ГК «Солар» изучила атаки на около 300 организаций из сегментов большой энтерпрайз и энтерпрайз. В выборку вошли компании с численностью от 500–1000 сотрудников и выше: госсектор, финансы, нефтегаз, энергетика, телеком, крупный ритейл, добывающая и пищевая промышленность, транспорт и логистика. В отчёт попали агрегированные данные сервиса мониторинга Solar JSOC. Статистика не включает клиентов Solar MSS, Anti-DDoS, WAF, расследования инцидентов, данные ханипотов, сенсоров и мониторинг утечек Solar AURA.
За 2025 год первая линия мониторинга выявила 1,16 млн событий информационной безопасности после фильтрации ложных срабатываний. В 2024 году таких событий было 1,81 млн.
При этом число подтверждённых заказчиками инцидентов выросло: более 33 тыс. против 31,5 тыс. годом ранее. Самым тяжёлым стал четвёртый квартал — 10 248 подтверждённых инцидентов.
Проще говоря, атак стало не обязательно больше в абсолютных цифрах, но они стали точнее и чаще доходят до стадии реального инцидента. Теперь речь чаще не про массированные рассылки странных писем, а про вредоносное ПО, попытки входа в инфраструктуру, подозрительные действия с учётными записями и внесение изменений в ИТ-ландшафт.
Категории подтвержденных инцидентов
Главная категория — вредоносное ПО. На него пришлось 36% подтверждённых инцидентов в 2025 году против 30% годом ранее. В критичных инцидентах доля ещё выше — 41%. В отчёте отдельно отмечается рост автоматизации атак: злоумышленники используют готовые вредоносные сервисы, типовые инструменты и легитимные утилиты, которые помогают быстрее разворачивать атаки и снижают порог входа для менее квалифицированных групп.
Второй крупный блок — несанкционированный доступ. Это попытки попасть в инфраструктуру через веб-приложения, подбор паролей, атаки на системы входа, кражу учётных данных и закрепление в сети. В сентябре число веб-атак в выборке достигло 1467 — максимум за год. В отчёте этот всплеск связывают с периодом Единого дня голосования.
Самый интересный блок — изменения инфраструктуры. Эта категория впервые выделена отдельно и сразу заняла 11% подтверждённых инцидентов. В критичных инцидентах её доля достигла 22%. Речь идёт о значимых изменениях в ИТ-ландшафте: подозрительных действиях с учётными записями, нарушениях политик безопасности, использовании запрещённого ПО и изменениях конфигураций. Для защитников это важный сигнал: атакующий уже может быть внутри и трогать инфраструктуру руками.
Среди критичных инцидентов наблюдаем те же категории, что и в топе инцидентов в целом.
Затронутые отрасли
Отраслевая карта тоже изменилась. В 2024 году в лидерах были госсектор, финансы и транспорт. В 2025 году сильнее выделилась промышленность.
На добывающую промышленность пришлось 12% инцидентов, на пищевую — 11%. Региональные органы исполнительной власти получили 11%. Торговля, финансы и транспортно-логистический сектор — по 10%.
Причины понятны. Промышленные компании завязаны на непрерывность процессов, подрядчиков, логистику, старое оборудование и связку офисных ИТ-сетей с промышленными контурами. Если атакующий ломает офисную сеть, это уже может ударить по производству. Если останавливается добыча, пищевое производство или логистика, ущерб быстро оборачивается денежными и репутационными потерями, срывом поставок и уходом клиентов.
Та же логика прослеживается в исследовании Positive Technologies за первое полугодие 2025 года. Чаще всего успешные атаки на организации затрагивали госучреждения — 21%, промышленность — 13%, ИТ-компании и медицину — по 6%. Самыми распространёнными методами успешных атак на организации стали вредоносное ПО — 63%, социальная инженерия — 50% и эксплуатация уязвимостей — 31%.
