Фишинг и социальная инженерия остаются самой распространенной точкой входа
Эксперты «Кросстеха» составили перечень наиболее распространенных векторов первичного проникновения в информационную инфраструктуру компаний в I полугодии 2026 года на основе собственного проектного опыта и известных рыночных данных за обозначенный период. Фишинг и социальная инженерия остаются наиболее эффективной тактикой — получить доступ с их помощью удалось в 80% проектов.
При этом, указывают эксперты, доля проектов, в которых эксплуатация этой тактики привела к проникновению в инфраструктуру, уменьшилась на 10% по сравнению с 2025 годом. На это оказали влияние работы по повышению осведомленности сотрудников в вопросах информационной безопасности, внедрение средств для автоматизированного противодействия фишингу, а также развитие систем управления доступом. В «Кросстехе» указывают — говорить о позитивной тенденции пока рано, однако снижение доли говорит о движении российских компаний в правильном направлении.
Примерно в 50% проектов специалистам «Кросстеха» по оценке защищенности удалось получить доступ через n-day уязвимости, для которых уже выпущены, однако не внедрены обновления. Такие уязвимости, как правило, возникают из-за конфликта между бизнес-процессами и информационной безопасностью, например, из-за использования критически важного, но устаревшего оборудования, для которого производитель перестал выпускать обновления безопасности. Доля проектов, в которых специалисты компании выявили подобные уязвимости, практически не изменилась по сравнению с 2025 годом.
К перечню наиболее критических уязвимостей специалисты «Кросстех» также относят недостатки разграничения доступа и ошибки механизмов аутентификации. Такие уязвимости вшиты в бизнес-логику приложений и их сложно обнаружить автоматическими сканерами. Среди наиболее актуальных векторов выделяются следующие: различия во времени отклика и содержимом ответов сервера (позволяющие злоумышленникам определять существующие имена пользователей); BOLA (IDOR): когда подмена ID в запросе открывает доступ к чужим коммерческим или персональным данным; отсутствие разграничения доступа к функциям, позволяющее обычным пользователям выполнять администраторские действия; возможность компрометации вторых факторов авторизации (в частности, подбор одноразовых SMS-кодов); слабая парольная политика — например, ситуации, когда формальные требования к сложности и длине паролей существуют, но не проверяется использование популярных паролей (Qwerty123!, Vesna2025#). В первой половине 2026 года такие уязвимости встречались примерно в 65% инцидентов, что несколько превосходит показатели 2025 года.
«Наличие уязвимостей и возможности получить первичный доступ не всегда означает, что компания находится в опасности. Большая часть выявленных уязвимостей имеют низкий или средний уровень критичности. При этом компаниям важно знать о них и предпринимать меры по устранению. Совокупность нескольких уязвимостей низкой критичности или даже один небольшой недостаток в руках высококвалифицированного хакера может привести к значимому инциденту», — говорит Василий Коровицын, ведущий эксперт департамента оценки защищенности «Кросстеха».
Специалисты компании рекомендуют бизнесу проводить регулярный анализ защищенности, который позволит выявить не только возможные векторы первичного проникновения в инфраструктур компаний, но и смоделировать потенциальные kill chain от разведки до реализации вредоносных действий — разрушения инфраструктуры, кражи данных и нанесения финансового и репутационного урона.



