Исследование УЦСБ: в 79% компаний внутренняя инфраструктура уязвима для полного захвата злоумышленниками

Согласно данным Центра кибербезопасности ИТ-компании УЦСБ, в 79% проверок внутренней инфраструктуры специалистам удалось реализовать сценарии, которые в реальной атаке привели бы к полному захвату контроля над корпоративной ИТ-средой. Такие результаты были получены в ходе анализа проектов по тестированию на проникновение, проведенных пентестерами УЦСБ в 2025 году в компаниях ключевых отраслей экономики: ИТ, промышленность, финансы, ТЭК, транспорт и госсектор.

Аналитика указывает на распространенную модель, когда защита сфокусирована на периметре, в то время как внутренняя среда зачастую оказывается более уязвимой для продвинутых атак. Даже при защищенном внешнем периметре, как только атакующий преодолевает его (часто через методы социальной инженерии), в 4 из 5 случаев он может закрепиться в инфраструктуре, беспрепятственно эскалировать привилегии и получить доступ к критическим данным и системам.

Статистика выявленных уязвимостей продемонстрировала существенную разницу защищенности внешнего периметра и внутренней сети. Так, 62% найденных во внутренней инфраструктуре уязвимостей имеют высокий уровень риска – воспользовавшись ими, злоумышленник мог бы повысить себе уровень доступа и реализовать недопустимые события. При этом на внешнем периметре преобладали уязвимости среднего уровня риска (в 52% проверок), а уязвимости высокого уровня выявлялись вдвое реже – в 23% проектов. При этом в 15% пентестов недостатки внешнего периметра позволяли напрямую проникнуть во внутреннюю сеть. В оставшихся 85% тестирований на проникновение исследователи находили потенциальные уязвимости, которые при эксплуатации опытными взломщиками могут привести к утечкам данных и компрометации учетных записей.

Анализ также выявил, что в 94% пентестов с применением фишинга, вишинга (голосового фишинга) или подброса флеш-накопителей, действия хотя бы одного сотрудника позволяли условному злоумышленнику получить точку входа во внутреннюю сеть. В среднем в рамках фишинговой кампании 13% пользователей открывают вредоносные вложения, а 5% переходят по вредоносным ссылкам из писем. Эффективность вишинга в практике УЦСБ составила около 10%. При использовании физических носителей — таких как QR-коды на распечатанных пентестерами плакатах или зараженные флеш-накопители — более чем в половине кампаний хотя бы один из этих методов срабатывал, приводя к компрометации учетной записи или подключению накопителя к рабочей станции.

«Высокий процент успешности атак с использованием социнженерии показывает, что классическая модель «укрепили периметр — и все защищены» не работает. Злоумышленник найдет способ преодолеть внешний периметр, используя человеческий фактор, а затем уязвимости внутренней сети позволят быстро получить контроль над критичными узлами или даже всей инфраструктурой. Поэтому в 2026 году наша команда рекомендует применять комплексный подход, включающий непрерывный харденинг систем и меры повышения осведомленности сотрудников», — отмечает Дмитрий Зубарев, заместитель директора аналитического центра УЦСБ — подразделения Центра кибербезопасности, проводящего тестирования на проникновение.

Согласно итогам исследования, в области конкретных угроз на смену таким исторически распространенным уязвимостям, как Zerologon или BlueKeep, пришли атаки перенаправления аутентификации, в том числе использующие уязвимость CVE-2025-33073 в Windows, техники эксплуатации небезопасных конфигураций служб сертификации ADCS и уязвимости периферийных устройств, например, сетевых принтеров.

В 2026 году эксперт УЦСБ прогнозирует повышение внимания хакеров к российскому ПО, появление новых техник атак на Active Directory и рост применения искусственного интеллекта как атакующими, так и защитниками.