В рамках расследования инцидентов и реагирования на них мы все чаще фиксируем атаки, которые начинаются с компрометации хостов на периметре без средств защиты — в частности, без EDR‑агентов. Обычно это серверы, доступные из интернета: веб‑серверы, почтовые системы, VPN‑узлы, системы удаленного доступа, а также инфраструктура, обслуживаемая подрядчиками.

Злоумышленники действуют все более стремительно, активно автоматизируя атаки. Если на периметровых системах отсутствует EDR-решение, обнаружить атакующего своевременно становится сложнее. После компрометации периметрового узла злоумышленник использует его как точку закрепления в инфраструктуре. Затем он запускает инструменты удаленного управления, организует туннелирование трафика и продвигается по сети.

В 2025 году злоумышленники присутствовали в инфраструктуре до нанесения ущерба в среднем 42 дня. Кажется, этого времени более чем достаточно, чтобы обнаружить атаку и принять меры. Однако на практике так получается далеко не всегда.

«Одна из ключевых причин — неполное покрытие инфраструктуры средствами мониторинга. Если злоумышленник попадает на хост, где отсутствуют системы защиты и мониторинга, он может оставаться незамеченным практически неограниченное время. Он собирает данные, закрепляется в инфраструктуре и готовится к дальнейшему развитию атаки вплоть до компрометации критических систем и шифрования.

Поэтому полное покрытие инфраструктуры — не просто рекомендация, а необходимое условие, чтобы своевременно выявить и сдержать атаку.», – Владимир Гришанов, Руководитель BI.ZONE Compromise Assessment

Дополнительно в ряде инфраструктур мы фиксируем рискованную архитектуру доступа. Периметровые хосты, которые должны находиться в отдельном сегменте (DMZ), на практике имеют прямой сетевой доступ к критическим системам (контроллеры домена, система бэкапирования и др.). При этом на самих серверах часто используются учетные записи с правами доменных администраторов. В случае компрометации это позволяет злоумышленнику моментально атаковать доменную инфраструктуру и значительно ускоряет развитие инцидента.

Подход, при котором средства защиты устанавливаются точечно, а мониторятся только ключевые системы, не обеспечивает своевременного реагирования. Критически важным становится покрытие, близкое к 100%-му, включая все периметровые системы.

Наши рекомендации:

• Проверьте фактическое покрытие инфраструктуры EDR‑агентами. Убедитесь, что они установлены на всех периметровых системах, доступных из интернета (веб‑серверы, почтовые системы, VPN‑узлы, системы удаленного доступа и др.).
• Убедитесь, что сеть сегментирована: из периметровых систем нельзя попасть на контроллеры домена и другие критические узлы инфраструктуры.
• Исключите использование привилегированных доменных учетных записей на периметровых серверах.
• При необходимости реализуйте дополнительные ограничения доступа между DMZ и внутренней сетью.

Практика реагирования на инциденты показывает, что именно сочетание двух факторов — отсутствия мониторинга на периметре и избыточных прав доступа из DMZ во внутреннюю сеть — значительно упрощает злоумышленникам компрометацию всей инфраструктуры и ускоряет ее.