Аналитика

ИИ на службе у хакеров: как генеративные нейросети создают новые киберугрозы

  • 14-12-2025 20:43
  • 0
|

Ринат Мавлютов из «АгроЭко»: Злоумышленники создают вредоносные программы, применяя генеративный искусственный интеллект

Если прежде обеспечение цифровой безопасности волновало в основном большие финансовые и IT-корпорации, то сейчас эта тема стала актуальной и для классических секторов экономики, включая агропромышленный комплекс. О трансформации поля киберугроз в последнее время и о возрастающей роли искусственного интеллекта в атаках в беседе с CNews рассказал Ринат Мавлютов, руководитель службы информационной безопасности компании «АгроЭко».

«Основная цель теперь — нанесение наибольшего вреда объектам атак»

CNews: Какие изменения произошли в сфере киберугроз за последние годы? В чём состоят специфика и основные трудности для российской кибербезопасности сегодня?

Ринат Мавлютов: Развитие киберугроз идёт в ногу с технологическим прогрессом и отражает текущую мировую ситуацию: за реальными конфликтами последовал всплеск цифровых нападений, которые координируются хактивистами и оппозиционными кибергруппировками, а появление таких технологий, как машинное обучение и ИИ, даёт злоумышленникам возможность применять новые методы и средства для атак.

Преобразуется и мотивация атакующих: тогда как ранее большинство инцидентов было связано с получением денежной прибыли, то в последние три года основной акцент сместился на причинение максимального урона тем, на кого направлены атаки.

Подобный сдвиг усложняет традиционную оценку рисков, поскольку сплочённые группы хактивистов могут выделять на взлом существенные ресурсы, а самым серьёзным последствием становится уже не ставшее привычным цифровое вымогательство или утечка данных, а полный вывод инфраструктуры из строя.

Более того, объектом современных кибератак нередко становятся небольшие подрядчики, чья слабо защищенная ИТ-среда используется как трамплин для последующего проникновения в основную целевую организацию. Антиправительственные APT-группы также ведут скрытую разведывательную деятельность — их долгое незаметное пребывание в корпоративных сетях позволяет злоумышленникам детально изучить особенности работы предприятия и похитить наиболее значимые данные.

Ключевая перемена в сфере российской кибербезопасности за последние пять лет заключается в том, что вопросы защиты от цифровых угроз стали активно обсуждаться не только в отраслевых СМИ и на профильных конференциях, но и в деловом сообществе. В результате, руководители, принимающие стратегические решения в российских компаниях, стали гораздо лучше понимать задачи в области информационной безопасности.

Резонансные взломы, утечки информации, продолжительные простои в работе компаний и освещение крупных инцидентов в прессе наглядно показали, что устойчивость к кибератакам — это насущная необходимость. Это касается не только крупных корпораций, но и представителей малого и среднего бизнеса, где ранее вопросам цифровой защиты уделяли крайне мало внимания.

Ужесточение законодательства в сфере защиты персональных данных, импортозамещения и безопасности критической информационной инфраструктуры лишь подчеркивает значимость проблем кибербезопасности на государственном уровне. Однако сегодня это уже не главный стимул — компании осознанно внедряют эффективные средства защиты, понимая, что надежная информационная безопасность нужна, в первую очередь, им самим.

CNews: Еще пять лет назад можно было столкнуться с мнением, что защита информации — приоритет исключительно крупных финансовых и технологических компаний. Насколько востребована кибербезопасность в традиционных отраслях, таких как агропромышленность?

Ринат Мавлютов: Действительно, изначально вопросами кибербезопасности активно занимались государственные и финансовые учреждения — именно там хорошо осознавали высокую ценность информации и то, что отсутствие защиты может привести к существенным финансовым потерям. Для многих организаций первое знакомство с этой проблематикой произошло после принятия в 2006 году закона 152-ФЗ «О персональных данных» — тогда впервые в России требования по цифровой защите были распространены на широкий круг компаний.

В 2025 году поправки в этот же закон, а именно введение штрафов в размере оборота за утечки персональных данных, вновь привлекли внимание бизнеса к вопросам информационной безопасности. Сегодня уровень цифровизации вырос в разы, в том числе в тех отраслях, где бизнес-процессы ранее были автоматизированы минимально.

