Эксперты компании "Информзащита" зафиксировали увеличение числа инцидентов, в которых начальным вектором атаки становятся украденные или скомпрометированные учетные данные VPN. По оценкам специалистов, в первом квартале 2026 года такие случаи составили 45% всех атак на корпоративную инфраструктуру. Годом ранее этот показатель составлял 33%, а во втором полугодии 2025 года — 39%. Об этом сообщили представители "Информзащиты" в интервью CNews. Эта тенденция соответствует мировой картине: согласно глобальным исследованиям, устройства VPN и оборудование на сетевом периметре стали одним из наиболее активно эксплуатируемых классов инфраструктуры. Эксперты отмечают, что компрометация учетных данных фигурирует примерно в каждом шестом расследовании крупных инцидентов по всему миру.
VPN часто работает по модели разового доверия: пользователь проходит проверку, получает доступ к сети и затем работает почти без ограничений. Для злоумышленника это означает простую логику действий: достаточно приобрести учетную запись в теневом сегменте интернета, извлечь пароль с зараженного устройства сотрудника или перехватить сессионные данные, чтобы проникнуть внутрь корпоративного периметра под видом легитимного пользователя. Специалисты отмечают, что в 58% таких инцидентов вход осуществлялся с корректной парой логин-пароль, а признаки атаки проявлялись уже после подключения: нетипичная география, нестандартное время активности, попытки доступа к файловым хранилищам, контроллерам домена и административным панелям.
Качество контроля удаленного доступа играет важную роль. В 52% случаев, связанных с компрометацией VPN, многофакторная аутентификация либо отсутствовала, либо была включена не для всех групп пользователей. В 19% инцидентов второй фактор присутствовал, но его удалось обойти с помощью украденных cookies или доступа к почтовому ящику сотрудника. Вредоносное ПО класса infostealer извлекает из браузера токены уже завершенной аутентификации, позволяя злоумышленнику войти в систему без запроса второго фактора. Единственным классом МФА, устойчивым к этому вектору, остается FIDO2 с аппаратными ключами, которые криптографически привязывают аутентификацию к конкретному домену и не поддаются перехвату.
Компании часто считают, что наличие VPN само по себе снижает риск, хотя на самом деле опасность определяется не названием технологии, а тем, насколько жестко ограничены права после входа. В средних компаниях один VPN-профиль часто открывает доступ сразу к нескольким подсетям, внутренним порталам, файловым ресурсам и системам администрирования. При такой архитектуре компрометация одной учетной записи быстро превращается в инцидент с широким охватом. На ситуацию влияет несколько факторов. Многие VPN-решения внедрялись несколько лет назад для массовой удаленной работы и с тех пор почти не пересматривались. Рынок украденных учетных данных стал более организованным, а вредоносные программы для кражи паролей научились собирать не только логины и пароли, но и токены сессий, данные браузеров, конфигурации клиентов удаленного доступа.
По оценкам аналитических компаний, только за первую половину 2025 года инфостилеры похитили около 1,8 млрд учетных записей с 5,8 млн зараженных устройств. Журналы украденных данных появляются на теневых площадках в течение нескольких часов после заражения, зачастую раньше, чем жертва успевает обнаружить инцидент. Среднее время от первичного VPN-входа до попытки горизонтального перемещения сократилось до 44 минут против 71 минуты годом ранее. В компаниях с плоской сетью этот показатель опускается до 18-25 минут. Проблема наиболее заметна в промышленности, финансовом секторе и розничной торговле. В промышленности на такие инциденты приходится 24% всех случаев, связанных с компрометацией VPN, поскольку удаленный доступ часто используется подрядчиками, инженерами и эксплуатационными службами. Финансовые организации дают 19% инцидентов, розничная торговля — 16%, логистика и транспорт — 14%, медицинские организации — 11%, ИТ- и телеком-компании — 9%, образовательные и государственные учреждения — 7%.
В малом и среднем бизнесе риск выше из-за меньшего числа администраторов и менее формализованных процедур. По оценке экспертов, 68% компаний этого сегмента не проводят ежеквартальную проверку VPN-доступа и не удаляют учетные записи сразу после смены роли или увольнения сотрудника. "VPN сам по себе не является проблемой, проблема возникает в момент, когда к нему относятся как к универсальному пропуску во внутреннюю сеть. Учетные данные настоящие, вход выглядит штатно, тревога появляется только тогда, когда пользователь начинает делать то, что никогда не делал раньше. Без контроля контекста, сегментации и ограничения прав такая атака развивается очень быстро", — отметил Анатолий Песковский, руководитель отдела анализа защищенности Центра мониторинга и противодействия кибератакам IZ:SOC "Информзащиты".
Для минимизации рисков компаниям необходимо пересмотреть подход к удаленному доступу. VPN-доступ должен предоставляться не ко всей сети, а к конкретным приложениям и ресурсам, которые нужны пользователю по роли. В некоторых организациях эту задачу уже решает переход на модель ZTNA (Zero Trust Network Access), которая технически реализует принцип минимальных привилегий на сетевом уровне и существенно сокращает радиус поражения при компрометации учетной записи. Многофакторная аутентификация должна быть обязательной для всех подключений, приоритет лучше отдавать устойчивым к фишингу методам, включая аппаратные ключи и FIDO2. Требуется регулярная инвентаризация учетных записей, отключение неактивных пользователей, отдельный контроль подрядчиков и временных доступов. Не менее важны сегментация сети, ограничение административных прав, мониторинг аномальных подключений, анализ географии и времени входа, проверка устройств перед допуском. VPN необходимо рассматривать не как финальную точку проверки, а как один из элементов системы доступа, где каждое подключение подтверждается контекстом, правами и поведением пользователя.
Написать комментарий