У вымогателей промышленность выглядит удобной целью. Простои стоят дорого, технологические цепочки сложные, а восстановление может занимать дни или недели. Positive Technologies отмечала, что во втором квартале 2025 года доля атак вымогателей на промышленность выросла с 8% до 19%, а в 21% таких инцидентов использовались программы-вымогатели. Компания также указывала, что заражение шифровальщиками всё чаще выходит за пределы корпоративной ИТ-инфраструктуры и затрагивает критически важные системы и технологические процессы.
Картина от RED Security SOC добавляет ещё один штрих. В первом полугодии 2025 года центр зафиксировал более 63 тыс. кибератак на российские компании, что на 27% больше результата за тот же период 2024 года. При этом исследователи отметили переход от массовых угроз к более подготовленным целевым атакам, которые адаптируются под конкретную жертву и дольше остаются незамеченными.
Для региональных органов власти риск другой, но не менее неприятный. У них много публичных сервисов, подрядчиков, сайтов, систем документооборота и персональных данных граждан. Региональная инфраструктура часто получает меньше денег и специалистов, чем федеральный уровень. В такой схеме сайт, почта подрядчика или устаревшая система управления контентом превращаются в удобную дверь внутрь.
Итог простой: периметр больше не спасает сам по себе. Компаниям нужно смотреть глубже — на учётные записи, права доступа, изменения конфигураций, действия подрядчиков, сегментацию сетей и реальные сценарии восстановления после атаки. В 2025 году злоумышленникам достаточно тихо и максимально незаметно попасть в нужную точку. А дальше — открываются почти неограниченные возможности.
Отдельная часть защиты — обучение людей. В отчётах по киберинцидентам обычно много говорят про вредоносное ПО, уязвимости, веб-атаки и инфраструктуру. Но в реальности вход в компанию часто начинается проще: письмо, ссылка, вложение, фальшивая форма входа, украденная учётная запись или ошибка сотрудника с доступами.
Для промышленности, логистики, финансов и госсектора в эпоху геополитической напряженности и снижения барьеров входа из-за развития искусственного интеллекта всего один неверный клик может открыть злоумышленнику путь к внутренней сети, сервисам подрядчиков, корпоративной почте, системе документооборота или промышленному сегменту. SOC и EDR помогают обнаружить атаку, обучить сотрудников, выстроить правильные оборонительные контуры и не выдавать сотрудникам больше прав, доступов и полномочий, чем это необходимо.
CyberYozh Academy — это академия информационной безопасности и интернет-разведки. В каталоге можно найти курсы по OSINT, пентесту Active Directory и инженерии кибербезопасности. Отдельно заявлены бесплатные курсы и образовательные материалы, а сама платформа делает упор на подготовку специалистов, которые умеют разбираться в атаках, искать уязвимости и выстраивать защиту, а не просто знают теорию.
Для компаний это закрывает сразу несколько слабых мест. Курс по OSINT помогает понять, как атакующие собирают данные о сотрудниках, подрядчиках, инфраструктуре и публичных сервисах. Пентест Active Directory полезен там, где критичны доменная инфраструктура, права доступа и сценарии закрепления внутри сети. Направление «Инженер кибербезопасности» ближе к задачам защиты: поиск уязвимостей, отражение атак и построение базовой системы безопасности.
Такой подход особенно важен в 2025 году. Атаки всё чаще бьют не только по периметру, а по людям, учётным записям, конфигурациям и внутренним процессам. Компания может купить средства мониторинга, настроить правила корреляции и закрыть часть уязвимостей, но без подготовленных сотрудников защита остаётся хрупкой. Атакующему достаточно найти одного человека, который поверит в «срочный документ», «обновление VPN» или «запрос от руководителя».
Обучение в этом смысле работает как ещё один слой защиты. Оно снижает вероятность первичного компрометационного действия, помогает быстрее замечать странности и делает разговор между бизнесом, ИТ и ИБ более предметным. Кибербезопасность перестаёт быть зоной «специалистов в отдельной комнате» и становится частью повседневной работы компании.