К примеру, такие сферы, как транспорт, строительство, пищевая отрасль и агропромышленный комплекс, активно развиваются, модернизируются, внедряют передовые технологии и всё больше нуждаются в современных подходах к кибербезопасности. Цифровые технологии проникают как в административную, так и в производственную деятельность: так, в компании «Агроэко» используются RPA-системы для автоматизации финансовых, бухгалтерских и закупочных операций, а на производстве задействованы инструменты дополненной реальности, телеветеринарии и компьютерного зрения.

Уже сегодня цифровые инструменты позволяют контролировать ключевые этапы производства — от создания и изготовления комбикормов до генетического отбора и мониторинга здоровья животных на свиноводческих предприятиях.

Устойчивость, надёжность и безопасность цифровых систем напрямую связаны с защищённостью данных и инфраструктуры, которые служат основой для бесперебойной работы бизнес-процессов, биологической и экологической безопасности производства, эффективности деятельности и стабильного развития компании. А значит, и для продовольственной безопасности в масштабах государства.

«Необходимо разработать корпоративную политику управления уязвимостями»

CNews: Повышение уровня цифровизации вызвало потребность в обеспечении кибербезопасности в различных отраслях экономики. Какие процессы в области ИБ следует внедрить в первую очередь?

Ринат Мавлютов: Несмотря на обширный ассортимент отечественных защитных решений, фундаментом кибербезопасности остаются грамотно выстроенные и отлаженные ИБ-процессы, которые в дальнейшем можно автоматизировать. Причём начинать рекомендуется с, казалось бы, простых шагов — инвентаризация, управление активами и настройками, устранение уязвимостей, контроль учётных записей и ограничение привилегий, сегментация сети и разграничение доступа, резервное копирование, сбор и анализ событий безопасности, обучение сотрудников.

Управление активами служит базой для всех последующих защитных мер, включая моделирование угроз и управление киберрисками, однако даже этот основной процесс не везде реализован в полной мере — зачастую не учитываются, например, компоненты OT-инфраструктуры, устройства промышленного интернета вещей (IIoT), системы видеонаблюдения и контроля доступа, а также различное портативное оборудование (такое как терминалы сбора данных) и нестандартные сетевые устройства.

Вследствие этого увеличивается «теневой» парк техники, подключённой к сетям передачи данных, который может быть использован при проведении кибератак. Кроме того, во многих организациях отсутствует единое хранилище достоверной и актуальной информации об активах — данные приходится извлекать из разрозненных систем, что крайне неудобно и особенно неэффективно при реагировании на киберинциденты, где важна оперативность.

Недостаток подробных данных об активах негативно сказывается и на связанных процедурах — ведение конфигураций требует детального учёта оборудования, а при определении порядка устранения уязвимостей и реагирования на инциденты необходимо опираться на оценку важности активов для бизнеса и учитывать, как информационные системы зависят от конкретных серверов.

CNews: Управление уязвимостями — это фундаментальный процесс в сфере информационной безопасности, однако его организация часто далека от идеала. Какие методы и инструменты могут повысить его эффективность?

Ринат Мавлютов: При построении системы управления уязвимостями первостепенная задача — разработка внутренней политики по этому вопросу. В её создании хорошим подспорьем служит нормативная база ФСТЭК России, в частности такие методические материалы, как «Руководство по организации процесса управления уязвимостями в органе (организации)», «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» и «Методика тестирования обновлений безопасности программных, программно-аппаратных средств».

Кроме того, ценные сведения можно найти и в международных источниках — например, в документе NIST SP 800-40 «Руководство по планированию корпоративного управления патчами», где детально описан рекомендуемый цикл работ по управлению уязвимостями.

При формировании политики следует уделить внимание нескольким ключевым аспектам:

  1. обязательность учёта всех активов организации;
  2. чёткое разграничение обязанностей между IT- и ИБ-подразделениями;
  3. определение приоритетов в устранении уязвимостей на основе оценки их опасности и характеристик актива, используя методики ФСТЭК России, а также системы CVSS, EPSS и SSVC;
  4. пополнение данных об уязвимостях и эксплойтах из разнообразных источников, включая реестры БДУ ФСТЭК, базы MITRE CVE, NIST NVD, Exploit-DB, AttackerKB и другие каталоги;
  5. аргументированный выбор способа устранения уязвимости: установка патча, отключение уязвимого компонента, внедрение компенсирующих мер или официально согласованное и задокументированное принятие риска, связанного с эксплуатацией обнаруженной уязвимости, если иные меры неприменимы;
  6. контроль фактического применения выбранного метода — например, при установке обновления нужно убедиться, что оно успешно инсталлировано и не произошёл автоматический возврат к предыдущей версии программного обеспечения.

