2SDnjd76ePt
От фишинга до подрядчиков: где компании оставляют лазейки для атак
14 миллионов рублей — столько в среднем требуют злоумышленники за расшифровку данных. Но это далеко не финальная сумма ущерба: каждый день, а порой и каждый час простоя приносит новые убытки. Плюс репутационные потери, уход клиентов и возможные вопросы от регуляторов.
Во многих случаях атакующие достигают цели из-за ошибок самих компаний — при построении инфраструктуры или ее защите. Как именно атакующие проникают в инфраструктуру и на что обратить внимание заранее, для читателей Cyber Media расскажет Владимир Гришанов, руководитель BI.ZONE Compromise Assessment.
Кейсы: дочерняя компания без присмотра и устаревший сервер
Компания столкнулась с атакой, в результате инфраструктура была зашифрована. Наше расследование показало: между основным и дочерним доменами были настроены доверительные отношения. Это означало, что учетные записи из дочерней среды автоматически считались валидными в основной — получив доступ в одном домене, злоумышленники могли свободно перемещаться и в другом.
Первоначальный доступ атакующие получили именно через дочернюю организацию. Сотрудник открыл фишинговое письмо, а вложенный файл дал злоумышленникам доступ к хосту. Почтовой фильтрации в дочерней компании не было, поэтому письмо прошло без препятствий.
Фактически головная компания не контролировала защиту ни собственных систем, ни инфраструктуры дочерних подразделений. Это и позволило атакующим незаметно перемещаться между доменами.
В другом случае точкой входа стал устаревший сервер Microsoft SharePoint, на котором давно не применяли обновления безопасности. Атакующие использовали две критические уязвимости — CVE-2025-53770 и CVE-2025-53771. Их эксплуатация позволила удаленно выполнить код на уязвимом узле и получить доступ ко внутренней сети без аутентификации.
Этот пример наглядно демонстрирует, что даже один устаревший сервис на периметре может предоставить злоумышленникам практически полный контроль над инфраструктурой.
В обеих ситуациях атаки привели к остановке бизнес-процессов и отгрузок, а также к уничтожению внутренней документации, баз данных и баз знаний.
Чаще всего компании допускают одни и те же ошибки, упрощающие злоумышленникам первоначальный доступ: неконтролируемый периметр, отсутствие фильтрации почты, отсутствие 2FA при подключении к VPN, а также отсутствие контроля за привилегированными учетными записями и незащищенный доступ для подрядчиков.
Старый недобрый фишинг
По данным BI.ZONE, 64% целевых атак на российские компании все еще начинаются с фишинговых писем. При этом у 85% организаций нет полноценной фильтрации почтового трафика. Вложения и ссылки не проверяются на наличие вредоносного кода, а протоколы SPF, DKIM, DMARC отсутствуют или настроены неправильно. Это повышает риск спуфинга домена, когда атакующие подделывают отправителя.
Сохраняются и атаки через мессенджеры по схеме Fake Boss — классический сценарий, когда злоумышленники пишут от лица руководителя и пытаются заставить сотрудника перевести деньги, раскрыть конфиденциальную информацию или запустить вредоносное ПО. Возможности современных ИИ-инструментов значительно упрощают киберпреступникам подготовку и проведение подобных атак.
Что с этим делать
Современные системы фильтрации, анализирующие почту в режиме реального времени, предотвратят доставку вредоносных писем. Это могут быть облачные или локальные решения, но важно наличие машинного обучения для выявления аномалий. Анализ ссылок, проверка метаданных, карантин и песочницы существенно повысят защиту — при условии регулярного обновления баз угроз.
Чтобы минимизировать риск спуфинга, нужно внедрить и правильно настроить протоколы SPF, DKIM и DMARC. SPF задает список разрешенных серверов для вашего домена, DKIM подтверждает подлинность письма цифровой подписью, а DMARC позволяет отклонять или помещать в карантин письма с сомнительным отправителем.
И конечно, необходимо обучать сотрудников основам кибергигиены — не только с помощью лекций, но и практических тренингов с имитацией атак.
А что там на периметре?
Если публичные серверы, приложения и устройства не внесены в реестр и, по сути, невидимы для службы безопасности, они становятся легкой добычей. Уязвимые сервисы позволяют злоумышленникам получить первоначальный доступ с минимальными усилиями. Такие нарушения встречаются у 70% компаний — вместе со слабыми паролями и отсутствием мониторинга.
Что с этим делать
Основа защиты периметра — полная инвентаризация внешних активов: что именно опубликовано и доступно из интернета.
Далее — единый процесс публикации сервисов. Любой ресурс перед размещением должен быть согласован со специалистами кибербезопасности и IT-подразделений.
После инвентаризации необходимо понять, насколько действительно нужны все открытые сервисы. Это позволит закрыть неиспользуемые порты и убрать из интернета протоколы удаленного доступа. Важно использовать защищенные подключения и вынести доступные извне сервисы в выделенный сегмент, отделенный от основной корпоративной сети — DMZ. Это позволит минимизировать поверхность атаки.
Также помогут непрерывный мониторинг периметра, проактивное управление уязвимостями, WAF для защиты приложений, регулярные аудиты и багбаунти-программы.
Без второго фактора
Даже при использовании корпоративного VPN в 65% компаний сотрудники могут подключаться без второго фактора. Парольная защита уязвима к атакам с помощью перебора.
Что с этим делать
Двухфакторная аутентификация для доступа к VPN должна быть обязательной. Можно использовать программные аутентификаторы, аппаратные токены или биометрию. Пароль при этом должен быть сложным — минимум 12 символов, разные регистры, цифры и специальные символы — и регулярно меняться (например, каждые 90 дней).
Кроме того, компании с высоким уровнем киберзрелости используют современные порталы Threat Intelligence, чтобы получать и анализировать данные с теневых ресурсов. Таким образом организации проверяют, не подверглись ли утечке корпоративные данные (включая учетные записи). Если же утечка произошла, такая информация позволяет компании быстро отреагировать на нее – к примеру, сбросить пароли скомпрометированных учетных записей и не дать злоумышленникам воспользоваться этими данными для целевой атаки.
Также нужно ограничить сетевые подключения к VPN (например, из нетипичных регионов) и использовать клиентские сертификаты. Плюс постоянный мониторинг для выявления попыток перебора или несанкционированного доступа.
Ненадежные подрядчики
30% атак с шифрованием в 2025 году связаны с подрядчиками — вдвое больше, чем годом ранее. Риск повышает отсутствие проверки подрядчиков на скрытую компрометацию, неконтролируемый доступ к инфраструктуре и использование небезопасных облачных сервисов.
Что с этим делать
Начать нужно с полного аудита внешних связей и доступов: создать реестр подрядчиков, поставщиков и SaaS с указанием уровня доступа, условий контрактов и сроков их действия. Затем оценить риски каждого партнера, учитывая историю инцидентов, соответствие стандартам кибербезопасности и другие параметры.
Следующий шаг — внедрение строгого контроля доступа по принципу наименьших привилегий (least privilege). Избыточные привилегии подрядчиков часто становятся точкой входа в атаках с шифрованием. Действия подрядчиков нужно постоянно контролировать: отправлять логи их действий в SIEM-систему, настроить оповещения о подозрительной активности, мониторить трафик из сетей где они проводят работы и отслеживать информацию о возможной компрометации.
Что делать, если подрядчику требуется предоставить доступ к каким-либо хостам внутри инфраструктуры? Во-первых, этот доступ должен предоставляться не напрямую (например, через SSH/RDP), а через VPN c двухфакторной аутентификацией. Желательно также контролировать, чтобы хост-источник подрядчика, откуда строится доступ, соответствовал хотя бы минимальным требованиям кибербезопасности (наличие антивируса с актуальными базами, регулярные обновления и т.п.).
Во-вторых, для контроля предоставляемого доступа необходимо использовать решения класса PAM (privileged access management). Это позволит записывать все действия и реализовывать доступ по модели just-in-time. Такая модель означает, что доступ к системам предоставляется учетной записи подрядчика только для выполнения конкретной задачи, в нужный момент и на строго ограниченный промежуток времени, после чего автоматически аннулируется.
