Киберполигоны вместо дипломов, Data Poisoning вместо вредоносов: что ждёт ИБ-сферу?

Компания DDos-Guard провела в Ростове-на-Дону ИБ-митап 9 октября 2025 году. Были приглашены известные спикеры: Алексей Морозов, Алексей Банников, а также Ольга Сафарьян. Обсуждался кадровый голод в ИБ, киберразведка, уязвимости нейросетей и многое другое. Мероприятие проходило в Южном IT-парке.

 

 

 

 

 

 

1. Введение
2. Помогут ли киберполигоны решить кадровый кризис?
3. Новые тактики фишинга
4. Актуальные уязвимости нейросетей
5. Внутренняя жизнь DDos-Guard
6. Что происходит с трафиком?
7. Выводы

Введение

Отрасль информационной безопасности сегодня сталкивается с серьёзными вызовами. Среди наиболее значимых трендов можно выделить структурный кадровый дефицит, эволюцию тактик социальной инженерии, оперативную деятельность целевых хакерских группировок (APT-групп), а также трансформацию угроз и средств защиты в контексте повсеместной интеграции нейросетей. Эти вызовы требуют от профессионального сообщества не только адаптации, но и выработки проактивных стратегий.

Отраслевые мероприятия служат важной платформой для анализа данных тенденций. Так, 9 октября 2025 года в Ростове-на-Дону на площадке Южного IT-парка состоялся митап, организованный компанией DDoS-Guard, в рамках которого эксперты обсудили актуальные проблемы и векторы развития кибербезопасности.

Ключевые тренды были раскрыты в выступлениях спикеров: Ольги Сафарьян с кафедры кибербезопасности ДГТУ, Алексея Банникова, руководителя группы киберразведки Positive Technologies, и Алексея Морозова, руководителя отдела продуктовой безопасности ecom.tech. Основные акценты мероприятия — уязвимости, фишинг и кадровый голод.

Дополнительный контекст был получен в ходе коммуникации с представителями DDoS-Guard – PR-тимлидом Светланой Залесовой и руководителем направления защиты на уровне веб-приложений Дмитрием Никоновым. Более того, DDoS-Guard решили устроить конкурс: за самые интересные вопросы спикерам были предусмотрены призы (всего предусмотрено было три приза). Ваш покорный слуга даже смог выиграть один из них.

Помогут ли киберполигоны решить кадровый кризис?

Одной из центральных тем дискуссии стал системный кадровый кризис в отрасли. Ольга Сафарьян структурировала эволюцию подходов к информационной безопасности, выделив три последовательные эпохи:

1. Эпоха технологий. Период с доминированием парадигмы, согласно которой безопасность обеспечивается преимущественно за счёт развёртывания технических средств защиты (брандмауэров, систем обнаружения вторжений и т. д.).
2. Эпоха процессов. Смещение акцента на понимание безопасности как непрерывного циклического процесса. В этот период ключевое значение приобретают системы менеджмента информационной безопасности (СМИБ) и регламентированные процедуры.
3. Эпоха персонала. Современный этап, характеризующийся тем, что базовые технологии и процессы в целом сформированы. Ключевым звеном, определяющим общий уровень защищённости, становится квалифицированный персонал. Именно на этом этапе остро проявляется проблема разрыва между теоретической подготовкой выпускников вузов и практическими требованиями рынка.

Рисунок 1. Комплексная программа развития навыков киберзащиты

 

В качестве стратегического ответа на этот вызов был предложен переход к созданию и активному использованию киберполигонов. Киберполигон представляет собой специализированную платформу, имитирующую реальные корпоративные и критически важные информационные инфраструктуры. На таких платформах обучающиеся могут в безопасной среде отрабатывать широкий спектр сценариев: от реагирования на инциденты и расследования киберпреступлений до проведения тестов на проникновение.

Данный подход позволяет сформировать у будущих специалистов не только узкотехнические навыки, но и системное мышление, необходимое для противодействия современным сложносоставным угрозам. Таким образом, тренд заключается в глубокой интеграции практико-ориентированных, имитационных методов в образовательный процесс, что является необходимым условием для преодоления кадрового разрыва.

