Привет, меня зовут Андрей, я руковожу группой обнаружения и реагирования на угрозы в Yandex Cloud. 2025 год стал беспрецедентным по тому, как развитие ИИ повлияло на индустрию, — в том числе и в сфере информационной безопасности. Но спектр всех угроз облачной инфраструктуре не ограничивается только этим фактором.
В этой статье вместе с моими коллегами попробовали проанализировать тренды прошлого года, и сделать прогноз на 2026-й: каким в этом году будет облачный ландшафт безопасности.
Сюрпризы ушедшего года
Каким год был для нас. За первое полугодие в 2025 года мы зафиксировали около 25 тысяч попыток атак на инфраструктуру Yandex Cloud. Среди самых часто используемых техник — попытки использовать действительные учётные записи, эксплуатаци�� избыточных прав для доступа и повышения привилегий, а также компрометация цепочек поставок и злоупотребление доверием между организациями.
Как можно видеть, в прошлом году злоумышленники активно пытались сойти за «своего»
Что общего с ситуацией в мире. Глобально баланс смещается в сторону поиска уязвимостей. Но доля переиспользования ранее украденных учётных данных остаётся высокой — 22%. Ситуация особенно актуальна для облачных сред.
Согласно отчёту Tenable, чувствительные данные, в том числе секреты для доступа, содержатся в метаданных 3,5% облачных ВМ, в 9% облачных хранилищ, а также включены в задачи в системах оркестрации (AWS ECS) у 54% организаций.
Это накладывается на относительно слабую защищённость облаков от горизонтального перемещения и большое количество точек входа.
По данным Orca, у 76% организаций есть хотя бы один публично доступный облачный ресурс, который позволяет развить атаку дальше.
Как угрозы распределяются между разными компаниями. При рассмотрении облачных сред стоит обратить внимание на водораздел между крупными корпоративными сегментами и малым и средним бизнесом (SMB).
В соответствии с отчётом Verizon за 1 квартал 2025 года, для SMB подавляющий вектор проникновения (88%) — это вредоносное ПО, направленное на выкуп (ransomware). В то же время для крупных компаний эта доля составляет лишь 39%.
По мнению экспертов, это связано с тем, что такие векторы атак наиболее эффективны при низком уровне ИБ в компании.
А что с искусственным интеллектом. До 84% организаций используют облачный ИИ, который чаще применяется в агентском формате и позволяет реализовать высокопривилегированные действия внутри облака. Но в силу быстрого развития ИИ, предоставляемые сервисы не всегда в достаточной степени безопасны.
Атакующие же используют ИИ почти в полную силу: масса утекающих в сеть токенов позволяет анонимно использовать генеративные сети как для социальной инженерии, так и для создания вредоносного кода.
Так, в сентябре 2025 года стало известно о первой почти автономной атаке с помощью ИИ, где искусственный интеллект занимался не только исполнением, но и оркестрацией.
Осталось немного времени до появления полностью автономных атакующих систем, где использование агентов будет начинаться с выбора целей атаки и OSINT-разведки. По нашим оценкам, появление таких систем вероятно уже в 2026 году: мы быстро заметим их по возросшей сложности и избирательности атак. На смену «ковровой автоматике» с массовыми сканированиями приду�� автоматизированные целевые атаки.
Основные векторы-2026: утечки и непрямые атаки
Каких утечек опасаться
С миграцией бизнеса в облака, затраты на ИБ сокращаются по принципу economy of scale, просто в силу масштаба: за облачной инфраструктурой теперь наблюдают выделенные SOC, которые знают специфику облаков. У этого есть пара следствий:
ущерб от единичной уязвимости на стороне облачного вендора кратно возрастает, в связи с риском атаки на облачную инфраструктуру;
но и сложность атаки тоже увеличивается.
Таким образом, вырастет влияние утекающих секретов, в том числе, учётных данных.
Cloudflare приводит шокирующую статистику: 41% логинов на веб‑ресурсы содержит скомпрометированные учётные данные. При этом до 95% выполняются ботами, а не людьми.
Это говорит о том, что почти половина логинов — это переиспользование краденых учётных данных.
Когда специалисты Yandex Cloud проводят первичный анализ безопасности у клиентов в рамках услуги Security Check Up, то почти всегда обнаруживают нарушения конфигурации в контексте секретов. Как минимум, это касается отдельных ресурсов, доступных публично, а также секретов, которые редко ротируются.
Также мы сканируем ресурсы клиентов по запросу в рамках сервисов Yandex Cloud Detection and Response и Security Deck, с помощью модуля контроля конфигураций CSPM (Cloud Security Posture Management). Сканирования обнаруживают в среднем более половины статических ключей, ротация которых происходила реже, чем раз в год. В отдельных случаях до 90% ключей в организации не ротируются вообще или ротируются реже, чем раз в год.
Доступность учётных данных для злоумышленника отражается на ландшафте угроз. По нашей статистике мы видим, что доля попыток атак с использованием легитимных учётных данных резко выделяется — целых 54%. Это значит, что данные успешно добываются и в дальнейшем используются для вредоносных воздействий. В 2026 году этот тренд для облачных сред будет только расти, вместе с ростом инфраструктуры.
Помимо этого, остаётся влиятелен тренд на BYOD, который зачастую не поддерживается настройками достаточных политик безопасности. По этой причине атаки, характерные для пользовательского сегмента, могут использоваться для кражи учётных данных и дальнейшего развития атаки.
Рост активности стилеров в 2025 году, по данным Checkpoint, составил весомые 160%.
Учётные данные зачастую плохо контролируются, потому что находятся в зоне ответственности конечного клиента или даже отдельного пользователя облака. Креды от аккаунтов могут храниться в открытом виде, переиспользоваться на разных ресурсах, быть подверженными лёгкому подбору. Зачастую конечный пользователь может не быть осведомлён об опасностях такого отношения к чувствительным данным. Тем временем данные попадают в открытые хранилища, системы совместной работы, а также репозитории с открытым кодом.
Можно с уверенностью утверждать, что в 2026 году основным вектором атак на крупный бизнес будет использование легитимных учётных данных для первоначального проникновения.
Как обезопасить себя
Защита от такого вектора атак усложняется тем, что зачастую ни облачный провайдер, ни клиент не имеют контроля над точками утечек секретов. Но для снижения рисков существует несколько способов, которые актуальны в ближайшие годы.
Отслеживание долгоживущих учётных данных, особенно тех, что используются редко. По данным Datadog, более половины учётных записей в AWS не использовались более 90 дней.
Отслеживание таких учёток, а также регулярная ротация статических секретов позволит достаточно легко исключить один из главных компонентов вектора атак. Поэтому будет расти влияние систем класса CSPM и аналогичных, отслеживающих состояние безопасности ресурсов в статическом режиме.
Банальный принцип минимальных привилегий. Лишние полномочия у учётных данных могут привести к облегчению задачи по эскалации привилегий со стороны атакующего.
В ходе анализа прав доступа сервисных учётных записей у клиентов Yandex Cloud, например, обнаруживалась возможность эскалировать привилегии через цепочку имперсонаций одних записей в другие.
Изначально непривилегированный пользователь не имел опасных прав, однако, имел возможность имперсонироваться в сервисную учётную запись, также не привилегированную. Эта учётная запись, в свою очередь, могла имперсонироваться в третью. На определённой итерации цепочка приходила к сервисной учётной записи с высокими привилегиями.
Опасность ситуации в том, что, на первый взгляд, учётная запись пользователя не имела привилегий: как напряму��, так и через возможность имперсонации в учётную запись с высокими привилегиями. Однако, через некоторое количество итераций имперсонации, такие привилегии было возможно получить.
Мониторинг собственных ресурсов и открытого исходного кода на предмет возможных утечек чувствительных данных. В силу того, что не все виды секретов поддаются лёгкой идентификации, для этой задачи вырастет роль ИИ, который поможет находить секреты среди прочих данных.
Ограничение точек входа. В рамках мониторинга безопасности у клиентов, подключивших сервис Yandex Cloud Detection and Response, регулярно обнаруживаются публично доступные виртуальные машины или облачные хранилища. В ходе сканирований мы обнаруживаем в среднем 13% машин, доступных по внешнему IP‑адресу. Далеко не всегда публичный адрес подразумевался — часто это следствие ошибок и нарушений конфигурации.
