惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Last Watchdog
The Last Watchdog
博客园_首页
Martin Fowler
Martin Fowler
S
SegmentFault 最新的问题
美团技术团队
小众软件
小众软件
V
V2EX
博客园 - Franky
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
The GitHub Blog
The GitHub Blog
Microsoft Security Blog
Microsoft Security Blog
Attack and Defense Labs
Attack and Defense Labs
S
Security Affairs
Simon Willison's Weblog
Simon Willison's Weblog
I
Intezer
T
The Exploit Database - CXSecurity.com
有赞技术团队
有赞技术团队
S
Schneier on Security
人人都是产品经理
人人都是产品经理
Security Archives - TechRepublic
Security Archives - TechRepublic
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
K
Kaspersky official blog
PCI Perspectives
PCI Perspectives
AI
AI
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
罗磊的独立博客
O
OpenAI News
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
The Register - Security
The Register - Security
V
Vulnerabilities – Threatpost
GbyAI
GbyAI
博客园 - 【当耐特】
C
Cisco Blogs
大猫的无限游戏
大猫的无限游戏
Help Net Security
Help Net Security
Google DeepMind News
Google DeepMind News
S
Securelist
Application and Cybersecurity Blog
Application and Cybersecurity Blog
P
Proofpoint News Feed
博客园 - 三生石上(FineUI控件)
雷峰网
雷峰网
L
LangChain Blog
SecWiki News
SecWiki News
博客园 - 叶小钗
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
V2EX - 技术
V2EX - 技术
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
J
Java Code Geeks
L
LINUX DO - 热门话题
Cisco Talos Blog
Cisco Talos Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Аналитика кибератак от Google
InfoWatch (I · 2026-04-16 · via Все публикации подряд на Хабре

Время на прочтение8 мин

Охват и читатели9.2K

Дайджест

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак, проведенных Mandiant в 2025.

Делимся с вами подробностями.

Главное направления кибератак — эксплуатация уязвимостей

Прочное первое место в отчёте в качестве первичных направлений кибератак — 32%. Всё больше становится инцидентов, связанных с социальной инженерией с использованием голосового фишинга и приложений для обмена сообщениями. Голосовой фишинг стал значительно опережать фишинг по электронной почте, на его долю пришлось 11% инцидентов, а вот на почту — только 6%.

Всё чаще используют голосовой фишинг

Отмечаются случаи голосового фишинга, при которых жертву убеждают предоставить учетные данные и авторизовать контролируемую злоумышленником версию законного программного обеспечения как услуги (SaaS) для доступа к данным компании

Кроме этого жертвами голосового фишинга становились даже сотрудники службы поддержки, когда злоумышленники выдавали себя за сотрудников, запрашивающих сброс паролей и изменение настроек многофакторной аутентификации.

Предварительная компрометация стала третьим по распространенности способом атаки. На нее пришлось 10%. На четвертом месте украденные учетные данные — 9%.

В топе кибератак — хайтек, финансы, сервисы и медицина

По данным Mandiant, на предприятия высоких технологий приходится наибольшее количество кибератак — 17%, за ними следуют финансовые организации — 14,6%. На третьем месте организации, оказывающие деловые и профессиональные услуги —13,3%.

Замыкают отрасли, лидирующие по атакам — здравоохранение, на его долю приходится 11,9% атак.  Далее с большим отрывом следует торговля —7,3% атак, госорганизации — 5,8% атак, образование и телекоммуникации — по 4,6% атак и строительство c индустрией развлечений — по 4,1% атак.

В конце статистики — транспортные организации — 3,4% атак, предприятия ВПК — 2,7% атак, энергетика и водоснабжение — по 2,2% атак.

Мотив большинства кибератак — вымогательство

Вторжения с целью вымогательства, к которым относятся атаки с использованием программ-вымогателей, а также вымогательство с целью кражи данных без шифрования с помощью программ-вымогателей, составили 23% от общего числа вторжений в прошлом году и примерно три четверти вторжений, совершенных с финансовой целью.

Mandiant обнаружила признаки кражи данных в 40% расследований, проведенных в прошлом году. Инциденты, связанные с вымогательством в результате кражи данных, составили 10% расследований.

Во многих расследованиях, в ходе которых Mandiant выявила доказательства кражи данных, злоумышленники охотились за учетными данными и данными, которые были полезны для закрепления в системе, горизонтального перемещения и повышения привилегий. Другие случаи кражи данных носили массовый и спонтанный характер.

В нескольких случаях злоумышленников интересовали персональные данны, такие как контактная информация клиентов и данные о заказах. Mandiant выявила кластеры угроз, в которых использовались украденные персональные данные для последующих попыток голосового фишинга.

Mandiant выявила группы злоумышленников, которые подкупали подрядчиков, чтобы те предоставляли им корпоративные учетные данные или другой доступ к целевым организациям, что приводило к краже данных и попыткам вымогательства.

Компания отмечает, что из новых вредоносных программ, которые были впервые обнаружены и получили название в прошлом году, 33% составляют бэкдоры, 14% — дропперы, 14% — загрузчики, 6% — программы-вымогатели, 6% — лаунчеры, 5% — программы для кражи учетных данных и 5% — программы для майнинга данных.

В ходе расследований случаев использования программ-вымогателей Mandiant выявила множество операций с использованием программ-вымогателей, основанных на партнерских отношениях с целью получения первоначального доступа, чаще всего к услугам по распространению вредоносного ПО- 30 % всех наблюдаемых атак. Вторым по распространенности способом заражения были уязвимости — 27 %. Атаки методом перебора паролей стали причиной 20 % вторжений, связанных с программами-вымогателями, за ними следуют кража учетных данных и компрометация веб-ресурсов — по 10 %.

Традиционное представление о программах-вымогателях как о двойной угрозе — шифровании и краже данных — уже не отражает реалии современных операций по вымогательству. Операторы программ-вымогателей и связанные с ними лица все чаще ставят перед собой цель лишить целевые организации возможности восстановления данных. Злоумышленники нацеливаются на системные и административные уровни, также известные как инфраструктура доверенных сервисов.

Термин «инфраструктура доверенных сервисов» обычно ассоциируется с интерфейсами управления платформами и технологиями, которые предоставляют организации базовые сервисы, такие как технологии резервного копирования и платформы виртуализации. Это позволяет хакерам снижать способность организации к восстановлению, оказывая максимальное давление с целью заставить ее заплатить.  Для этого они атакуют службы идентификации, системы управления виртуализацией и системы резервного копирования.

Такая эволюция тактики привела к сокращению сроков проникновения, зафиксированных компанией Mandiant в ходе расследований.  Операторы программ-вымогателей сократили время пребывания в системе по сравнению с предыдущими годами, часто захватывая административный контроль уже через несколько часов после получения первоначального доступа.

ИИ на службе хакеров

В отчете отмечается интерес хакерских группировок к искусственному интеллекту. В прошлом году хакеры все чаще применяли инструменты ИИ для повышения эффективности на разных этапах жизненного цикла атаки, особенно при выполнении таких задач, как разведка, социальная инженерия и разработка вредоносного ПО. В прошлом году в ходе расследований, проведенных Mandiant, были выявлены группировки, которые использовали приманки, связанные с ИИ, похищали учетные данные для доступа к приложениям с ИИ и атаковали компании, разрабатывающие технологии ИИ.

Примечательно, что кластеры угроз также используют инструменты искусственного интеллекта в скомпрометированной среде для выполнения своих операций.  Например, Mandiant расследовала компрометацию цепочки поставок программного обеспечения менеджера пакетов NPM, которая привела к установке программы для кражи учетных данных QUIETVAULT.  После активации QUIETVAULT проверяет, установлены ли на целевом компьютере инструменты с интерфейсом командной строки (CLI), и если да, то выполняет заранее заданную команду для поиска файлов конфигурации. Затем инструмент пытается собрать токены GitHub и NPM и, если они найдены, скопировать их в общедоступный репозиторий GitHub.

Случайное заражение грозит большими проблемами

Mandiant отмечает, что многие хакеры из тех, кто получает первоначальный доступ, полагаются на случайное заражение, а не на целенаправленный взлом. Это приводит к тому, что хакеры, получающие первоначальный доступ не вызывают должного беспокойства у служб информационной безопасности.  Однако, хакеры, получившие первоначальный доступ случайно, часто предоставляют доступ более квалифицированным хакерским группам, которые действуют уже внутри корпоративной сети. Это требует пересмотра принципов работы и сценариев реагирования служб информационной безопасности, которым поручено защищать организацию и обеспечивать непрерывность бизнес-процессов.

Платформы виртуализации тоже под прицелом

В последние годы злоумышленники все чаще нацеливаются на виртуализированную инфраструктуру для достижения своих целей.  Платформы виртуализации часто состоят из трех основных компонентов: выделенного централизованного сервера управления для администрирования виртуальных машин, гипервизоров для распределения аппаратных ресурсов и самих виртуальных машин.  

Mandiant отметила активность злоумышленников, нацеленных на каждый из трех компонентов виртуализированной инфраструктуры на протяжении всего жизненного цикла атаки — от получения первоначального доступа до кражи конфиденциальных данных.

SaaS-приложения в группе риска

Современная система информационной безопасности предприятий перешла от традиционного сетевого периметра к сложной экосистеме, состоящей из взаимосвязанной инфраструктуры и платформ «программное обеспечение как услуга» (SaaS). Эти интегрированные платформы играют важную роль в управлении идентификацией, совместной работе сотрудников, оптимизации внутренних процессов и других сферах. Однако из-за взаимосвязи SaaS-платформ с корпоративной облачной инфраструктурой злоумышленники могут использовать идентификационные данные, используемые в SaaS, для проникновения в другие части системы. Такие инциденты часто происходят из-за сочетания нескольких факторов: использования сторонних интеграций, слишком широких прав доступа и неправильных настроек.

Из-за тесной интеграции облачных технологий и SaaS взлом одного SaaS-приложения может позволить злоумышленникам легко проникнуть в другие сегменты. В таких случаях сбой в работе одного доверенного компонента запускает цепную реакцию во всей организации. По мере того как организации все активнее переходят на облачную инфраструктуру, такие недочеты, как неконтролируемые разрешения OAuth и широкие права доступа к API, повышают риск того, что один скомпрометированный токен приведет к существенному инциденту.  В прошлом году произошел стратегический сдвиг: злоумышленники стали обходить традиционные средства защиты, такие как межсетевые экраны и многофакторную аутентификацию, используя нечеловеческие идентификаторы (Non-Human Identities, NHI) и украденные секретные данные, такие как токены OAuth и обновления.

Нацеливаясь на платформы поставщиков, которые выступают в качестве централизованного «источника достоверных данных» для интеграции идентификационных данных, злоумышленники могут получить легитимные, предварительно авторизованные токены для компрометации последующих сред.  Таким образом, взлом одного поставщика превращается в крупномасштабную атаку на всю цепочку поставок, где украденные токены используются в качестве многоразовых ключей для доступа к хранилищам конфиденциальных данных клиентов.

Хорошая страховка от атак — проактивная киберзащита

Mandiant делает вывод, что аналитики компании по анализу киберугроз заметили, что злоумышленники используют искусственный интеллект для ускорения атак, переходя от массовых рассылок по электронной почте к гиперперсонализированной социальной инженерии с использованием голосовых технологий и внедряя вредоносное ПО, способное запрашивать большие языковые модели в процессе выполнения. Однако, несмотря на стремительное развитие технологий, инциденты, расследованные Mandiant, в основном были вызваны фундаментальными человеческими и системными ошибками.

Наблюдались значительные расхождения в действиях злоумышленников.  В то время как киберпреступные группировки стремились к немедленному нанесению ущерба и преднамеренному отказу в восстановлении, целенаправленно атакуя системы резервного копирования, службы идентификации и системы управления виртуализацией, группы кибершпионажа стремились к максимальной скрытности.  Действуя с неконтролируемых периферийных устройств и используя встроенные сетевые функции для уклонения от обнаружения, эти злоумышленники довели среднее время пребывания в системе до 14 дней.

Чтобы защититься от этих тактик, методов и процедур, организациям необходимо действовать с той же скоростью, что и злоумышленники. Проактивная и устойчивая защита не может ограничиваться статичными инструментами. Она требует постоянной проверки подлинности, тщательной защиты критически важных уровней управления и полного контроля над всей экосистемой, включая уровень виртуализации и сетевые устройства.

Команды специалистов по безопасности должны проходить тщательную проверку в ходе реалистичных «красных» тестов, включающих современные тактики с использованием искусственного интеллекта. Кроме того, организациям следует регулярно проводить практические занятия по обновлению схем реагирования на инциденты.