Пять способов защитить корпоративную сеть от кибератак с использованием ИИ

Современная кибербезопасность перешла в фазу автоматизированного противостояния. Злоумышленники используют инструменты на базе искусственного интеллекта, которые работают в тысячи раз быстрее человеческих реакций. В ответ организации внедряют автоматизированные системы защиты, однако, как показывают исследования компании Mandiant, входящей в структуру Google Cloud*, именно человеческий фактор остается самым уязвимым звеном в цепи обороны.

Новые реалии цифровой войны

Исследователи отмечают формирование модели разделения труда среди хакеров. Одна группа злоумышленников специализируется на начальном доступе, используя вредоносную рекламу или поддельные обновления программного обеспечения. Затем доступ к скомпрометированной инфраструктуре передается другой группе для проведения целевой атаки.

Скорость проведения операций возросла многократно:

• Время передачи скомпрометированного доступа от одной группы хакеров к другой сократилось с 8 часов в 2022 году до 22 секунд в 2025 году.
• Среднее время эксплуатации уязвимостей до момента выхода официального обновления сократилось до 7 дней.

Тактика злоумышленников и среднее время нахождения в системе

Большинство атак на корпоративные сети делятся на две категории: финансово мотивированные (программы-вымогатели) и шпионаж, направленный на скрытое присутствие. Среднее время от момента вторжения до обнаружения составляет 14 дней, однако в случаях промышленного шпионажа хакеры могут скрываться в сети до 122 дней.

Согласно отчету, основными целями становятся высокотехнологичный сектор (17%) и финансовые институты (14,6%). В качестве векторов атак лидируют эксплуатация уязвимостей и интерактивная голосовая социальная инженерия, направленная на обход многофакторной аутентификации через службы технической поддержки.

Роль искусственного интеллекта

Несмотря на активное применение ИИ для разведки, генерации вредоносного кода и проведения социальной инженерии, эксперты подчеркивают, что большинство успешных взломов по-прежнему происходят из-за фундаментальных системных ошибок или человеческого фактора. ИИ пока играет вспомогательную роль, автоматизируя поиск конфигурационных файлов и кражу токенов доступа.

Стратегии укрепления защиты

Для противодействия угрозам нового типа компаниям рекомендуется пересмотреть подход к сетевой инфраструктуре:

• Присвоить платформам виртуализации и управления наивысший уровень критичности с максимально строгими ограничениями доступа.
• Изолировать среду резервного копирования от основного домена Active Directory и использовать неизменяемые хранилища данных для предотвращения их уничтожения злоумышленниками.
• Развернуть системы обнаружения угроз по всей экосистеме предприятия и увеличить срок хранения журналов событий, выходя за рамки стандартных 90 дней.
• Регулярно проводить аудит интеграций сторонних облачных сервисов и маршрутизировать весь доступ через централизованного провайдера идентификации.
• Внедрять модели обнаружения на основе поведенческого анализа, которые выявляют любые аномалии и отклонения от нормальной работы системы.

Специалисты заключают, что в текущих условиях идентичность пользователя стала новым периметром безопасности. Одной смены паролей и стандартной многофакторной аутентификации недостаточно — необходим переход к непрерывной проверке личности, особенно при взаимодействии с внешними подрядчиками.

* — деятельность компании запрещена на территории РФ