Новые тактики фишинга

Второй спикер, Алексей Банников, руководитель группы киберразведки Positive Technologies, в своём выступлении проанализировал современные фишинговые методики и текущие операции APT-группировок.

 

Рисунок 2. Активность хакерских группировок в России

 

Фишинг и социальная инженерия остаются основным вектором атак, через который проникают вредоносы. Фишинг оброс новыми приёмами, приведём несколько примеров.

Сперва жертве присылают легитимный, но намеренно испорченный файл. Когда пользователь запрашивает рабочую версию, ему под видом исправленного документа отправляют вредонос.

 

Рисунок 3. Нестандартный подход в фишинге

 

Следующий пример — это так называемые Fake CAPTCHA-приёмы. Механизм атаки запускается при прохождении пользователем фиктивной CAPTCHA-проверки на вредоносной веб-странице. Данная CAPTCHA не выполняет свою основную функцию, а вместо этого инициирует выполнение команды PowerShell.

 

Рисунок 4. Пример с Fake CAPTCHA

 

Ещё один пример — кейлоггеры Microsoft Exchange. После взлома серверов злоумышленник внедряет программу-шпион, которая крадёт учётные данные. Эти данные затем применяются для дальнейшего проникновения или продаются в даркнете.

 

Рисунок 5. Приём с кейлоггерами в Microsoft Exchange

 

Следующий аспект касается APT-групп. Их условно можно разделить на три большие категории:

1. Группы, которые преследуют финансовую выгоду: обычно они хорошо организованы и торгуют украденными данными в даркнете.
2. Группы, которые занимаются шпионажем в пользу тех или иных государств: обычно также хорошо организованы и ведут свои кампании годами.
3. Хактивисты — наименее организованные группы, нередко даже одиночки, которые занимаются взломами в идеологических целях.

Что касается атрибуции APT-групп, то Алексей Банников призывает по возможности отстраниться от этого процесса и просто рассматривать их как вредоносные кампании, акцентируя больше внимания на методах, к которым прибегают злоумышленники.

Актуальные уязвимости нейросетей

Выступление третьего спикера — Алексея Морозова — можно поделить две части. Первая касалась архаичных уязвимостей, например на сайте знакомств, которые позволяли получить данные о геолокации пользователей.

 

Рисунок 6. Геотрекинг человека через приложение для знакомств

 

Особую актуальность приобретают угрозы, связанные с атаками на нейросети. Здесь разговор уже не только о классических уязвимостях, но и о целенаправленных атаках на сами модели и данные — об этом много рассказывал Алексей Морозов.

Речь идёт об отравлении данных (Data Poisoning),  что является частным примером атаки в парадигме т.н состязательного машинного обучения (Adversarial Machine Learning). Злоумышленники манипулируют данными, на которых обучается нейросеть, чтобы исказить её выводы. Яркий пример — обучение торговых алгоритмов на отравленных данных для манипуляции рынком.

Ниже представлено несколько видов подобных атак.

Fast Gradient Sign Method (FGSM) — злоумышленники создают специальные входные данные, незаметно для человека изменяющие поведение нейросети, заставляющие её ошибаться.

 

Рисунок 7. Пример Fast Gradient Sign Method

 

Model Inversion, будучи видом AML, является атакой, позволяющей восстановить конфиденциальные данные из обучающего набора через анализ ответов модели. 

 

Рисунок 8. Пример Model Inversion

 

Prompt Injection — ввод вредоносных команд или текста в систему ИИ (например, чат-бот или генератор), чтобы изменить поведение модели. 

 

Рисунок 9. Пример Prompt Injection

 

Отвечая на вопрос о том, с чем придётся иметь дело ИБ-специалистам в ближайшие годы в контексте трендов Adversarial Machine Learning, Алексей высказал мнение, что специалистам предстоит разгребать последствия галлюцинаций нейросетей.

Что касается возникновения новых специальностей, например, таких как отслеживание галлюцинаций ИИ, эксперт считает: правильнее говорить о росте спроса на специалистов, которые объединяют в себе компетенции в области машинного обучения (ML) и информационной безопасности.

