Растущие тренды угроз: глобальные отчёты и акценты

Растущие тренды угроз: кража учётных данных (+160%), рост уязвимостей и разрыв в стеке безопасности. Что это значит и что делать — простые шаги и таблица.
абстрактная схема киберугроз и зон риска без текста — nicetry.blog

Киберугрозы ускорились и «повзрослели». Сейчас важнее не знать все аббревиатуры, а понимать: что именно растёт, почему это случается и какие шаги дать в работу уже сегодня. В этом разборе — свежие тренды из глобальных отчётов, понятные объяснения и практические действия. Фокус: растущие тренды угроз.


Быстрый срез: что меняется прямо сейчас

В прошлом году атак стало больше, а векторы — проще и дешевле для злоумышленников. На вершине — кража учётных данных, резкий рост уязвимостей и атаки на облака и промышленность. Параллельно компании «тонут» в зоопарке несвязанных инструментов безопасности — появляется слепая зона, которой пользуются атакующие.

+160%
всплеск кражи учётных данных в 2025
80%
атак опираются на украденные логины/пароли
+39%
рост числа раскрытых уязвимостей за год
Источник: ITPro (на базе данных Check Point); aDvens Threat Report.

По оценке Check Point, компрометация учётных данных взлетела на 160% и уже даёт каждый пятый инцидент утечки. В пиковый месяц фиксировалось свыше 14 тыс. случаев утечек логинов, а «секреты» из GitHub в среднем закрывают лишь через 94 дня — огромная фора для атакующих.

Французский отчёт aDvens фиксирует: 80% атак завязаны на краденые аккаунты; число публично раскрытых уязвимостей выросло на 39%; удар получают облака и промышленные среды.


Тренд № 1 — Кража учётных данных как главный драйвер атак

Почему это растёт. Фишинг научился на ИИ: письма и лэндинги подделываются лучше, чем когда-либо. Пара кликов — и в дело идёт stealer-ПО из «магазинов» Malware-as-a-Service. Дальше злоумышленник просто входит «как свой» — без шумных эксплойтов и сигнатур. Поэтому такое проникновение сложнее заметить.

Что это значит для бизнеса. Доступы — новая «валюта». Угрозы смещаются в идентичности и секреты: SSO-сессии, токены, ключи к API/CI/CD. Даже когда учётка всплывает в открытом репозитории, средний срок её отзыва измеряется неделями.

Что делать. Усилить политику паролей и MFA по умолчанию, жёстче ограничивать права (least privilege), резать количество прямых логинов в пользу SSO, лимитировать попытки входа, закрывать аномальные гео/ASN. Плюс — обучение фишингу и базовая гигиена секретов (vault, запрет «секретов» в коде).


Тренд № 2 — Фрагментация безопасности и «слепые зоны»

Что происходит. У компаний десятки разрозненных средств (EPP/EDR, сканеры, CASB, SIEM и т.д.). Инструменты плохо «видят» друг друга: данные лежат в разных контурах, алерты теряются, инвентаризация активов неполная. Итог — медленная реакция и дорогая поддержка.

Почему растёт. Цифровой след бизнеса расширяется быстрее, чем процессы и интеграции. Параллельно растут регуляторные требования: вести учёт активов, обосновывать риск-решения, демонстрировать контроль. С «лоскутным одеялом» всё это сложнее и дороже.

Что делать. Сводить стек к единой платформенной модели: сквозная видимость активов, корреляция сигналов, единая приоритизация уязвимостей и экспозиций, автоматизация рутинных пайплайнов. Это избавляет от слепых зон и ускоряет time-to-respond.


Тренд № 3 — Цепочки поставок ПО: вредоносные пакеты и «секреты» в коде

Что происходит. Исследователи Sonatype нашли 16 279 вредоносных пакетов в популярных экосистемах (npm, PyPI) за квартал; общий объём за год вырос на 188%. Вектор — кража данных: переменные окружения, токены, .git-credentials, ключи облаков.

Почему растёт. Разработчики интегрируют сотни зависимостей, а атаки маскируются под «обычные» обновления. Плюс — охота за секретами в CI/CD и репозиториях. После компрометации доступов — быстрый поворот в облака и внутренние API.

Что делать. Контроль зависимостей (allow-list, lock-файлы, пин версий), обязательное сканирование секретов до merge, изоляция CI-агентов, минимизация токенов, периодическая ротация ключей, приватные прокси-реестры.


Сводная таблица: что растёт и как приоритизировать

Тренд В чём риск Кому больно Первый шаг
Кража учётных данных Легитимный вход без шумных следов Все, кто полагается на пароли и токены MFA везде, жёсткий SSO, лимит попыток
Фрагментация средств защиты Слепые зоны, потеря алертов, медленная реакция Организации с «зоопарком» решений Единая платформа/даталейк сигналов
Supply-chain в Open Source Вредоносные зависимости, утечка секретов Разработка и DevOps Скан секрета/зависимостей в CI, ротация ключей
Рост уязвимостей Эксплуатация «на периметре» и в облаках ИТ-инфраструктура и облачные тенанты Экспозиционный приоритизатор, патч-окна по риску
Данные и акценты — по свежим публикациям aDvens, ITPro/Check Point, TechRadar.
Тренд В чём риск Кому больно Первый шаг
Кража учётных данных Легитимный вход без шумных следов Все, кто полагается на пароли и токены MFA везде, жёсткий SSO, лимит попыток
Фрагментация средств защиты Слепые зоны, потеря алертов, медленная реакция Организации с «зоопарком» решений Единая платформа/даталейк сигналов
Supply-chain в Open Source Вредоносные зависимости, утечка секретов Разработка и DevOps Скан секрета/зависимостей в CI, ротация ключей
Рост уязвимостей Эксплуатация «на периметре» и в облаках ИТ-инфраструктура и облачные тенанты Экспозиционный приоритизатор, патч-окна по риску


Что сделать прямо сейчас (короткий список)

  • Включить обязательный MFA для всех пользователей и админов.

