Глобальный отчет Cloudflare «2026 Threat Intelligence Report» фиксирует фундаментальную смену парадигмы в действиях злоумышленников. Киберпреступники по всему миру переходят от технически сложного взлома систем (breaking in) к входу в них по легитимным учетным данным (logging in) .
Данные CrowdStrike из отчета Global Threat Report 2026 подтверждают эту тенденцию: 82% обнаружений в 2025 году были «безвредоносными» в классическом понимании. Злоумышленники действуют через легитимные учетные данные, доверенные потоки аутентификации и одобренные интеграции облачных сервисов . Прошлый год эксперты прямо называют «годом уклоняющегося противника» .
Ключевые факторы, повлиявшие на изменение ландшафта угроз:
-
ИИ-ассистированные атаки. Рост числа атак с применением средств искусственного интеллекта составил 89% по сравнению с 2024 годом . Инструменты на базе ИИ ускорили фишинг, разведку и подготовку операций. Специалисты Cloudflare отмечают, что развитие Generative AI и больших языковых моделей (LLM) позволило злоумышленникам автоматизировать процессы, которые ранее требовали месяцев ручной работы .
-
Рекордная скорость атак. Время реакции защитников критически сократилось. Среднее время выхода злоумышленника за пределы первоначально взломанной машины сократилось до 29 минут, а самый быстрый зафиксированный случай занял всего 27 секунд . В одном из инцидентов попытка вывода данных началась через четыре минуты после получения первоначального доступа .
-
Дипфейки в рекрутинге. Зафиксированы случаи, когда северокорейские хакерские группы использовали ИИ-аватары для прохождения собеседований и трудоустройства в западные IT-компании с целью шпионажа .
-
Рост облачных инцидентов. Число вторжений с акцентом на облачную инфраструктуру увеличилось на 37%, а среди групп, связанных с государствами, рост составил 266%. В 35% облачных инцидентов ключевую роль сыграло злоупотребление действующими учетными записями .
Мнение эксперта «Инжинирингового центра РЕГИОНАЛЬНЫЕ СИСТЕМЫ»
«Тенденция, которую фиксируют Cloudflare и CrowdStrike, абсолютно точно проявляется и в России. Мы наблюдаем, что классический периметровый подход к защите — "поставил файервол и антивирус и спи спокойно" — окончательно уходит в прошлое. Если злоумышленник заходит в систему под именем легитимного сотрудника, используя его украденные или подобранные данные, то традиционные средства защиты его просто "не видят".*
Единственная эффективная стратегия сегодня — это архитектура Zero Trust (нулевого доверия), где система проверяет каждое действие пользователя, независимо от того, насколько "легитимными" выглядят его учетные данные. Особое внимание нужно уделять защите облачных приложений и контролю привилегий. Мы также рекомендуем компаниям регулярно проводить тренинги по социальной инженерии с использованием симуляции реальных атак, так как человеческий фактор остается главным вектором входа».