Как отмечают аналитики ReliaQuest, искусственный интеллект помогает злоумышленникам ускорять атаки, но также позволяет специалистам по реагированию на инциденты быстро локализовать угрозы.

В ежегодном отчёте компании, основанном на исследовании событий из практики клиентов, говорится, что в прошлом году время выхода из системы в среднем составляло 34 минуты — это на 29% быстрее, чем в 2024-м. Самый короткий зафиксированный промежуток от доступа до горизонтального перемещения составил всего четыре минуты, что на 85% быстрее, чем годом ранее. А для эксфильтрации понадобилось всего шесть минут — по сравнению с четырьмя часами 29 минутами в 2024 году.

Специалисты объясняют эту статистику распространением автоматизации и нейросетей: в прошлом году 80% групп, занимающихся программами-вымогателями, использовало один или оба этих метода в своих атаках. Обычно злоумышленники задействуют ИИ до начала атак: например, в проведении разведки профилей в соцсетях, корпоративных веб-сайтов и общедоступных источников данных с целью выявления особо важных целей и составления убедительных сценариев социальной инженерии. Для последних характерны акции с использованием взлома (drive-by-commigration).

По мнению экспертов ReliaQuest, наиболее распространёнными ошибками в системе защиты являются недостаточное ведение журналов, неуправляемые устройства без средств контроля безопасности, уязвимые VPN-сети без многофакторной аутентификации, процедурные недостатки службы поддержки, слабый контроль паролей, избыточные привилегии и так далее.

Старший вице-президент GreyMatter Operations в ReliaQuest Майк Макферсон заявил, что нейросети и автоматизация «изменили правила игры» в кибербезе — как для атакующих, так и для защитников. «К счастью, безопасники могут превзойти противников с помощью агентного ИИ и достичь среднего времени сдерживания в четыре минуты, —  добавил он. — Ассистенты позволяют организациям перейти к предиктивной защите за счёт анализа огромных массивов данных с подробной информацией об угрозах и своевременного устранения уязвимостей».

Исследователи порекомендовали специалистам по сетевой защите обеспечить видимость всех устройств и путей доступа для своих групп SecOps — особенно периферийных устройств. Что касается CISO, — им следует усилить контроль над идентификацией, использовать высоконадёжную проверку для сброса настроек службы поддержки, внедрять минимальные постоянные привилегии и доступ, устойчивый к фишингу.

Усам Оздемиров