Звіти
Звіт Lumen Defender Threatscape 2026: Чому видимість на момент порушення не враховує суті справи
Звіт Lumen Defender Threatscape 2026 компанії Lumen, створений за допомогою її підрозділу з питань загрозної розвідки Black Lotus Labs, передає чітке повідомлення про те, що більшість організацій все ще борються з кібератаками занадто пізно. У звіті стверджується, що на момент виявлення порушення мережі вже завершено основну роботу атаки. Те, що виглядає як раптова інтрюзія, зазвичай є останнім кроком у довшеї, ретельно спланованій операції.
Відповідальність за те, що відбувається після компрометації, звіт переносить на те, що відбувається до неї. Ця зміна змінює все.
Кібератаки тепер починаються значно раніше порушення
Сучасні кібероперації вже не нагадують випадкові порушення. Вони більше нагадують структуровані кампанії, які складаються з окремих частин з плином часу. Актори загроз починають зі сканування Інтернету безперервно, шукаючи відкриті системи, пристрої без оновлень та слабкі точки аутентифікації. Як тільки вони знають про можливості, вони будують інфраструктуру навколо них.
Ця підготовча фаза включає перевірку вкрадених даних, налаштування проксі-мереж, тестування каналів зв’язку та забезпечення того, щоб системи управління могли працювати без перерви. На момент виявлення підозрілої діяльності нападник уже побудував необхідні шляхи для руху через середовище.
Що робить це особливо небезпечним, так це те, що більшість організацій ніколи не бачать цієї ранньої фази. Традиційні засоби безпеки призначені для виявлення відомих загроз або підозрілої діяльності всередині мережі. Вони не призначені для спостереження за тим, як атака будується спочатку.
Шар інфраструктури тепер є справжнім полем битви
Одним з найважливіших висновків у звіті є те, що кібератаки вже не визначаються лише малWARE. Натомість вони визначаються інфраструктурою, яка їх підтримує. Нападники вкладають більші зусилля у будівництво стійких, адаптивних систем, які можуть виживати після порушення та швидко регенеруватися.
Ця зміна видна як у кримінальних операціях, так і в кампаніях держав. Проксі-мережі стали основним компонентом майже кожної атаки. Ці мережі дозволяють нападникам маршрутизувати трафік через компрометовані пристрої, часто роблячи підозрілу діяльність схожою на діяльність легітимних користувачів.
Водночас нападники відходять від кінцевих точок та рухаються у бік пристроїв краю, таких як маршрутизатори, брандмауери та шлюзи VPN. Ці системи розташовані в критичних точках мережі, часто мають слабшу видимість та забезпечують прямий доступ до внутрішніх систем. Вони також мають довший час безперервної роботи та менше контролю моніторингу, що робить їх ідеальними опорними пунктами.
Результатом є загрозливий ландшафт, у якому нападники діють всередині сполучної тканини Інтернету, а не на його краях.
Штучний інтелект прискорює весь процес
У звіті підкреслюється, як генераційний штучний інтелект драматично збільшує швидкість кібероперацій. Завдання, які раніше вимагали людської координації, тепер можуть бути автоматизовані. Нападники використовують штучний інтелект для сканування уразливостей, генерації інфраструктури, тестування експлойтів та адаптації своїх стратегій в реальному часі.
Ця зміна стискає хронологію атаки. Те, що раніше займало дні або тижні, тепер може відбутися за кілька годин. У деяких випадках системи, керовані штучним інтелектом, можуть оцінювати умови мережі, визначати найефективніший шлях вперед та коригувати тактику без людського втручання.
Для захисників це створює новий виклик. Команди безпеки вже не стикаються зі статичними загрозами. Вони стикаються з системами, які безперервно еволюціонують, реагуючи на захист, коли вони з ним зустрічаються.
Кіберзлочинність стала професійною індустрією
Інша вражаюча тема у звіті полягає в тому, що кіберзлочинність виросла у структуровану, професійну екосистему. Багато операцій тепер нагадують легітимні технологічні компанії. Вони пропонують послуги, підтримують клієнтів та безперервно покращують свої продукти.
Платформи малВАРу продаються як послуги за підпискою. Проксі-мережі орендуються на вимогу. Доступ до компрометованих систем можна купити та перепродати через ринки. Різні актори спеціалізуються на різних частинах життєвого циклу атаки, від початкового доступу до екстракції даних та монетизації.
Цей рівень організації дозволяє кіберзлочинникам ефективно масштабувати свої операції. Це також робить їх більш стійкими. Коли один компонент порушується, інший може швидко зайняти його місце.
Ту саму інфраструктуру часто використовують кілька груп, що розмиває межу між кримінальною діяльністю та державними операціями. Це робить атрибуцію більш складною та збільшує ризик неправильного тлумачення справжньої природи атаки.
Проксі-мережі переінакшають довіру в Інтернеті
Одним з найважливіших розробок, описаних у звіті, є зростання проксі-мереж, побудованих з компрометованих пристроїв. Ці мережі дозволяють нападникам діяти з того, що виглядає як нормальні житлові або комерційні IP-адреси.
З погляду захисника це велика проблема. Традиційні моделі безпеки сильно залежать від сигналів довіри, таких як місце розташування, репутація IP та володіння мережею. Проксі-мережі підірвали всі ці сигнали.
Нападник може видавати себе за легітимного користувача, який підключається з житлової мережі. Вони можуть обійти геолокаційні контролю, уникнути систем виявлення та безперешкодно змішатися з нормальними моделями трафіку.
Це означає, що те, що виглядає чистим, не обов’язково є безпечним. Сам Інтернет став маскуванням.
Навіть прості атаки були переінакшені
У звіті також показано, що старі техніки, такі як брутфорс-атаки, далеко не застарілі. Натомість вони були перетворені масштабом та автоматизацією.
Нападники тепер мають доступ до величезних наборів вкрадених даних. Вони поєднують це з розподіленими інфраструктурами та інструментами, керованими штучним інтелектом, для тестування систем аутентифікації на тисячах цілей одночасно. Ці атаки вже не є випадковими. Вони є цілевими, постійними та високо ефективними.
Що робить їх особливо небезпечними, так це те, що вони часто слугують першим кроком у більшій операції. Як тільки доступ здобуто, нападники можуть рухатися глибше в мережу, розгортати додаткові інструменти та встановлювати довгостроковий контроль.
Державні операції стають платформами інфраструктури
У звіті підкреслюється, як державні актори будують довгострокову інфраструктуру, яка підтримує кілька кампаній з плином часу. Ці операції призначені для гнучкості. Вони можуть бути використані для розвідки, експлуатації чи порушення залежно від об’єктиву.
Натомість ніж зосереджуватися на одному цілі, ці системи створюють основу, яку можна повторно використовувати в різних операціях. Вони будуються для масштабування, адаптації та виживання навіть під тиском.
У деяких випадках нападники навіть не будують свою власну інфраструктуру. Вони захоплюють системи, які вже контролюються іншими групами, використовуючи їх як плацдарм для своїх власних операцій. Це додає ще один шар складності та робить ще складніше зрозуміти, хто стоїть за атакою.
Майбутнє кібербезпеки буде визначено видимістю
Оглядаючи майбутнє, звіт виділяє кілька зрушень, які сформують загрозливий ландшафт у 2026 році та пізніше. Найважливішим з цих зрушень є ідея про те, що ризик буде визначатися експозицією.
Нападники сканують Інтернет безперервно. Будь-яка система, яка є видимою та вразливою, в кінцевому підсумку буде атакована. Це не залежить від галузі, до якої вона належить. Можливість є рушійною силою.
Водночас найважливіші сигнали не будуть походити від окремих пристроїв. Вони походитимуть від моделей у мережі. Той спосіб, у який системи спілкуються, той спосіб, яким інфраструктура будується та покидається, та той спосіб, яким трафік рухається через Інтернет, розкриють атаки до того, як вони досягнуть своїх цілей.
Це вимагає іншого підходу до безпеки. Натомість ніж зосереджуватися лише на кінцевих точках та сигналах тривоги, організації повинні зрозуміти ширше середовище, у якому атаки набувають форми.
Новий підхід до захисту
У звіті чітко зазначено, що традиційні стратегії захисту вже не достатні. Організації повинні рухатися раніше в життєвому циклі атаки. Вони повинні зосередитися на виявленні та порушення інфраструктури, яка дозволяє атакам, а не лише на самих атаках.
Це означає лікування пристроїв краю як критичних активів. Це означає моніторинг того, як трафік входить та виходить з мережі. Це означає розуміння відносин між системами, а не залежність від статичних індикаторів.
Це також означає прийняття того факту, що межа між кримінальною діяльністю та державними операціями стає дедалі більш розмитою. Кожне порушення повинно розглядатися як потенційно стратегічне.
Справжній урок звіту
Найважливішим висновком з Звіту Lumen Defender Threatscape 2026 є те, що кібератаки вже не є ізольованими подіями. Вони є побудованими системами. Вони плануються, тестируються та уточнюються довго до їх виконання.
На момент спрацювання сигналу тривоги нападник уже знаходиться всередині середовища в якійсь формі. Підґрунтя вже було закладено.
Організації, які досягнуть успіху в цьому новому середовищі, будуть тими, які змінять свій фокус. Вони будуть дивитися за межі кінцевої точки. Вони будуть дивитися за межі порушення. Вони будуть зосереджуватися на інфраструктурі, яка робить ці атаки можливими.
Чинячи так, вони здобудуть ту перевагу, яка найважливіша в сучасній кібербезпеці. Вони побачать атаку до її початку.
