Kaspersky выпустил глобальный отчёт по киберугрозам на основе данных своих сервисов MDR, Incident Response и Compromise Assessment. Внутри — статистика по реальным атакам на 200 000 корпоративных клиентов, разбор тактик злоумышленников и неожиданные цифры о том, насколько плохо большинство SOC используют собственные данные.

Разбираю главное

Цифры, которые задают контекст

Система MDR за год сгенерировала около 400 000 алертов безопасности. После первичной фильтрации ИИ закрыл почти 95 000 из них — примерно 24% — автоматически. Оставшиеся 300 000 ушли к аналитикам SOC, которые отфильтровали ещё около 87% как не требующие реагирования. До уведомления клиентов дошло около 21 000 инцидентов.

Среднее время от обнаружения до уведомления — 42 минуты для высококритичных инцидентов, 33 минуты для средних, 31 минута для низких. В 2025 году этот показатель сократился примерно на 22% по сравнению с 2024-м — за счёт автоматизации.

Хорошая новость: критичных инцидентов стало меньше

Доля инцидентов высокой критичности снижается шесть лет подряд. Пик был в 2021 году — 14,3% от всех инцидентов. В 2025-м — уже 3,8%.

Это не значит, что стало безопаснее. Это значит, что атаки всё чаще удаётся останавливать до того, как они причиняют ущерб. MDR ежедневно выявлял до трёх инцидентов высокой критичности.

Почти 97% всех инцидентов — средней и низкой критичности. Много автоматизированного вредоносного ПО, оппортунистические атаки. Человекоуправляемых атак меньше в процентном отношении — но они по-прежнему самые опасные.

Кто под ударом

Топ-3 наиболее атакуемых отраслей по итогам 2025 года:

ИТ поднялся на третье место не случайно. Злоумышленники всё активнее эксплуатируют атаки на цепочки поставок: взламывают сервисных провайдеров и ИТ-интеграторов, а затем через их доступ добираются до клиентов. В отчёте есть кейс, где атакующие последовательно скомпрометировали более двух организаций, чтобы добраться до третьей цели.

Доля критичных инцидентов в ИТ-секторе — 4,9%. В госсекторе — 4,3%. Это выше среднего.

Как попадают внутрь: топ-3 начальных векторов

По данным Incident Response за 2025 год:

  • Эксплуатация публично доступных приложений — 43,7%
  • Скомпрометированные учётные данные — 25,4%
  • Доверительные отношения (атаки через подрядчиков и партнёров) — 15,5%

Показательно: вредоносные письма полностью исчезли из топ-3 начальных векторов ещё в 2023 году. Фишинг никуда не делся, но теперь он редко выступает точкой входа в корпоративную сеть — чаще служит первым звеном в более сложной цепочке.

Атаки через доверительные отношения появились в топ-3 только в 2023 году. За два года они стали устойчивым трендом. Схема простая: взламывают небольшую компанию-подрядчика, у которой нет нормальной ИБ, но есть удалённый доступ к инфраструктуре клиента. С точки зрения клиента трафик выглядит легитимным.

Чем заканчиваются атаки

Самый распространённый результат успешной атаки — шифрование данных: 39% всех инцидентов, приведших к ущербу. После него — закрепление для последующего воздействия (12%) и эксфильтрация через веб-сервисы (7%).

Есть разница между теми, кто замечает атаку до ущерба, и теми, кто — после:

Группа I (узнали, когда всё уже случилось): шифрование данных, уничтожение данных, остановка сервисов.

Группа II (обнаружили подозрительную активность заранее): закрепление без завершения атаки, компрометация Active Directory.

Время обнаружения зависит не от вектора атаки, а от зрелости ИБ в организации. Злоумышленник, проникший через уязвимость в публичном приложении, может сидеть в сети дни, недели, месяцы или годы — в зависимости от того, насколько хорошо выстроен мониторинг.

Какие уязвимости эксплуатировали в 2025 году

50% уязвимостей, выявленных в ходе Incident Response, дают возможность удалённого исполнения кода (RCE) — в ряде случаев без аутентификации.

Из актуальных находок:

  • CVE-2025-31324 (SAP NetWeaver, CVSS 9.8) — загрузка произвольных файлов без авторизации
  • CVE-2025-42999 (SAP NetWeaver, CVSS 9.1) — небезопасная десериализация, RCE
  • CVE-2025-61882 (Oracle E-Business Suite, CVSS 9.8) — неаутентифицированный захват контроля над сервисом
  • CVE-2024-55591 (Fortinet FortiOS, CVSS 9.8) — обход аутентификации через websocket

При этом треть всех эксплуатируемых уязвимостей датируется 2021 годом. Уязвимости Microsoft Exchange (ProxyLogon и аналогичные) по-прежнему в топе — через четыре года после публикации патчей.

Вывод неудобный, но очевидный: большинство взломов происходит не через zero-day, а через давно известные дыры, для которых патчи давно существуют.

Инструменты: что использовали злоумышленники

Из отчёта MDR по LOLBins (встроенные инструменты ОС, которые злоумышленники используют, чтобы не детектироваться):

| Инструмент | Доля в инцидентах высокой критичности |
| --- | --- |
| powershell.exe | 14,4% |
| rundll32.exe | 5,9% |
| mshta.exe | 3,8% |
| comsvcs.dll | 3,0% |
| msedge.exe | 2,7% |

mshta.exe в этом году вырос из-за тренда на поддельные CAPTCHA: пользователь проходит «проверку» — и незаметно запускает вредоносную нагрузку.

Из специализированных инструментов, обнаруженных в ходе Incident Response:

  • Mimikatz (14,3%) — извлечение хешей паролей
  • PowerShell (8,1%) — выполнение произвольных команд
  • PsExec / AnyDesk (по 7,5%) — удалённое управление

В реальных кейсах отчёта описана атака, где злоумышленники использовали легитимный бинарник Microsoft Defender (MPDefender.exe) для загрузки вредоносной DLL через механизм DLL Hijacking — классика Living off the Land.

Проблема, о которой не говорят: SOC не использует свои данные

Отчёт содержит раздел об оценке зрелости SOC — и там неприятные цифры.

Средний уровень покрытия источников событий корреляционными правилами — 43%. То есть больше половины данных, которые SOC собирает, вообще не участвуют в детектировании угроз.

Чем больше источников данных — тем хуже ситуация. У SOC с 50–70+ источниками правилами покрыто только около 30% данных. Остальное собирается «на всякий случай» или для комплаенса.

Три самых распространённых проблемы:

  • Деградация покрытия: периметр SOC определяется при проектировании и потом не контролируется. Со временем появляются слепые зоны.
  • Вендорские правила без настройки: организации берут пакет правил от производителя и не адаптируют под свою инфраструктуру. Результат — высокий уровень ложных срабатываний и дыры в покрытии.
  • Несбалансированный сбор: данные собираются, но логика детектирования для них не пишется. Сетевая телеметрия, базы данных, веб-серверы — традиционно остаются без покрытия.

Техника, которая появилась в 2025 году в топах

В топ-10 техник с лучшей конверсией (отношение реальных угроз к ложным срабатываниям) в 2025 году впервые вошла T1568: Dynamic Resolution — динамическое управление и контроль. Конверсия 23%.

Это механизм, характерный для продвинутых атак с участием человека: Domain Generation Algorithms, Fast Flux DNS. В реальных инцидентах фиксировались все три субтехники.

Также в отчёте подробно разобрана атака, где злоумышленник использовал злоупотребление резервированием URL в Windows HTTP.sys для создания скрытого C2-канала — трафик регистрировался напрямую через HTTP-стек ядра, минуя логирование IIS и выглядя как легитимный трафик Exchange.

Что делать с этим всем

  1. Обновитесь. Треть активно эксплуатируемых уязвимостей — из 2021 года. Патчи существуют. Проблема в управлении обновлениями, а не в отсутствии решений.
  2. Проверьте доступ подрядчиков. Атаки через доверительные отношения — 15,5% начальных векторов и растут. Каждый подрядчик с удалённым доступом — потенциальная точка входа.
  3. Измерьте покрытие SOC. Если не знаете, какой процент источников событий покрыт правилами детектирования — скорее всего, это меньше 50%. Начните с инвентаризации.
  4. Обратите внимание на SAP и Oracle. CVE-2025-31324 и CVE-2025-42999 для SAP NetWeaver, CVE-2025-61882 для Oracle E-Business Suite — все с CVSS выше 9, все эксплуатировались в реальных атаках в 2025 году.
  5. Не забывайте про людей. Техники User Execution и Phishing — в топ-3 второй год подряд. Программы осведомлённости по ИБ работают, когда они регулярные и конкретные, а не разовые инструктажи.
  6. Проверьте Active Directory. Компрометация AD фигурирует в инцидентах через доверительные отношения и при длительных атаках. Конфигурация AD — частая слабая точка, которую видят в Compromise Assessment.

Источник: Kaspersky Security Services, «Анатомия ландшафта киберугроз: глобальный отчёт», 2026. Данные основаны на статистике сервисов Managed Detection and Response, Incident Response, Compromise Assessment и SOC Consulting за 2025 год.