Yandex Cloud представил исследование о киберугрозах в облачных и гибридных инфраструктурах за 2025 год. Один из главных выводов отчёта — компании всё ещё слишком редко обновляют пароли и ключи доступа. В 90% организаций такие данные не меняются вообще или обновляются реже одного раза в год.
Из-за этого самым популярным способом атаки остаётся вход через украденные учётные данные. На такую тактику приходится около 30% попыток атак. Для злоумышленника это удобный сценарий: ему не нужно сразу ломать сложную защиту, если можно воспользоваться настоящим логином, паролем или ключом и выглядеть для системы как обычный пользователь.
Проблема особенно заметна в облачных и гибридных средах. Компании всё чаще переносят часть инфраструктуры в облако, оставляя другую часть внутри собственного периметра. Такая модель удобна для бизнеса, но усложняет контроль доступа. Если ключи не обновляются, а права пользователей не пересматриваются, старые учётные данные могут долго оставаться рабочими.
Вторая по популярности техника атак — создание дополнительных учётных записей внутри инфраструктуры. На неё приходится около 25% случаев. После получения доступа злоумышленники пытаются закрепиться в системе, создать новые ключи или пользователей и сохранить возможность вернуться даже после частичного обнаружения атаки.
На третьем месте оказались прокси-серверы, которые используются для сокрытия активности. Их доля составляет около 16%. С помощью таких инструментов атакующие маскируют своё местоположение, усложняют расследование и могут дольше оставаться незамеченными внутри инфраструктуры компании.
Отдельной массовой угрозой остаются криптомайнеры. За полгода специалисты зафиксировали более 25 тысяч оповещений о майнинговой активности. Для компаний это не только вопрос лишней нагрузки на серверы. Криптомайнеры могут показывать, что злоумышленник уже получил доступ к ресурсам и использует их для собственной финансовой выгоды.
Главные цели атакующих остаются прежними: кража данных, получение денег и нанесение ущерба ИТ-инфраструктуре. Чаще всего под атаки попадают ритейл, ИТ-компании и промышленность. На ритейл приходится 34% атак, на ИТ-сектор — 31%, на промышленность — 22%. Финансовые услуги и образование встречаются реже, но тоже остаются в зоне риска.
Исследование показывает, что человеческий фактор и слабая дисциплина доступа по-прежнему важнее многих сложных технических угроз. Даже если компания использует современные облачные сервисы, встроенные механизмы защиты и средства мониторинга, всё это может плохо работать, если сотрудники, администраторы и подрядчики годами пользуются одними и теми же ключами.
Специалисты рекомендуют регулярно менять ключи доступа, включать многофакторную аутентификацию, контролировать конфигурации и отслеживать подозрительную активность. В облачной инфраструктуре многие базовые инструменты безопасности уже доступны по умолчанию, но они помогают только в том случае, если компания действительно их включает и правильно настраивает.
Масштаб анализа тоже показывает, насколько выросла нагрузка на системы безопасности. В 2025 году Yandex Cloud ежедневно обрабатывал более 103 млрд событий с помощью собственной SIEM-системы. Это примерно в три раза больше, чем годом ранее, что говорит о росте цифровой инфраструктуры и увеличении количества потенциальных сигналов угроз.
Главный смысл новости в том, что самые опасные проблемы кибербезопасности часто начинаются не с редких технических уязвимостей, а с обычных паролей и ключей доступа. Если компании годами не обновляют учётные данные, злоумышленникам проще войти в инфраструктуру как легитимным пользователям. Поэтому базовая дисциплина доступа становится одним из главных условий защиты облачных и гибридных систем.