Главное о технологиях, бизнесе и их создателях Компьютерра

От каких устаревших методов ИБ стоит отказаться в 2025 году

Компьютерра
02 октября 2025 15:25
На чтение: 11 минут

Система безопасности ИТ-инфраструктуры — это замок на двери. На первый взгляд он внушителен, но если это амбарный железный замок, злоумышленники давно знают, как его обойти. Одни изготовят копию ключа, собрав данные из социальных сетей сотрудников, другие просто воспользуются открытым «облачным окном». 

По такому же принципу действуют многие классические методы кибербезопасности: формально они есть, но реальной защиты не обеспечивают. И именно поэтому сегодня самое время задуматься, какие инструменты стоит модернизировать, а от каких отказаться окончательно. Об этом в интервью с Семеном Кошелевым, техническим директором компании RAKASTA.

Что уже не работает в инфобезе

— Эффективно ли ручное управление безопасностью инфраструктуры в 2025 (патчинг, аудит конфигов)? Как автоматизация меняет правила игры?

Ручное управление безопасностью по-прежнему уместно в небольших или редко меняющихся архитектурах. Но в масштабных и динамичных средах оно быстро теряет эффективность. 

В таких условиях именно автоматизация становится ключевым инструментом — она ускоряет процессы, снижает количество ошибок и упрощает управление изменениями в инфраструктуре. Однако и она не лишена «подводных камней», и чтобы они не стали проблемой, важно учитывать несколько базовых принципов:

  1. Автоматизация должна приносить больше выгоды, чем стоит ее внедрение, поэтому начинать лучше с простых и рутинных задач. Здесь хорошо работает правило Парето 20/80 — 20% усилий приносят 80% результата.
  2. Важно предусматривать контрольные точки. В сложных сценариях нельзя полагаться на автоматизацию в полностью автономном режиме, особенно если последствия изменений не до конца определены или просчитаны. В таких случаях безопаснее провести изменения вручную, чтобы минимизировать риски для технологических или бизнес-процессов компании.
  3. Перед тем как автоматизировать процесс, необходимо провести предварительный анализ: определить цели, инструменты, компоненты, оценить ТСО и окупаемость, а также продумать риски. При этом важно задать себе два вопроса: когда затраты на автоматизацию станут значительно меньше, чем стоимость регулярного выполнения тех же действий вручную, и каких конкретных результатов компания ожидает достичь?
  4. Важно помнить, что автоматизация — это не всегда про скрипты и мини-программы. Организационные процессы тоже могут быть оптимизированы, и зачастую именно с них стоит начинать.
  5. Каждое решение необходимо тщательно анализировать и просчитывать риски. Оптимальный подход — использовать автоматизацию как инструмент ускорения реакции на атаки, но всегда в связке с экспертами по информационной безопасности.

Отмечу, в информационной безопасности автоматизация чаще всего применяется для реагирования на угрозы. Под этим понимают, например, действия на конечных устройствах (работа антивируса), реакцию на сетевом уровне или блокировку подозрительных адресов при внешних атаках. Но с такой автоматизацией нужно быть особенно осторожным: некорректные правила способны «выстрелить в ногу» компании — заблокировать критичную систему или даже целый сегмент сети. 

В 2025 году стоит отказаться от локальных, самописных скриптов и фрагментарных решений. Их место занимают зрелые платформы класса SOAR и EDR, которые позволяют централизованно управлять процессами и обеспечивают контроль со стороны специалистов по информационной безопасности.

— Какие традиционные методы обнаружения угроз уже не справляются с современными атаками?

Есть подходы к кибербезопасности, которые еще недавно считались стандартом, но сегодня уже не справляются с современными атаками. Например, сигнатурные методы способны обнаруживать только те угрозы, которые уже описаны и занесены в базы сигнатур. 

Другими словами, они эффективны против «старых» атак, но бессильны перед zero-day-уязвимостями или модифицированными версиями вредоносного кода. Достаточно минимальной обфускации или изменения кода — и вредоносное ПО уходит из-под радара. 

Правило-ориентированные системы тоже показывают свои пределы. «Коробочные» правила в SIEM требуют ручного тюнинга и все равно не успевают за многоуровневыми и адаптивными атаками, которые меняют тактику прямо в процессе. Итог предсказуем: множество ложных срабатываний и перегруженный SOC.

— Какие методы или технологии, активно используемые сейчас, по вашему мнению, рискуют морально устареть в ближайшие несколько лет?

Киберугрозы развиваются быстрее, чем защитные технологии, и некоторые из них рискуют устареть уже в ближайшие годы. Простая аутентификация логин/пароль уходит в прошлое. Современные вычислительные мощности позволяют злоумышленникам проводить брутфорс-атаки за считанные секунды. 

Словари паролей становятся все более полными, а базы «слитых» хешей сегодня насчитывают сотни миллионов записей. В результате подбор паролей становится проще и быстрее, чем когда-либо.

Статичные MFA (SMS, Google Authenticator и аналогичные сервисы) также перестают быть надежной защитой, если в них не встроены адаптивные механизмы проверки. 

Злоумышленники все чаще используют роботов для обхода статичных методов, а также более простые техники — фишинг, вишинг или атаки по словарю.

При этом полностью отказываться от этих методов пока нельзя: они все еще являются частью общей защиты. Но важно понимать, что без современных технологий — поведенческой аналитики, AI-моделей, Zero Trust и адаптивных проверок — такие подходы не способны противостоять сложным и целевым атакам, которые становятся нормой после 2020 года.

— А какие устаревшие подходы к обучению сотрудников кибербезопасности больше не работают?

В обеспечении кибербезопасности большую роль играют сами пользователи. Осведомленность и вовлеченность сотрудников напрямую влияют на уровень защиты компании, поэтому обучение должно быть направлено не только на технологии, но и на человека.

Многие компании до сих пор используют устаревшие форматы обучения, которые не дают нужного результата. Среди них: 

  • Разовые лекции и формальные инструктажи. Такой формат быстро забывается: эффект «выучил и забыл» знаком всем. Нет практического закрепления, поэтому сотрудники воспринимают обучение как формальность. Гораздо эффективнее регулярные микротренинги — киберучения раз в месяц. Дополнительно можно использовать геймификацию: симуляции, квизы, соревновательные элементы. 
  • Обучение только по общим угрозам. Разные отделы сталкиваются с разными атаками: бухгалтерия — с мошенничеством, IT — с шифровальщиками, HR — с поддельными резюме. Универсальные советы вроде «не открывайте подозрительные письма» не запоминаются. Лучше использовать ролевые сценарии: фишинг под вакансии для HR, поддельные платежки для бухгалтерии, атаки на инфраструктуру для IT. Эффект усиливается, если опираться на реальные инциденты внутри компании или в отрасли.
  • Обучение без обратной связи и мотивации. Формат «посмотрел презентацию, ответил на вопросы, получил балл и забыл» показывает низкую эффективность. Сотрудники не понимают, где ошиблись, и не видят повода учиться дальше. Гораздо лучше работает другой подход — разбирать ошибки спокойно, без критики, и отмечать тех, кто справился лучше остальных. Это могут быть «security champions», простые бонусы вроде корпоративного мерча или доски почета. Для компании это минимальные затраты, а вовлеченность растет заметно.

Качественно продуманное обучение повышает вовлеченность сотрудников не только на работе, но и в повседневной жизни. Это особенно важно, ведь до 90 % атак начинаются с фишинга или телефонного мошенничества.

Подписывайтесь на наш Telegram Подписаться

Отпустить устаревшее

— Многие компании держатся за старые методы из-за принципа «не сломалось — не чини». Как вы аргументируете необходимость срочного отказа от устаревших практик перед руководством?

Принцип «не сломалось — не чини» когда-то прижился в ИТ, а в кибербезопасности трансформировался в привычное «нет инцидента — нет реакции» или даже «проникли, но ничего не украли». На первый взгляд в этом есть логика: зачем тратить ресурсы на замену инструмента, который вроде бы работает? Но в реальности это ловушка.

Киберугрозы эволюционируют гораздо быстрее, чем большинство корпоративных процессов. Новые техники атак появляются каждый месяц, злоумышленники ищут уязвимости и тестируют обходные пути. 

То, что вчера защищало бизнес, завтра может оказаться бесполезным. В итоге старые средства создают ложное чувство безопасности: формально «замок висит», но отмычка к нему давно есть у каждого, кто захочет проникнуть внутрь.

Это не значит, что каждое устаревшее решение нужно срочно выбрасывать. Иногда его можно обновить, интегрировать с другими системами или трансформировать под новые задачи. Главное — не ждать момента, когда оно окончательно перестанет работать. И тут для руководства важны конкретные аргументы: примеры взломов конкурентов, отчеты вендоров, результаты независимых проверок. Хуже всего, когда осознание приходит только после собственного инцидента.

Поэтому разговор с бизнесом должен строиться вокруг инвестиций и рисков. Обновление средств защиты — это не «дополнительные расходы», а экономия на будущих инцидентах. Чем дороже стоит взлом компании для злоумышленника, тем меньше вероятность, что кто-то решит тратить ресурсы на атаку именно на вас.

— От каких legacy-решений в области ИБ пора окончательно отказаться?

Не каждое средство защиты одинаково полезно в 2025 году. Чтобы понять, что его пора заменить, можно опираться на простые критерии. 

От решения нужно отказаться, если оно: не поддерживает облачные и гибридные среды, не имеет API для интеграции, требует ручного управления правилами или не соответствует принципам Zero Trust.

Если хотя бы три пункта совпадают, система больше сдерживает, чем защищает. И под эти критерии уже попадает целый набор привычных инструментов:

  1. Антивирусы на сигнатурах. Такие продукты не распознают файл-независимые атаки, например, in-memory или через LOLBins, не помогают против zero-day и APT-кампаний. Самое опасное в них то, что они создают ложное ощущение защищенности.
  2. Периметровые фаерволы без контекстного анализа. Когда-то они были основой безопасности, но сегодня не защищают от lateral movement внутри сети, плохо работают в облачных и гибридных средах и часто полагаются на устаревшие правила.
  3. Классические WAF на базе сигнатур. Они не способны остановить логические уязвимости вроде API abuse или BOLA и слишком легко обходятся современными атаками.

Любая модернизация или отказ от legacy-систем должны проходить поэтапно и с четким планом миграции. Резкие шаги здесь опасны: ИБ — это не та область, где можно позволить себе «вырвать и заменить» без подготовки.

При этом не каждое решение нужно сразу списывать. Иногда его можно доработать: интегрировать через API, добавить ML-модуль или вынести часть функций в облако у MSSP-провайдера. В других случаях эффективнее замена «под ключ». Так, переход от традиционного VPN к модели ZTNA (Zero Trust Network Access) по оценке Gartner снижает риск компрометации почти на 70%.

Ценность ИБ-департамента и компетенции специалистов

— Может ли сама концепция «отказа от устаревшего» быть ключевой компетенцией ИБ-специалиста в 2025? 

Нет. В 2025 году важнее не просто уметь отказаться от старых практик, а понимать, куда движется безопасность в целом. Сегодня акцент смещается в сторону проактивной защиты, основанной на данных и AI-driven detection, а также на управлении рисками, а не только на технических контролях.

— А что отличает топового специалиста? Какие компетенции у него должны быть в 2025 году? 

Прежде всего умение смотреть на мир глазами атакующего (red team-скилл), автоматизировать рутину с помощью Python, PowerShell или SOAR, работать с данными в SIEM, SQL или KQL. И еще одно — говорить на языке бизнеса, связывая киберриски с ROI и стратегическими целями компании.

