92% организаций сталкивались с инцидентами, где злоумышленники перемещались внутри инфраструктуры между системами

По данным исследования компании «Информзащита», 92% организаций, столкнувшихся с серьезными инцидентами информационной безопасности за первые четыре месяца 2026 года, фиксировали попытки или подтвержденные эпизоды перехода нарушителя с одного узла на другой внутри своей инфраструктуры. В аналогичном периоде прошлого года этот показатель составлял 84%. Одновременно сократилась и пауза между первоначальным проникновением и началом дальнейшего продвижения: если в 2025 году среднее время до первой попытки перехода на соседнюю систему составляло 1 час 18 минут, то в 2026 году оно снизилось до 52 минут. Средняя продолжительность простоя критичных бизнес-сервисов после таких инцидентов выросла с 5,9 до 7,3 часа, а доля случаев, в которых злоумышленники успевали добраться до критически важных систем, поднялась с 41% до 57%.

За последний год корпоративные среды стали еще плотнее связаны между собой. Удаленный доступ, облачные площадки, смешанные вычислительные среды, связи между внутренними и внешними сервисами, служебные учетные записи, интеграционные программные интерфейсы и подключения подрядчиков заметно расширили число внутренних маршрутов, которыми можно воспользоваться после первого успешного входа. На практике нарушителю уже недостаточно просто оказаться внутри сети. Намного важнее быстро понять, где сосредоточены повышенные права, какие участки инфраструктуры слабо отделены друг от друга, где применяются одинаковые пароли, какие узлы доверяют друг другу по умолчанию и какие учетные записи не пересматривались годами. Чем теснее связана среда и чем меньше в ней реальных ограничителей, тем быстрее локальный инцидент превращается в цепочку последовательных компрометаций.

Отдельную роль сыграло изменение самого поведения атакующих. По наблюдениям экспертов, злоумышленники стали действовать тише в первые минуты после входа. Вместо этого они почти сразу переходят к изучению внутренних связей, проверке прав доступа, поиску учетных записей с расширенными полномочиями и обходу межсетевых ограничений. В 63% расследованных инцидентов продвижение внутри инфраструктуры начиналось через штатные средства администрирования или стандартные механизмы операционной системы — удаленное исполнение команд, встроенные оболочки, механизмы управления рабочими станциями и серверами, стандартные протоколы удаленного доступа, что заметно осложняло раннее выявление. Еще в 48% случаев нарушители использовали уже существующие доверенные каналы обмена между системами и повторно применяли уже имеющиеся в инфраструктуре учетные данные и билеты аутентификации, обходясь без разворачивания отдельного вредоносного кода на каждом следующем шаге. Внешне активность долго выглядит допустимой, а внутренняя передача данных не вызывает тревоги до тех пор, пока атака не доходит до контроллеров домена, серверов виртуализации, систем резервного копирования или почтовой системы.

Отдельного внимания заслуживают системы резервного копирования. За последние два года они превратились в одну из приоритетных целей: компрометация контура резервных копий лишает компанию возможности быстрого восстановления и многократно увеличивает переговорную позицию операторов программ-вымогателей.

Глубинная причина в том, что многие компании по-прежнему выстраивают защиту внешнего периметра заметно строже, чем защиту внутренних связей. Исследование показало, что в 58% организаций, где были подтверждены переходы злоумышленников между системами, сеть оставалась частично плоской либо разделенной только на бумаге. В 54% случаев у пользователей и служебных учетных записей сохранялись избыточные полномочия, накопленные в ходе переноса систем, внедрения новых решений или смены ролей сотрудников. В 46% инцидентов существенную роль сыграли устаревшие правила удаленного сетевого доступа и чрезмерно широкий доступ для сотрудников и подрядчиков. Еще один важный фактор связан с нехваткой времени у внутренних команд. В 61% обследованных организаций проверка прав доступа и правил обмена между сегментами проводилась нерегулярно, а в 44% случаев события события низкой и средней критичности, связанные с необычными входами в систему и непривычными внутренними соединениями, разбирались с задержкой более суток. В такой среде злоумышленник получает именно то, что ему нужно для развития атаки: время, незаметность и предсказуемые маршруты.

Наиболее уязвимыми оказались отрасли, где сочетаются сложное устройство информационной среды, высокая цена простоя и большое число взаимосвязанных систем. На финансовый сектор пришлось 22% инцидентов с подтвержденным перемещением злоумышленников между внутренними узлами, на промышленность — 19%, на розничную торговлю — 16%, на сферу связи и вычислительных услуг — 14%, на транспорт и перевозки — 11%, на здравоохранение — 9%, на государственные и окологосударственные организации — 9%.

«Наиболее опасен не сам факт первоначального проникновения, а то, насколько быстро инфраструктура начинает помогать нарушителю двигаться дальше. Главная сложность заключается в том, что заказчик часто готовится отражать отдельную атаку, а на деле сталкивается с целой цепочкой внутренних переходов. Пока компания считает, что защищает только точки входа, нарушитель работает с полной картой доверия, которую ему оставили внутри инфраструктуры», — объяснил Анатолий Песковский, руководитель отдела анализа защищенности Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты».

Для минимизации рисков эксперты рекомендуют рассматривать инцидент как последовательность перемещений внутри инфраструктуры, а не как единичный взлом. Практика показывает, что наибольший эффект дают не разрозненные закупки, а наведение порядка в базовых механизмах внутренней защиты. Сегментация сети должна проверяться не по схеме согласования, а по реальной достижимости систем между сегментами. Расширенные полномочия необходимо пересматривать регулярно, а не после происшествия — по принципу наименьших привилегий и с разделением учетных записей для повседневной работы и административных действий. Удаленный доступ должен ограничиваться задачей сотрудника, а не удобством первоначальной настройки. Служебные учетные записи, доверенные связи между приложениями и внутренние правила обмена данными должны попадать в отдельный контур контроля с регулярной ротацией секретов и ревизией фактически используемых прав. Не менее важно сократить время реакции на внутренние аномалии: события низкой и средней критичности, , связанные с входами в необычное время, изменением групп доступа, резким ростом числа соединений между сегментами и использованием служебных средств управления, нельзя оставлять без оперативной проверки.