С развитием ИИ резко сократилось время, необходимое для проведения кибератак, что делает человеческих защитников неспособными угнаться за ними. Таков, возможно, неудивительный вывод «Global Incident Response Report 2026» от Palo Alto Networks. Для исследования команда исследователей Unit 42 проанализировала 750 инцидентов в 50 странах.
Во время самых быстрых из проанализированных атак злоумышленники прошли путь от первого доступа до эксфильтрации данных за 72 минуты, по сравнению с почти пятью часами в 2024 году. «Это все чаще объясняется способностью ИИ сокращать время, необходимое для обнаружения уязвимостей, фишинга и проведения атак», — говорится в отчете об исследовании.
Фундаментальные уязвимости в безопасности способствуют кибератакам
Однако при более детальном рассмотрении результатов исследования опасность таится в другом: компании наносят ущерб не столько быстрые злоумышленники или ИИ, сколько фундаментальные недостатки, такие как слабая аутентификация, недостаточная прозрачность в реальном времени и неправильная конфигурация из-за сложного множества систем безопасности.
Теоретически все эти проблемы решаемы. Авторы анализа отмечают: «Несмотря на наблюдаемую скорость и автоматизацию, большинство инцидентов начинаются с чего-то не радикально нового: это пробелы, которые возникают снова и снова. Во многих случаях злоумышленники полагались не на сложный эксплойт, а на упущенную из виду уязвимость».
Конфликт идентичности и сложность
Кроме того, повторяющейся темой является конфликт, с которым сталкиваются многие компании в вопросах идентификации и доверия. Исследовательская группа обнаружила, что это играло роль в 90 процентах исследованных инцидентов. Среди тактик злоумышленников были социальная инженерия (33%), фишинг на основе идентификации (22%), злоупотребление учетными данными и брутфорс-атаки (21%), а также внутренние угрозы (8%).
У 99% из 680 000 облачных пользователей, ролей и служб, проанализированных Palo Alto Networks, слишком много учетных записей имели чрезмерные привилегии. Среди них были и те, которые не использовались в течение 60 дней или дольше. Поскольку компании добавляют все больше облачных, SaaS и ИИ-приложений, по словам специалистов по безопасности, возникает поверхность атаки для идентификации, которая расширяется быстрее, чем могут быть устранены основные проблемы. .
Эти идентификаторы все чаще относятся к машинному идентификации (служебные учетные записи, роли автоматизации, API-ключи, ИИ-агенты), теневым идентификаторам (несанкционированные учетные записи, среды разработчиков и сторонние организации) и «силосам» идентификации (локальные AD плюс несколько облачных поставщиков идентификации).
«Редко когда атака ограничивается одной средой. Вместо этого мы наблюдаем скоординированные действия между конечными точками, сетями, облаком, SaaS и идентификаторами, поэтому защитники вынуждены контролировать все одновременно», — говорят аналитики.
Цепочки поставок — еще одна уязвимая область. В 23% инцидентов злоумышленникам удалось использовать сторонние SaaS-приложения, обходя при этом традиционные средства контроля безопасности. «Когда поставщик, находящийся выше по цепочке, сообщал об утечке или сбое, клиенты часто должны были остановиться и задать себе фундаментальный вопрос: затронуты ли мы? Во многих случаях у них было ограниченное представление о собственной уязвимости», — сообщают авторы исследования.
Смена парадигмы
Ответом Unit 42 на этот бесконечный цикл, в котором злоумышленники всегда на шаг опережают защитников, является смена парадигмы: кибербезопасность стала настолько специализированной, что решение заключается в использовании комплексной управляемой услуги, разработанной с нуля, для противодействия реальным, а не абстрактным угрозам.
На этом фоне Palo Alto Networks представила новую услугу SOC: Unit 42 Managed Extended Security Intelligence and Automation Management (XSIAM) 2.0. По заявлению компании, она расширяет возможности XSIAM 1.0 за счет полного онбординга, поиска угроз и реагирования на них, а также моделирования шаблонов атак, что происходит быстрее, чем в традиционном SOC.
Но действительно ли это убедительно? Руководители CISOs уже много раз слышали это послание: старое больше не работает, поэтому инвестируйте в новое. И всегда есть старая система или услуга, которую нужно заменить блестящей новой.
Более того, сама идея все более совершенных SOC может оказаться не панацеей. Некоторые эксперты считают, что сами SOC в конечном итоге могут столкнуться с теми же проблемами, что и традиционные ИТ-отделы, такими как нехватка квалифицированных кадров и бюджетные ограничения.
Как выражаются в Palo Alto Networks: «Большинство SOC не рассчитаны на скорость современных атак». Это означает: откажитесь от старых инструментов, таких как традиционные SIEM и SOAR, которые просто генерируют предупреждения; современный SOC на базе ИИ должен реагировать на них «со скоростью машины». (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