В отдельных случаях мы находим до 13% бакетов облачного хранения с публичным доступом, как минимум, на чтение. В случае безответственного хранения это может привести к утечке секретов или коммерчески важной информации. По нашей оценке, до 76% отражённых атак имели конечной целью как раз бакеты облачного хранения.
Облачные провайдеры будут уделять больше внимания вопросам безопасности, так как сам по себе переход на облачную инфраструктуру не является серебряной пулей и требует специфической экспертизы. Будет расти спрос на услуги ИБ именно со стороны провайдера: сейчас почти все крупные облачные провайдеры в той или иной мере предлагаю решения по безопасности. Это касается не только технических, но и консультативных услуг.
Например, центр экспертизы Cloud Trust в Yandex Cloud регулярно получает запросы на консультации по безопасности облачных решений: как со стороны непосредственных угроз, так и с регуляторной точки зрения. За 2025 год проведено около 150 таких консультаций.
В наступающем году всё больше будет формироваться точка зрения, заключающаяся в том, что в «инфраструктуру из коробки» должны включаться сервисы по безопасности.
Усилит ли защиту искусственный интеллект
Развитие ИИ породило больше возможностей для поведенческого анализа. В рамках «борьбы снаряда и брони» современные технологии машинного обучения на стороне защиты помогут отслеживать неформализуемые ранее отклонения от базовых линий поведения пользователей и сервисов. Такие механизмы дадут возможность реагировать на атаку на ранней стадии или даже в момент аутентификации.
Между тем, несмотря на рост доверия к ИИ, маловероятно, что в ближайший год массово появятся полностью автономные системы по активному реагированию на признаки угроз такого рода.
Классические решения в виде механизмов обнаружения по правилам и формализованного поиска аномалий не потеряют своей актуальности полностью. Несмотря на молниеносный тренд использования ИИ, классические ботнеты и аналогичные им автоматические акторы всё ещё будут пытаться использовать относительно простые техники в расчёте на быстрый результат через максимальное расширение диапазона потенциальных жертв.
ИИ против ИИ
В сентябре 2025 года Anthropic заявили об обнаружении первой атаки, почти полностью выполненной на технологиях ИИ.
По их оценкам, силами ИИ выполнялось до 80-90% атаки. Человек принимал решение в 4-6 ключевых точках, а также изначально выбирал цель.
Даже если появление таких атак и было делом времени, публичность новости порождает тренд и попытки «повторить успех».
Почти все современные модели обладают массой защитных механизмов для предотвращения использования во вредоносной активности, однако с каждой новой версией достаточно оперативно появляются джейлбрейки. Рынок джейлбрейков растёт: ещё в 2024 году интерес к ним вырос на 50%.
По оценкам IBM, среднее время до джейлбрека составляет 42 секунды или 5 итераций, в некоторых случаях время составляет не более 4 секунд.
Использование ступенчатых техник, когда ИИ помогает писать промпт для ИИ, будет ещё более сокращать это время. К джейлбрейкам и, как следствие, возможности использовать ИИ во вредоносной деятельности, уже стоит относиться как к данности.
При этом распространение ИИ, появление массы инструкций и курсов, зачастую не самого высокого качества, порождает легкомысленное отношение и недостаточную компетентность в отношении хранения учётных данных. Это позволяет злоумышленникам собирать утекающие данные и практически анонимно на потоке строить атаки.
Не говоря об обычных пользователях, даже крупные вендоры ИИ не защищены от этой угрозы: по данным wiz, до 65% ведущих ИИ‑компаний так или иначе допускали утечки данных.
Несмотря на это, обнаруженная Anthropic атака не была на 100% автономной: выбором целей и принятием решений в критические моменты занимался человек.
Чего опасаться
В 2026 году стоит ожидать появления полностью автономных систем, когда ИИ‑системы будут осуществлять поиск жертв, выбирать векторы атак, осуществлять их и монетизировать результаты. Основные препятствия распространению таких систем — неточности в передаче данных между шагами (галлюцинации) и ошибки в оценке результативности. Однако, по иронии, эти барьеры устраняются при доработке средств ИИ для выполнения вполне невинных задачах.
