ИИ против ИИ: Microsoft — о том, как технологии усиливают и подрывают кибербезопасность

Редакция SecPost подготовила обзор ключевых выводов отчета Microsoft Digital Defense Report 2025, в котором собраны мировые данные об инцидентах и угрозах, фиксируемых Microsoft и ее партнерами. Документ отражает, как ИИ одновременно усиливает защиту и создает новые риски, а киберпреступность развивается как устойчивая экосистема со своим разделением ролей — от брокеров доступа до поставщиков инструментов взлома.

Отчет доступен по ссылке.

Новый контекст: ИИ и геополитика определяют киберриски

Microsoft называет 2025 год поворотным для кибербезопасности. ИИ ускоряет цифровую трансформацию и одновременно делает угрозы системными — они затрагивают экономику, инфраструктуру и политику.

На фоне геополитической напряженности активность госгрупп растет: Китай ведет масштабные операции по кибершпионажу в сфере технологий и государственного управления, Иран активно использует облачную инфраструктуру для атак на энергетические и промышленные сети.

Отдельное внимание Microsoft уделяет Северной Корее: по данным отчета, тысячи северокорейских IT-специалистов работают под вымышленными именами в зарубежных компаниях. Они получают доступ к исходному коду и внутренним системам, зарабатывают валюту для режима и участвуют в вымогательских операциях. Этот канал стал одним из самых заметных источников угроз 2025 года.

ИИ стал инструментом обеих сторон. Он помогает защитникам анализировать инциденты, но также используется злоумышленниками для автоматического фишинга, deepfake — поддельных изображений и видео, создаваемых ИИ и адаптивных атак. Microsoft предупреждает: рост автономных систем увеличивает риск утечек и непредсказуемых последствий.

Основные тенденции угроз

Аналитики Microsoft отмечают качественное изменение характера угроз: кибератаки превращаются в многоэтапные операции с ручным управлением, а их фокус смещается с шифрования данных к нарушению работы реальных бизнес-процессов и критической инфраструктуры. 80% инцидентов сопровождались кражей данных, а не просто шифрованием, и лишь 4% имели чисто шпионские цели. Большинство атак носит финансовый характер — вымогательство, продажа доступа, использование похищенной информации для новых вторжений.

Главные векторы проникновения — фишинг и социальная инженерия (28%). Помимо фишинга, злоумышленники массово атакуют технические слабости компаний — уязвимые веб-сайты и системы удаленного доступа (18% и 12% атак соответственно). Эти векторы особенно опасны тем, что позволяют злоумышленникам проникать в сети напрямую, без необходимости обманывать сотрудников. Растет злоупотребление легальными платформами и инструментами администрирования. Злоумышленники чаще используют украденные учетные данные, а не взлом — фактически «входят через парадную дверь».

Среди новых методов Microsoft выделяет ClickFix — прием, при котором пользователю предлагают скопировать и вставить команды из фишингового письма, что обеспечивает немедленный доступ злоумышленнику (такие атаки составили 47% случаев первоначального доступа). Другой быстро растущий метод — Device Code Phishing, когда злоумышленники крадут код устройства, используемый при входе в корпоративные системы. Это позволяет обойти многофакторную аутентификацию и получить долгосрочный доступ без тревожных уведомлений.

Больше всего страдают госструктуры, ИТ-компании и академический сектор — по 10-17% от общего числа атак. География остается прежней: лидируют США, Великобритания, Израиль и Германия. Один из эпизодов, приведенных Microsoft, — атака на крупную судоходную компанию (название не раскрывается), показавшая, как единичный инцидент может привести к сбоям мировой логистики и продемонстрировавшая зависимость экономики от цифровых систем.

По данным Microsoft, 33 % инцидентов связаны с вымогательством, 19 % — с деструктивными атаками и ransomware, 7 % — с компрометацией инфраструктуры, а 4 % — со шпионажем.
Отдельно отмечается, что эксфильтрация данных наблюдалась в 51 % всех расследованных инцидентов, что подтверждает тенденцию к краже и перепродаже информации.

Экономика киберпреступности

Microsoft отмечает, что киберпреступность превратилась в разветвленную криминальную экономику, где действуют разные роли и специализации. Основу этой экосистемы составляют инфостилеры — вредоносные программы, которые крадут учетные данные и токены доступа. Эти данные перепродаются брокерам доступа, а затем переходят к вымогателям, шпионским группам или кибернаемникам.

