UDV Group о гонке вооружений между бизнесом и хакерами

Кибератаки все меньше похожи на работу одиночек и все больше — на индустрию с готовыми инструментами, подписками, партнерскими программами и понятной экономикой. Сегодня злоумышленнику не обязательно писать вредоносный код самому: Ransomware-as-a-Service, фишинг-киты, доступы к скомпрометированным системам и инструменты на базе ИИ позволяет быстро запускать атаки даже без глубокой технической подготовки.

Для бизнеса это меняет саму логику угроз. Атака становится дешевле, масштабируется быстрее, а последствия для компании остаются тяжелыми: простой, восстановление инфраструктуры, штрафы, репутационные потери и давление на партнерские отношения. При этом многие российские компании до сих пор проигрывают не из-за отсутствия дорогих ИБ-платформ, а из-за слабой практической проверки защищенности, незакрытых уязвимостей, фишинга, утечек учетных записей и недооценки рисков подрядчиков.

О том, почему атакующие, пока сохраняют инициативу, какие атаки дают им максимальную «окупаемость» и как компаниям перестать удешевлять взлом собственными ошибками, мы поговорили с Денисом Назаренко, руководителем отдела технической поддержки продаж UDV Group.

— Денис, в последнее время часто говорят, что киберпреступность стала доступнее. Раньше для серьезной атаки нужна была команда технически сильных специалистов, а теперь будто достаточно купить готовый инструмент. Это действительно так или все же преувеличение?

Это не преувеличение. За последние 3-5 лет порог входа в киберпреступность действительно сильно снизился. Сегодня атакующему не обязательно быть высококвалифицированным разработчиком. На рынке киберуслуг есть готовые решения почти под любой бюджет: Ransomware-as-a-Service-платформы, фишинг-киты, инструменты для автоматизации атак, сервисы по продаже доступов к уже скомпрометированным корпоративным системам.

Полноценные RaaS-платформы могут включать шифровальщик, техническую поддержку, обновления, инструкции инфраструктуру для взаимодействия с жертвой. По сути, злоумышленник покупает не просто вредоносный код, а готовую бизнес-модель.

— То есть атака становится почти сервисом по подписке. Звучит неприятно, потому что это ломает привычное представление о хакере как о редком техническом специалисте.

Да, именно это и произошло. Стоимость входа может начинаться от десятков долларов в месяц и доходить до нескольких тысяч долларов в зависимости от уровня сервиса, функциональности и доступа к инфраструктуре. При этом участие в партнерских программах крупнейших вымогательских группировок стоят значительно дороже, потому что там уже речь идет о более зрелой криминальной экосистеме.

Отдельный рынок сформировался вокруг продажи доступов. Вход в инфраструктуру компании часто стоит несколько сотен долларов. И в большинстве случаев это не сложный эксплойт, а обычная учетная запись сотрудника, полученная через фишинг, утечку паролей или повторное использование учетных данных.

— Получается, самое дешевое оружие атакующего — не «нулевой день», а чужой логин и пароль?

Во многих случаях да. Компании любят обсуждать сложные атаки, но на практике злоумышленники часто идут по самому дешевому пути. Если можно купить или подобрать учетную запись, зайти под легитимным пользователем и дальше развивать атаку внутри сети, зачем тратить ресурсы на более сложный сценарий?

В UDV Group мы часто обращаем внимание компаний на этот момент: защита начинается не с экзотических угроз, а с контроля базовых вещей — учетных записей, доступа, фишинга, внешнего периметра, обновлений, подрядчиков и мониторинга аномалий.

— Тогда логичный вопрос про экономику защиты. Многие компании до сих пор рассуждают так: «поставим что-нибудь минимальное, а если инцидент случится, разберемся». Что дешевле в реальности — предотвращать атаку или устранять последствия?

Предотвращать дешевле. Причем это уже не вопрос имиджа ИБ-службы, а чистая экономика бизнеса. Превентивная защита давно перестала быть «избыточными расходами» и стала формой страхования операционной устойчивости.

После серьезной атаки компания платит не только за расследование и восстановление инфраструктуры. Она теряет время, останавливает процессы, сталкивается с простоями, штрафами, репутационными потерями, вопросами со стороны партнеров и клиентов. Полное восстановление после серьезного инцидента может занимать месяцы. И все это время бизнес живет в режиме последствий.

— То есть сравнивать нужно не цену лицензии на средство защиты с ценой выкупа, а весь хвост ущерба после атаки?

Совершенно верно. Выкуп — это только один элемент. Причем выплата выкупа не гарантирует нормальное восстановление. Данные могут быть повреждены, инфраструктура может остаться скомпрометированной, а украденная информация может позже появиться в продаже или использоваться для повторного давления.

