ИБ в 2025-м: год, когда изменились правила игры
2025 год стал во многом переломным для кибербезопасности: кибератаки ускорились, автоматизация защиты вышла на новый уровень, а регуляторы ужесточили требования к корпоративным системам. Cyber Media разбирает ключевые тенденции, которые определили этот год: от трансформации TTP злоумышленников до реальной адаптации Zero Trust и новых нормативных требований.
Содержание статьи:
- Новый ландшафт угроз: как изменились TTP злоумышленников
- SOC 2.0: ИИ становится ядром, но приносит новые риски
- Цепочки поставок под давлением: DevOps, API и MSP как новые точки уязвимости
- Zero Trust на практике: от лозунгов к обязательному минимуму
- Регуляторика и ее на корпоративную безопасность
- Заключение
Новый ландшафт угроз: как изменились TTP злоумышленников
В 2025 году обнаружился сдвиг в тактике киберпреступников: атаки стали быстрее, умнее и гораздо менее предсказуемыми. Злоумышленники больше не полагаются на статичные плейбуки — они адаптируют операции под конкретную инфраструктуру, подстраиваясь под реакцию защитных систем в реальном времени.
Одним из наиболее ярких изменений стал скачок в автономизации атак. ИИ-модули теперь используются не только для генерации фишинга или подбора эксплойтов, но и для принятия решений в ходе атаки. Алгоритмы оценивают, какие сервисы наиболее уязвимы, какой маршрут проникновения даст минимальный шум, и динамически перестраивают цепочку действий. Это лишает защиту привычного ориентира — «почерка» оператора — и делает кампании заметно фрагментированнее и сложнее для корреляции.
Сергей Слепцов
Главный аналитик экспертно-аналитического центра ГК InfoWatch
В текущем году стоит отметить усложнение методов атак на наиболее значимые организации, поиск уязвимостей в отечественном ПО, замещавшим западные продукты, рост фишинговых кампаний. Хакеры все чаще применяют искусственный интеллект для разведки, автоматизации процессов атак путем использования сразу нескольких техник, генерации фишинговых сообщений и вредоносного кода.
Кроме этого, злоумышленники все чаще проводят комбинированные атаки на гибридные инфраструктуры, как на on-premise сегмент, так и на облачное размещение. Растет доля атак с целью вымогательства, в том числе широко распространяется услуга даркнета — вымогательство, как сервис (Ransomware as a service). Также необходимо отметить, что менее защищенные организации, к таковым относятся, в частности, предприятия малого и среднего бизнеса, привлекают все большее внимание злоумышленников.
Параллельно усилилось латеральное перемещение в инфраструктуре. Атаки все чаще проходят через внутренние API, межсервисные токены, ephemeral-контейнеры и легитимные каналы, которые традиционные средства мониторинга считают «нормой». Латерал перестал быть последовательным маршрутом. Он превратился в распределенную сетку, в которой множество точек могут служить одновременно и входом, и укрытием.
Сергей Бочкарев
Генеральный директор компании «АйТи Бастион»
Наиболее эффективными средствами защиты в текущих условиях остаются:
Современный подход к кибербезопасности смещается в сторону превентивного реагирования и проактивной защиты: сейчас уже недостаточно просто собирать данные и анализировать их постфактум. Скорость проникновения преступников в инфраструктуру значительно возросла, поэтому и реакция защитной стороны должна быть максимально быстрой.
- защита конечных точек;
- контроль привилегированного доступа с помощью PAM-систем;
- поведенческая аналитика действий пользователей;
- привлечение к анализу и реагированию SOC-и — как собственные, так и внешние.
Общий вывод закономерен: TTP становятся модульными, гибкими и частично автономными. Классическое понимание «кампании» теряет актуальность — атаки теперь похожи на набор быстро комбинируемых элементов. Для защитников это означает одно: упор смещается на выявление слабых сигналов, поведенческую аналитику и постоянное пересечение данных из разных доменов. В 2025 году эффективны те SOC, которые учатся распознавать структуру атаки задолго до того, как она принимает привычную форму.
SOC 2.0: ИИ становится ядром, но приносит новые риски
В 2025 году ИИ окончательно и бесповоротно перестал быть вспомогательным инструментом SOC. Он стал центральным узлом, через который проходят почти все процессы detection & response: от первичной фильтрации событий до формирования гипотез по инцидентам. Компании перестроили работу так, чтобы аналитики взаимодействовали уже не с «шумом», а с обработанными выводами моделей, а расследования запускались автоматически при появлении сложных корреляций.
Ключевым сдвигом стал переход от ручного триажа к полуавтономным расследованиям. ИИ берет на себя большую часть подготовки инцидента к анализу: собирает логи, связывает связанные события, анализирует последовательность действий и предлагает вероятные сценарии атаки. Аналитик подключается позже — как эксперт, который проверяет гипотезу и принимает финальное решение, а не как оператор, механически перебирающий события.
