Продолжая использовать сайт, Вы даёте УЦСБ SOC, действующему на основании устава, согласие на обработку файлов cookies и пользовательских данных (дата и время посещения; IP-адрес, присвоенный Вашему устройству для выхода в Интернет; тип браузера и операционной системы; URL сайта, с которого был осуществлён переход; данные, собираемые посредством агрегаторов статистики посещаемости веб-сайтов) в целях составления профиля и таргетирования товаров в соответствии с интересами посетителя сайта.
Согласие на обработку файлов Cookies
Мы используем файлы cookie. Продолжая использовать сайт, вы соглашаетесь с условиями использования cookie.
Нажимая «Отправить», я соглашаюсь на обработку моих персональных данных в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 г. на условиях, указанных в Согласии на обработку персональных данных
Нажимая «Отправить», я соглашаюсь на обработку моих персональных данных в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 г. на условиях, указанных в Согласии на обработку персональных данных
Свяжитесь
с экспертами
УЦСБ SOC
с экспертами
УЦСБ SOC
Константин Мушовец: хакеры активно используют AI и OSINT для создания индивидуальных сценариев атак
17 июля 2025
Константин Мушовец, директор центра мониторинга кибербезопасности УЦСБ SOC, рассказал Tadviser о новых трендах в киберугрозах, типичных ошибках компаний и важности профессионального реагирования на инциденты.
Ниже представлена краткая выжимка ключевых тезисов из интервью.
Как изменился ландшафт киберугроз за последние 2-3 года?
Если говорить о точках входа, то принципиально в последние годы ничего не поменялось: в ходу все те же фишинговые рассылки, эксплуатация уязвимостей, вредоносное ПО. А вот цели атак стали другими. Сейчас чаще встречаются захват управления инфраструктурой и доступ к чувствительной информации с целью шантажа, а также атаки с политическим подтекстом. Серьезно увеличился масштаб ущерба.
Искусственный интеллект на службе хакеров
Хакеры активно применяют ИИ — например, в атаках типа «Фейк босс». Широко используются OSINT-инструменты: хакеры по открытым источникам изучают сотрудников, инфраструктуру, подбирают индивидуальные сценарии.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Как распознать атаку?
Можно разделить признаки компрометации на две категории. Первые — очевидные: шифрование данных, дефейс сайта, недоступность части инфраструктуры. Но чаще встречаются менее явные симптомы: замедление работы систем, появление неизвестных учетных записей, странные сетевые подключения.
В таких случаях мы проводим compromise assessment — подтверждение или опровержение гипотезы о компрометации. Раньше почти всегда в результате выясняли, что Заказчик просто перестраховывается. Но сейчас примерно в 20% случаев мы действительно находим признаки компрометации.
Главная уязвимость — человеческий фактор
«Компания может использовать комплексы продвинутых средств защиты, но если сотрудники беззаботно кликают по ссылкам из фишинговых писем, записывают пароли на бумажке и используют wi-fi аэропорта для подключения к корпоративным системам без дополнительной защиты, то ИБ-инциденты неминуемы», — предупреждает эксперт.
Какие первоочередные действия должна предпринять компания при подозрении на взлом?
Есть три главных правила:
Константин Мушовец, директор центра мониторинга кибербезопасности УЦСБ SOC, рассказал Tadviser о новых трендах в киберугрозах, типичных ошибках компаний и важности профессионального реагирования на инциденты.
Ниже представлена краткая выжимка ключевых тезисов из интервью.
Как изменился ландшафт киберугроз за последние 2-3 года?
Если говорить о точках входа, то принципиально в последние годы ничего не поменялось: в ходу все те же фишинговые рассылки, эксплуатация уязвимостей, вредоносное ПО. А вот цели атак стали другими. Сейчас чаще встречаются захват управления инфраструктурой и доступ к чувствительной информации с целью шантажа, а также атаки с политическим подтекстом. Серьезно увеличился масштаб ущерба.
Искусственный интеллект на службе хакеров
Хакеры активно применяют ИИ — например, в атаках типа «Фейк босс». Широко используются OSINT-инструменты: хакеры по открытым источникам изучают сотрудников, инфраструктуру, подбирают индивидуальные сценарии.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Как распознать атаку?
Можно разделить признаки компрометации на две категории. Первые — очевидные: шифрование данных, дефейс сайта, недоступность части инфраструктуры. Но чаще встречаются менее явные симптомы: замедление работы систем, появление неизвестных учетных записей, странные сетевые подключения.
В таких случаях мы проводим compromise assessment — подтверждение или опровержение гипотезы о компрометации. Раньше почти всегда в результате выясняли, что Заказчик просто перестраховывается. Но сейчас примерно в 20% случаев мы действительно находим признаки компрометации.
Главная уязвимость — человеческий фактор
«Компания может использовать комплексы продвинутых средств защиты, но если сотрудники беззаботно кликают по ссылкам из фишинговых писем, записывают пароли на бумажке и используют wi-fi аэропорта для подключения к корпоративным системам без дополнительной защиты, то ИБ-инциденты неминуемы», — предупреждает эксперт.
Какие первоочередные действия должна предпринять компания при подозрении на взлом?
Есть три главных правила:
- Не вступать в контакт и тем более не платить злоумышленникам.
- Взвешивать риски при самостоятельном восстановлении инфраструктуры: если в компании нет ИБ-специалистов нужного уровня, любые неосторожные действия могут только усугубить ситуацию, затруднив расследование и повысив риски повторного взлома.
- Как можно быстрее обратиться к экспертам.
“
«Форензика — крайне редкая экспертиза. Держать ее внутри компании дорого и почти всегда нецелесообразно: серьезные инциденты могут происходить нечасто, а навыки теряются без постоянной практики. Внешние SOC-команды работают с десятками кейсов, ежедневно обогащают свою практику, сталкиваются с разными сценариями. Это позволяет экспертам сохранять и профессиональные компетенции, и мотивацию».
“
«Форензика — крайне редкая экспертиза. Держать ее внутри компании дорого и почти всегда нецелесообразно: серьезные инциденты могут происходить нечасто, а навыки теряются без постоянной практики. Внешние SOC-команды работают с десятками кейсов, ежедневно обогащают свою практику, сталкиваются с разными сценариями. Это позволяет экспертам сохранять и профессиональные компетенции, и мотивацию».
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных