Fortinet предупреждает: электронная почта остаётся ключом к кибератакам, ИИ усиливает фишинг

В прошлом году киберпреступники беспрецедентно увеличили количество случаев автоматического сканирования уязвимостей систем с целью их взлома (рост на 16,7%). Искусственный интеллект стал важным союзником киберпреступников: злоумышленники используют его для создания дипфейков , вредоносных программ (вирусов) и мошеннических ботов. И на этом сложном фоне старый и любимый ресурс остаётся одним из основных каналов атак: электронная почта.

Вот некоторые выводы из отчёта «Глобальный ландшафт угроз за 2025 год» , ежегодно публикуемого лабораторией угроз компании Fortinet, специализирующейся на кибербезопасности. Компании периодически публикуют отчёты, содержащие информацию, собранную с помощью их систем защиты (телеметрия межсетевых экранов, EDR (антивирус), сетевые средства управления).

Автоматизированное сканирование — это массовый поиск, проводимый киберпреступниками с помощью программного обеспечения для обнаружения неисправных или неправильно настроенных компьютеров, телефонов, камер, серверов или подключённых устройств. Это похоже на то, как если бы преступник пытался открыть тысячи замков в секунду, пока не найдёт открытую дверь. В этом году компания зафиксировала 36 000 сканирований в секунду.

Проблема с этими цифрами в том, что без контекста их сложно интерпретировать. Много это или мало? Что это говорит нам о ландшафте угроз и насколько это зависит от системы обнаружения, используемой при анализе? И, прежде всего, какой риск это представляет для государственных структур, бизнеса и обычных пользователей?

Публикация последнего отчёта Fortinet совпала с визитом в Аргентину Роберта Мэя , исполнительного вице-президента компании по технологиям и управлению продуктами. В ходе визита он побеседовал с Clarín , чтобы лучше понять эти цифры и оценить текущую ситуацию.

Мэй имеет опыт работы в технологическом секторе. Он получил диплом по информатике в Университете Британской Колумбии в Канаде, а до прихода в Fortinet занимал должности инженера и менеджера по продуктам в Nortel Networks и Канадском космическом агентстве (CSA).

Имея более чем 20-летний опыт работы в компании, специалист поделился своими соображениями по поводу интерпретации данных в этом отчете, а также обсудил Латинскую Америку и основные угрозы, с которыми сегодня сталкиваются пользователи.

— Часто говорят, что киберпреступники имеют преимущество перед теми, кто защищает системы. Как вы оцениваете этот сценарий сегодня, с широким распространением искусственного интеллекта?

— Что ж, мы видим это постоянно. Так было несколько лет назад с переходом в облако: мы использовали его для защиты систем, но злоумышленники также использовали его как сервис для запуска атак из разных точек. Сегодня то же самое происходит с ИИ. Мы используем его для сокращения времени обнаружения и реагирования; даже в нашем собственном SOC [Центре безопасности] мы наблюдали 60%-ное сокращение выполнения некоторых задач с помощью ИИ. Но злоумышленники делают то же самое: они используют эти инструменты для более быстрого запуска атак. Существует технологический паритет.

— В отчете вы упоминаете методы, называемые «жизнью за счет земли ». Что это значит?

— Это часто случается в критически важной инфраструктуре. Проникнуть через «первую дверь» организации может быть легко, но это не даёт доступа к самым важным секретам. Злоумышленнику лучше всего оставаться в сети незаметным: вместо того, чтобы шуметь и выдавать себя, он остаётся внутри, действуя скрытно. Он не сканирует всю сеть сразу, а выжидает моменты, когда его поведение кажется нормальным. Таким образом, он может месяцами или годами не причинять вреда, пока не обнаружит что-то ценное и не начнёт действовать.

— Сейчас всё крутится вокруг искусственного интеллекта. Как он влияет на такие атаки, как фишинг?

Электронная почта остаётся самым простым способом кибератаки, и ИИ способствует обману. Раньше языковые различия позволяли выявлять поддельные письма. Теперь же, благодаря ИИ, сообщения выглядят абсолютно легитимными и содержат подробную информацию. Порог для начала атаки становится всё ниже.

— Пароли всё ещё остаются серьёзной проблемой. Что вы думаете об их отмене?

