Rapid7: отчёт об угрозах Q1 2026 — ключевые выводы

Эксплуатация уязвимостей обошла социальную инженерию как основной метод первоначального доступа злоумышленников — а AI сокращает время, которое остаётся у защитников на реагирование.

На протяжении многих лет программы повышения осведомлённости в области безопасности фокусировались на человеческом факторе как наиболее слабом звене. Отчёт Rapid7 о ландшафте угроз за Q1 2026 года опровергает это утверждение конкретными данными: эксплуатация неисправленных уязвимостей теперь составляет 38% всех случаев реагирования на инциденты, отслеживаемых MDR-командой Rapid7, опережая социальную инженерию (24%) и скомпрометированные учётные записи (14%). AI-инструментарий позволяет злоумышленникам выявлять, вооружать и эксплуатировать уязвимости с такой скоростью, которая кардинально сокращает окно реагирования для защитников.

Что было анонсировано

Rapid7 опубликовала отчёт о ландшафте угроз за Q1 2026 года 21 мая 2026 года. Документ основан на данных MDR-реагирования, разведке CVE, мониторинге сайтов утечек программ-вымогателей и телеметрии даркнета. Отчёт фиксирует значительный сдвиг в поведении злоумышленников и освещает конкретные паттерны в области эксплуатации уязвимостей, фрагментации ransomware-групп и злоупотребления легитимным ПО.

«Годами мы выстраивали культуру безопасности, в которой люди считались наиболее слабым звеном, но выводы за Q1 показывают, что AI тихо переписывает это уравнение.»

Отчёт подтверждает, что сроки эксплуатации резко сокращаются. Согласно данным ежегодного глобального отчёта Rapid7 за 2026 год, медианное время от публичного раскрытия уязвимости до её включения в каталог Known Exploited Vulnerabilities (KEV) CISA сократилось с 8,5 до 5,0 дней — для уязвимостей высокой и критической степени серьёзности.

Почему это важно для региона

Организации Центральной и Восточной Европы сталкиваются с той же инфраструктурой злоумышленников и паттернами эксплуатации, задокументированными в данном отчёте. Многие предприятия региона работают в гибридных средах с устаревшими on-premises системами наряду с облачными нагрузками — именно такая конфигурация максимально повышает уязвимость к сетевым zero-click уязвимостям. Поскольку злоумышленники отдают приоритет инфраструктуре, к которой можно получить прямой доступ без фишинга или ошибки пользователя, предположение о том, что одно лишь обучение персонала обеспечивает достаточную защиту, операционно несостоятельно.

Для CISO и IT-директоров с ограниченными ресурсами SOC в регионе CEE переход к автоматизированной, AI-ассистируемой эксплуатации означает: ручные реактивные процессы патчинга недостаточны. Приоритизация на основе реальной разведки активной эксплуатации — а не только оценок CVSS — становится базовым операционным требованием. Тот факт, что эксплуатируемые уязвимости в среднем набирали 1,8 миллиона упоминаний в блогах, форумах и социальных сетях до начала активной эксплуатации, подчёркивает ценность разведки открытых источников как системы раннего предупреждения.

«Команды безопасности не могут уделять одинаковый уровень внимания каждому сигналу, когда злоумышленники последовательно приоритизируют то, до чего можно добраться. Именно в этом разрыве накапливается риск.»

Технические детали

• Ведущий вектор начального доступа: Эксплуатация уязвимостей — 38% случаев MDR-реагирования, опережая социальную инженерию (24%) и скомпрометированные учётные записи (14%).
• Zero-click уязвимости: 50% активно эксплуатируемых CVE в Q1 не требовали аутентификации или взаимодействия с пользователем — сетевые проблемы с прямым доступом к системам.
• Сжатие временных рамок: Медианное время от публичного раскрытия до включения в каталог KEV сократилось с 8,5 до 5,0 дней для CVE высокой и критической серьёзности.
• Публичное обсуждение как сигнал: Эксплуатируемые уязвимости в среднем получали 1,8 миллиона упоминаний в блогах, форумах и социальных сетях до начала активной эксплуатации.
• SQL injection — ведущий тип эксплойта: SQL injection обошёл OS command injection в Q1, отражая фокус злоумышленников на распространённых уязвимостях веб-приложений.
• Фрагментация ransomware: Qilin возглавил активность на сайтах утечек с 357 публикациями, далее — The Gentlemen (206) и Akira (174).
• Злоупотребление RMM-инструментами: Remote Monitoring and Management (RMM) инструменты составили 22,9% наблюдаемой активности угроз, ClickFix — 18,8%, Windows Native Scripts — 10,4%.
• Источники данных: MDR-телеметрия, CVE-разведка, мониторинг сайтов утечек ransomware и данные даркнета.

Softprom и Rapid7

Softprom является официальным дистрибьютором Rapid7 в регионе CEE. Мы обеспечиваем доступ к полному портфелю решений Rapid7 на базе AI, включая платформу Rapid7 Command, MDR-сервисы, управление уязвимостями и возможности разведки угроз. Наша команда поддерживает партнёров и конечных клиентов в пресейловых консультациях, лицензировании и техническом внедрении.

Этот материал подготовлен в рамках проекта Softprom DistriFlow — автоматизированной системы мониторинга и адаптации новостей вендоров. Источник: оригинальная статья.