Мы продолжаем подводить итоги года в сфере кибербезопасности. В предыдущих материалах мы детально разобрали технологические тренды, ландшафт актуальных угроз и специфику киберразведки. Сегодняшний фокус — на фундаментальных проблемах: уязвимостях в аппаратном и программном обеспечении, которые определяют повестку защиты данных на ближайшие годы.
Этичный хакинг: анализ статистики и развитие баз данных
Диана Абдурахманова
Руководитель группы координированного раскрытия уязвимостей
Рекордные показатели: сотни найденных 0-day
За минувший год эксперты Positive Technologies выявили порядка 450 уязвимостей нулевого дня. Для сравнения: годом ранее этот показатель составлял 114. Столь значительный рост — в четыре раза — обусловлен не только общим увеличением числа дефектов в коде, но и качественным изменением стратегии поиска: исследовательский фокус стал более агрессивным и глубоким.
Важно отметить прогресс во взаимодействии с разработчиками:
- Скорость первичной реакции вендоров на уведомления об угрозах выросла на 10%.
- Доля уязвимостей, исправленных в течение первого месяца, увеличилась на 15%.
- Количество «затяжных» багов (устранение которых занимало более 60 дней) снизилось на 20%.
Почти каждая десятая (9%) найденная уязвимость относится к критическому уровню опасности. Примечательно, что две трети из них (67%) обнаружены в сегменте промышленной автоматизации (АСУ ТП). Среди наиболее распространенных угроз для критической инфраструктуры выделяются:
- Загрузка кода без проверки целостности (CWE-494). Риск исполнения вредоносных сценариев из-за отсутствия верификации подлинности обновлений или плагинов.
- Некорректное разграничение прав доступа (CWE-732). Ошибки в настройках, позволяющие неавторизованным процессам модифицировать системные ресурсы.
- Аутентификация по хешу вместо пароля (CWE-836). Возможность обхода защиты, если злоумышленник перехватил хеш-сумму учетных данных.
В сегменте общесистемного ПО (не АСУ ТП) лидируют иные векторы:
- Инъекции кода (CWE-94). Эксплуатация недоверенных входных данных для выполнения произвольных команд на сервере.
- Небезопасная десериализация (CWE-502). Манипуляция данными из внешних источников для захвата контроля над системой.
- OS Command Injection (CWE-78). Внедрение команд операционной системы через интерфейсы приложений.
Особое внимание стоит уделить российским разработкам. Число выявленных в них недостатков увеличилось почти втрое, достигнув 30% от общего объема. Эксперты помогли устранить серьезные бреши в контроллерах Fastwel и системах автоматизации офисов Booco. Также в семь раз вырос интерес к Open Source проектам, что коррелирует с мировым трендом на поиск уязвимостей в открытом коде.
Взгляд в будущее
Мы ожидаем дальнейший рост выявленных уязвимостей в отечественном софте из-за массового импортозамещения. В условиях нестабильности глобальных баз (таких как NVD или MITRE CVE), ключевую роль начинают играть национальные и независимые реестры, такие как БДУ ФСТЭК России или портал dbugs, предоставляющие оперативную информацию о новых угрозах.
Трендовые уязвимости 2025–2026
Александр Леонов
Ведущий эксперт PT Expert Security Center
За 11 месяцев 2025 года мы выделили 63 «трендовые» уязвимости — те, что либо уже активно используются в атаках, либо станут целью хакеров в ближайшее время. Из них 47 уже имеют подтвержденные случаи эксплуатации «в дикой природе».
Почти половина (47%) таких брешей традиционно приходится на продукты корпорации Microsoft.
В этом году в список трендовых впервые попали российские решения:
- RCE-уязвимость в почтовом сервере CommuniGate Pro.
- Сложная цепочка уязвимостей в сервере ВКС TrueConf Server.
Прогноз на 2026 год однозначен: доля актуальных угроз в российском ПО продолжит расти вместе с его сложностью и популярностью. Чтобы противостоять этому, компаниям недостаточно просто закрывать дыры — необходимо переходить к моделированию атак. Важно видеть не просто список багов, а реальные маршруты, по которым злоумышленник может добраться до критических активов.
Микроэлектроника и IoT: новые вызовы
Алексей Усанов
Руководитель Positive Labs
Тотальная связность и скрытые риски
Сегодня все — от светофоров до медицинских датчиков — подключено к облакам. Компрометация такой инфраструктуры может привести к блокировке целых систем или созданию глобальных ботнетов. Для защиты вендоры внедряют технологии TEE (доверенные среды выполнения) и Secure Boot, однако атакующие тоже совершенствуются.
В арсенале хакеров появляются методы, ранее доступные только спецслужбам:
- Fault Injection — искусственное провоцирование сбоев для обхода защиты.
- Side-channel analysis — анализ физических параметров устройства (потребление энергии, ЭМ-излучение) для извлечения ключей шифрования.
Перспективы RISC-V и отечественных чипов
В 2026 году мы ожидаем массового появления устройств на базе отечественных микроконтроллеров (включая архитектуру RISC-V). Главный риск здесь — повторение ошибок «детских болезней» безопасности. Чтобы этого избежать, необходимо внедрять принцип Secure by Design на этапе проектирования кристаллов.
Качественный аудит современного «железа» теперь требует сложнейшего оборудования — вплоть до сканирующих электронных микроскопов для послойного изучения памяти чипов.
Кибербезопасность становится все более наукоемкой дисциплиной. В наступившем году мы продолжим изучать блокчейн, внедрять ИИ в средства защиты и анализировать самые глубокие уровни аппаратного обеспечения. Оставайтесь на связи и берегите свою инфраструктуру!
_large.jpg "Старт продаж линейки Samsung Galaxy S26 намечен на 11 марта")
