Cloudflare Threat Report: ключевые выводы отчета

1. ИИ автоматизирует атаки с высокой скоростью

Генеративный ИИ резко снижает барьер входа для киберпреступников. Основным показателем риска становится соотношение усилий атакующего к полученному результату. Используя инфраструктуру самой жертвы — облако, SaaS и AI-сервисы — злоумышленники масштабируют атаки практически без дополнительных затрат, что делает традиционные модели оценки рисков менее эффективными.

2. Государственные хакерские группировки заранее закрепляются в критической инфраструктуре

Китайские группировки, в частности Salt Typhoon и Linen Typhoon, активно нацеливаются на телекоммуникации, государственные структуры и ИТ-сервисы Северной Америки. Речь идет о группах, поддерживаемых государствами (так называемые Advanced Persistent Threat-группы, или APT), которые создают долгосрочные точки доступа в критической инфраструктуре — вероятно, для использования во время будущих геополитических конфликтов, а не только для шпионажа.

3. Интеграции SaaS расширяют масштаб потенциальных атак

Безопасность корпоративных данных всё больше зависит не от сетевого периметра, а от интеграций между сервисами. Один чрезмерно привилегированный SaaS-коннектор может быть использован для точечных атак одновременно на множество компаний в рамках одной экосистемы.

4. Злоумышленники маскируют атаки через легитимные облачные сервисы

Атакующие активно используют SaaS, IaaS и PaaS как «прикрытие». Команды управления вредоносными операциями передаются через доверенные платформы, что помогает обходить традиционные механизмы фильтрации и усложняет обнаружение атак.

5. Deepfake-идентичности позволяют проникать в западные компании

Фальшивые профили с deepfake-данными и «фермы ноутбуков» позволяют государственным операторам работать под видом удалённых сотрудников. Это превращает среду удалённой работы в новый вектор атак с доступом к финансовым и административным системам.

6. Слабые места в почтовой инфраструктуре позволяют подменять внутренние письма

Если после прохождения через сторонний почтовый шлюз система не проверяет отправителя повторно, внешние сообщения могут восприниматься как внутренние. Это позволяет фишинговым ботам маскироваться под бренд или внутренние корпоративные сообщения.

7. Кража токенов позволяет обходить MFA

Вместо атаки на учётные данные злоумышленники атакуют активные сессии. Используя инфостилеры (например, LummaC2), они похищают токены авторизации и получают доступ без повторной аутентификации, обходя MFA.

8. Гиперобъёмные DDoS-атаки перегружают инфраструктуру

Новые ботнеты, такие как Aisuru, способны генерировать атаки до 31,4 Tbps, что физически превышает пропускную способность сетей многих организаций и оставляет минимальное время для реагирования.

Ключевые выводы этого отчёта показывают, что ландшафт киберугроз в 2026 году будет определяться использованием цифровых идентичностей как инструмента атак, индустриализацией уязвимостей в цепочках поставок SaaS, а также появлением гиперобъёмных автономных DDoS-атак, скорость которых превышает возможности человеческого реагирования.

Чтобы эффективно действовать в таких условиях, организациям необходимо перейти от реактивной модели защиты, сосредоточенной на инфраструктуре, к проактивной модели киберустойчивости, ориентированной на идентичность. Приведённые ниже рекомендации предлагают обобщённую дорожную карту для нейтрализации этих новых факторов усиления атак и обеспечения безопасности современного предприятия, интегрированного с технологиями искусственного интеллекта.

1. Защищать использование AI сотрудниками

Приоритетом является контроль того, как сотрудники взаимодействуют с LLM-моделями.
Необходимо внедрить политики DLP для AI-запросов и использовать изолированные браузерные среды для генеративных AI-инструментов, чтобы корпоративные данные или ключи доступа не попадали в модели или к инфостилерам.

2. Переходить от MFA к Zero Trust, ориентированному на идентичность

Поскольку инфостилеры могут похищать токены сессий и обходить MFA, следует использовать phishing-resistant MFA (FIDO2 или passkeys), а также системы непрерывного мониторинга сессий, которые автоматически завершают их при подозрительной активности.

3. Усилить безопасность интеграций между SaaS-сервисами

Компрометация одной доверенной интеграции может вызвать цепной эффект.
Необходимо провести аудит API-доступов SaaS и применять принцип минимальных привилегий, особенно для сервисов вроде Salesforce, Slack или GitHub.

4. Внедрить дополнительную проверку при удалённом найме

Для противодействия инсайдерским угрозам следует использовать биометрическую верификацию во время видеоинтервью, а также аппаратные ограничения геолокации для корпоративных устройств.

5. Использовать автоматизированную защиту от гиперобъёмных DDoS

Современные ботнеты способны генерировать атаки более 31 Tbps, что оставляет минимальное время для ручного реагирования.
Необходимы автоматизированные edge-решения для смягчения DDoS-атак, которые реагируют за секунды.

6. Изолировать вспомогательную инфраструктуру

Чтобы уменьшить потенциальное воздействие атак, вспомогательные сервисы и дочерние системы должны работать на отдельных доменах, IP-адресах и, по возможности, с отдельными номерами автономных систем (ASN).

7. Устранить «слепые зоны» в безопасности электронной почты

Фишинговые сервисы используют изменяющиеся тактики, позволяющие обходить традиционные почтовые шлюзы.
Необходимы AI-ориентированные системы защиты почты, способные анализировать поведенческие сигналы и выявлять скомпрометированные аккаунты в режиме реального времени.

Современная кибербезопасность должна фокусироваться не только на сетевом периметре, но прежде всего на идентичностях, доступах и взаимодействии между сервисами, ведь именно эти элементы всё чаще становятся главной целью атак. Организациям важно усилять контроль над интеграциями между SaaS-платформами, внедрять принцип минимальных привилегий и обеспечивать непрерывный мониторинг подозрительной активности.

В то же время эффективная защита требует не только технологий, но и доступа к качественной киберразведке и экспертной поддержке. Решение Cloudforce One сочетает в себе глобальную видимость киберугроз с практическим опытом: от аналитики и мониторинга угроз до реагирования на инциденты и проведения цифровой криминалистики.

Сочетание аналитики угроз, постоянного мониторинга и оперативного реагирования позволяет организациям быстрее выявлять атаки, минимизировать их влияние и повышать общий уровень киберустойчивости. В современном цифровом окружении именно такой комплексный подход становится ключевым фактором для эффективной защиты бизнеса.

Если вас интересует, как превратить инсайты этого исследования в конкретные шаги для повышения киберустойчивости вашей организации, обратитесь к нашим специалистам. Мы поможем оценить актуальные риски и подобрать решения, соответствующие вашим бизнес-процессам.