Игорь Плотников
Руководитель направления развития сервисов ИБ T1 Облако
ИИ позволяет разгрузить первую линию L1 мониторинга инцидентов ИБ — более оперативно реагировать на поступающую информацию, генерировать карточку инцидента и собрать необходимые логи, выступая аналогом L0 линии мониторинга. При грамотном обучении ИИ также помогает аналитикам L2-L3 более оперативно анализировать логи инцидентов ИБ, избавляя специалистов SOC от рутинной работы: ИИ дает им возможность развивать свои аналитические и профессиональные навыки, тем самым оказывая более качественный и оперативный сервис. При поддержке ИИ роль человека сводится к контролю поступающей информации и творческому мышлению для анализа инцидентов, что дает экспертам больше времени на перепроверку гипотез и более расширенный поиск следов иных угроз и подозрительной активности.
Но вместе с этим ускорением появились и новые вызовы. SOC пришлось учитывать риски, которых раньше просто не существовало.
Муслим Меджлумов
Директор по продуктам и технологиям BI.ZONE
Важно помнить, что ИИ не всегда прав и не может функционировать без контроля человека. Поэтому, чтобы им пользоваться, необходима экспертиза, иначе велик риск «утонуть» в галлюцинациях.
С ростом автономности ИИ пропорционально выросли и риски. Главный из них — сама AI-инфраструктура, которую многие SOC все еще не рассматривают как поверхность атаки. Поэтому стоит уделять внимание аудиту угроз, связанных с prompt injection, data poisoning, манипуляциями входными данными и т. д.
Отдельно стоит отметить риск чрезмерного доверия к ИИ: если не внедрять многоуровневую валидацию, экспертную проверку и контроль качества моделей, можно получить ложные выводы и пропустить критические инциденты.
SOC 2.0 стал мощнее и быстрее, но одновременно — уязвимее к новым типам ошибок и злоупотреблений. Поэтому в 2025 году в зону ответственности ИБ вошло новое направление: полноценный жизненный цикл безопасности моделей — от контроля дрейфа до аудита и защиты всех звеньев MLOps.
Цепочки поставок под давлением: DevOps, API и MSP как новые точки уязвимости
В 2025 году атаки на цепочки поставок перестали быть исключением и стали рутиной. Злоумышленники переключились с прямого взлома компаний на компрометацию инфраструктуры, через которую проходят обновления, конфигурации, доступы и сервисные операции. Вектор стал шире, глубже и заметно ближе к «сердцу» корпоративных процессов.
Особенно уязвимыми оказались DevOps-конвейеры. Атаки стали точнее и ориентированы не на финальный артефакт, а на инструменты, которые обеспечивают сборку и доставку кода. Компрометация CI/CD стала способом незаметно внедрять вредоносные зависимости, подменять манифесты контейнеров или перехватывать секреты, используемые в пайплайнах. Для многих компаний именно DevOps стал «невидимым периметром» — важным, но плохо защищенным.
Алексей Морозков
Руководитель центра управления кибербезопасностью ICL Services
Что касается API — да, это новая реальность, поскольку большая часть современных приложений построена на микросервисах и взаимодействии через API, именно они и стали основной точкой входа для злоумышленников. Тут важно понимать, что API могут возвращать больше данных, чем необходимо. Это открывает для злоумышленников потенциальные возможности собирать критическую информацию через легитимные, но плохо настроенные интерфейсы или подменять запросы.
Отдельного внимания требует и эскалация атак через MSP, подрядчиков и сервисные платформы. Компрометация поставщика теперь означает доступ к десяткам или сотням компаний сразу. Злоумышленники научились использовать доверительные отношения, чтобы получить удаленный доступ к админ-интерфейсам, конфигурационным хранилищам или инструментам удаленного управления. Выбор «точки входа» сменился: атакуют не защищенный корпоративный периметр, а подрядчика, который имеет легитимный и зачастую почти неограниченный доступ внутрь.
Дмитрий Хомутов
Директор компании Ideco
Наиболее чувствительные инциденты 2025 года начинались не внутри инфраструктуры компании, а на ее внешнем технологическом контуре: компрометация подрядчиков, DevOps-платформ, CI/CD-пайплайнов, сервисных API и MSP-интеграций. В этих условиях прежние границы периметра потеряли смысл: стало невозможно отделить «свое» от «внешнего» без точного учета, изоляции и валидации каждого подключения. Компании, которые адаптировали архитектуру под новые риски, сместили фокус с формальных процедур на техническую управляемость: они проводили полную ревизию всех внешних подключений, включая «невидимые» API и сервисные интерфейсы, выстраивали автоматизированный контроль зависимостей в DevOps-процессах, предоставляли доступ не по ролям и заявкам, а по состоянию среды и контексту подключения, изолировали зоны, с которыми работают подрядчики, а также внедряли техническую реализацию Zero Trust по отношению ко всем внешним подключениям, независимо от их статуса или направления трафика.
