Содержание
CrowdStrike в своём отчёте Global Threat Report 2026 описала новый темп атак на корпоративные сети. Среднее «breakout time» — время от первичного доступа до бокового перемещения — теперь составляет 29 минут. И это не теория: самый быстрый зафиксированный случай занял 27 секунд.
Если перевести на человеческий язык, у команд ИБ остаётся меньше получаса, чтобы понять, что в сеть уже вошли, и успеть перекрыть дальнейшее распространение. А в одном из инцидентов злоумышленники начали эксфильтрацию данных уже через 4 минуты после первого доступа.
Breakout time упал до 29 минут, а рекорд — 27 секунд
В отчёте CrowdStrike breakout time называют самым наглядным индикатором того, как меняются вторжения. За год атакующие стали заметно быстрее: средний показатель 29 минут означает рост скорости на 65% по сравнению с прошлым годом.
Внутренняя аналитика компании также фиксирует крайние значения. Самый быстрый «прорыв» через сеть занял 27 секунд. А в другом случае вывод данных начался через четыре минуты. Это тот темп, при котором классические процессы согласований и «давайте соберёмся на созвон» просто не успевают.
GenAI ускоряет кражу учёток, маскировку и вывод данных
CrowdStrike связывает ускорение атак с активным применением генеративного ИИ (GenAI). По их оценке, «AI-enabled adversaries» нарастили операции на 89% год к году, и используют ИИ на нескольких этапах сразу.
- Разведка: ускоряют сбор данных о компании и её инфраструктуре.
- Кража учётных данных: быстрее находят и выманивают доступы.
- Обход защиты: лучше подстраиваются под детекторы и правила.
- Экcфильтрация: быстрее упаковывают и выводят данные.
Отдельный акцент — на том, что вторжения всё чаще идут через «доверенные» сущности: учётные записи, SaaS-приложения и облачную инфраструктуру. В итоге активность выглядит как нормальная работа сотрудников, а окно для реакции у защитников сжимается.
Злоумышленники атакуют и сами AI-системы компаний
ИИ в этой истории не только ускоритель атак, но и цель. CrowdStrike отмечает внедрение вредоносных промптов в GenAI-инструменты более чем в 90 организациях. Параллельно атакующие злоупотребляют платформами для разработки ИИ.
Сценарии звучат приземлённо и неприятно: промпты могут генерировать команды для кражи логинов и отправки криптовалют. А AI dev-платформы используют, чтобы закрепиться в инфраструктуре и развернуть шифровальщик.
Ещё один трюк из отчёта — публикация «вредоносных AI-серверов», которые имитируют доверенные сервисы и перехватывают чувствительные данные.
Zero-day и облака: почти половину багов эксплуатируют до публикации
CrowdStrike отдельно подчёркивает роль ИИ в эксплуатации уязвимостей и атак на облака. По их данным, 42% уязвимостей злоумышленники эксплуатировали до публичного раскрытия. А количество вторжений в облачной среде выросло на 37%.
В отчёте также перечисляют активных участников этого поля: среди них называют Russia-affiliated Fancy Bear и Punk Spider, а также северокорейские Famous Chollima и Pressure Chollima. Ещё, активность китайских и северокорейских группировок выросла на 38% за прошлый год, и в качестве одной из целей выделяют логистику.
Что это значит для бизнеса и ИБ-команд
Главный вывод тут простой: «время на подумать» заканчивается. Если средний breakout time 29 минут, то детект и реакция должны укладываться в минуты, а не в часы. Иначе атакующий успевает закрепиться, разойтись по системам и начать вынос данных.
На практике это усиливает ценность мониторинга действий с учётками, контроля SaaS и облака, и быстрых процедур реагирования. И ещё сильнее поднимает ставки вокруг корпоративных AI-инструментов. Их теперь надо защищать как полноценный контур, а не как эксперимент «для отдела маркетинга».
«Это гонка вооружений»: CrowdStrike про роль ИИ
Глава counter adversary operations в CrowdStrike Адам Майерс прямо называет ситуацию «AI arms race». По его словам, атакующие переходят от первичного доступа к lateral movement за минуты, а ИИ сжимает дистанцию между намерением и исполнением. Параллельно корпоративные AI-системы становятся отдельной целью.
На момент публикации тренд выглядит устойчиво: атакующие ускоряются, а поверхность атаки расширяется за счёт облаков и SaaS. Следующий логичный шаг — ещё более «тихие» атаки через доверенные идентичности, где отличить зло от рутины станет ещё сложнее.