Важно также подчеркнуть, что правильно организованный процесс управления уязвимостями способен одновременно решать несколько задач в рамках основных ИБ-процедур — это инвентаризация и категоризация активов, сбор сведений об установленном аппаратном и программном обеспечении, получение параметров конфигурации устройств, а также составление списков пользователей и сетевых настроек.

К примеру, при проведении детального сетевого сканирования с целью инвентаризации оборудования можно получить данные о конфигурациях устройств и схемах соединения между сегментами сети. Это помогает проанализировать возможные пути горизонтального перемещения злоумышленника и спрогнозировать его маршрут в ходе атаки.

Аутентифицированная проверка уязвимостей на рабочих станциях позволяет собрать не только сведения об установленном программном обеспечении и настройках, но и информацию о текущих сеансах пользователей, составе групп локальных администраторов и учетных записях для удаленного доступа. Это дает возможность оценить, насколько корректно соблюдается принцип минимальных привилегий, и выявить избыточно наделенные правами аккаунты.

«Нам требовалось не просто средство для поиска уязвимостей»

CNews: В группе компаний «Агроэко» недавно завершился пилотный проект, и сейчас осуществляется закупка сканера уязвимостей Security Vision VS. Что повлияло на выбор именно этого решения?

Ринат Мавлютов: Мы подошли к задаче выбора очень тщательно, поскольку нам было необходимо не просто средство для сканирования уязвимостей, а платформа, подходящая для построения в компании полноценного процесса управления уязвимостями (Vulnerability Management). Решению предшествовали почти год изучения рынка и пробные внедрения различных продуктов. Выбор сканера Security Vision VS обусловлен его комплексным и современным подходом к управлению уязвимостями, который позволяет заранее обнаруживать и результативно устранять слабые места в ИТ-инфраструктуре.

Основными причинами выбора Security Vision VS стали:

  1. Полная автоматизация процессов сканирования и управления уязвимостями с использованием различных методов, включая тестирование веб-приложений, контейнеров, операционных систем и сетевого оборудования. Это обеспечивает широкий охват активов и снижает риски потенциальных атак.
  2. Высокая точность и глубина анализа благодаря собственному движку и интеграции с распространенными внешними системами, что формирует более целостную картину уровня безопасности.
  3. Поддержка различных режимов работы: от «белого» (аудит) до «черного» ящика (моделирование атак), а также возможность ретроспективного анализа — мгновенного поиска уязвимостей в ранее собранных данных без повторного сканирования.
  4. Инструменты для гибкого управления процессом: настройка расписаний, расстановка приоритетов задач на основе критичности угроз (CVSS), контроль SLA и встроенная система тикетинга для отслеживания устранения уязвимостей.
  5. Возможность работы с изолированными сетевыми сегментами, что критично для организаций с повышенными требованиями к безопасности.
  6. Удобные средства отчетности и визуализации взаимосвязанных уязвимостей, упрощающие принятие решений и взаимодействие внутри команды безопасности.
  7. Low-code платформа, позволяющая собственными силами гибко адаптировать продукт под текущие операционные задачи.

Мы остановили свой выбор на Security Vision VS благодаря его всестороннему подходу, адаптивности, возможности взаимодействия с другими системами, а также способности гарантировать эффективный контроль над уязвимостями в разнообразных инфраструктурных условиях, что является ключевым требованием для современных компаний, уделяющих первостепенное внимание противодействию кибератакам.

CNews: Какие наиболее значимые вопросы удалось решить в ходе тестирования решений для управления уязвимостями (VM)? Оправдал ли данный сканер первоначальные прогнозы?

Ринат Мавлютов: В число ключевых целей и задач входило обеспечение проверки всех категорий активов, адаптация встроенной процедуры учета сетевого оборудования, формирование специализированных отчетов по итогам выявления и устранения уязвимостей, а также создание обобщенной панели мониторинга для руководства, отражающей состояние активов и угроз.

Общепринятая оценка CVSS отражает общий уровень угрозы в глобальном масштабе, но не в условиях нашей конкретной инфраструктуры. Особенно интересной стала настройка системы определения приоритетов рисков (Risk Rating) с учетом контекста. Мы настроили систему таким образом, чтобы она принимала во внимание:

  1. Важность актива: Уязвимость в рабочем контуре «1С» имеет иную значимость, чем аналогичная проблема на испытательном стенде.
  2. Расположение актива: Находится ли система в демилитаризованной зоне (DMZ) или внутри корпоративной сети?
  3. Наличие средств эксплуатации: Активно ли используется данная уязвимость злоумышленниками?