Исходя из трендов, ИБ-специалиста 2025 года отличают четыре основных блока компетенций:

  1. Технические навыки (hard skills) — работа с современными инструментами защиты, умение писать скрипты, автоматизировать процессы, анализировать данные в SIEM и других системах.
  2. Управление безопасностью — архитектура ИБ, управление рисками и соответствие требованиям регуляторов.
  3. Soft skills — это не только коммуникация, но и навыки киберкриминалистики, умение проводить расследования, способность взаимодействовать с бизнесом на понятном языке, а также управление инцидентами и кризисными ситуациями.
  4. Постоянное развитие — обучение, сертификация, пилотирование новых технологий и регулярная проверка актуальности используемых решений.

Именно блок постоянного развития включает в себя еще одну важную составляющую: умение вовремя отказаться от устаревшего. Это не отдельный навык, а часть профессионального роста. Специалист, который держит руку на пульсе технологий, способен вовремя увидеть, что инструменты или подходы теряют актуальность, и предложить бизнесу достойную замену, пока старые решения не подвели.

— Как избавиться от репутации ИБ как отдела, который только запрещает, и перейти к модели, помогающей бизнесу безопасно внедрять инновации?

ИБ-отдел в глазах бизнеса часто воспринимается как команда, которая только ограничивает и мешает работе. Избавиться от этого имиджа можно — и начать стоит с внутренней репутации. 

Важно выстраивать коммуникацию: писать новости на корпоративном портале в позитивном ключе, разъяснять сотрудникам ошибки без наказаний, публично поощрять тех, кто вовремя заметил фрод или нарушение политики. Такой «PR внутри компании» делает отдел открытым и понятным, а сотрудники начинают видеть в нем партнера, а не контролера.

Следующий шаг — синхронизация стратегии ИБ со стратегией компании и ИТ-департамента. Метрики безопасности должны быть достаточными для защиты, но не избыточными. Когда ИБ-департамент движется к общей цели вместе с бизнесом и ИТ, он перестает быть «центром затрат» или «препятствием для ИТ», а превращается в партнера, который помогает внедрять инновации безопасно.

На одной из конференций по информационной безопасности обсуждалось, как ИБ-департаменту подтверждать свою ценность для бизнеса. В итоге сформулировали три практичных подхода:

  1. Считать не количество внедренных средств защиты, а экономию от предотвращенных инцидентов.
  2. Оценивать и регулярно показывать руководству «стоимость взлома» компании. Если этот показатель растет, значит, уровень защиты становится выше.
  3. Вовлекать сотрудников — делиться результатами работы отдела с сотрудниками, показывать, что ИБ реально защищает компанию. Такой внутренний маркетинг формирует чувство уверенности, а регулярные киберучения, пентесты и проверки помогают держать систему в тонусе. 

Следуя этим простым шагам, ИБ перестает быть «отделом запретов» и становится партнером бизнеса.

Резюме

Подводя итоги, можно выделить несколько направлений, которые определяют кибербезопасность в 2025 году. Ручное управление безопасностью по-прежнему уместно там, где автоматизация слишком затратна или риск ошибки слишком высок. Но в большинстве случаев именно автоматизация остается надежным помощником при условии грамотной оценки ее необходимости.

Традиционные методы и технологии продолжают использоваться, хотя их эффективность с каждым витком атак снижается. Против сложных сценариев они уже не справляются. То же касается и подходов к обучению: формальные лекции и инструкции требуют пересмотра, ведь сегодня особую актуальность приобрела тема кибергигиены и вовлеченности персонала.

Многие устоявшиеся принципы и legacy-решения также нуждаются в замене, модернизации или дополнении новыми технологиями. Делать это важно стратегически, учитывая риски для бизнеса и смежных подразделений.

И, наконец, нельзя забывать о людях. Компетенции специалиста по ИБ в 2025 году — это не только технические и управленческие навыки, но и soft skills, а также постоянное развитие. Именно сочетание этих качеств позволяет оставаться эффективным в условиях быстро меняющейся киберугрозы.

Что будем искать? Например,ChatGPT

Мы в социальных сетях