Все требования должны быть закреплены юридически, также как и ответственность подрядчиков в случае, если причиной киберинцидента стала компрометация их инфраструктуры и сотрудников. И, конечно, необходим регулярный аудит: доступов, политик безопасности и новых угроз.
Заключение
Кибератаки с шифрованием остаются одной из самых серьезных угроз для бизнеса. Анализ инцидентов показывает, что первоначальный доступ злоумышленники чаще всего получают через ограниченный набор брешей в защите, возникающих из-за ошибок, допущенных самими компаниями. Это в первую очередь неконтролируемый периметр, отсутствие фильтрации почты, избыточные привилегии подрядчиков. Предотвращение атаки на этой стадии — наиболее эффективная стратегия. Если не допустить проникновения в инфраструктуру, можно избежать катастрофических последствий в виде шифрования данных, длительных простоев и масштабных финансовых потерь.
Таким образом, первый шаг к безопасности — системное устранение этих лазеек. Приоритетами должны стать регулярная инвентаризация внешних активов, обязательное использование 2FA для критических доступов, строгий контроль действий подрядчиков и постоянное обучение сотрудников. Именно комплексная работа по защите периметра и точек входа не позволит локальной угрозе перерасти в полномасштабный кризис.
Однако одного лишь устранения векторов первоначального доступа недостаточно, чтобы свести риски к минимуму. Всегда существует хоть и минимальный, но шанс, что злоумышленник все же найдет способ проникнуть в инфраструктуру. Именно поэтому она должна быть построена по принципу многослойной эшелонированной защиты, создающей целую систему препятствий на пути атакующего к главным активам. В таком случае даже если злоумышленник проникнет в сеть, ему будет крайне сложно достичь цели незамеченным, и атаку можно будет остановить до того, как компании будет нанесен ущерб.
Теги:
похожие материалы
Тренды контейнерной разработки и вызовы информационной безопасности, которые они создают
Технологии всё сильнее меняют процессы разработки, компании оптимизируют процессы, внедряют ИИ-агентов, и всё больше задач переходит в автоматизированный режим.
Безопасность без иллюзий: как банкам выстроить реальную, а не «бумажную» ИБ
Финансовый сектор остается одной из главных целей кибератак, но парадокс в том, что даже при росте инвестиций в безопасность риски не снижаются пропорционально.
Теневые ИТ 2026: от облачных сервисов до серых зон в мессенджерах
Теневые ИТ давно перестали быть нарушением — сегодня это индикатор того, что официальный ИТ-контур не успевает за бизнесом.
Прослушка без сигнала и лишний кабель в стене — как работает новая норма угроз
Сегодня переговорные комнаты, инженерные центры и даже автомобили топ-менеджеров становятся объектами повышенного интереса со стороны коммерческой разведки.
Эффект выжженной земли: как распознать атаку вайпера и спасти инфраструктуру
В мире киберугроз мы привыкли к «бизнесу» на данных: хакеры шифруют файлы и требуют выкуп, оставляя призрачный шанс на восстановление.
Почему взламывают даже обновленные ИТ-инфраструктуры: что ИБ упускает в конфигурациях
В практике ИБ часто встречается эта ситуация: инфраструктура обновлена, критичные вендорские уязвимости закрыты, средства защиты развёрнуты, а атака всё равно развивается.
Дипфейки в кибератаках 2026: как мошенники используют ИИ и как защититься
Простые в использовании инструменты генерации аудио и видео на базе искусственного интеллекта окончательно вышли из закрытых лабораторий и стали массовым оружием злоумышленников.
Обезличивание персональных данных: где проходит граница между законом и аналитикой
Эпоха «просто удали ФИО» закончилась.
Как внедрить процесс обезличивания в пайплайн CI/CD: разбираемся на практике
Чтобы реальные данные всё-таки не попали в руки сторонних подрядчиков и вообще за контур организации, обезличивание нужно сделать обязательным и повторяемым процессом.
