В 9 из 10 сделок по слиянию и поглощению не проводят поиск следов компрометации

В 9 из 10 сделок по слиянию и поглощению не проводят поиск следов компрометации

изображение: recraft

Выявление следов компрометации (Compromise Assessment) становится обязательной M&A-процедурой лишь в 10% случаев. Такой оценкой делятся эксперты «Кросстеха» на основе проектного опыта и запросов рынка по итогам I полугодия 2026 года.

Специалисты отмечают, что за аналогичный период 2025 года поиск следов компрометации проводился примерно в 5% сделок по слиянию и поглощению. Несмотря на то, что оценка состояния информационной безопасности сегодня становится одной из базовых M&A-процедур, на практике она чаще ограничивается ИБ-аудитом или анализом соответствия требованиям. При этом мероприятия по глубокому анализу защищенности остаются менее распространенными.

Compromise Assessment позволяет определить, присутствуют ли в инфраструктуре активные злоумышленники или следы их деятельности, собрать свидетельства текущих и предыдущих компрометаций, а также убедиться, что последствия ранее произошедших инцидентов полностью устранены. Помимо M&A-сделок, такая проверка востребована после кибератак, при значительных изменениях ИТ-инфраструктуры, при построении или смене центра мониторинга (SOC).

По данным экспертов, в 2025 году медианное время нахождения злоумышленника в инфраструктуре (dwell time) до обнаружения составляло 14 дней, примерно на 25% больше, чем годом ранее. Рост этого показателя связан с несколькими факторами. С одной стороны, злоумышленники совершенствуют методы маскировки, всё успешнее имитируя легитимную активность пользователей и сервисов. С другой, развитие средств защиты (SIEM, IDS/IPS, EDR, NDR) вынуждает атакующих действовать осторожнее, дольше закрепляться в инфраструктуре и откладывать активную фазу атаки. В отдельных случаях, указывают специалисты “Кросстеха”, время скрытого присутствия хакеров в инфраструктуре может достигать 600-700 дней.

“Злоумышленники преследуют разные цели, находясь в инфраструктуре организации. Часть занимается киберразведкой и собирает данные для последующих этапов атаки. Другие занимаются кибершпионажем, длительное время оставаясь незаметными и собирая чувствительную информацию, идентификационные данные и так далее. Чаще всего именно они находятся в инфраструктуре рекордно долгое время. Третьи уже находятся на этапе реализации атаки, например, по размещению ВПО или нарушению работоспособности инфраструктуры, однако совершают тактическую паузу для снижения вероятности обнаружения. Независимо от целей, присутствие злоумышленника в инфраструктуре недопустимо. Именно поэтому своевременное обнаружение и реагирование являются критически важными задачами”, — говорит Анастасия Мельникова, руководитель департамента оценки защищенности “Кросстеха”.

Кросс технолоджис
Автор: Кросс технолоджис
Мы — интегратор решений и поставщик сервисов для информационной безопасности. Защищаем цифровые активы бизнеса с 2011 года.
Комментарии: