Исследователи Лаборатории Касперского в своем новом масштабном отчете Kaspersky Security Services представили аналитику со статистическими данными по управляемому обнаружению и реагированию на инциденты в аспекте регионов и отраслей за 2026 год. Кроме того, также впервые в него включены данные по оценке компрометации и консалтингу в области SOC, открывая более полное представление о различных аспектах корпоративной информационной безопасности во всем мире. Раскрываются TTPs и инструменты, наиболее часто используемые злоумышленниками, а также даются практические рекомендации организациям любого размера по подготовке к реальным угрозам. Исследователи отмечают, что реализация услуг Kaspersky MDR и IR осуществляется в глобальном масштабе. Большинство клиентуры базируется в СНГ (34,7%), на Ближнем Востоке (20,1%) и Европе (18,6%). Как и в предыдущем году, в 2025 году инфраструктура MDR получала и обрабатывала в среднем 15 000 телеметрических событий на каждый хост ежедневно, генерируя в результате оповещения о безопасности. Эти оповещения сначала обрабатываются логикой обнаружения на основе ИИ, после чего аналитики SOC Kaspersky обрабатывают их по мере необходимости. В общей сложности в 2025 году было сгенерировано около 400 000 оповещений. После отсеивания ложных срабатываний 39 000 оповещений были дополнительно исследованы. Распределение запросов на устранение последствий кибератак по отраслям несколько изменилось по сравнению с предыдущими годами. Государственные (18,5%) и промышленные (16,6%) организации по-прежнему являются наиболее подверженными кибератакам, требующим реагирования на инциденты. Однако в этом году в ИТ-секторе наблюдался рост числа запросов на реагирование, и он в итоге занял третье место в общем рейтинге распределения по отраслям, вытеснив финансовые организации, которые подвергались атакам реже, чем в 2024 году. Это в равной степени справедливо и для атак меньшего масштаба, которые можно локализовать и устранить автоматизированными средствами - единственное отличие заключается в том, что финансовые организации чаще сталкиваются с инцидентами средней и низкой степени серьезности. Ключевые выводы и тенденции кибератак в 2025 году: - Число инцидентов высокой степени серьезности снизилось, следуя тенденции с 2021 года. Большинство из них приходится на APT-атаки и red teaming. - Наиболее часто используемые в реальных условиях уязвимости были связаны с продуктами Microsoft. Половина всех выявленных CVE приводила к RCE, в некоторых случаях, как правило, без аутентификации. - Использование уязвимостей в общедоступных приложениях, действительных учетных записях и доверительных отношениях остается наиболее распространенным первоначальным вектором атаки, и их общая доля увеличилась, составив более 80% всех атак в 2025 году. В частности, атаки через доверительные отношения развиваются: их доля выросла с 12,8% в 2024 году до 15,5%. Они также становятся более сложными: так, злоумышленники последовательно скомпрометировали более двух организаций, чтобы в конечном итоге получить доступ к третьей цели. - Стандартные утилиты Windows остаются популярным инструментом LOL, минимизируя риски обнаружения при доставке на скомпрометированную систему. Наиболее популярными LOLBins в инцидентах высокой степени серьезности были powershell.exe (14,4%), rundll32.exe (5,9%) и mshta.exe (3,8%). Среди наиболее популярных легитимных инструментов - Mimikatz (14,3%), PowerShell (8,1%), PsExec (7,5%) и AnyDesk (7,5%). Настоятельно рекомендуем ознакомиться с полной версией глобального отчета за 2026 год, который содержит дополнительную информацию о кибератаках, включая реальные случаи, выявленные экспертами Лаборатории Касперского. Отчет включает всесторонний анализ первоначальных векторов атаки в соответствии с MITRE ATT&CK, а также полный список уязвимостей, обнаруженных ЛК в ходе реагирования на инциденты.