На вопрос о том, как изменился ландшафт уязвимостей за 12 лет, становятся ли они сложнее или разработчики продолжают наступать на те же грабли, Алексей рекомендовал ознакомиться с топ-10 уязвимостей OWASP, что, по его мнению, даст исчерпывающую картину.

Внутренняя жизнь DDos-Guard

Хотя организатора мероприятия и PR тимлида DDoS-Guard Светланы Залесовой не было среди спикеров, меня давно интересовала компания DDos-Guard, и я не мог упустить возможность поговорить с ней.

Компания, как нетрудно догадаться, специализируется на DDos-атаках, но сейчас в список её сервисов входит брандмауэр веб-приложений (WAF), аудит безопасности, услуга управления ключами шифрования и многие другие.

 

Рисунок 10. Светлана Залесова, Евгений Кудрин и дракон-маскот DDoS-Guard

 

Светлана рассказывает, что проведённый митап стал пробным камнем на пути к будущим более масштабным и интересным мероприятиям. Несмотря на сильный ливень, в зале собралось много людей, искренне вовлечённых в темы выступлений и задававших множество вопросов. Светлана делится, что самой сложной задачей для неё оказалось совместить тотальный контроль над процессом с возможностью «быть в моменте» получить удовольствие от происходящего.

Один из вопросов, который меня интересовал, может показаться скандальным. В 2021 году ростовскую компанию DDos-Guard обвинили в том, что она предоставляет хостинг для соцсети Parler, популярной у американских консерваторов и сторонников Трампа. Российская компания DDoS-Guard подтвердила, что оказывает услуги социальной сети Parler, однако уточнила — речь не шла о хостинге. Отмечу также, что DDos-guard придерживается позиции сетевого нейтралитета.

Для меня эта история была не скандалом, а, скорее, парадоксальным символом мирового признания, хотя Светлана сказала, что DDos-Guard стали считать себя компанией мирового уровня намного раньше — в 2014 году.

Я считаю, дело было политическим, так как в те времена американских консерваторов всеми силами пытались выдавить из медийного поля, и тот факт, что они пользовались услугами российской компании, был только лишним предлогом для нападок. Для меня же этот факт означал, что DDoS-Guard действительно обладает экспертизой международного уровня.

Следующий вопрос у меня был довольно экзотическим: «каково быть женщиной в сфере ИБ»? Есть некоторый стереотип, что безопасность — не женское дело, а уж тем более кибербезопасность. Но Светлана говорит, что ей не приходилось сталкиваться с сексизмом: её коллеги видели в ней полноценного компетентного сотрудника.

Хотя в айти и кибербезопасности по-прежнему мужчин намного больше, чем женщин, отношение к женщинам, работающим в этой отрасли в России, абсолютно адекватное и лишено сексизма.

Что происходит с трафиком?

После мероприятия также представилась возможность пообщаться с Дмитрием Никоновым, руководителем направления защиты на уровне веб-приложений в DDoS-Guard, чтобы обсудить собственно DDoS-атаки, ключевые тренды в отрасли, влияние ИИ и нюансы фильтрации трафика.

 

Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений в DDoS-Guard

 

По поводу современных подходов злоумышленников к организации DDoS-атак Дмитрий пояснил, что они характеризуются малой продолжительностью, но чрезвычайно высокой мощностью. Перед началом атаки злоумышленник тщательно сканирует архитектуру жертвы, причём уязвимости нередко находят в API.

Многие DDoS-атаки происходят изнутри после того, как собирается критическая масса заражённых устройств, объединённых в ботнет. Кроме того, DDoS-атаки часто выполняют функцию отвлечения SOC клиента, пока основная атака осуществляется по другому вектору. Недавний кейс с «Аэрофлотом» был приведён как наглядный пример такого подхода.

На вопрос о взгляде на современный рынок кибербезопасности и о том, усиливает ли спрос на услуги распад киберпространства на макрорегионы, Дмитрий ответил, что до 2022 года клиенты обычно обращались к ним уже после инцидента, доверяя процессы по принципу чёрного ящика.

После 2022 года ситуация радикально изменилась: многие зарубежные ИБ-сервисы перестали работать, количество кибератак возросло, а у клиентов сформировалось чёткое понимание того, что они хотят от ИБ-сервисов. Например, сейчас клиенты часто запрашивают возможность ручной настройки фильтрации трафика.

