Разберемся вместе, какие решения подходят под ваши задачи, и поможем сделать правильный выбор
Нужна помощь?
Решения
Детальный анализ изменений 187-ФЗ и проекта Постановления Правительства РФ № 127
Укрепление безопасности КИИ
Услуги
Теперь заказчикам УЦСБ SOC доступны два продукта CURATOR
УЦСБ SOC и CURATOR заключили партнерство
Сервисы
Apsafe
Облачная DevSecOps-платформа для непрерывного анализа защищенности приложений
Константин Мушовец: хакеры активно используют AI и OSINT для создания индивидуальных сценариев атак
17 июля 2025
Константин Мушовец, директор центра мониторинга кибербезопасности УЦСБ SOC, рассказал Tadviser о новых трендах в киберугрозах, типичных ошибках компаний и важности профессионального реагирования на инциденты.
Ниже представлена краткая выжимка ключевых тезисов из интервью.
Константин Мушовец, директор центра мониторинга кибербезопасности УЦСБ SOC, рассказал Tadviser о новых трендах в киберугрозах, типичных ошибках компаний и важности профессионального реагирования на инциденты.
Ниже представлена краткая выжимка ключевых тезисов из интервью.
Как изменился ландшафт киберугроз за последние 2-3 года?
Если говорить о точках входа, то принципиально в последние годы ничего не поменялось: в ходу все те же фишинговые рассылки, эксплуатация уязвимостей, вредоносное ПО. А вот цели атак стали другими. Сейчас чаще встречаются захват управления инфраструктурой и доступ к чувствительной информации с целью шантажа, а также атаки с политическим подтекстом. Серьезно увеличился масштаб ущерба.
Искусственный интеллект на службе хакеров
Хакеры активно применяют ИИ — например, в атаках типа «Фейк босс». Широко используются OSINT-инструменты: хакеры по открытым источникам изучают сотрудников, инфраструктуру, подбирают индивидуальные сценарии.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Искусственный интеллект на службе хакеров
Хакеры активно применяют ИИ — например, в атаках типа «Фейк босс». Широко используются OSINT-инструменты: хакеры по открытым источникам изучают сотрудников, инфраструктуру, подбирают индивидуальные сценарии.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Как распознать атаку?
Можно разделить признаки компрометации на две категории. Первые — очевидные: шифрование данных, дефейс сайта, недоступность части инфраструктуры. Но чаще встречаются менее явные симптомы: замедление работы систем, появление неизвестных учетных записей, странные сетевые подключения.
В таких случаях мы проводим compromise assessment — подтверждение или опровержение гипотезы о компрометации. Раньше почти всегда в результате выясняли, что Заказчик просто перестраховывается. Но сейчас примерно в 20% случаев мы действительно находим признаки компрометации.
В таких случаях мы проводим compromise assessment — подтверждение или опровержение гипотезы о компрометации. Раньше почти всегда в результате выясняли, что Заказчик просто перестраховывается. Но сейчас примерно в 20% случаев мы действительно находим признаки компрометации.
Главная уязвимость — человеческий фактор
«Компания может использовать комплексы продвинутых средств защиты, но если сотрудники беззаботно кликают по ссылкам из фишинговых писем, записывают пароли на бумажке и используют wi-fi аэропорта для подключения к корпоративным системам без дополнительной защиты, то ИБ-инциденты неминуемы», — предупреждает эксперт.
Какие первоочередные действия должна предпринять компания при подозрении на взлом?
Есть три главных правила:
- Не вступать в контакт и тем более не платить злоумышленникам.
- Взвешивать риски при самостоятельном восстановлении инфраструктуры: если в компании нет ИБ-специалистов нужного уровня, любые неосторожные действия могут только усугубить ситуацию, затруднив расследование и повысив риски повторного взлома.
- Как можно быстрее обратиться к экспертам.
“
«Форензика — крайне редкая экспертиза. Держать ее внутри компании дорого и почти всегда нецелесообразно: серьезные инциденты могут происходить нечасто, а навыки теряются без постоянной практики. Внешние SOC-команды работают с десятками кейсов, ежедневно обогащают свою практику, сталкиваются с разными сценариями. Это позволяет экспертам сохранять и профессиональные компетенции, и мотивацию.»
Полный материал интервью можно посмотреть здесь.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных