Главная Пресс-центр CrowdStrike Global Threat Report 2026: ключевые выводы

CrowdStrike Новости

Опубликовано: февраль 27, 2026

CrowdStrike Global Threat Report 2026: ключевые выводы

CrowdStrike в своем последнем отчете о глобальных киберугрозах CrowdStrike Global Threat Report 2026 подводит итоги года, который без преувеличения можно назвать переломным.

Не из-за появления принципиально новых техник атак. Перелом заключается в другом: в масштабе, скорости и операционной зрелости злоумышленников.

2025 год стал периодом, когда так называемые evasive adversaries, то есть злоумышленники, скрывающие свою деятельность и избегающие обнаружения, стали скорее нормой, чем исключением.

CrowdStrike Global Threat Report 2026: ключевые выводы - изображение 1

ОСНОВНЫЕ ВЫВОДЫ

Анализ Global Threat Report 2026 ясно показывает, что современные угрозы сосредоточены вокруг нескольких стратегических направлений. Именно они определяли эффективность злоумышленников в 2025 году и будут играть ключевую роль в формировании устойчивости организаций в 2026 году.

1. Скорость операций злоумышленников

Среднее время eCrime breakout time сократилось до 29 минут, что на 65% быстрее, чем в 2024 году. Самая быстрая зафиксированная атака заняла всего 27 секунд.

Время реакции стало критически важным фактором. Атаки развиваются быстрее, чем традиционные процессы принятия решений в центрах мониторинга безопасности (SOC). Организации, не использующие автоматизацию реагирования и корреляцию событий в режиме реального времени, действуют с существенной задержкой.

Одновременно отчет показывает, что масштаб деятельности злоумышленников растет. В настоящее время CrowdStrike отслеживает 281 активную группу, при этом только в 2025 году было выявлено 24 новых группировки. Экосистема угроз не только ускоряется, но и расширяется.

2. Атаки без использования malware и злоупотребление идентификацией

82% выявленных инцидентов в 2025 году происходили без использования классического вредоносного ПО. Для сравнения, в 2020 году этот показатель составлял 51%.

Атаки все чаще строятся на следующих техниках:

использование скомпрометированных учетных данных
злоупотребление легитимными административными инструментами
манипулирование политиками доступа
операции в SaaS и облачных средах с использованием действующих механизмов аутентификации

Идентификация пользователей стала главным полем противостояния. Модель identity-first security постепенно становится основой современной архитектуры безопасности.

3. Искусственный интеллект как мультипликатор эффективности атак

В 2025 году количество атак с использованием искусственного интеллекта выросло на 89%.

AI применяется для:

создания убедительных кампаний фишинга и вишинга
автоматизации разведки
генерации и модификации кода
поддержки действий после компрометации системы

Команды CrowdStrike Services и CrowdStrike OverWatch реагировали более чем на 90 инцидентов, в которых системы выполняли вредоносный код, созданный злоумышленниками с помощью локальных AI-инструментов (например, Claude и Gemini) для генерации команд по краже учетных данных и криптовалюты.

Сегодня AI выполняет двойную роль: ускоряет действия злоумышленников и одновременно создает новую поверхность атак. Без надлежащего мониторинга AI становится неконтролируемым вектором риска.

4. Облачные среды под прицелом атак

35% облачных инцидентов были связаны со злоупотреблением действующими учетными записями.

Отчет также фиксирует рост целевых атак на облачные среды на 37% по сравнению с предыдущим годом. Для группировок, связанных с государственными структурами, этот показатель увеличился до 266%.

Такой рост указывает на то, что государственные кибероперации концентрируются на:

системах управления идентификацией
федерациях и связях между тенантами
данных в SaaS-сервисах
стратегически важных секторах инфраструктуры

5. Активность группировок, связанных с Китаем, и сектор логистики

Активность структур, связанных с Китаем, выросла в 2025 году на 38%, а в секторе логистики на 85%.

Среди используемых ими уязвимостей 40% приходилось на edge-устройства, доступные из интернета.

Злоумышленники систематически атаковали:

VPN-устройства
межсетевые экраны
сетевые шлюзы
другие периметровые системы

Именно эти элементы они рассматривают как основной вектор первоначального доступа.

6. Использование zero-day уязвимостей и сокращение «окна безопасности»

Отчет отмечает рост использования zero-day уязвимостей на 42% до их публичного раскрытия, что значительно сократило время между обнаружением уязвимости и ее активной эксплуатацией.

На практике это означает, что организация может столкнуться с ситуацией, когда эксплойт уже используется в рабочей среде еще до появления официального патча.

В результате сокращается не только время реагирования, но и так называемое «окно безопасности» между обнаружением уязвимости и ее эксплуатацией злоумышленником.

В этих условиях управление обновлениями должно дополняться:

сегментацией сети
ограничением привилегий
расширенными механизмами обнаружения

Это позволяет снизить последствия атаки даже в том случае, если уязвимость уже активно используется.

РЕКОМЕНДАЦИИ CROWDSTRIKE

Выводы Global Threat Report 2026 однозначны: в эпоху так называемого “evasive adversary” традиционная модель безопасности, построенная на изолированных системах и разрозненных инструментах, больше не является эффективной.

CrowdStrike рекомендует подход, основанный на нескольких ключевых направлениях.

Защита систем ИИ и снижение новых операционных рисков

По мере интеграции искусственного интеллекта в бизнес-процессы расширяется и поверхность атак. Организациям необходимо внедрять комплексные механизмы безопасности и управления для систем ИИ.

Это включает:

контроль доступа к ИИ-системам
мониторинг использования сотрудниками инструментов ИИ
классификацию данных
защиту собственных моделей от атак во время выполнения (например, prompt injection)

Также важно включать системы ИИ в планы реагирования на инциденты и стратегии обеспечения непрерывности бизнеса.

2. Идентификация и SaaS как основные поверхности атак

Идентификация пользователей стала одним из ключевых векторов атак.

Злоумышленники все чаще используют:

фишинг и вишинг
кражу OAuth-токенов

Организациям следует внедрять:

MFA, устойчивую к фишингу
принцип наименьших привилегий (включая сервисные учетные записи и машинные идентификации)
активный мониторинг аномалий в SaaS-средах для выявления злоупотреблений до их эскалации.

3. Устранение «слепых зон» между доменами безопасности

Наиболее сложные атаки используют не одну уязвимость, а несогласованность между системами безопасности.

Современные атаки одновременно затрагивают:

конечные устройства
облачные среды
SaaS-сервисы
неуправляемые ресурсы

Поэтому критически важно обеспечить консолидацию телеметрии и корреляцию событий в рамках XDR-подхода и современных SIEM-систем, обогащенных данными Threat Intelligence.

Только полная видимость цепочки атаки позволяет существенно сократить время реагирования.

4. Защита цепочек поставок ПО и сред разработки

Обновления программного обеспечения и зависимости open-source стали привлекательной целью для атак.

Организациям необходимо усиливать безопасность сред разработки, включая:

обязательное подписание кода
проверку зависимостей
сканирование репозиториев
контроль безопасности CI/CD-пайплайнов

Защита цепочки поставок программного обеспечения становится важной частью киберустойчивости организации.

5. Приоритет обновлений и мониторинга пограничных устройств

VPN-устройства, межсетевые экраны и другие периметровые системы остаются одной из наиболее распространенных точек первоначального доступа для продвинутых атакующих групп.

Организациям необходимо:

сокращать время анализа и установки обновлений для интернет-доступных устройств
включать полный журнал событий и мониторинг
внедрять сетевую сегментацию, чтобы ограничить горизонтальное распространение атаки в случае компрометации.

6. Проактивное использование Threat Intelligence и Threat Hunting

В мире, где атаки развиваются в течение минут, организациям необходимо применять подход, основанный на анализе угроз.

Важно понимать:

какие группы злоумышленников активны в вашей отрасли
какие методы они используют

Непрерывный Threat Hunting позволяет выявлять скрытое присутствие злоумышленников до того, как инцидент перерастет в серьезную атаку.

Использование ИИ позволяет масштабировать и ускорять работу команд безопасности.

7. Усиление устойчивости организации к социальной инженерии

Человеческий фактор остается одним из ключевых элементов цепочки безопасности.

Программы повышения осведомленности в области кибербезопасности должны отражать реальные техники атак, а не только теоретические сценарии.

Важно регулярно проводить учения red team / blue team, которые позволяют проверять готовность команд работать в условиях ограниченного времени и сокращают разрыв между обнаружением угрозы и реагированием.

СВЯЗАТЬСЯ С НАМИ

Global Threat Report 2026 ясно показывает, что кибербезопасность вступает в новую фазу.

Атаки становятся быстрее, более целенаправленными и все чаще проводятся без использования классического вредоносного ПО. Злоумышленники используют искусственный интеллект, злоупотребляют пользовательскими идентификациями, обходят традиционные механизмы защиты и одновременно комбинируют действия в нескольких средах: от рабочих станций и облака до SaaS-приложений и периферийных устройств.

Выводы отчета ясно указывают на то, что эффективная защита сегодня требует целостной архитектуры безопасности, полной видимости событий во всей инфраструктуре и автоматизации реагирования. Такой подход, который последовательно развивает CrowdStrike, объединяет защиту конечных устройств, управление идентификацией, облачные среды и анализ угроз в единую операционную модель.

Если вы хотите обсудить, как применить выводы отчета на практике и превратить их в конкретные меры для вашей компании, свяжитесь с нами. Мы поможем подобрать стратегии и технологии, соответствующие реальным вызовам вашей организации.

НОВОСТИ