За год Microsoft зафиксировала рост на 25% атак, основанных на компрометации учетных записей, при этом 39% всех подобных инцидентов пришлись на исследовательские и академические организации. Большинство операций начинается именно с продажи доступа: по данным аналитической компании Intel 471, активно действуют более 350 брокеров, охватывающих 130 стран и десятки отраслей. Около 80% предлагаемых на черном рынке входов базируются на украденных паролях и токенах.

Microsoft предупреждает, что коммерциализация атак делает угрозы массовыми: теперь взлом можно «заказать» как услугу, а сложные инструменты становятся доступными даже для непрофессионалов.

Атаки на учетные записи и рост угроз в облаке

Идентификация пользователей остается главным вектором атак. По данным Microsoft, 97% атак на учетные записи приходятся на попытки подбора паролей и «password spray» — массовый подбор паролей для разных учетных записей. Даже в 2025 году злоумышленники чаще всего не взламывают — а входят под чужими учетными данными.

Использование многофакторной аутентификации (MFA, multi-factor authentication) по-прежнему блокирует более 99% несанкционированных входов, но злоумышленники активно обходят ее, применяя похищенные токены, поддельные приложения OAuth (протокол авторизации Open Authorization) и атаки через код устройства. Все чаще под удар попадают служебные учетные записи — сервисы и приложения с привилегиями доступа к облачным ресурсам.

В облачных средах число деструктивных атак выросло на 87%, причем более 40% инцидентов сочетают облачные и локальные элементы. Microsoft подчеркивает: защита облаков должна включать постоянный аудит прав доступа, контроль приложений и мониторинг токенов в реальном времени.

ИИ и новые векторы угроз

Искусственный интеллект стал главным фактором изменений в киберугрозах. По данным Microsoft, злоумышленники используют ИИ для массовой автоматизации фишинга, подбора уязвимостей и создания deepfake, а также для обхода систем защиты в реальном времени. Появились автономные вредоносы и боты, которые меняют тактику без участия человека.

Одновременно ИИ стал и новой целью: растет число атак на модели и инфраструктуру — подмена запросов (prompt injection — внедрение вредоносных инструкций в запросы к моделям ИИ), отравление обучающих данных, манипуляции инструментами. Microsoft предупреждает, что уязвимость систем на базе ИИ может привести к утечке данных, несанкционированным действиям и подрыву доверия к автоматизированным решениям.

Microsoft приводит пример группы Storm-2139, которая взламывала API-ключи популярных генеративных платформ и использовала их для создания запрещенного контента и обхода фильтров безопасности. Этот случай демонстрирует, что атаки на инфраструктуру ИИ уже выходят за рамки экспериментов и становятся частью киберпреступного арсенала.

В ближайшие годы компания ожидает рост смешанных атак, где ИИ будет использоваться и для взлома, и для дезинформации. Без встроенного контроля и защиты такие системы могут стать катализатором новых типов киберопераций.

Стратегии защиты и рекомендации Microsoft

Microsoft подчеркивает: киберустойчивость должна стать частью управленческой культуры, а не задачей ИТ-отдела. Руководство компаний должно рассматривать киберриски наравне с финансовыми и юридическими.

В отчете выделено 10 ключевых рекомендаций. Среди них — приоритетная защита идентичностей и повсеместное внедрение фишинг-устойчивой многофакторной аутентификации (MFA), регулярный аудит внешнего периметра, тестирование планов реагирования и резервного восстановления.

Microsoft советует инвестировать не только в технологии, но и в людей — повышать квалификацию сотрудников, развивать культуру безопасности и обмен информацией между компаниями. Microsoft рекомендует бизнесу готовиться к ужесточению международных норм, включая директиву NIS2 (Network and Information Security Directive 2), регламент Cyber Resilience Act (CRA) и закон DORA (Digital Operational Resilience Act), которые требуют более жесткого контроля данных, подрядчиков и ИТ-инфраструктуры.

Главная идея отчета — защита становится эффективной, когда она встроена в бизнес-процессы и поддерживается на уровне руководства.

Киберустойчивость как новая норма

Microsoft подчеркивает: защита должна проектироваться изначально, а не добавляться постфактум. Концепция Resilience by Design становится основой цифровой безопасности — устойчивость должна быть встроена в системы, процессы и цепочки поставок.

ИИ, облака и квантовые технологии меняют саму природу угроз: границы между корпоративными, государственными и криминальными акторами стираются, а скорость атак растет. В этих условиях кибербезопасность превращается в постоянный процесс обучения и адаптации.

Отчет завершает призыв к объединению усилий — к сотрудничеству между компаниями, государствами и исследовательскими центрами. Только коллективная защита и обмен данными о кибератаках, считают в Microsoft, способны удержать баланс между развитием технологий и безопасностью цифрового мира.