По данным Check Point Research, Positive Technologies и Cloudflare.
Что изменилось в 2025: коротко
Атак стало больше и они стали многосоставными. Злоумышленники комбинируют фишинг, кражу учётных данных, DDoS и вымогательство в единую «кампанию», чтобы отвлечь, проникнуть, зашифровать и шантажировать. Регуляторные требования растут, но соответствие им не равно фактической защищённости — нужно уметь быстро обнаруживать и сдерживать инциденты.
Ransomware 2.0: вымогательство + кража данных
Шифровальщики по-прежнему в топе: в атаках против организаций чаще всего применялись ransomware (42%) и удалённые средства администрирования (RAT, 38%). Вредоносное ПО остаётся ключевым инструментом в 66% атак на компании. Последствия — от простоя сервисов до утечек, последующих штрафов и репутационных потерь. Вывод: бэкапы важны, но без сегментации сети, EDR/XDR и отработанных процедур изоляции они не спасут.
ИИ-фишинг и deepfake-мошенничество
Генеративный ИИ «разогнал» фишинг: письма и сайты стали точнее, а голоса и видео — убедительнее. В 2024-м сотрудник в Гонконге перевёл компании около $25 млн после видеозвонка с deepfake-«руководителями» — классический пример ИИ-претекстинга, который в 2025-м стал массовой техникой. Что делать: «правило двух каналов» на любые платежные поручения, секретные код-фразы внутри команды и строгие лимиты/тайм-ауты на переводы.
DDoS бьёт рекорды: гипер-объёмные атаки
Cloudflare зафиксировала крупнейшие атаки за всю историю: пиковые 7.3 Tbps и миллиарды пакетов в секунду. Во втором квартале 2025-го компания смягчила 7.3 млн DDoS-атак — меньше, чем в «аномальном» Q1, но на 44% больше, чем годом ранее; за полугодие 2025-го уже блокировано 27.8 млн атак — больше, чем за весь 2024-й. Для бизнеса это означает: авто-миграция трафика, гибридный анти-DDoS (L3/4 + L7) и план переключения DNS/Anycast — must have.
Цепочки поставок и облака: удар «через соседей»
Доля инцидентов с участием подрядчиков растёт: компрометация менее защищённого поставщика даёт злоумышленникам «чёрный ход» к крупной цели. Параллельно в облаке критичны ошибки конфигураций и утечка ключей. Практика 2025-го: требовать от вендоров минимум по безопасности (MFA, журналирование, антивзлом), использовать CSPM/CASB и минимальные права доступа; ежегодный аудит контрагентов — обязательный.
Инсайдеры и «гибридные» сценарии
Утечки по вине людей — от неосторожности до умысла — остаются одним из самых болезненных сюжетов. В гибридных атаках злоумышленники отвлекают DDoS-ом, проникнув через фишинг/учётку, а затем вывозят данные и шифруют систему. Здесь на первый план выходят DLP, поведенческая аналитика (UBA) и контроль высокорисковых действий.
Матрица приоритетов: на что давить в первую очередь
| Угроза | Вероятность в 2025 | Потенциальный ущерб | Ранние сигналы | Что внедрить сначала |
|---|---|---|---|---|
| Ransomware | Высокая | Простой, утечка, штрафы | Массовое шифрование, отключение защит | EDR/XDR, сегментация, immutable-бэкапы, плейбуки IR |
| ИИ-фишинг / deepfake | Очень высокая | Кража денег/учёток | Необычные платёжные просьбы «от руководства» | MFA, «два канала» подтверждения, анти-фрод-политики |
| DDoS (гипер-объём) | Растущая | Простой сервисов | Скачки задержек/ошибок 5xx | Анти-DDoS L3/4 и L7, Anycast, плейбук переключения |
| Цепочки поставок | Высокая | Компрометация ядра ИТ | Аномалии из сетей подрядчиков | Vendor-MFA, журналирование, SBoM, аудит поставщиков |
| Инсайдеры | Средняя→высокая | Утечки, штрафы | Массовый экспорт/печать, нестандартные пересылки | DLP, UBA, принцип наименьших привилегий |
Кейсы и цифры, на которые стоит опереться
Q4’24 → Q1’25: число атак +5% кв/кв и +13% г/г; против организаций в 66% случаев применяли ВПО, а каждый второй успешный инцидент вёл к компрометации конфиденциальных данных. Это не «шум», это устойчивый тренд.
Q2’25: в среднем 1 984 атаки в неделю на одну организацию по миру; образовательный сектор — самый атакуемый, госсектор и телеком — тоже в зоне риска.
H1’25 DDoS: уже больше всего 2024 года; при этом гипер-объёмные атаки (Tbps) становятся «новой нормой».
Чек-лист на 30 дней: быстрые победы в ИБ
- Включите MFA везде, где можно (особенно админ-учётки и внешние сервисы).
- Настройте «правило двух каналов» для платежей и критичных заявок.
- Проведите скан уязвимостей и «закройте» 10 критичных публичных сервисов.
- Внедрите EDR/XDR на сервера и рабочие станции; включите блокировку шифровальщиков.
- Проверьте бэкапы: immutability + изолированное хранение + тестовое восстановление.
- Поднимите базовый анти-DDoS (L3/4) и web-защиту (L7) на критичные домены.
- Включите DLP-политики на экспорт данных и подозрительные пересылки.
- Запустите обучение фишингу + тренировки по плейбукам реагирования.
- Пересоберите доступы по принципу наименьших привилегий (особенно к облаку).
- Проведите экспресс-аудит контрагентов: MFA, журналирование, SLA по ИБ.
Заключение
В 2025-м киберриски — это бизнес-риски. Ставка на скорость обнаружения и сдерживания инцидента окупается в первый же «шторм». Начните с MFA, EDR/XDR, бэкапов, DLP и анти-DDoS, а затем переходите к платформенному подходу и регулярным учениям. Хотите разбор вашей инфраструктуры — пишите, соберу приоритетный план на один спринт.