Главный вывод года оказался предсказуем, но болезненно очевиден: доверие по факту подключения больше не работает. Любой внешний доступ стал рассматриваться как потенциальная точка атаки — и именно это понимание определило новый подход к безопасности цепочек поставок.
В совокупности эти тенденции формируют новую модель угроз, в которой безопасность одной компании определяется не только ее собственными практиками, но и качеством защиты всех сервисов, через которые проходит код, инфраструктура и операционные процессы. 2025 год стал годом, когда цепочки поставок превратились из теоретической уязвимости в обязательный объект мониторинга.
Zero Trust на практике: от лозунгов к обязательному минимуму
Zero Trust перестал быть красивой презентационной идеей и стал частью реальной архитектуры. Компании отказались от подхода «доверяем по умолчанию», сместив внимание на постоянную проверку всех действий — независимо от расположения пользователя, устройства или сервиса. Zero Trust стал процессом, встроенным во все уровни инфраструктуры.
Наиболее внедряемыми элементами стали непрерывная проверка доступа, микросегментация и жесткое снижение доверия к внутреннему трафику. Механизмы аутентификации теперь работают как потоковый процесс, а не единоразовая проверка, сетевые домены дробятся на минимально допустимые сегменты, а внутренние сервисы больше не считаются безопасными по факту нахождения «внутри периметра». Компании начали проектировать системы так, будто компрометация любой части сети — это норма, к которой нужно быть готовыми.
Константин Янсон
Системный архитектор ICL Services
Важнейшим принципом архитектуры Zero Trust является необходимость защиты всех сетевых взаимодействий вне зависимости от расположения пользователя. Громкие атаки «известных» компаний в 2025 году только подтвердили необходимость внедрения концепции нулевого доверия для сетевых сегментов. В большинстве случаев в уходящем году взлом и эксплуатация уязвимостей происходил из «доверенного» сегмента, в который удалось проникнуть «нарушителям». Архитектура сети, где «все доверяют всем», постепенно уходит.
Требования российского законодательства для построения защищенных систем хорошо коррелируют с данной концепцией. Сложность миграции и высокая стоимость трансформации текущей инфраструктуры немного замедляют скорость реализации данной концепции, но принцип являлся приоритетным для большинства компаний, которые обращались в наш отдел консалтинга в 2025 году.
При этом ряд инициатив так и остался маркетинговыми слоганами. На практике в большинстве организаций не заработали:
- полноценная верификация каждого запроса между сервисами;
- тотальная сегментация на уровне L7;
- отказ от всех устаревших протоколов и внутренних доверенных зон;
- использование поведенческих моделей доступа как основного механизма допуска.
Эти элементы чаще упоминались в стратегиях, чем воплощались: их сложность, стоимость и требования к инфраструктурным изменениям оказались выше готовности бизнеса к трансформации.
Но главный сдвиг произошел на уровне восприятия. Если раньше Zero Trust обсуждали как долгосрочную цель, то в 2025 году он стал обязательным элементом архитектурного дизайна. Новые системы проектируются с учетом минимального доверия, а бюджеты на безопасность теперь включают ZT-компоненты по умолчанию. Бизнес увидел в Zero Trust не ограничение, а способ уменьшить операционные и регуляторные риски, особенно в условиях распределенных команд, облачных платформ и растущего давления на цепочки поставок.
Дмитрий Сатанин
Директор по информационной безопасности «Группы Астра»
Можно говорить о том, что Zero Trust потихоньку завоевывает умы, но до широкого практического внедрения еще очень далеко. Причем вопрос упирается не только в деньги (инвестиции), которых нужно много, но их нет сейчас, и в следующем году они тоже появятся, но и в инженерные кадры, которые данный подход должны реализовывать на практике.
В итоге, Zero Trust перестал быть «путем к идеалу» и стал практическим стандартом — пусть и с неполной реализацией, но уже с четкой привязкой к реальным процессам и архитектуре компании.
Регуляторика и ее на корпоративную безопасность
2025 год стал одним из самых насыщенных на изменения в стандартах и нормативных требованиях. Регуляторы усилили акцент на киберустойчивости, прозрачности процессов и снижении зависимости от поставщиков. Безопасность перестает быть набором «лучших практик» и становится юридическим обязательством с реальными последствиями за несоблюдение.
