Иллюзия безопасности — одна из основных угроз: что показал Blue Report 2025

Отчет лаборатории Picus Labs подготовлен на основе более чем 160 млн смоделированных атак, выполненных с января по июнь 2025 года в реальных инфраструктурах заказчиков. Это третье ежегодное исследование, оценивающее, насколько реально работающие средства защиты способны предотвращать и обнаруживать современные угрозы.

Эффективность предотвращения и обнаружения

«Blue Report 2025» показывает, что в 2025 году средняя эффективность предотвращения атак снизилась до 62% (в 2024 году – 69%). Этот спад показал: даже при наличии современных средств защиты компании теряют устойчивость, если не проводят регулярную проверку.

Эффективность обнаружения также остается низкой. Log score (фиксация действий злоумышленников в логах) составляет 54% – почти половина атак остается невидимой. Alert score (превращение событий в тревоги) поднялся лишь с 12% до 14%, то есть менее чем одна атака из семи приводит к оповещению SOC.

Разрыв между логами и тревогами отражает системную проблему: даже когда события фиксируются, они не доходят до аналитиков. Причины – ошибки логирования, сбои производительности и конфигурации, устаревшие правила корреляции. Организации часто переоценивают свои возможности обнаружения и предотвращения атак. Без постоянной проверки они остаются уязвимыми, а сбои выявляются слишком поздно.

Ключевые пробелы и успехи защиты

Исследование показало ряд направлений, где защита организаций остается особенно слабой.

• Эксфильтрация данных. Это наиболее уязвимый вектор: уровень предотвращения снизился до 3% (в 2024 году – 9%). На фоне троекратного роста троянов-стилеров и распространения вымогателей с двойным шантажом ситуация становится критической.
• Пароли и учетные записи. В 46% сред хотя бы один хэш пароля удалось взломать (в 2024 году – 25%). Атаки с использованием легитимных учетных записей (Valid Accounts, T1078) успешны в 98% случаев. Это указывает на слабую политику паролей, недостаточную ротацию и использование устаревших алгоритмов.
• MITRE ATT&CK техники. Самыми уязвимыми остаются Valid Accounts (2% предотвращения), Discovery-техники (например, System Network Configuration Discovery – 3%) и Data Encoding (3%). Общая проблема – такие действия злоумышленников трудно отличить от легитимного поведения пользователей и систем.
• Правила обнаружения. Главный источник сбоев – проблемы с логированием, на которые приходится около 50% всех ошибок. Также фиксируются сбои производительности (24%) и ошибки конфигурации (13%). Даже при наличии современных SIEM/EDR-решений многие атаки проходят незамеченными.
• Рансомвар. Эффективность защиты против ransomware остается тревожной: средства предотвращения пропускают BlackByte в 74% тестов (уровень блокировки — 26%), BabLock — в 66% (блокировка 34%), а Maori — в 59% (блокировка 41%)..

Вместе с тем отмечены и заметные улучшения:

• Снижение риска компрометации администраторов. Число успешных компрометаций доменных администраторов сократилось с 24% в 2024 году до 19% в 2025-м. Доля случаев, когда злоумышленникам удавалось получить права доменного администратора, снизилась еще сильнее – с 40% до 22%. Это отражает более активное внедрение сегментации сети и укрепление защиты от бокового перемещения.
• Рост эффективности на macOS. Если в 2024 году macOS имела крайне низкий уровень предотвращения (23%), то в 2025 году показатель вырос до 76%. Теперь защита macOS сопоставима с Windows (79%) и выше, чем у Linux (69%). Такой скачок объясняется ростом инвестиций в защиту Apple-среды.
• Общая зрелость инфраструктур. Отчет фиксирует более широкое применение практик валидации и постоянного тестирования, что позволяет быстрее выявлять слабые места и повышать устойчивость.

Эффективность по отраслям и регионам

Результаты по отраслям и регионам показывают, что уровень зрелости защиты распределен крайне неравномерно.

• По отраслям. Лидеры – здравоохранение и фармацевтика (83%), производство и инжиниринг (81%), а также финансовый сектор (76%). Наименее защищенные – транспорт (50%) и технологический сектор (62%). Большинство других отраслей (госсектор, образование, услуги, развлечения) находятся в диапазоне 67–72%.
• По регионам. Латинская Америка – лидер (70%), Северная Америка (66%) и APAC (63%) удерживают стабильные позиции. EMEA (61%) показала снижение, а Южная Азия (55%) остается наиболее уязвимой.

Обнаружение атак остается слабым звеном: логирование работает лучше, чем раньше, но лишь малая часть событий превращается в тревоги. Например, в профессиональных сервисах фиксируется 76% логов, но тревог – лишь 5%; в госсекторе – 73% и 50% соответственно. Даже в зрелых секторах сохраняется системная проблема – разрыв между логированием и реальными оповещениями.

Особые угрозы: программы-вымогатели и новые уязвимости

• Программы-вымогатели. Несмотря на рост инвестиций в защиту, атаки вымогателей остаются крайне результативными. Самым опасным семейством второй год подряд признан BlackByte (26% предотвращения). BabLock (34%) и Maori (41%) также обходят большинство существующих средств защиты. Современные вымогатели все чаще переходят к тактике «без шифрования», ограничиваясь угрозой утечки данных.
• Новые уязвимости. Анализ CVE, опубликованных в 2024–2025 годах, показал: многие из них остаются практически незащищенными, несмотря на наличие патчей. Среди наименее предотвращаемых – macOS Sonoma (CVE-2024-27878, 7%), Linux CUPS (CVE-2024-47175, 9%), Windows TCP/IP (CVE-2024-38063, 10%). Уязвимости в базовых компонентах ОС долго остаются открытыми, что повышает риск эксплуатации.

Вывод отчета: компании по-прежнему запаздывают с установкой обновлений и внедрением виртуальных патчей, а уровень предотвращения новых уязвимостей часто не превышает 10%.

Рекомендации отчета

Авторы подчеркивают: традиционный подход «поставил средство защиты – и оно работает» больше не применим. Для повышения устойчивости отчет предлагает несколько приоритетных шагов:

1. Проверять эксплуатируемость уязвимостей, моделируя реальные атаки.
2. Усилить контроль за утечкой данных (уровень предотвращения всего 3%).
3. Жестче управлять паролями и отказаться от устаревших алгоритмов.
4. Постоянно проверять и корректировать настройки средств защиты.
5. Развивать цепочку обнаружения и повышать качество логирования.
6. Моделировать атаки вымогателей, включая сценарии утечки данных.
7. Делать ставку на поведенческое обнаружение, особенно для техник MITRE ATT&CK.

Заключение

«Blue Report 2025» фиксирует противоречивую картину: в одних областях защита усиливается, в других – сохраняются критические пробелы. Средняя эффективность предотвращения атак падает, обнаружение остается слабым, а эксфильтрация данных и пароли – главные уязвимости.

Главный вывод отчета: статические меры защиты больше не обеспечивают надежности. Организациям необходимо внедрять непрерывное управление киберрисками (CTEM) и практики Adversarial Exposure Validation (AEV), чтобы регулярно проверять устойчивость систем, выявлять пробелы и снижать риски.

Полная версия отчета доступна по ссылке.