В итоге, вместо тысяч уязвимостей с высоким показателем CVSS, мы выявили несколько десятков рисков, действительно критичных для нашей деятельности, на которые и следует направлять основные усилия.

CNews: Несмотря на высокую значимость информационной безопасности, финансовые возможности многих компаний небезграничны. Как добиться экономически обоснованной киберзащиты?

Ринат Мавлютов: Как уже отмечалось, первоочередная задача — выстроить эффективные процессы в сфере кибербезопасности, а инструменты для их реализации могут быть разными. При создании новых систем мы сразу применяем принцип Security by Design (SbD) — упреждающий подход, при котором защитные меры закладываются в процесс разработки изначально, а не добавляются постфактум.

Также мы активно используем практику усиленной настройки устройств (харденинг) — ее можно внедрить, используя стандартные возможности операционных систем и руководства от специализированных компаний и поставщиков, например, следуя рекомендациям по безопасной установке и использованию ОС, перечням безопасных конфигураций от CIS, NIST, STIG. Крайне важную задачу обучения сотрудников основам ИБ также можно решить внутренними ресурсами, проводя вводные инструктажи, регулярные информационные бюллетени, плановые обучающие сессии с учетом особенностей разных групп (руководство, рядовые сотрудники, системные администраторы, разработчики).

В дополнение к самостоятельному решению задач информационной безопасности, многие компании обращаются к поставщикам ИБ-услуг, которые предлагают использование защитных инструментов по подписке (таких как анти-DDoS), управление уязвимостями и атакуемой поверхностью в формате «кибербезопасность как услуга», а также мониторинг и реагирование на инциденты с привлечением коммерческих SOC-центров. Такой формат помогает избежать крупных первоначальных вложений, распределить операционные затраты, получить предсказуемый результат и доступ к экспертизе специализированных компаний, а также при необходимости гибко увеличивать объем используемых сервисов.

CNews: Ландшафт киберугроз постоянно трансформируется, средства защиты также развиваются. Какие сферы информационной безопасности будут особенно актуальны в обозримой перспективе?

Ринат Мавлютов: Уже сегодня мы наблюдаем всё более активное применение технологий искусственного интеллекта как для проведения кибератак, так и для обеспечения защиты. Злоумышленники не только создают с помощью ИИ убедительные фишинговые сообщения и дипфейки, но и внедряют вредоносное ПО, интегрированное с LLM-моделями, а также разрабатывают новые вирусы с использованием генеративного ИИ — этот подход получил название «vibe hacking», по аналогии с «vibe coding» (создание программного обеспечения с помощью ИИ).

Соответственно, защитные механизмы должны работать с сопоставимой скоростью и применять похожие технологии, поэтому закономерно, что ИИ всё чаще интегрируется в различные продукты для информационной безопасности.

Решения на основе машинного обучения и искусственного интеллекта способны давать рекомендации специалистам при обработке киберинцидентов, обнаруживать скрытые взаимосвязи и аномалии в поведении объектов в крупных массивах данных, оценивать уровень защищенности систем, отсеивать ложные срабатывания, определять наиболее вероятные направления атак. Наши коллеги из Security Vision также активно используют технологии ML и ИИ в своих разработках — продукты их платформы в прошлом году успешно прошли экспертизу и были официально включены в реестр российского ПО как решения, применяющие технологии искусственного интеллекта.

Помимо ИИ, возрастает внимание к безопасности киберфизических и автономных систем, промышленного интернета вещей, робототехники, технологий создания цифровых двойников производственных процессов, периферийных вычислений, а также блокчейн-решений.

Эти технологии стремительно развиваются, а методы обеспечения их киберзащиты часто не успевают за этим прогрессом, что повышает уязвимость инновационных разработок. Для эффективного обеспечения безопасности новых технологий специалистам в области ИБ необходимо постоянно заниматься самообразованием, отслеживать мировые тенденции в сфере защиты, делиться знаниями и практическим опытом на конференциях и форумах, а государству — создавать отраслевые аналитические и учебные центры, организовывать площадки для обсуждения противодействия новым видам киберугроз, способствовать разработке современных образовательных программ.

CNews: Нехватка кадров в сфере кибербезопасности — серьёзная проблема как в России, так и глобально. Что бы вы порекомендовали учащимся и новичкам в этой области?

Ринат Мавлютов: Студентам стоит как можно раньше окунуться в актуальную практику отечественной защиты информации: теоретические основы важно подкреплять не искусственными учебными заданиями, а реальными кейсами. Этому помогает текущий дефицит профессионалов в ИБ-сфере — сегодня множество организаций с готовностью берут студентов на оплачиваемые стажировки и вовлекают их в проекты, где можно познакомиться с современными методами и инструментами обеспечения цифровой безопасности.

Помимо этого, современные обучающие ресурсы открывают большие возможности для самостоятельного изучения перспективных направлений, поэтому учащимся не следует ограничиваться лишь программой университета. Новички в информационной безопасности, как правило, стремятся быстро набраться опыта, что возможно либо в крупных корпорациях, либо у вендоров и интеграторов, специализирующихся на ИБ.

Даже начав карьеру в небольшой фирме, можно освоить основы бизнес-процессов и применяемые технологические решения, которые зачастую схожи с теми, что используются в более крупных компаниях — останется лишь расширить масштаб своих умений. Для систематизации и проверки знаний полезно проходить различные сертификационные программы, включая те, что предлагаются конкретными производителями, и независимые — это позволит объективно оценить свой уровень и показать его будущему нанимателю. Однако главный совет и для студентов, и для молодых, и для опытных специалистов по безопасности — это постоянное развитие: жажда новых знаний и искренний интерес необходимы в нашей увлекательной и требовательной профессии.

Рекламаerid:2W5zFHHuxEtРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/ Краткая ссылка
  • -->
    Получать новости
    Поделиться:
    Иван Чернов, UserGate: Почему классического межсетевого экрана теперь мало
    Документы без рутины: как искусственный интеллект берет на себя обработку

    0 Комментариев

    Оставить комментарий

    Обязательные поля помечены *
    Ваш комментарий *
    Категории
    Новости Hardware 507 Новости Software 419 Игры 38 Смартфоны и связь 20 Авто и транспорт 4 Гаджеты 2 Носимая электроника 8 Фото и видео 1 ОС и софт 197 Космос 3 Графика и дизайн 0 Аудио и видео 0 Наука 7 Процессоры 7 Безопасность 194 AI и нейросети 16 Открытое ПО 14 Аналитика 204 Мероприятия 4 Пресс-релизы 0 ИКТ-бизнес 191 Телеком 190 Интернет 201 Новости 305
    Похожие новости
    Card image
    Новости Hardware
    Redmi Watch 6: огромный экран и 24 дня работы всего за $84
    Card image
    ОС и софт
    Индия за 10 лет развернула 37 суперкомпьютеров и переходит к полному импортозамещению
    Card image
    ОС и софт
    Micron выпускает рекордные 192 ГБ модули памяти для ИИ-серверов
    Популярные новости
    product
    Как ИИ от «Авито Работы» помогает специалистам трудиться продуктивнее

    01/12/2025

    product
    Rutube и «Диалог Регионы» создают безопасный рунет

    28/11/2025

    product
    Как безопасно хранить пароли, не доверяя облакам

    01/12/2025

    product
    В Rockstar бунт: инсайдер раскрыл шокирующие причины массовых увольнений перед выходом GTA VI

    28/11/2025

    product
    Bauman Octillion: российская облачная платформа для квантовых вычислений открыта для исследователей

    09/12/2025

    product
    Gartner: ЦОД без собственной энергогенерации обречены на вымирание

    07/12/2025

    product
    OnePlus 15: разбор флагмана, который ждали в России

    07/12/2025

    product
    Apple в два раза снизила сбор с разработчиков мини-приложений

    07/12/2025

    product
    Германия исключает Китай из гонки 6G: Huawei и ZTE под полным запретом

    04/12/2025

    product
    Китай запустил гигантского воздушного змея-электростанцию

    04/12/2025

    Популярные теги
    Apple Google Microsoft NVIDIA OpenAI Samsung Steam ИИ ИТ-инфраструктура Китай МТС МегаФон Россия США ЦОД автоматизация безопасность дата выхода дата-центры защита данных импортозамещение инвестиции информационная безопасность искусственный интеллект исследование кибератаки кибербезопасность мобильная связь мобильный интернет обзор полупроводники российское ПО связь скорость интернета смартфон телекоммуникации фишинг характеристики цена цифровая трансформация
    Показать все теги