Cloudflare Threat Report: ключові висновки звіту

1. ШІ автоматизує атаки з високою швидкістю

Генеративний ШІ різко знижує бар’єр входу для кіберзлочинців. Основним показником ризику стає співвідношення зусиль атакувальника до результату. Використовуючи інфраструктуру самої жертви — хмару, SaaS та AI-сервіси — зловмисники масштабують атаки майже без додаткових витрат, що робить традиційні моделі оцінки ризику менш ефективними.

2. Державні хакерські угруповання заздалегідь закріплюються в критичній інфраструктурі

Китайські угруповання, зокрема Salt Typhoon та Linen Typhoon, активно націлюються на телекомунікації, державні структури та ІТ-сервіси Північної Америки. Йдеться про угруповання, підтримувані державами (так звані Advanced Persistent Threat-групи, або APT), які створюють довгострокові точки доступу в критичній інфраструктурі — ймовірно, для використання під час майбутніх геополітичних конфліктів, а не лише для шпигунства.

3. Інтеграції SaaS розширюють масштаб потенційних атак

Безпека корпоративних даних дедалі більше залежить не від мережевого периметра, а від інтеграцій між сервісами. Один надмірно привілейований SaaS-конектор може бути використаний для точкових атак одночасно на багато компаній у межах однієї екосистеми.

4. Зловмисники маскують атаки через легітимні хмарні сервіси

Атакувальники активно використовують SaaS, IaaS і PaaS як «прикриття». Команди управління шкідливими операціями передаються через довірені платформи, що допомагає обходити традиційні механізми фільтрації та ускладнює виявлення атак.

5. Deepfake-ідентичності дозволяють проникати у західні компанії

Фальшиві профілі з deepfake-даними та «ферми ноутбуків» дають змогу державним операторам працювати під виглядом віддалених співробітників. Це перетворює remote-work середовище на новий вектор атак із доступом до фінансових і адміністративних систем.

6. Слабкі місця у поштовій інфраструктурі дозволяють підміняти внутрішні листи

Якщо після проходження через сторонній поштовий шлюз система не перевіряє повторно відправника, зовнішні повідомлення можуть сприйматися як внутрішні. Це дозволяє фішинговим ботам маскуватися під бренд або внутрішні корпоративні повідомлення.

7. Крадіжка токенів обходить MFA

Замість атаки на облікові дані зловмисники атакують активні сесії. Використовуючи інфостілери (наприклад, LummaC2), вони викрадають токени авторизації та отримують доступ без повторної аутентифікації, обходячи MFA.

8. Гіпероб’ємні DDoS-атаки перевантажують інфраструктуру

Нові ботнети, такі як Aisuru, здатні генерувати атаки до 31,4 Tbps, що фізично перевищує пропускну здатність мереж багатьох організацій і залишає мінімальний час для реагування.

Ключові висновки цього звіту свідчать, що ландшафт кіберзагроз у 2026 році визначатиметься використанням цифрових ідентичностей як інструменту атак, індустріалізацією вразливостей у ланцюгах постачання SaaS, а також появою гіпероб’ємних автономних DDoS-атак, швидкість яких перевищує можливості людського реагування.

Щоб ефективно діяти в такому середовищі, організаціям необхідно перейти від реактивної моделі захисту, зосередженої на інфраструктурі, до проактивної моделі кіберстійкості, орієнтованої на ідентичність. Наведені нижче рекомендації пропонують узагальнену дорожню карту для нейтралізації цих нових факторів посилення атак і забезпечення безпеки сучасного підприємства, інтегрованого з технологіями штучного інтелекту.

1. Захищати використання AI співробітниками

Пріоритетом є контроль того, як працівники взаємодіють із LLM-моделями.
Необхідно впровадити політики DLP для AI-запитів і використовувати ізольовані браузерні середовища для генеративних AI-інструментів, щоб корпоративні дані або ключі доступу не потрапляли до моделей чи інфостілерів.

2. Переходити від MFA до Zero Trust, орієнтованого на ідентичність

Оскільки інфостілери можуть викрадати токени сесій і обходити MFA, варто використовувати phishing-resistant MFA (FIDO2 або passkeys) та системи безперервного моніторингу сесій, які автоматично завершують їх при підозрілій активності.

3. Посилити безпеку інтеграцій між SaaS-сервісами

Компрометація однієї довіреної інтеграції може спричинити ланцюговий ефект.
Потрібно провести аудит API-доступів SaaS і застосувати принцип мінімальних привілеїв, особливо для сервісів на кшталт Salesforce, Slack або GitHub.

4. Запровадити додаткову перевірку під час віддаленого найму

Для протидії інсайдерським загрозам варто використовувати біометричну верифікацію під час відеоінтерв’ю, а також апаратне геофенсинг-обмеження для корпоративних пристроїв.

5. Використовувати автоматизований захист від гіпероб’ємних DDoS

Сучасні ботнети здатні генерувати атаки понад 31 Tbps, що залишає мінімум часу для ручної реакції.
Потрібні автоматизовані edge-рішення для пом’якшення DDoS, які реагують за секунди.

6. Ізолювати допоміжну інфраструктуру

Щоб зменшити потенційний вплив атак, допоміжні сервіси та дочірні системи повинні працювати на окремих доменах, IP-адресах і, за можливості, окремих AS-номерах.

7. Усунути «сліпі зони» в email-безпеці

Фішингові сервіси використовують змінні тактики, які обходять традиційні email-шлюзи.
Потрібні AI-орієнтовані системи захисту пошти, здатні аналізувати поведінкові сигнали та виявляти компрометовані акаунти в реальному часі.

Сучасна кібербезпека повинна фокусуватися не лише на мережевому периметрі, а передусім на ідентичностях, доступах та взаємодії між сервісами, адже саме ці елементи дедалі частіше стають головною ціллю атак. Організаціям важливо посилювати контроль над інтеграціями між SaaS-платформами, впроваджувати принцип мінімальних привілеїв і забезпечувати безперервний моніторинг підозрілої активності.

Водночас ефективний захист вимагає не лише технологій, а й доступу до якісної кіберрозвідки та експертної підтримки. Рішення Cloudforce One поєднує глобальну видимість кіберзагроз із практичною експертизою: від аналітики та моніторингу загроз до реагування на інциденти та проведення цифрової криміналістики.

Поєднання аналітики загроз, постійного моніторингу та оперативного реагування дозволяє організаціям швидше виявляти атаки, мінімізувати їхній вплив і підвищувати загальний рівень кіберстійкості. У сучасному цифровому середовищі саме такий комплексний підхід стає ключовим фактором для ефективного захисту бізнесу.

Якщо вас цікавить, як перетворити інсайти цього дослідження на конкретні кроки для підвищення кіберстійкості вашої організації, зверніться до наших спеціалістів. Ми допоможемо оцінити актуальні ризики та підібрати рішення, що відповідають вашим бізнес-процесам.