89% проникновений: тайные ходы, которые превращают периметр в проходной двор

Если раньше разговор о кибербезопасности сводился к «апдейту и фаерволу», то сегодня это история о цепочке мелких промахов, которые в сумме дают полный контроль над инфраструктурой. Именно такую картину рисуют результаты пентестов и анализов защищённости, проведённых командой PT SWARM (структура Positive Technologies) во второй половине 2024 – первых трёх кварталах 2025 года. По данным Отчёт Code Red 2026 от Positive Technologies – «Актуальные киберугрозы для российских организаций», большинство атак развивались по коротким, предсказуемым сценариям; понимание этих сценариев — база для разумных инвестиций в защиту.

Любая атака — это не «внезапное вторжение», а последовательность шагов: сбор информации, получение первоначального доступа, перемещение внутри сети, эскалация привилегий и эксфильтрация данных. Первый этап — OSINT (open source intelligence — разведданные из открытых источников) – остаётся ключевым: специалисты PT SWARM регулярно обнаруживали учётные записи, пароли и конфигурации в открытом доступе. OSINT — пассивный сбор данных через публичные веб-сервисы, WHOIS, DNS и соцсети — позволяет составить карту периметра и выбрать наиболее уязвимые точки. Не менее важна и активная разведка: сканирование портов, определение версий ПО и методов аутентификации. Если на этом этапе обнаруживаются учётные данные, сочетание слабой парольной политики и отсутствия MFA (multi-factor authentication — многофакторная аутентификация) превращает периметр в открытую дверь: проблемы с MFA зафиксированы в 8% проектов по анализу защищённости веб-приложений и в 52% тестов на проникновение.

Пароли продолжают быть самым слабым звеном. PT SWARM выявил проблемы с реализацией парольной политики у 97% протестированных компаний; у 70% риск по паролям оценён как критический. Типичные ошибки — короткие и предсказуемые пароли, повторное использование, шаблоны «название компании + год», пароли по умолчанию. Это даёт злоумышленникам преимущества для атакT1110 (Brute Force – «грубой силы»), включая вариации: T1110,003 Password Spraying (распыление паролей),T1110,004 Credential Stuffing (внедрение известных пар логин/пароль) иT1110,002 Password Cracking (восстановление паролей по хешам). Реальное требование — системная политика: пароли не короче 15 символов, запрет повторов последних пяти паролей, контроль на предсказуемые шаблоны и обязательное применение MFA для периметральных и критичных внутренних сервисов.

Рынок «первичных доступов» (initial access brokers) – отдельная ниша в криминальной экономике: продажа готовых точек входа делает атаки быстрее и дешевле. В тестах PT SWARM во внутреннюю сеть удалось проникнуть в 89% компаний; в 3% продвижение остановилось в DMZ (demilitarized zone — демилитаризованная зона). Более того, в 57% организаций доступ можно было получить через вектор низкой сложности. В 72% случаев векторы включали менее пяти шагов, а в 19% – вообще один шаг. Минимальное время до получения доступа — всего два дня. Вывод очевиден: инвестиции в раннее обнаружение и «закрытие» простых векторов окупаются быстрее, чем попытки защитить всё и сразу.

Веб-приложения остаются основной дверью во внутренние сети: в 60% векторов проникновения использовались уязвимости в веб-сервисах. Частые проблемы — недостаточная авторизация (CWE-863) – 32% от всех выявленных уязвимостей; некорректная проверка прав приводила к утечке конфиденциальных данных (46% случаев) и несанкционированному использованию функционала (42%). Критические ошибки — внедрение SQL (CWE-89) и удалённое выполнение кода (CWE-94) – хоть и составили относительно небольшой процент (9%), представляют собой первоочередную угрозу. Другие тревожные факты: отсутствие защиты от подбора учётных данных (CWE-307) в 33% приложений, хранение паролей в открытом виде (CWE-256) в 12%, и раскрытие конфигурационной информации (16%). Также 80% компаний имели проблемы с своевременными обновлениями ПО; у 30% риск эксплуатации известных уязвимостей оценивался как критический.

Социальная инженерия применялась в 60% успешных атак. Фишинг, поддельные звонки, сообщения в мессенджерах – классика. Но будущее уже стучится в дверь: в разведку всё чаще попадают аудио- и видеозаписи сотрудников, что делает возможным использование дипфейков для подмены голоса руководителей или сотрудников HR/безопасности. Сценарии становятся сложнее: комбинирование фишинга с Push Bombing (многократные запросы на подтверждение входа) и дипфейками повышает вероятность человеческой ошибки. Значит, технических мер недостаточно: обучение сотрудников должно быть постоянным, включать тренировки на реальных кейсах, «красные команды», багбаунти-программы и киберучения.

1. Закрыть малые векторы — быстрое ROI. Простые улучшения (обязательное MFA, усиление паролей, мониторинг публичных утечек) заметно снижают риск и стоят гораздо меньше, чем восстановление после инцидента.
2. Пентесты + автоматизация + багбаунти. Ручной пентест показывает вектор атаки, автоматизированные инструменты отслеживают ротацию уязвимостей, а багбаунти привлекает внешних исследователей.
3. Обновления и жизненный цикл оборудования. Контроль end of life оборудования и строгое управление патчами критичны: 80% компаний имели проблемы с апдейтами.
4. Человеческий фактор — стратегический вызов. Тренировки, инсценировки атак и киберучения снижают успешность социальной инженерии.
5. Готовность к дипфейкам. Верификация команд через несколько каналов и политика «не выполнять финансовые команды без личного подтверждения» – простые, но эффективные меры.

Кибербезопасность — это не единовременная инвестиция, а процесс. Российские компании имеют все основания для уверенности: высокий уровень профессиональной экспертизы и растущий рынок сервисов защиты создают условия для устойчивой цифровой инфраструктуры. Но выигрывают те, кто системно соединит технические меры, процессы и человеческую составляющую — от OSINT-мониторинга до регулярных киберучений. Тогда периметр перестанет быть «проходным двором», а превратится в управляемую и защищённую границу цифровой экономики.