VPN стал входной дверью в 45% атак на компании

VPN стал входной дверью в 45% атак на компании

VPN стал входной дверью в 45% атак на компании

Эксперты «Информзащиты» зафиксировали рост числа атак, в которых первым шагом становится вход через VPN с украденными или скомпрометированными учётными данными. По оценке компании, в первом квартале 2026 года на такие случаи пришлось 45% атак на корпоративную инфраструктуру.

Для сравнения: годом ранее доля составляла 33%, а во втором полугодии 2025 года — 39%.

То есть VPN всё чаще становится не защитным барьером, а удобной дверью внутрь сети, если учётная запись уже попала к злоумышленникам.

Сценарий обычно выглядит буднично. Атакующий покупает логин и пароль на теневой площадке, получает их через инфостилер с личного устройства сотрудника или перехватывает сессионные данные. После этого он входит в корпоративный VPN как обычный пользователь. Формально всё выглядит штатно: логин настоящий, пароль правильный, соединение разрешено.

По данным специалистов, в 58% таких инцидентов вход выполнялся именно с корректной парой логин-пароль. Признаки атаки появлялись уже после подключения: необычная география входа, странное время активности, попытки попасть в файловые хранилища, административные панели или к контроллерам домена.

Отдельная проблема — многофакторная аутентификация. В 52% случаев, связанных с VPN-компрометацией, её либо не было, либо она работала не для всех пользователей. Ещё в 19% инцидентов второй фактор был включён, но злоумышленники обходили его за счёт похищенных cookies, доступа к почте или уже активных сессий.

Здесь важно понимать, что инфостилеры часто крадут токены уже пройденной аутентификации из браузера. В итоге атакующий может попасть в систему без повторного запроса второго фактора. Более устойчивым вариантом остаются аппаратные ключи и FIDO2, где аутентификация криптографически привязана к конкретному домену.

Проблему усиливает старая архитектура удалённого доступа. Во многих компаниях VPN внедряли несколько лет назад под массовую удалёнку и с тех пор почти не пересматривали. Один профиль может открывать доступ сразу к нескольким подсетям, внутренним порталам, файловым ресурсам и системам администрирования. Если такую учётную запись украли, атака быстро разрастается.

По данным «Информзащиты», среднее время от первого VPN-входа до попытки горизонтального перемещения сократилось до 44 минут против 71 минуты годом ранее. В компаниях с плоской сетью злоумышленникам иногда хватает 18-25 минут, чтобы начать двигаться дальше по инфраструктуре.

Чаще всего такие инциденты фиксируются в промышленности, финансовом секторе и ретейле. На промышленность приходится 24% случаев VPN-компрометации, на финансовые организации — 19%, на ретейл — 16%, на логистику и транспорт — 14%, на медицину — 11%, на ИТ- и телеком-компании — 9%, на образование и госсектор — 7%.

В малом и среднем бизнесе риск выше из-за нехватки администраторов и менее строгих процедур. По оценке экспертов, 68% компаний этого сегмента не проводят ежеквартальную проверку VPN-доступа и не удаляют учётные записи сразу после смены роли или увольнения сотрудника.

В «Информзащите» подчёркивают, что проблема не в самом VPN, а в отношении к нему как к универсальному пропуску во внутреннюю сеть. Если после входа пользователь получает слишком широкие права, компрометация одной учётной записи может быстро превратиться в крупный инцидент.

Снизить риски помогает принцип минимальных привилегий: доступ не ко всей сети, а только к нужным приложениям и ресурсам. Также компаниям рекомендуют включать МФА для всех подключений, по возможности использовать FIDO2, регулярно пересматривать учётные записи, отдельно контролировать подрядчиков, сегментировать сеть и отслеживать аномальные подключения по географии, времени и поведению пользователя.

Мосбиржа подключает ИИ к охоте за рыночными манипуляциями

Московская биржа внедряет инструменты на базе искусственного интеллекта, чтобы быстрее выявлять манипулирование рынком и инсайдерскую торговлю. Об этом сообщили в пресс-службе площадки. ИИ планируют глубоко встроить в комплаенс-процессы, во внутренний контроль за соблюдением правил и норм.

Система будет автоматически анализировать сотни тысяч сделок, связанные метрики взаимной торговли и признаки возможной координации между участниками рынка.

Проще говоря, если кто-то решил поиграть в случайные совпадения на бирже, алгоритмы должны заметить это быстрее человека.

Технология также будет формировать базу поведенческих метрик. Затем результаты анализа передадут специалистам, которые уже будут разбирать конкретные случаи и принимать решения по итогам расследований.

В Мосбирже отмечают, что это часть более широкой работы по применению технологий для развития рыночной инфраструктуры и усиления внутреннего контроля.

Старший управляющий директор по комплаенсу и этике бизнеса Московской биржи Ирина Грекова пояснила, что ИИ помогает быстрее обрабатывать большие массивы данных.

По её словам, в перспективе одного-двух лет ИИ-ассистенты и автоматизация процессов позволят освободить экспертов от части рутины, направить их ресурсы на сложные случаи, увеличить число расследований и сократить сроки принятия мер.

Так что биржевым хитрецам, похоже, станет сложнее прятаться в потоке сделок. Там, где раньше человеку приходилось долго копаться в массивах данных, теперь будет работать ИИ — холодный, быстрый и не устающий от подозрительных паттернов.

RSS: Новости на портале Anti-Malware.ru