РБК Компании
РБК Компании
Подписка на РБК
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
РБК Компании
Телеканал
РБК Вино
Спорт
РБК Образование
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Рынок наличной валюты
Экономика образования
Здоровье
Crosstech Solutions Group 25 августа 2025

Хакер в инфраструктуре компании: как обнаружить и нейтрализовать угрозу

В современном мире злоумышленники чаще не ломают двери, а проходят через них, пользуясь уже готовым ключом. Как выявить их внутри компании

Альберт Газизов
директор по продуктам DataGrain RUMA и DataGrain ESO

В Crosstech Solutions Group развиваю линейку продуктов DataGrain: RUMA (Remote User Monitoring Analytics) и ESO (Events Stream Optimization)

Длительное присутствие злоумышленника в инфраструктуре компании — это стратегическая операция, которая может быть рассчитана на месяцы и даже на годы. Главной ее особенностью является то, что хакер действует максимально скрытно, применяя методы, маскирующиеся под легитимную активность. Для реализации данной стратегии злоумышленник в своих интересах использует процессы организации, связанные с авторизацией, аутентификацией и управлением доступом.

Сегодня все больше атак строится не на «взломе двери», а на «входе через нее» с действительными учетными данными. Такой подход дает злоумышленнику возможность оставаться незамеченным в течении длительного периода, перемещаться по инфраструктуре между локальными системами, получать доступ к конечным точкам и сервисам без срабатывания базовых механизмов защиты. Риски возрастают при использовании гибридной среды и облачных провайдеров. Так, в случае компрометации учетных записей злоумышленник может не только перемещаться по сети, но и модифицировать синхронизированные объекты, получая контроль над критическими ресурсами.

Путь злоумышленника часто начинается с простых, но эффективных техник, таких как подбор паролей, фишинг, перехват хешей или токенов сессии. Получив хотя бы одну пару логин-пароль или cookie, хакер может войти в систему, обойти многофакторную аутентификацию. Используя привилегированные учетные записи, атакующий способен незаметно для ИТ и ИБ-служб изучать архитектуру сети, собирать данные об учетных записях и конфигурациях, подготавливать цепочки перемещения для доступа к нужным сегментам. На этом этапе не обязательно использовать вредоносное программное обеспечение, злоумышленники часто применяют встроенные в операционные системы инструменты администрирования и легитимные удаленные агенты.

Такая длительная стратегическая операция почти всегда включает боковое перемещение. Атакующий способен переходить от одного сервера к другому, постепенно расширяя привилегии и доступ. Для того, чтобы обойти сегментацию сети он может применять старые или неиспользуемые учетные записи, сервисные учетные записи с избыточными правами или уязвимости в конфигурациях. При этом скорость действий злоумышленника тщательно «дозирована», чтобы избежать появления подозрительной активности в логах. Поэтому для продвижения к новой цели хакерам может понадобиться несколько дней.

Выявить такого злоумышленника можно только через постоянный сбор и агрегацию данных о поведении пользователей и систем. Непрерывное формирование поведенческих профилей позволяет зафиксировать даже малейшее отклонение: начиная от входа из новых мест, использования ранее неактивных сервисных учетных записей, попыток доступа к системам, повышения привилегий, до событий, не связанных с рабочими обязанностями пользователей.

Технически данный функционал реализуется с помощью интеграции в одну архитектуру систем защиты конечных устройств, систем управления доступом и средств обнаружения угроз идентификации с последующим реагированием на них. Такой подход обеспечивает полный обзор пути атаки от точки входа до текущего положения злоумышленника в инфраструктуре.

Автоматическая проверка аномалий при входе в систему и их сопоставление с активностью на конечных точках позволяют оперативно локализовать инцидент. Так, если зафиксирован вход в корпоративную почту из другой страны, а на рабочей станции пользователя параллельно запускается процесс, нетипичный для его профиля, система определит событие как инцидент. Далее она либо запросит повторную MFA, либо полностью закроет доступ к ресурсу.

Ключом к выявлению злоумышленника, который находится внутри организации длительное время, является не разовая проверка, а непрерывный мониторинг и адаптивная защита. Чем больше источников телеметрии объединено в одну аналитическую модель, тем меньше шансов, что хакер сумеет оставаться невидимым внутри сети и будет использовать системы организации в своих интересах.

Полноценная стратегия защиты компании должна строиться с учетом понимания того, что в современном мире злоумышленники не ломают двери, а проходят через них, пользуясь уже готовым ключом. Только выстроенная система поведенческого анализа способна этот ключ отобрать.

Присоединяйтесь к компаниям, которые уже делятся новостями бизнеса на РБК КомпанииУзнать больше