Ключевые изменения включают:
- Обновления NIST и отраслевых стандартов, направленные на повышение устойчивости систем, контроль жизненного цикла ПО и мониторинг DevOps-инфраструктуры.
- Ужесточение требований к отчетности об инцидентах и усиление отраслевых правил по сегментации сетей, хранению журналов и проверке подрядчиков.
Эти нормы напрямую повлияли на архитектуру корпоративной безопасности. Компании начали внедрять зоны усиленной сегментации, расширять телеметрию и проектировать системы так, чтобы регуляторные контрольные точки были встроены в архитектуру с самого начала. Вместо точечных улучшений появились структурные изменения, которые требуют комплексного подхода ко всем компонентам ИБ.
Процессы вендор-менеджмента также стали более строгими. Контроль поставщиков теперь ведется регулярно и формализовано, доступ MSP и подрядчиков ограничен по принципу наименьших разрешений, а ответственность за безопасность внешних сервисов закрепляется в договорах. Такой подход снижает риски, которые раньше оставались «невидимыми», но при этом требует дополнительного внимания и ресурсов.
Ольга Луценко
Консультант по информационной безопасности UDV Group
Происходит унификация и повышение стандартов защиты для всех информационных систем государственных органов, государственных унитарных предприятий и государственных учреждений. Наблюдается значительное расширение зоны регулирования: строгие требования по защите информации распространяются не только на государственные информационные системы, но и на любые системы, используемые государственными учреждениями. Формальным отражением этого стал переход от Приказа ФСТЭК России от 11.02.2013 № 17 к Приказу ФСТЭК России от 11.04.2025 № 117, в котором мы увидели также смещение акцента на зрелость процессов (помимо оценки технической защищенности, вводится обязательная регулярная оценка зрелости мер защиты информации) и конкретизацию требований: новый документ устанавливает более детализированные и, по ряду позиций, более строгие организационные и технические требования к построению систем защиты.
Регуляторные изменения 2025 года задали новую точку отсчета. Соответствие теперь требует зрелой архитектуры безопасности, встроенной в бизнес-процессы, а не формального соблюдения документов. Организации, которые успели адаптироваться, получили заметное преимущество в управлении рисками и устойчивости к атакам.
Заключение
2025 год показал, что киберугрозы стали быстрее, сложнее и более автоматизированными. Усиление автономных атак, рост сложности цепочек поставок и активное внедрение ИИ в SOC потребовали от компаний пересмотра архитектуры безопасности и процессов реагирования — привычные методы уже не справляются.
В 2026 году тренды продолжат развиваться: автоматизация защиты и аналитики будет только усиливаться, атаки станут более гибкими и распределенными, а организации, которые смогут быстро адаптировать архитектуру и интегрировать Zero Trust, облачные и DevOps-процессы, окажутся в выигрыше. Основной вызов — сохранять скорость и качество защиты при росте объемов данных и числа точек взаимодействия.
Теги:
похожие материалы
Модульные бэкдоры: как злоумышленники скрываются в инфраструктуре
Backdoor-механизмы сегодня это тонкие, адаптивные скрытые входы, которые могут прятаться в облачных сервисах, CI/CD-процессах и даже в штатных инструментах ОС.
Невидимая угроза: как современное Spyware эксплуатирует наше доверие
Шпионскому ПО стало тесно в рамках узкоспециализированного инструмента для точечных операций.
Троянские программы: скрытая угроза, которая проникает незаметно
Троянские программы уже не те «старые знакомые» из старых плейбуков по кибербезопасности.
Критические ошибки при анализе сетевого трафика, которые мешают вовремя выявлять инциденты
Сеть никогда не молчит.
Защита от дронов: законные способы обезопасить свой дом и бизнес
Беспилотные летательные аппараты (БПЛА) стремительно интегрируются в повседневную жизнь, но вместе с их популярностью растут и связанные с ними риски на фоне геополитической неопределенности.
Киберсталкинг: как распознать цифрового преследователя и защитить себя в Сети
Онлайн-преследование все чаще выходит за рамки безобидного интереса.
«Черный», «серый» или «белый» ящик: как выбрать пентест под реальные риски
Пентест — проверка на проникновение в инфраструктуру, которая моделирует реальные кибератаки.
Аппаратные закладки и трояны в «железе»: риски параллельного импорта электроники
Параллельный импорт ИТ-оборудования с 2022 года стал привычным делом для российских компаний, но вместе с решением проблем поставок появились новые риски.
Advanced IP Scanner: инструмент администратора или оружие злоумышленника
Сетевые сканеры стали неотъемлемой частью арсенала как ИТ-специалистов, так и злоумышленников.
Что год грядущий нам готовит: прогнозы ИБ-экспертов на 2026 год
Каким будет 2026 год для ИБ-отрасли?