На рынке появилось осознание необходимости выстраивать несколько эшелонов защиты до того, как компания станет жертвой атаки, что отчасти обусловлено и новыми законодательными требованиями к безопасности данных, особенно если речь идёт об объектах критической информационной инфраструктуры.

Касаясь темы возможностей для новых компаний после 2022 года, Дмитрий отметил, что на рынке кибербезопасности существует своеобразный «круговорот клиентов»: при множестве игроков клиент может легко сменить провайдера, если конкурент предложит более широкий спектр услуг.

Когда речь зашла о новичках, он признал их способность создавать качественные продукты, но указал на сложность поиска клиентов. Для успеха, по его мнению, недостаточно только сетевого маркетинга — необходимо обрастать реальными связями, особенно за пределами сегмента малого и среднего бизнеса.

На вопрос о планах по предоставлению SOC-услуг Дмитрий ответил утвердительно, но уточнил, что компания сначала планирует обновить ряд своих сервисов, таких как WAF и собственная CAPTCHA.

Он подробнее рассказал об этих сервисах: их WAF является полностью облачным решением, которое функционирует без развёртывания железа на архитектуре клиента и может предоставляться как самостоятельно, так и в комплексе с другими сервисами. Что касается CAPTCHA, то сейчас она проходит внутреннее тестирование, в том числе на предмет устойчивости к прохождению с помощью ИИ. Выпуск этой услуги планируется в начале 2026 года.

В заключение Дмитрий поделился своим мнением о влиянии искусственного интеллекта на отрасль. Он отметил, что сейчас наблюдается интересная картина: живой трафик падает по всему интернету.

Ярким примером он назвал снижение трафика на Stack Overflow (крупнейшая в мире платформа вопросов и ответов для программистов), объяснив это тем, что пользователи теперь часто ищут ответы на свои вопросы в LLM (продвинутых моделях искусственного интеллекта, Large Language Model), а не на специализированных форумах. В связи с этим многим сайтам, по его мнению, придётся создавать собственные LLM, чтобы не терять аудиторию.

Более того, чем активнее сайт парсится ботами, тем хуже может быть его индексация в поисковой выдаче, поскольку поисковые системы воспринимают высокую активность ботов и накрутку поведенческих факторов как ненатуральное поведение. Поэтому клиентам иногда требуется защита не только от кибератак как таковых, но и просто от ботов-парсеров, чтобы те не ухудшали позиции сайта в поиске.

На вопрос об использовании ИИ самими кибербезопасниками, в частности, для фильтрации трафика, Дмитрий подтвердил, что его компания применяет искусственный интеллект для обработки Big Data и выявления ключевых паттернов. Однако он указал на серьёзную проблему ложных срабатываний (false positive), в связи с чем, по его словам, человеческая экспертиза по-прежнему остаётся крайне важной.

Выводы

Митап, организованный компанией DDoS-Guard на площадке Южного IT-парка, предоставил площадку для обсуждения ключевых трендов в сфере информационной безопасности.

Содержательным ядром дискуссии стал комплексный переход от чистой технической защиты к управлению рисками в условиях новой цифровой реальности. Фокус сместился на триаду взаимосвязанных проблем: необходимость взращивания практико-ориентированных кадров, противодействие гибридным угрозам, сочетающим социальную инженерию с техническими приёмами, и выработку стратегий безопасного использования ИИ. Последнее становится особенно актуальным на фоне роста числа атак, нацеленных на отравление данных.

Другой важный аспект, связанный с ИИ: сейчас требуется защита не только от атак, нацеленных на кражу данных или порчу инфраструктуры, но и от ботов-парсеров, влияющих на индексацию. Кроме того, много трафика стало уходить от сайтов непосредственно к LLM.

Отдельно отмечу компанию-организатора — DDos-Guard — заметного игрока на рынке и настоящую гордость Ростова, вносящую большой вклад в развитие местного IT-сообщества. Хочу лично поблагодарить PR-руководителя Светлану Залесову за отличную организацию и профессиональный подход.