Поэтому корректный расчет должен включать простой, работу ИТ- и ИБ-команд, внешних специалистов, юридические последствия, коммуникации с клиентами, восстановление доверия, потерю контрактов и снижение управляемости бизнеса. На этом фоне базовая профилактика почти всегда оказывается дешевле.

— Но профилактика тоже бывает разной. Можно купить набор инструментов и думать, что теперь все закрыто. Что реально снижает ущерб, если атака все-таки начинается?

Скорость обнаружения и скорость реагирования. Чем раньше компания понимает, что происходит что-то нетипичное, тем меньше масштаб ущерба. Здесь важны мониторинг, корреляция событий, автоматизация реагирования, понятные регламенты и готовность команды действовать без долгих согласований.

Компании, которые используют автоматизированные системы реагирования и ИИ для анализа событий, могут быстрее выделять подозрительную активность из общего шума. Это не отменяет роль специалистов, но позволяет сократить время простоя и снизить стоимость одного инцидента.

— Вы уже несколько раз говорите не об одиночных хакерах, а об экосистеме. Как сегодня выглядит типичный атакующий? Это все еще человек за ноутбуком или уже полноценный криминальный бизнес?

Типичный атакующий сегодня — это не обязательно одиночка. Чаще это участник развитой экосистемы, где роли разделены. Одни разрабатывают инструменты, другие продают доступы, третьи проводят фишинговые кампании, четвертые занимаются переговорами с жертвами, пятые выводят деньги.

В 2025 году мы видим десятки независимых группировок, которые работают почти как технологические компании: у них есть инфраструктура, техническая поддержка, партнерские программы, обновления инструментов, репутация на криминальном рынке.

— То есть бизнесу противостоит не «один талантливый злоумышленник», а рынок, где каждый участник делает свою часть работы?

Да. И именно поэтому защите так сложно. Атакующие специализируются, автоматизируют процессы, масштабируют успешные сценарии. При этом одиночки и небольшие команды никуда не исчезли. Просто теперь у них есть готовые инструменты, которые раньше были доступны только более подготовленным группам.

ИИ дополнительно усиливает этот эффект. Он помогает быстрее готовить фишинговые письма, адаптировать тексты под конкретную компанию, создавать убедительные сценарии социальной инженерии, ускорять анализ открытой информации о цели.

— Получается, ИИ делает атаки не обязательно умнее, но точно быстрее и массовее?

Да, это точная формулировка. ИИ не превращает новичка в элитного хакера, но позволяет ему быстрее масштабировать простые действия. Для фишинга, первичной разведки, генерации текстов, имитации деловой коммуникации, анализа утекших данных это уже серьезное усиление.

Для защитников ИИ тоже полезен: он помогает анализировать события, искать аномалии, ускорять реагирование. Но атакующие часто получают эффект быстрее, потому что им достаточно улучшить один этап атаки, а защитнику нужно закрывать всю цепочку.

— Если говорить об окупаемости для злоумышленников, какие атаки сегодня дают им лучший результат?

Наиболее «окупаемыми» остаются атаки с использованием шифровальщиков. Причина проста: они быстро монетизируются и создают прямое давление на бизнес. Компания теряет доступ к данным, останавливает процессы, получает угрозу публикации информации и оказывается в ситуации, где время работает против нее.

В России значительная доля успешных инцидентов приходится именно на вымогательские атаки. Размеры выкупов растут, максимальные суммы в 2025 году доходили до сотен миллионов рублей. Для атакующего это понятная экономика: если даже небольшая часть атак заканчивается выплатой, модель остается прибыльной.

— То есть ransomware держится не только на технической стороне, но и на психологии давления: остановить бизнес, создать панику, заставить быстро принять решение?

Да. Шифровальщик эффективен не только потому, что шифрует данные. Он эффективен потому, что бьет по непрерывности бизнеса. Если у компании нет резервных копий, нет плана восстановления, нет понимания, какие системы поднимать первыми, давление становится очень сильным.

Кроме того, многие атаки сегодня строятся по модели двойного вымогательства: данные не только шифруют, но и угрожают опубликовать. Это усиливает репутационный и юридический риск.

— Тогда главный вопрос: кто сейчас выигрывает эту гонку — атакующие или защитники?

На текущем этапе преимущество остается на стороне атакующих. Это не значит, что защитники беспомощны. Но сама асимметрия работает против бизнеса: злоумышленнику достаточно одной успешной атаки после десятков неудачных попыток, а защитник должен предотвращать все критичные сценарии постоянно.

Ситуацию усложняет расширение поверхности атаки. Компании используют облака, API, удаленный доступ, IoT-устройства, подрядные подключения, распределенные команды. Каждая новая связка дает бизнесу гибкость, но одновременно создает дополнительные точки входа.

— То есть защищать нужно уже не «периметр компании», потому что периметр расползся по облакам, подрядчикам, учетным записям и API?

