Обзор трендов кибербезопасности 2025 года: мнение экспертов BI.ZONE
Последние три года количество атак увеличивалось. 2025-й не станет исключением: их число продолжит расти, но без резких скачков.
Важный тренд киберландшафта — увеличение числа атак, связанных с хактивизмом. По нашим данным, в 2024 году доля таких атак увеличилась, хоть и ненамного.
Несмотря на сравнительно небольшой процент, атаки хактивистов носят публичный характер, а потому особенно заметны. Вероятно, 2025 год принесет новые крупные публичные взломы, а также связанные с ними утечки и попытки навредить инфраструктуре компаний или уничтожить ее.
Если в 2025 году произойдут геополитические изменения, то снижение количества атак маловероятно — хактивисты могут полностью переключиться с идеологической на финансовую мотивацию.
Прежними останутся и векторы компрометации:
- фишинговые атаки;
- проникновение через скомпрометированных подрядчиков;
- использование легитимных учетных записей;
- эксплуатация уязвимостей на сетевом периметре.
Рынок кибербезопасности продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами. Основная причина замедления связана с финансовой сферой: высокая ключевая ставка ограничивает бизнес в привлечении финансирования для крупных вложений.
Законодательные изменения и импортозамещение
Требования законодательства всегда являлись сильным драйвером развития кибербезопасности в России. И эта тенденция сохранится. Например, в конце 2024 года были приняты поправки к административному и уголовному кодексу, усиливающие ответственность за утечки персональных данных (ПДн). Кроме того, компании, относящиеся к критической информационной инфраструктуре, должны были перейти на отечественные IT-решения к 1 января 2025 года в соответствии с указом президента № 166.
Однако есть вероятность, что часть компаний может осознанно не выполнить требования указа. В первую очередь это связано с недостатком качественных отечественных аналогов зарубежных решений. Возможно, организации будут ждать первых прецедентов наказания, а только потом принимать решение о переходе на отечественные решения. Похожая ситуация была после вступления в силу указа президента № 250, согласно которому организации должны оценить защищенность, провести инвентаризацию договоров по защите данных с подрядчиками и пересмотреть взгляды на подключение к системе ГосСОПКА.
А вот с утечками данных ситуация отличается. Не соблюдать законодательство в этой сфере слишком рискованно и дорогостояще.
Штрафы предусмотрены не только при утечке персональных данных, но и при их незаконной обработке: если обработка не предусмотрена законодательством или несовместима с целями сбора ПДн.
Для соблюдения всех требований необходимо выстроить зрелые процессы работы с персональными данными и учесть нюансы законодательства. Для этих целей лучше всего воспользоваться специализированными инструментами, например BI.ZONE GRC.
Практическая помощь от государства
За последние три года сформировалась четкая картина атак на Россию и ее информационные ресурсы. Ожидается, что в 2025 году не только продолжатся изменения законодательства в области кибербезопасности, но и начнется практическая помощь со стороны государственных ведомств.
Например, уже создана национальная система противодействия DDoS-атакам (НСПА)
Помимо этого, в 2024 году в тестовом режиме была запущена государственная система сканирования российского адресного пространства на уязвимости
Также в следующем году может продолжиться развитие национальной системы доменных имен. В нее могут добавить функции предотвращения обращений к известным вредоносным доменам.
Погоня за прибылью с NGFW
В 2025 году исполнится три года с момента ухода большинства зарубежных решений кибербезопасности с российского рынка. Для многих компаний проблемой становится не только амортизация оборудования, но и продление лицензий, в том числе на ключевой элемент защиты сети — межсетевой экран.
Эксперты оценивают объем российского рынка next generation firewall (NGFW) в 2024 году в 52 млрд рублей с прогнозируемым ежегодным ростом.
Более 30 компаний заявили о разработке собственных NGFW. Однако не все подошли к этому осознанно: часть из них решила «следовать за трендом», хотя не обладает достаточными компетенциями.
В 2025 году ожидаются маркетинговые баталии за звание лучшего NGFW. Тем не менее рынок явно не нуждается в таком большом числе решений. Вероятно, через 2–3 года количество вендоров сократится вдвое.
Клиентам рекомендуется изучать результаты независимых тестов и данные о стабильности решений. Также важно проверять, на каком трафике и с какими включенными механизмами защиты были получены значения производительности. От корректной работы NGFW зависит не только безопасность сети, но и стабильность ее работы.