  • Навести порядок с правами: убрать «вечные» токены, пересечь избыточные роли.

  • Поднять видимость: свести телеметрию в единое окно (XDR/SIEM/даталейк).

  • Встроить в CI/CD: SCA/скан секретов, блок merge при находке.

  • Обновить «боевой» плейбук реакции именно на компрометацию учётки.


Чек-лист «Первые 30 дней»: закрепить базовые практики

Контроль доступа и учёток

  • Включён MFA для всех, зафиксированы исключения и сроки их снятия
  • Пересмотрены админ-роли, включены Just-In-Time и Just-Enough-Access
  • Ограничены прямые логины — везде, где можно, только SSO

Разработка и секреты

  • Скан «секретов» в репозиториях и CI — блокирующий
  • Ротация ключей/токенов; вычищены переменные окружения с чувствительными данными
  • Пин версий, lock-файлы; приватный прокси-реестр

Видимость и реагирование

  • Все сигналы сходятся в единый контур корреляции
  • Настроен плейбук «Credential Compromise» + автодеактивация
  • Проведена TABLETOP-сессия: вход атакующего «как легитимного»


Заключение

Главная перемена года — не в новых трюках атакующих, а в том, что самые простые векторы стали сверхмассовыми: логины, токены, секреты. Плюс — фрагментация средств защиты создаёт те самые «дыры между инструментами». Полезно всем: от SMB до корпораций. Первый шаг — закрыть базовые гигиенические меры по учёткам и видимости, а затем последовательно сокращать сложность.


Часто задаваемые вопросы

Почему кража учётных данных «удобнее» для атакующего, чем эксплойт?
Потому что это легитимный вход без обхода защит: SIEM/EDR видят «обычную» активность пользователя. Такой доступ дольше живёт и сложнее детектится.
С инвентаризации активов и сигналов. Дальше — консолидация телеметрии и замена точечных тулов на платформенные, где есть корреляция, приоритизация и управление риском.
Да. Вредоносные пакеты часто бьют по DevOps/CI, а дальше — по облакам и API, где крутится ваш продукт/данные. Даже если код пишет подрядчик, требования безопасности — ваши.
Да, отчёты фиксируют значимый рост числа раскрытых уязвимостей и случаев их активной эксплуатации — особенно в ПО, которое само должно защищать периметр.

Если статья помогла, сохраните чек-лист и поделитесь с командой — так изменения быстрее попадут в практику.

Читайте также:

Полезно? Поделись!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

А это читали?

Эммануэль Макрон за рабочим столом — усталое выражение лица — бумаги на столе - флаги ЕС и Франции на фоне — nicetry.blog

Politico: Макрон стал осторожнее и теряет влияние в ЕС

Politico: Макрон стал осторожнее. Политики считают, что внутренние кризисы и смена премьеров ослабили влияние Парижа в ЕС.
Российский лыжник с опущенной головой стоит на фоне олимпийских колец — рядом спортсменка празднует победу — зимняя трасса и спортивный инвентарь — nicetry.blog

Недопуск российских лыжников на Олимпиаду: что решили и как отреагировала Европа

FIS не допустила россиян и белорусов к отбору на Олимпиаду-2026. Что решили и как ответили Норвегия, Швеция и Финляндия.
Реалистичная сцена из тренировочного центра киберспорта: команда специалистов обсуждает рост доходов — nicetry.blog

Российский рынок: зарплаты в гейминге 2025 выросли на 53%

Зарплаты в гейминге 2025 выросли на 53% до ₽103 582. Кто зарабатывает больше, где платят выше и как бренды влияют на рынок.
Президент Финляндии назвал условие, при котором с России снимут санкции - nicetry.blog

Когда возможно снятие санкций против России: позиция Финляндии и реакция ЕС

Снятие санкций против России возможно при прекращении огня и выводе войск, заявил президент Финляндии; ЕС обсуждает 19-й пакет и позиции стран.
Эксперты fashion-индустрии обсуждают развитие отечественных брендов в современном шоуруме — nicetry.blog

Экспертный разбор: как развивать отечественные fashion-бренды

Отечественные fashion-бренды: стратегия роста между экспортом и внутренним рынком, барьеры логистики и финансирования, ключевые цифры и мнения экспертов.
Контейнерный порт и грузовое судно с полупрозрачным символом Bitcoin — внешняя торговля и криптовалюта в России - nicetry.blog

Расчёты в криптовалюте во внешней торговле: позиция Минфина

Россия разрешит расчёты в криптовалюте во внешней торговле под контролем ЦБ.