Mandiant: автоматизация и ИИ сократили «передачу» скомпрометированных целей до 22 секунд

Анализ Mandiant показывает, что злоумышленники используеют автоматизацию и инструменты на базе ИИ, что привело к стремительному укорочению операций: среднее «время передачи» скомпрометированных целей уменьшилось с более чем 8 часов в 2022 году до примерно 22 секунд в 2025 году. Это ускорение означает, что защитные команды теряют окно реакции и вынуждены кардинально менять подходы к обнаружению и реагированию. Авторы описывают модель «разделения труда», при которой одна группа атакующих развёртывает низкоуровневые методы — вредоносную рекламу, фальшивые обновления браузера и похожие техники — чтобы получить начальный доступ, а затем оперативно передаёт цель второй группе для «hands‑on» проникновения и расширения контроля. Такой поток операций выгоден при массовых автоматизированных кампаниях и упрощает специализацию ролей среди злоумышленников.

В отчёте выделены два основных профиля атакующих: киберпреступники, ориентированные на быструю финансовую выгоду (включая вымогательство), и группы шпионажа, стремящиеся к скрытному длительному присутствию. В среднем «время проживания» злоумышленников в скомпрометированных средах составляет 14 дней; в сценариях шпионажа медиана достигает 122 дней — что делает долгосрочное обнаружение критически важным.

Mandiant фиксирует более 16 отраслей‑мишеней: лидируют высокотехнологичный сектор с 17% и финансовый сектор с 14,6%. Злоумышленники активно внедряют ИИ для рекогносцировки, генерации вредоносного кода и социальной инженерии; особое внимание уделяется голосовой социальной инженерии, направленной на службы поддержки IT, чтобы обходить MFA и получать доступ к SaaS‑сервисам. Кроме того, среднее окно для эксплуатации нулевых уязвимостей до релиза патча составляет примерно 7 дней, что усиливает давление на управление уязвимостями.

Последствия очевидны: в условиях «машина против машины» ручные процессы реагирования слишком медленны. Для разработчиков и команд безопасности Mandiant называет конкретные задачи — усилить защиту голосовых каналов и процедуры поддержки клиентов, внедрять фишинг‑устойчивые методы MFA, мониторить необслуживаемые периферийные устройства и нативные функции сети, сегментировать трафик и вводить автоматизированные механизмы обнаружения и оркестрации реагирования, чтобы успевать за ускорившимися «передачами» атак. Материал подготовил Эд Ботт; в нём приводятся данные отчёта Mandiant (теперь в составе Google Cloud). Отчёт подчёркивает, что люди по‑прежнему остаются слабым звеном, и для сокращения времени обнаружения и минимизации «времени проживания» злоумышленников необходима комбинация технических изменений и оперативных процессов.