Как глобальная аналитика и ML-технологии меняют подход к защите бизнеса

На конференции Positive Security Day 2025 эксперты обсудили ключевые тренды в кибербезопасности, выделив глобальную аналитику, автоматизацию и облачные решения как основные векторы развития. Особое внимание уделено росту числа кибератак, которые приводят к серьезным последствиям для бизнеса, несмотря на значительные инвестиции в ИБ. Эксперты подчеркнули, что будущее отрасли за глобальной аналитикой, которая позволит собирать и анализировать обезличенные данные от разных компаний, используя ML-алгоритмы. Такой подход поможет не только выявлять угрозы, но и предсказывать их, что станет важным шагом к повышению устойчивости бизнеса.

Тренды кибербезопасности: глобальная аналитика и автоматизация

Количество кибератак, приводящих к серьезным последствиям для бизнеса, продолжает расти, несмотря на значительные инвестиции в информационную безопасность. Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, отметил, что отрасль ИБ должна пересмотреть свои подходы, чтобы предотвратить критические инциденты. «Мы должны пойти по иному пути, который позволит нам быть уверенными в том, что недопустимые события для организации, отрасли и страны не наступят», — сказал он.

Одним из ключевых решений, которое может помочь в этом, является глобальная аналитика. Лукацкий подчеркнул, что речь идет о петабайтах обезличенной информации, собираемой от средств и сервисов ИБ разных компаний. Эти данные будут обрабатываться с помощью продвинутых самообучающихся ML-алгоритмов, что позволит составить объемную картину киберугроз и выйти на новый уровень защиты.

«Глобальная аналитика — это будущее кибербезопасности. Она поможет не только выявить угрозы, но и предсказать их, чтобы заранее подготовиться к возможным атакам», — добавил эксперт.

Госсектор и промышленность под умной атакой

Согласно исследованию Positive Technologies за первые три квартала 2025 года, организации становились жертвами массовых хакерских кампаний в 20% атак, наиболее атакуемыми оказались госсектор и промышленные предприятия. Более чем в половине массовых атак злоумышленники использовали вредоносное программное обеспечение (ВПО).

Стараясь охватить как можно больше компаний, в 47% атак киберпреступники выбирали цели без привязки к конкретной отрасли. Чаще других в рассматриваемый период с массовыми атаками сталкивались госучреждения (12%) и промышленность (9%). Эти же отрасли являются самыми атакуемыми и в целевых атаках, что связано с их стратегической значимостью, высокой ценностью хранимых данных, масштабной цифровизацией, а также относительно низким уровнем зрелости кибербезопасности.

Более чем в половине (56%) всех массовых атак злоумышленники использовали вредоносы, в каждой третьей успешной атаке (34%) — ВПО для удаленного доступа. Такой инструмент обеспечивает полный контроль над зараженными устройствами, автоматизированный сбор данных, перемещение по сети и установку дополнительного ПО, а также применяется для создания ботнетов. Скрытно собирать конфиденциальные данные для последующей монетизации или использования в цепочках атак злоумышленникам позволяет шпионское ПО (оно использовалось в 22% атак). Характерными для массовых кампаний также остаются майнеры  (задействованы в 19% атак).

Все чаще в попытках обойти традиционные средства защиты хакеры используют искусственный интеллект, в том числе для динамической генерации вредоносов. Такой масштаб и автоматизация позволяют наносить ущерб, сопоставимый с целевыми кампаниями, даже при отсутствии глубокой персонализации. Наиболее частое последствие массовых атак — утечка конфиденциальных данных (40% атак приводили именно к ней). Более четверти атак (26%) закончились использованием ресурсов жертв для проведения дальнейших атак, а к нарушению основной деятельности организаций привела практически каждая четвертая атака (24%).

При этом массовые атаки порождают и ряд системных проблем. В некоторых случаях организации используют для защиты от массовых атак решения класса EDR (endpoint detection and response), хотя основное их предназначение — выявление и реагирование на сложные и целевые угрозы. Одновременное появление множества событий в системе EDR может приводить к ее перегрузке, что снижает общую готовность к реагированию и повышает риск пропуска критического инцидента. Наиболее эффективно противостоять широкомасштабным автоматизированным кампаниям могут решения класса EPP (endpoint protection platform): они обеспечивают централизованный контроль, защиту на уровне конечных точек, интеграцию с другими системами безопасности, а лежащая в их основе антивирусная технология позволяет автоматически обнаруживать и блокировать ВПО.

«Массовые атаки эволюционируют от простых сценариев к более сложным и адаптивным схемам. Такие техники, как, например, обфускация  кода и автоматизированное создание вредоносных файлов, позволяют маскировать хакерскую активность, обходить сигнатурное детектирование и быстро масштабировать атаки. Это размывает границу между массовыми и целевыми кампаниями, в связи с чем эффективная защита требует перехода к решениям на основе поведенческого анализа, машинного обучения и комбинации платформ EPP и EDR», — отмечает Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies.

Тем не менее стабильно высоким остается и количество высококвалифицированных целевых атак (80%). При таком ландшафте киберугроз эффективная защита невозможна без комплексного подхода к безопасности.

Продажи Positive Technologies идут к 40 млрд рублей

Одной из главных новинок конференции стал платформенный подход к организации ИБ, реализованный в продуктах компании. Основой этого подхода стало собственное озеро данных (data lake), развернутое в облаке. Это решение открывает доступ к высокотехнологичному уровню ИБ и становится необходимым условием для всеобъемлющей автоматизации.

Одним из флагманских продуктов, использующих этот подход, стал автопилот для результативной кибербезопасности MaxPatrol O2. Его ядро перенесено в облако, что позволяет системе работать с новыми объемами нагрузки. MaxPatrol O2 использует data lake для долгосрочного хранения информации, включая big data, и обрабатывает ее с помощью ML-алгоритмов, повышая качество обнаружения и расследования атак.

Роман Родякин, директор по продуктам Positive Technologies, отметил, что ML-технологии не заменяют, а усиливают человеческую экспертизу. «Уже сейчас MaxPatrol O2 выявляет реальные инциденты со 100-процентной точностью, совпадая с вердиктами аналитиков SOC, и корректно отсекает 40% ложных срабатываний из числа тех, которые были верифицированы специалистами», — рассказал он.

Денис Кораблев, управляющий директор и директор по продуктам Positive Technologies, подвел итоги первого года коммерческих продаж межсетевого экрана нового поколения PT NGFW. Продукт закрывает 70% рыночных требований к функциональности, и к следующему году этот показатель, по прогнозам, достигнет 97%. Кораблев также объявил о создании новой компании «ТрезТех», которая будет заниматься разработкой и продвижением экосистемы сетевого оборудования. «Мы не просто хотим стать лидерами российского рынка NGFW, но и создать собственную конкурентоспособную экосистему, которая выйдет за рамки кибербезопасности и откроет новые перспективы на рынке ИТ-решений», — резюмировал он.

Компания уверенно движется к отгрузкам в диапазоне 33–38 млрд рублей за текущий год. «Мы подтверждаем наше обязательство по достижению этих цифр и продолжаем развивать новые технологии, которые меняют подход к кибербезопасности», — сообщил представитель компании.

Фото: Positive Technologies