— В нашем центре безопасности (SOC) многие оповещения, которые мы отправляем клиентам, просто просят их включить многофакторную аутентификацию или аутентификацию с нулевым доверием. Эти инструменты у них уже есть, но они не включаются. Одни только пароли небезопасны. Существуют такие решения, как ключи доступа и MFA (двухфакторная аутентификация). Важно добавить дополнительный уровень безопасности помимо пароля.

— Неправильные конфигурации все еще представляют собой проблему?

— Да. Иногда они внедряют элементы управления в одной части сети, но не в другой. Это сложные среды с несколькими ИТ-отделами. Даже при наличии инструментов они не настраивают их должным образом. Для этого существуют такие технологические решения, как нулевое доверие [ограничение доступа для сотрудников, которым не нужны более высокие привилегии] и многофакторная аутентификация (MFA), которые включены в наши продукты. Мы также используем ИИ для оповещения об открытости или незащищенности чего-либо. Раньше приходилось вручную проверять конфигурацию, но это другая сторона ИИ, которую можно использовать для защиты: с помощью генеративного ИИ мы можем оповещать администратора и предлагать или внедрять изменения.

— Каковы вы видите перспективы Латинской Америки?

— Если я правильно помню отчёт, около 25% всех атак в мире приходится на Латинскую Америку. Это зависит от страны и её преобладающих отраслей: нефтегазовая, финансовые услуги и т. д. Однако этот регион — одна из основных целей киберпреступников.

— А как насчет промышленных систем , которые теперь стали гораздо более взаимосвязанными?

— Раньше это были изолированные системы, но за последние 5–10 лет цифровая трансформация объединила их, оставив позади некоторые проблемы. Инвестиции были сделаны, но не все организации двигались с одинаковой скоростью. Это критически важные среды: энергетика, водоснабжение, транспорт. Атака на них затрагивает миллионы людей. Более того, это экстремальные среды, требующие специального оборудования и специализированного программного обеспечения. Цели схожи с другими атаками, но точки входа иные.

— Программы-вымогатели стали важной темой последних лет, хотя в СМИ о них говорят реже. Какова ситуация с программами-вымогателями сегодня?

— Что ж, это на самом деле всё ещё распространено. ИИ изменил способы генерации атак и защиты от них, но не их тип. В частности, в промышленных секторах (OT, операционные технологии) мы наблюдаем случаи, когда киберпреступники пытаются не только украсть данные , но и скомпрометировать критически важную инфраструктуру с целью получения выкупа.

— Внедряют ли компании ИИ, не оценивая риски?

— Да, конкурентное давление существует: если ваш конкурент говорит об ИИ, вам тоже придётся говорить об ИИ. Поэтому они развёртывают языковые модели [LLM] в облаке, плохо настроенные или без контроля или понимания того, какие данные они загружают. Именно для этого мы предлагаем инструменты для обеспечения безопасности этих развёртываний. Мы также используем ИИ для кибербезопасности, обнаружения и ускорения работы SOC.

— Пользователям сложно отделить «сигнал от шума» в сфере ИИ. Является ли это проблемой и для отрасли?

— Да. Многие основные доклады [на конференциях] говорят об ИИ, не демонстрируя, как он работает, без демонстрации. Вы видите стенды, на которых в прошлом году ИИ не был представлен, а в этом году его добавили в брошюру. Много шума . Главное — показать, как он реализован и какую ценность он приносит, а не просто представить это в презентации PowerPoint. Риск заключается в том, что развёртывание некачественного продукта без проверки его безопасности может стать площадкой для атак.

— Какие тенденции сегодня вызывают беспокойство?

— Ну, чаще всего пользователи используют ChatGPT для загрузки конфиденциальных данных. Существуют тысячи новых SaaS-сервисов с искусственным интеллектом и сотрудниками, которые загружают туда информацию. Мы предоставляем CISO (директору по безопасности) доступ к данным и инструменты для их блокировки. И не только обычным пользователям, но и операторам сетей, которые загружают внутренние данные на внешние сервисы.

— Какой совет вы бы дали сегодня компаниям и пользователям в этой области?

— Для бизнеса: прозрачность. Знайте, какие данные передаются и что используется. Затем решайте, что разрешить, а что нет. Для пользователей: будьте в курсе того, какие данные загружаются и куда. Так же, как мы постоянно повторяли: «Не переходите по подозрительным ссылкам, не передавайте никому пароли и ключи», теперь нам приходится повторять мантру: «Не загружайте личную информацию в чат-бот или на общедоступный сайт ». В конечном итоге мы не знаем, где окажутся эти данные.