VPN стал входной дверью в 45% атак на компании

Эксперты «Информзащиты» зафиксировали рост числа атак, в которых первым шагом становится вход через VPN с украденными или скомпрометированными учётными данными. По оценке компании, в первом квартале 2026 года на такие случаи пришлось 45% атак на корпоративную инфраструктуру.

Для сравнения: годом ранее доля составляла 33%, а во втором полугодии 2025 года — 39%.

То есть VPN всё чаще становится не защитным барьером, а удобной дверью внутрь сети, если учётная запись уже попала к злоумышленникам.

Сценарий обычно выглядит буднично. Атакующий покупает логин и пароль на теневой площадке, получает их через инфостилер с личного устройства сотрудника или перехватывает сессионные данные. После этого он входит в корпоративный VPN как обычный пользователь. Формально всё выглядит штатно: логин настоящий, пароль правильный, соединение разрешено.

По данным специалистов, в 58% таких инцидентов вход выполнялся именно с корректной парой логин-пароль. Признаки атаки появлялись уже после подключения: необычная география входа, странное время активности, попытки попасть в файловые хранилища, административные панели или к контроллерам домена.

Отдельная проблема — многофакторная аутентификация. В 52% случаев, связанных с VPN-компрометацией, её либо не было, либо она работала не для всех пользователей. Ещё в 19% инцидентов второй фактор был включён, но злоумышленники обходили его за счёт похищенных cookies, доступа к почте или уже активных сессий.

Здесь важно понимать, что инфостилеры часто крадут токены уже пройденной аутентификации из браузера. В итоге атакующий может попасть в систему без повторного запроса второго фактора. Более устойчивым вариантом остаются аппаратные ключи и FIDO2, где аутентификация криптографически привязана к конкретному домену.

Проблему усиливает старая архитектура удалённого доступа. Во многих компаниях VPN внедряли несколько лет назад под массовую удалёнку и с тех пор почти не пересматривали. Один профиль может открывать доступ сразу к нескольким подсетям, внутренним порталам, файловым ресурсам и системам администрирования. Если такую учётную запись украли, атака быстро разрастается.

По данным «Информзащиты», среднее время от первого VPN-входа до попытки горизонтального перемещения сократилось до 44 минут против 71 минуты годом ранее. В компаниях с плоской сетью злоумышленникам иногда хватает 18-25 минут, чтобы начать двигаться дальше по инфраструктуре.

Чаще всего такие инциденты фиксируются в промышленности, финансовом секторе и ретейле. На промышленность приходится 24% случаев VPN-компрометации, на финансовые организации — 19%, на ретейл — 16%, на логистику и транспорт — 14%, на медицину — 11%, на ИТ- и телеком-компании — 9%, на образование и госсектор — 7%.

В малом и среднем бизнесе риск выше из-за нехватки администраторов и менее строгих процедур. По оценке экспертов, 68% компаний этого сегмента не проводят ежеквартальную проверку VPN-доступа и не удаляют учётные записи сразу после смены роли или увольнения сотрудника.

В «Информзащите» подчёркивают, что проблема не в самом VPN, а в отношении к нему как к универсальному пропуску во внутреннюю сеть. Если после входа пользователь получает слишком широкие права, компрометация одной учётной записи может быстро превратиться в крупный инцидент.

Снизить риски помогает принцип минимальных привилегий: доступ не ко всей сети, а только к нужным приложениям и ресурсам. Также компаниям рекомендуют включать МФА для всех подключений, по возможности использовать FIDO2, регулярно пересматривать учётные записи, отдельно контролировать подрядчиков, сегментировать сеть и отслеживать аномальные подключения по географии, времени и поведению пользователя.