Именно. Традиционная модель, где есть четкая граница «внутри безопасно, снаружи опасно», работает все хуже. Сегодня нужно видеть активы, контролировать доступы, отслеживать поведение, проверять внешнюю поверхность, управлять уязвимостями, сегментировать инфраструктуру и быстро реагировать на отклонения.

В UDV Group мы говорим, что современная защита должна быть не только инструментальной, но и процессной. Нельзя просто поставить несколько решений и считать задачу закрытой. Нужно постоянно проверять, насколько защита соответствует реальной инфраструктуре и реальным сценариям атак.

— Вот здесь мы подходим к ошибкам компаний. Если атаковать стало дешево, значит, часть компаний сама делает атаку еще дешевле. Какие ошибки вы видите чаще всего?

Главная ошибка — отсутствие регулярной практической проверки защищенности. Компания может иметь средства защиты, регламенты, политики, но при этом не знать, что во внешнем периметре есть критическая уязвимость, забытый сервис, тестовый доступ, открытая панель администрирования или старая учетная запись подрядчика.

По оценкам экспертов, значительная часть организаций имеет критические уязвимости на внешнем периметре. При моделировании реальных угроз «белые хакеры» нередко получают доступ к инфраструктуре очень быстро — иногда менее чем за сутки. Это показывает, что проблема не в отсутствии теории, а в отсутствии регулярной проверки практикой.

— То есть бумажная защищенность и реальная защищенность расходятся?

Да. Формально у компании может быть много решений. Но если никто не проверяет, как они работают против реального сценария атаки, возникает опасный самообман. Еще одна ошибка — недооценка цепочек поставок и подрядчиков.

В 2025 году заметная доля инцидентов была связана с компрометацией партнеров, подрядных организаций и каналов доверенного доступа. Для атакующего подрядчик часто удобнее, чем сама целевая компания: защита слабее, доверие уже установлено, коммуникация выглядит легитимной.

— Получается, слабое звено может находиться не внутри компании, а рядом с ней — в партнерской сети?

Да. И это один из самых недооцененных рисков. Компания может хорошо защищать собственный периметр, но при этом иметь VPN-доступы подрядчиков, общие облачные папки, сервисные учетные записи, интеграции с внешними системами. Если эти каналы не контролируются, они становятся готовым маршрутом для атаки.

Поэтому нужно регулярно пересматривать доступы подрядчиков, ограничивать их права, фиксировать сроки действия учетных записей, контролировать активность и отключать все, что больше не нужно.

— Если собрать все вместе, выходит довольно жесткая картина: атаковать стало дешево, инструменты доступны, вымогатели монетизируют атаки быстрее, а компании часто даже не проверяют, насколько их реально можно взломать. С чего тогда начинать защиту, чтобы не распылиться?

Начинать нужно с инвентаризации и проверки. Какие активы доступны извне? Какие учетные записи имеют привилегии? Какие подрядчики подключены к инфраструктуре? Где используются облака и API? Какие уязвимости не закрыты? Есть ли резервные копии и проверялось ли восстановление? Как быстро команда обнаружит подозрительную активность?

После этого нужно закрывать базовые вещи: MFA, управление уязвимостями, резервное копирование, сегментация сети, контроль привилегий, мониторинг событий, обучение сотрудников и регулярные тесты защищенности.

— То есть главный рецепт не в том, чтобы немедленно купить еще одну дорогую платформу, а в том, чтобы перестать оставлять атакующему дешевые входы?

Именно. Дорогие инструменты могут быть полезны, но они не спасут, если у компании открыты базовые дыры. Атакующий почти всегда выбирает самый простой путь. Если компания оставляет ему слабые пароли, старые доступы, открытые сервисы, неподготовленных сотрудников и неконтролируемых подрядчиков, она сама снижает стоимость атаки.

Задача защиты — сделать атаку дороже, дольше и менее предсказуемой для злоумышленника. Тогда у компании появляется время на обнаружение, реагирование и сдерживание ущерба.

— И финальный практический вопрос. Что руководителю стоит спросить у своей ИБ- или ИТ-команды уже завтра?

Я бы задал пять вопросов. Первое: какие наши активы доступны из интернета и кто это проверял? Второе: какие критические уязвимости сейчас не закрыты? Третье: какие подрядчики имеют доступ к нашей инфраструктуре и зачем? Четвертое: когда мы в последний раз проверяли восстановление из резервных копий? Пятое: сколько времени пройдет от начала атаки до ее обнаружения?

Если на эти вопросы нет четких ответов, компания находится в зоне повышенного риска. И в такой ситуации главное — не ждать первого серьезного инцидента, а начать выстраивать практическую, проверяемую защиту. Именно такой подход UDV Group считает ключевым в условиях, когда атаки дешевеют, а цена ошибки для бизнеса продолжает расти.