С точки зрения защиты, уничтожение препятствий означает постановку на поток атак, основанных на достаточно сложных комбинациях манипуляций. Стоимость такой атаки падает, снижается порог входа, а значи�� и растёт доступность проведения сложных вредоносных кампаний. То, что раньше было доступно APT‑группировкам и крупным преступным синдикатам, может использоваться на гораздо более низком уровне.
Полностью автономные вредоносные системы, в силу особенностей работы генеративных ИИ, будут мимикрировать под поведение человека, усложняя поведенческий анализ. Нахождение устойчивых джейлбрейков для моделей, разворачиваемых локально, позволит достаточно легко и предсказуемо монетизировать эти вредоносные системы.
Как развернуть тренд в свою пользу, не наступив на грабли
Cам по себе ИИ не является самостоятельной угрозой, его можно сравнить с появлением агрегаторов вредоносного ПО, наподобие Metasploit Framework. Однако важно учитывать растущие риски от распространения ИИ‑агентов на базе LLM. Особое внимание стоит уделить безопасности данных и предотвращению угроз, возникающих из‑за автономности агентов.
В прошлом году команда Security Yandex Cloud составила рекомендации, как безопасно разрабатывать ИИ‑агентов и мультиагентные системы.
Обобщив опыт создания агентов, а также лучшие практики OWASP®, NIST и MITRE ATT&CK® и других международных организаций, мы создали единый документ с подходом для разработки модели угроз и рекомендациями, как снизить риски безопасности при создании мультиагентных систем.
Многие векторы защиты остаются прежними, но возрастает поток данных и нагрузка на мониторинг подозрительной активности. Раньше можно было говорить об огромном количестве ботнетов, от которых крупный бизнес может легко защититься при достаточных ИБ‑ресурсах, — теперь же нагрузка будет возрастать на службы ИБ любого уровня.
ИИ в этой ситуации может выступать по другую сторону баррикад. Формализованное обнаружение атак по строгим правилам теряет актуальность, особенно в случае, когда хакер пользуется шаблонами поведения, свойственными обычному пользователю. Фактически, отличить злоумышленника от легитимного сотрудника по формальным правилам становится невозможно.
Именно в таких ситуациях ИИ будет всё чаще приходить на помощь. Повышение доступности ИИ даёт и преимущества:
снижает порог использования и требования к компетенциям сотрудников,
снижает материальные затраты.
Возможности ИИ позволяют в агентском режиме собирать и обрабатывать данные, формируя решение. Доверие к полностью автоматическим системам реагирования пока маловероятно, в силу обнаруженных аномалий в поведении ИИ. Но человеку можно оставить право принятия финального решения на базе подготовленной фактуры со стороны автоматической системы.
В Yandex Cloud в 2025 году мы расширили использование ИИ‑сервисов в задачах ИБ, например:
Простые и традиционные задачи: суммаризация контекста из множества событий ИБ.
Более сложные случаи: аналитика состояния безопасн��сти, с возможностью работы в агентском диалоговом режиме. Сбор широкого контекста из большого числа источников обеспечивает качественно новый уровень выводов.
Всё это снижает нагрузку на линии SOC, а помимо этого, ещё и сокращает вероятность человеческой ошибки. При этом человек остаётся в цикле принятия решений на важнейших этапах, чтобы исключить возможные угрозы от галлюцинаций моделей.
За 2025 год нам удалось сократить нагрузку на аналитиков SOC на 42%, а на инженеров — до 70% в отдельных задачах. Время, затрачиваемое на обработку некорректных оповещений, сократилось на 86%.
Более широкое введение агентских моделей должно на десятки процентов снизить среднее время расследования инцидентов, сократив рутинную и утомительную часть работы, и таким образом уменьшить вероятность человеческого фактора.
ИИ может выступать консультативным помощником при разборе сложных событий ИБ. Фактически, ИИ в данном случае работает как база знаний, которую можно на регулярной основе обогащать свежим опытом.
Но важно отметить, что в будущем это может породить атаки более высоких порядков, когда целью станут движки ИИ, используемые в ИБ. Уже сейчас широта использования агентских решений без должных механизмов безопасности приводит к неявному получению широких привилегий на внутренней части сервиса. А технологии туннелирования упрощают удалённый доступ и эксфильтрацию данных.
С августа по ноябрь 2025 года системы мониторинга Yandex Cloud обнаружили свыше 30 тысяч попыток установления тоннелей к специализированным публичным сервисам.
При сколь угодно серьёзно закрытом периметре, такие действия внутри инфраструктуры могут быть неожиданными и привести к серьёзным последствиям.
Необходимо понимать важность контроля работы ИИ. Крупные провайдеры ИИ‑моделей ведут постоянную работу по модернизации, защите от джейлбрейков, отладке работы агентов, тогда как локально развёрнутые модели таких преимуществ не дают. Бизнесу придётся находить баланс между локализацией поставки ИИ и использованием крупных внешних моделей.
Слабое звено цепочки поставок
Масштабирование экономики приводит к зависимостям от единых поставщиков решений, а тренд на аутсорсинг выводит больше функций в сторонние организации, — с точки зрения ИБ, это значит, что поверхность атаки за пределами защищаемого периметра растёт.
В качестве нашумевшей атаки можно упомянуть атаку на сеть Marks&Spencer, которая привела к ущербу, по разным оценкам, свыше 400 миллионов евро. Развитие внутренних SDL‑процессов и защиты периметра зачастую не имеет значения при обнаружении глубокого легитимного доступа из слабо защищённой среды.
По данным Yandex Cloud, до 38% попыток атак на платформу — это атаки с использованием цепочки поставок. Кроме этого, в 15% попыток использовались доверенные каналы для проведения атак.
Это говорит о том, что злоумышленники успешно используют разницу в уровне ИБ у разных компаний и доверенные отношения между ними. Проверка качества цепочки поставок зачастую замещается допущениями о схожем уровне компетенций и культуры ИБ. Но практика показывает, что это далеко не всегда так.
На фоне бурного использования ИИ для разработки количество уязвимостей в ПО будет неизбежно расти. В том числе это будет происходить в контексте пресловутого «вайбкодинга», то есть разработки полностью силами ИИ по заданию оператора. Поэтому в 2026 году вероятно увеличится и количество атак на цепочку поставок.
Такие угрозы касаются не только проникновения через зависимости или прямого доступа подрядчиков. По мере того, как сотрудники всё чаще используют ИИ для решения своих задач, возрастает масштаб ущерба при возникновении проблем на стороне провайдера.
Нашумевший случай про индексацию чатов с ChatGPT со стороны Google заново восстановил уже забытый риск открытых документов в системах внешней работы.
Теперь утекают не документы в Google Docs, а диалоги с LLM, в которых могут содержаться и чувствительные данные, и информация, позволяющая провести фишинговую атаку или использовать социальную инженерию.
Сложность современного ПО приводит к физической невозможности проводить аудит всех зависимостей. При этом для сокращения расходов разумно использовать наработки с открытым исходным кодом.
По данным Blackduck, до 97% коммерческого ПО содержит зависимости от компонентов с открытым исходным кодом.
Увы, распространённость открытого ПО приводит к иллюзии, что массовое использование гарантирует безопасности и аудиты. При этом BlackDuck обнаружили уязвимости в 86% просканированного кода, а популярная библиотека jQuery (60 тысяч звёзд на Github, 288 контрибьюторов) содержит 8 из 10 критических уязвимостей.
Если касаться ИИ, то написание кода с его помощью содержит риск использования выдуманных зависимостей. Это приводит к атакам наподобие typesquatting, когда создаются библиотеки, регулярно упоминаемые ИИ, которые содержат вредоносный код.
В ближайший год будет появляться больше угроз, связанных с цепочкой поставок. Рост незащищённости связан с атаками на быстрорастущие технологии, в которых недостаточное внимание уделено безопасности. В корреляции с этим будет увеличиваться и ценность инструментов автоматического анализа кода и сканирования на уязвимости, так как именно такие механизмы позволят сократить расходы на проверку цепочки поставок.
Ещё одним способом сокращения рисков, особенно для критических секторов экономики, может стать обратный процесс — фрагментация, параллельное ведение кодовой базы, ветвление (форки) репозиториев с открытым ПО, когда репозиторий с открытым кодом копируется и в нём ведётся параллельная разработка с другим набором участников или другими требованиями/стандартами. Для государственных структур и крупного бизнеса будет заметно появление суверенных систем ИИ, а также тщательный отбор и аудит подрядчиков. Таким образом, во главе угла окажутся подрядчики, которые смогут быть в достаточной степени локализованными, но при этом иметь достаточный уровень культуры и экспертизы для поддержания должного уровня безопасности.
Какие угрозы сохраняются
В силу волатильности политического климата и множества региональных конфликтов, по‑прежнему растёт роль и угроз ИБ государственного уровня. Несмотря на явный тренд по фрагментации сетей и созданию суверенных облачных и вычислительных ресурсов, современная индустрия не может обойтись без сетевой связности, что неизбежно приводит к возможностям сложноорганизованных атак.
Как ни странно, такого рода атаки значительно выросли количественно, в том числе за счёт «хактивистов», поддерживающих государственные кампании. Но качественно они используют почти те же технологии, что и в прочих атаках.
В этих условиях угрозу представляет сложность атрибуции таких атак, а также возможность расширения их потока. По мере роста международной напряжённости, стоит ожидать увеличения числа таких вредоносных кампаний. Мерой противодействия также будет фрагментация ресурсов как способ остановки распространения.
Другой сохраняющейся угрозой является рынок уязвимостей и вымогательского ПО, вполне сформированный и потоковый. Несмотря на то, что крупный бизнес менее подвержен таким атакам, важно осознавать, что конкуренция между группировками подстегнёт рост интереса к более защищённым системам. При этом сроки реагирования будут существенно сокращаться.
По данным Rapid7, если ранее срок, даваемый злоумышленниками до выкупа, варьировался от 72 часов до 90 дней, сейчас он стал сокращаться до 48 часов, что существенно сужает пространство для любого противодействия.
Вырастет тренд и на выявление шаблонных действий, характерных для группировок, и сокращения времени реагирования на подобные атаки.
Итоги
В целом, в 2026 году стоит ожидать рисков, связанных с тремя трендами.
Доступность легитимных учётных данных. Это приведёт ко всё большей доле атак, обнаруженных позже первоначального проникновения, а значит, и к более серьёзным последствиям. Параллельно с этим вырастет важность систем проактивного поиска утечек секретных данных, а также контроля за состоянием безопасности, связанным с секретами.
Помимо этого, продолжится тренд по переходу на многофакторную аутентификацию, в том числе с использованием биометрии. Так как со временем утечки будут считаться неизбежными, во главу угла встанут планы по сокращению поверхности атаки и ограничению горизонтального перемещения.
Снижение порога использования сложных инструментов, в том числе с помощью ИИ. Тренд обеспечит рост многоступенчатых атак. Вполне вероятно появление первых полностью автономных атакующих систем, чрезвычайно сложных в обнаружении. Это, в свою очередь, повысит ставки и стимулирует инвестиции в системы сложного анализа событий безопасности и автоматизации работы SOC. Автоматизация будет не просто способом сэкономить во имя эффективности, но и единственно возможным способом справиться с новыми атаками.
Наращивание возможностей и ресурсов может быть близко к экспоненциальному при линейном росте команд — ИБ станет одной из характерных индустрий с ярко выраженной автоматизацией.
Сокращение доступных ресурсов в ИТ‑индустрии на фоне роста сложности разработки и развёртывания. Это приведёт к более лёгким способам атаковать через цепочку поставок, что породит как сегментирование зависимостей и их источников, так и большую востребованность услуг по организации безопасного цикла разработки (SDL), а также автоматизацию систем анализа кода и поиска уязвимостей.
Глобальным трендом в защите станет ��остепенный переход к принятию риска компрометации учётных данных, а также использованию ИИ для отслеживания угроз, анализу уязвимостей систем и проверки исходного кода.