие MFA.
• Избыточные права в Active Directory.
• Недостаточный мониторинг и сегментация сети.
• EDR и SIEM либо не покрывали сеть, либо не использовались эффективно.

Что делать в 2025 году:

• Обновить системы, отключить устаревшие сервисы.
• Внедрить MFA, ограничить вход по геолокации/устройствам.
• Пересмотреть права и навести порядок в AD.
• Внедрить XDR/NDR, MITRE ATT&CK, логирование и анализ поведения.
• Проводить пентесты, моделирование атак.
• Подготовить план реагирования и восстановления.

А может ли помочь ИИ? ИИ ускоряет анализ и обнаружение, но не заменяет архитектуру безопасности. Он не видит контекста и не отличит легитимное действие от атаки, маскирующейся под системный процесс.

Вывод:
В 2025 году ставка — не на ИИ, а на дисциплину, зрелость процессов и готовность встретить угрозу на своих условиях. Старые уязвимости в новых руках — главная угроза. И если компания не внедряет базовые меры защиты, последствия неизбежны.

^{Подробности на https://www.it-world.ru}