Как отмечают аналитики ReliaQuest, искусственный интеллект помогает злоумышленникам ускорять атаки, но также позволяет специалистам по реагированию на инциденты быстро локализовать угрозы.
В ежегодном отчёте компании, основанном на исследовании событий из практики клиентов, говорится, что в прошлом году время выхода из системы в среднем составляло 34 минуты — это на 29% быстрее, чем в 2024-м. Самый короткий зафиксированный промежуток от доступа до горизонтального перемещения составил всего четыре минуты, что на 85% быстрее, чем годом ранее. А для эксфильтрации понадобилось всего шесть минут — по сравнению с четырьмя часами 29 минутами в 2024 году.
Специалисты объясняют эту статистику распространением автоматизации и нейросетей: в прошлом году 80% групп, занимающихся программами-вымогателями, использовало один или оба этих метода в своих атаках. Обычно злоумышленники задействуют ИИ до начала атак: например, в проведении разведки профилей в соцсетях, корпоративных веб-сайтов и общедоступных источников данных с целью выявления особо важных целей и составления убедительных сценариев социальной инженерии. Для последних характерны акции с использованием взлома (drive-by-commigration).
По мнению экспертов ReliaQuest, наиболее распространёнными ошибками в системе защиты являются недостаточное ведение журналов, неуправляемые устройства без средств контроля безопасности, уязвимые VPN-сети без многофакторной аутентификации, процедурные недостатки службы поддержки, слабый контроль паролей, избыточные привилегии и так далее.
Старший вице-президент GreyMatter Operations в ReliaQuest Майк Макферсон заявил, что нейросети и автоматизация «изменили правила игры» в кибербезе — как для атакующих, так и для защитников. «К счастью, безопасники могут превзойти противников с помощью агентного ИИ и достичь среднего времени сдерживания в четыре минуты, — добавил он. — Ассистенты позволяют организациям перейти к предиктивной защите за счёт анализа огромных массивов данных с подробной информацией об угрозах и своевременного устранения уязвимостей».
Исследователи порекомендовали специалистам по сетевой защите обеспечить видимость всех устройств и путей доступа для своих групп SecOps — особенно периферийных устройств. Что касается CISO, — им следует усилить контроль над идентификацией, использовать высоконадёжную проверку для сброса настроек службы поддержки, внедрять минимальные постоянные привилегии и доступ, устойчивый к фишингу.
Усам Оздемиров
.jpg)