Активное продвижение концепции zero trust
Модель нулевого доверия (zero trust) основывается на концепции, предполагающей отсутствие заранее предоставленного доверия любому субъекту внутри или снаружи сети организации. Технологическое воплощение концепции zero trust — решения zero trust network access (ZTNA). Они проверяют устройства пользователей на безопасность и аутентифицируют их при подключении к сети, предоставляя доступ только к заранее определенным ресурсам.
На рынке пока нет комплексных отечественных решений ZTNA от одного вендора, но этот сегмент будет развиваться. Концепция минимальных привилегий и их контроля является фундаментальной в сфере кибербезопасности, поэтому создание российских решений класса ZTNA будет одним из трендов 2025 года.
Использование защищенных облачных ресурсов
Компаниям тяжело строить планы на далекое будущее. К тому же иностранное серверное оборудование привозить сложно и дорого, а решения российской сборки могут удовлетворить не все потребности бизнеса. Поэтому компании выбирают модель OPEX, которая не требует больших капитальных вложений.
Важным шагом стало появление практически у всех облачных провайдеров защищенных сегментов для обработки в системах персональных данных, а также первых облаков КИИ, получивших аттестат соответствия требованиям приказа ФСТЭК № 239. В 2025 году такие решения станут еще популярнее.
Также все теснее будет интеграция облачных решений и средств кибербезопасности. Зарубежные игроки рынка облачных вычислений давно предоставляют возможность нативного подключения необходимых СЗИ по клику из личного кабинета облака. Российский облачный сегмент будет развиваться в том же направлении, создавая более тесные партнерства с вендорами кибербезопасности. Возможно, уже через пару лет облачные провайдеры сами выйдут на рынок кибербезопасности, предоставляя решения, полностью интегрированные в свои облака.
Укрепление AI/ML-технологий
Как и во многих других сферах, в кибербезопасности есть тенденция к укреплению позиций технологий artificial intelligence (AI) и machine learning (ML). Это долгосрочный тренд, который будет сохраняться в ближайшие пять лет. Причем он относится как к злоумышленникам, так и к специалистам по кибербезопасности.
Злоумышленники используют AI/ML для проведения мошеннических атак и фишинга. Например, создают ботов на основе генеративно-состязательных сетей (GAN), которые взаимодействуют с жертвами, генерируют фишинговые письма, синтезируют голоса и видео, а также автоматизируют процесс создания и обфускации вредоносного кода.
Сторона защиты активно использует AI в детектирующей логике СЗИ. Это позволяет сократить количество ложных срабатываний, выявлять аномалии и отслеживать отклонения от стандартного поведения трафика, пользователей и программ.
Кроме того, ожидается более глубокое внедрение AI в работу SOC. Если раньше технология использовалась для увеличения пропускной способности обработки алертов за счет фильтрации ложных срабатываний, то теперь идет переход к полноценным AI‑ассистентам, которые самостоятельно классифицируют инциденты и дают по ним рекомендации.
В рамках услуги BI.ZONE TDR уже давно используется AI/ML для помощи аналитикам в обогащении контекста инцидента и фильтрации ложных срабатываний. Это позволяет повысить качество сервиса и освободить аналитиков от рутинных задач, позволяя им сосредоточиться на действительно важных инцидентах.
Переход от сканирования периметра к EASM
Эксплуатация уязвимостей на внешнем периметре и использование украденных данных — популярные способы получения первоначального доступа к инфраструктуре организаций. Поэтому за последние несколько лет на рынке появилось много новых компаний, которые помогают сканировать внешний периметр, искать утечки и предоставляют другие инструменты для контроля поверхности атаки.
Зарубежные вендоры давно объединили такие инструменты в одно большое решение — extended attack surface managment (EASM). Тренд 2025 года — переход российских поставщиков от отдельных инструментов к комплексным решениям, полностью удовлетворяющим потребности клиентов в контроле внешней поверхности атаки.
Методы и тактики злоумышленников радикально не меняются из года в год. Чтобы оценить, какие подходы они будут использовать в 2025-м, достаточно проанализировать статистику предыдущего года. Однако ежегодно появляются новые особенности в использовании инструментов и методов, которые позволяют злоумышленникам проводить успешные кибератаки.
Среди все еще актуальных трендов, унаследованных из 2024 года, можно выделить:
-
хактивизм;
-
вымогательство;
-
использование стилеров;
-
коммерческое вредоносное ПО (ВПО);
-
опенсорс-инструменты и C2-фреймворки;
-
средства для туннелирования трафика.
Подробнее остановимся на следующих тенденциях:
-
атаки через подрядчиков;
-
удар по гражданам через атаки на бизнес и госорганы;
-
использование украденных персональных данных;
-
переход мошенников в мессенджеры.
Атаки на небольшие компании и их корпоративных клиентов
Ранее злоумышленники сосредотачивались преимущественно на крупных организациях. Однако в 2024 году стало больше атак на малый и средний бизнес. Это связано с ростом защищенности крупных компаний и удорожанием атак на них.
У небольших компаний часто нет даже базовых средств кибергигиены, таких как антивирусная защита. В 2024 году злоумышленники, вероятно, получили доступ к инфраструктуре многих компаний малого и среднего бизнеса, но еще не реализовали весь потенциал этих проникновений.
Это опасно и для крупных организаций — атаки на них все чаще совершаются через подрядчиков, не уделяющих должного внимания кибербезопасности. В 2025 году такие атаки продолжатся, поэтому компании начнут активнее применять решения класса privileged access management (PAM) для контроля не только собственных привилегированных учетных записей, но и подключения подрядчиков.
Этот тренд подтверждается опытом BI.ZONE PAM: клиенты указывают одной из ключевых целей внедрения PAM оптимизацию и контроль работы с подрядчиками.
Удар по гражданам через атаки на бизнес и госорганы
Одной из основных мотиваций злоумышленников при атаках на российские компании остается хактивизм, сопровождающийся громкими заявлениями. Утечки персональных данных и DDoS-атаки уже стали нормой за последние три года.
Чтобы продолжать привлекать внимание к своим действиям, злоумышленники могут сосредоточиться на выведении из строя организаций и ведомств, чья неработоспособность напрямую затронет граждан. Это могут быть государственные учреждения, крупные компании из сфер e-commerce, ритейла и банковского сектора.
Использование украденных персональных данных
По разным данным, в 2024 году в открытый доступ попало от 500 миллионов до более чем 1 миллиарда строк персональных данных россиян. С учетом утечек за последние три года можно собрать досье практически на каждого жителя страны.
Эти данные уже используются в мошеннических схемах, но пока на примитивном уровне. В 2025 году ожидается появление более сложных атак с использованием методов социальной инженерии, направленных на мошенничество, шантаж и запугивание граждан.
Массовый переход мошенников в мессенджеры
Если ранее злоумышленники комбинировали телефонные звонки и сообщения, то во второй половине 2024 года они стали активнее использовать мессенджеры. В 2025 году тенденция усилится.
Это связано с тем, что государство и операторы связи активно борются с телефонным мошенничеством, блокируя зловредные номера. Однако для мессенджеров пока не разработаны эффективные механизмы защиты.
К концу 2025 года проблема может стать критичной, и вендоры в сфере кибербезопасности займутся разработкой таких решений. Среди возможных шагов:
- развитие DLP-/UEBA-систем для анализа и классификации переписок в мессенджерах;
- создание баз данных злоумышленников в мессенджерах (например, по Telegram ID);
- проведение учебных фишинговых атак с использованием мессенджеров.
2025 год станет годом укрепления технологий, совершенствования процессов и активного взаимодействия между государством, бизнесом и индустрией кибербезопасности для противостояния киберугрозам.
Количество кибератак продолжит увеличиваться, особенно в контексте хактивизма. Однако способы компрометации остаются прежними, что позволяет компаниям сфокусироваться на понятных векторах защиты. Особое внимание потребуется уделить защите данных и взаимодействию с подрядчиками — через них злоумышленники все чаще проникают в корпоративные сети.
Прогресс в области технологий, включая развитие концепции zero trust, использование защищенных облачных решений и внедрение AI/ML для повышения эффективности SOC, позволит бизнесу и государству повысить уровень защищенности от кибератак. А переход на отечественные IT-решения и усиление ответственности за утечки данных — все еще вызов для многих организаций.
Усилия государства по разработке систем защиты и поддержке локальных решений в условиях импортозамещения создают основу для повышения общей киберустойчивости. В то же время компании должны сохранять фокус на новых решениях и укреплять партнерства с ведущими вендорами.