SavePearlHarbor

Compromise Assessment: когда пора искать компрометацию и как не наломать дров

от автора

admin

Стопроцентной защиты не бывает: задавшийся целью и достаточно подкованный злоумышленник лазейку найдет. Вы можете годами жить с хакером в сети и не подозревать об этом, особенно если у компании не настроена эшелонированная защита на всех сегментах сети. Риск компрометации возрастает, если недавно ушли сотрудники с сохраненным привилегированным доступом к инфраструктуре или вы поглотили новую компанию (присоединили к своей сети или собираетесь это сделать).

Единственный способ узнать, не находится ли кто-то чужой в вашей сети прямо сейчас — Compromise Assessment (CA), или оценка компрометации. Для вашей инфраструктуры это то же, что для вас профилактический осмотр у стоматолога. Тот случай, когда не ждете острой боли, чтобы проверить, не завелся ли кариес. Однако CA не лечит и не ставит пломбы, но честно показывает, кто уже поселился в вашей сети и как давно. Если говорить прямо, CA собирает артефакты и ищет следы присутствия — те, что не видят, например, EDR и SIEM. А еще такая проверка покажет, побывали уже злоумышленники в вашей инфраструктуре раньше и успели ли замести следы. К тому же Compromise Assessment обычно проводится такими же методами, технологиями и людьми, которые  задействуются в полноценных расследованиях и реагировании на инциденты.

В этой статье мы разберем, в каких ситуациях Compromise Assessment необходим, чем он отличается от привычного пентеста, как правильно подготовиться к проверке и что делать с ее результатами, чтобы не допустить повторного взлома.

Пять красных флагов: когда нужен CA

Главный маркер для проведения CA — отсутствие или потеря контроля над состоянием инфраструктуры или ее частью. Иными словами, когда нет уверенности, что прямо сейчас внутри нет «посторонних». Рассмотрим пять типовых ситуаций, в которых проверка компрометации из «ну, может сделать» превращается в «по коням!»

  • Сменились подрядчики или сотрудники с привилегированным доступом. Ушли люди, которые знали инфраструктуру досконально. Если это был внешний подрядчик — у него могли остаться учетные записи, туннели доступа или свои инструменты администрирования, о которых вы не знаете. Если ушел внутренний админ, то тут та же история: новые специалисты видят работающие сервисы, но что внутри и у кого есть доступ — неизвестно. К тому же Compromise Assessment – это повод для компании провести ревизию, которая обычно требуется перед запуском процесса: подсветить активные учетные записи, точки удаленного доступа, скрытые процессы и следы возможной компрометации. На практике это аудит унаследованной инфраструктуры, который позволяет понять, с чем предстоит работать дальше.

  • Слияния и поглощения (M&A). Вы присоединяете к своей сети чужую инфраструктуру со всей ее историей. Если там уже обосновались злоумышленники, они с высокой долей вероятности получат доступ и к вашим системам. Обнаружить такое постфактум крайне сложно. Поэтому CA до интеграции — крайне желательный пункт.

  • «Слепые зоны» мониторинга. Если часть инфраструктуры не покрыта мониторингом, вы не видите, что там происходит. CA не заменит постоянный контроль, но покажет: были ли атакующие в этой «слепой зоне» за последние 6–12 месяцев (а иногда и значительно больше) — и есть ли они там сейчас.

  • Перед внедрением SIEM или EDR. Подключать систему мониторинга к уже скомпрометированной сети — плохая идея. Вы рискуете легализовать присутствие злоумышленников, вписав их активность в «нормальный» профиль. Compromise Assessment дает исходный срез, от которого можно отталкиваться.

  • Подозрительные симптомы без понятной причины. Странные учетные записи, аномальная сетевая активность, необъяснимые процессы в памяти — это не всегда признак компрометации. Но если вы не можете объяснить происходящее через легитимную деятельность (обновления, миграции, работу подрядчиков) — не гадайте. Зовите экспертов. Каждый день задержки может обернуться потерей артефактов при атаке.

  • Неправильный выбор систем для проверки. Иногда заказчик хочет проверить только то, что сам считает важным — например, один сервер или DMZ. Но это не всегда повышает реальную безопасность. Мы рекомендуем определять критичные для бизнеса системы, учитывать их операционные системы и предлагать план, который рационален по трудозатратам и эффективен по глубине проверки.

CA vs пентест: почему одно не заменит другое

Часто компании, которые уже проводят пентесты, считают, что полностью контролируют свою инфраструктуру. Это опасное заблуждение. Пентест показывает, куда злоумышленник может пробраться сегодня. Compromise Assessment отвечает на вопрос, не зашел ли он в инфраструктуру вчера. Это принципиально разные задачи. Пентестеры ищут уязвимости: незапатченные сервисы, слабые пароли, ошибки конфигурации. Они моделируют атаку извне или способ проникновения или перемещения в инфраструктуре. CA-эксперты ищут следы уже произошедшей компрометации — даже если она случилась несколько лет назад.

Скрытый текст

В одном из наших кейсов пентест выявил путь проникновения через уязвимость веб-сервиса. А CA обнаружил APT-группировку, которая находилась в инфраструктуре три года, использовала легитимные учетные данные и оставила артефакты только в переменных окружения и временных файлах — местах, куда пентестеры даже не заглядывают.

Не навреди: как подготовиться к Compromise Assessment

Подготовка к Compromise Assessment начинается до прихода экспертов. Первым делом вас попросят заполнить опросный лист: описать инфраструктуру, сегменты сети, способы удаленного доступа и сервисы в DMZ. Заранее подготовьте карту сети и назначьте одного-двух сотрудников от ИТ, которые будут взаимодействовать с командой CA. В противном случае сроки могут сдвинуться, особенно если ИТ-отдел занят миграцией или другими критичными задачами.

Главное правило — не мешать. Не перезагружайте подозрительные системы, не переустанавливайте их и не запускайте «еще один антивирус» в надежде быстро почистить инфраструктуру. Каждое такое действие уничтожает артефакты, по которым можно восстановить цепочку компрометации. И не подменяйте утилиты, которые дает команда CA, на «похожие из интернета» — это ломает сбор данных и сбивает расследование.

К тому же, в отличие от пентеста, Compromise Assessment не оказывает активного воздействия на инфраструктуру — эксперты только запускают утилиты для сбора артефактов и анализируют то, что уже есть. Все работы проводятся под NDA, и специалисты не собирают документы или базы данных — только технические следы компрометации.

Самодеятельность мешает: как поступить с отчетом CA

Если CA подтвердил компрометацию, главное — не остановиться на отчете. Наша практика показывает, что 80% повторных взломов происходят именно из-за того, что рекомендации экспертов остаются невыполненными. Недостаточно просто удалить вредонос — нужно зачистить все артефакты (в том числе через YARA-правила и ручную проверку), обновить уязвимые системы (30% целевых атак в 2025 году использовали T1190 — уязвимости веб-сервисов), пересмотреть привилегированные учетные записи и усилить контроль за подрядчиками.

Скрытый текст

В 2023–2024 годах эксперты Solar 4RAYS расследовали атаку азиатской группировки Obstinate Mogwai на телеком-оператора. Злоумышленники проникли через ProxyLogon, а потом использовали уязвимость ViewState  для закрепления и выполнения команд, и около года оставались незамеченными. Они неоднократно возвращались в инфраструктуру — даже после частичной зачистки.

Только полноценное реагирование на атаку позволило выявить все точки присутствия, восстановить цепочку компрометации и окончательно вытеснить атакующих. Без CA заказчик продолжал бы лечить симптомы, а не причину.

Если же Compromise Assessment не выявил следов компрометации — да, он показывает, что пока все хорошо, но это не повод расслабляться. Отчет покажет часть критических уязвимостей, которые рано или поздно приведут к инциденту — и лучше закрыть их до того, как хакеры их используют против вас.

Отметим, что не всегда важно понимать, кто стоит за атакой. Если это массовая кампания (майнеры, шифровальщики), то такое знание не критично — важно закрыть уязвимость. Но если за атакой стоит APT-группировка, понимание профиля злоумышленника помогает восстановить вектор проникновения и предотвратить повторное возвращение. Особенно когда атакующие используют легитимные учетные данные и годами остаются незамеченными.

Подрядчики — особый случай

Особое внимание стоит уделить подрядчикам. По данным центра исследования киберугроз Solar 4RAYS ГК «Солар», 24% целевых атак в 2025 году совершались через доверительные отношения. Сторонние структуры часто имеют прямой доступ к вашей инфраструктуре — через RDP, VPN или административные панели — но при этом не находятся под вашим полным контролем. Если у подрядчика скомпрометируют сеть, злоумышленники получат «входной» ключ от всех его клиентов.

Чтобы обезопасить себя:

  • Проводите Compromise Assessment у ключевых подрядчиков до подключения их к вашей сети;

  • Сегментируйте их доступ;

  • Включайте мониторинг RDP/SSH от внешних IP;

  • Применяйте LAPS + MFA без SMS.

Скрытый текст

В 2025 году эксперты Solar 4RAYS расследовали инцидент в инфраструктуре одной российской компании и выявили, что атакующие более 10 месяцев находились в сети его ИТ-подрядчика. Используя легитимный доступ к PostgreSQL-кластеру, злоумышленники беспрепятственно проникали в инфраструктуру клиента и получали данные абонентов. Причина крылась в том, что подрядчика не проверили до подключения к собственной инфраструктуре.

Расписание CA: раз в год, раз в квартал или по сегментам

Если у вас уже есть зрелая команда ИБ и круглосуточный мониторинг, регулярный CA может быть избыточным — вы и так видите большую часть активностей. Но даже в этом случае процедуру стоит проводить при триггерах из первого пункта этого блога.

Во всех остальных случаях придерживайтесь следующей схемы:

  • Средние компании (до 250 сотрудников и выручка до 2 млрд рублей в год)  — раз в год с ретроспективой 12 месяцев. Этого достаточно, чтобы не пропустить следы нецелевых атак и своевременно заметить подозрительную активность.

  • Крупные организации (250+ сотрудников с выручкой более 2 млрд рублей) — по сегментам. Например, сначала DMZ, затем кластеры критичных сервисов, потом дочерние структуры. Проверять все сразу не всегда рационально.

  • Объекты критической инфраструктуры (КИИ) — ежеквартально. Цена пропущенной компрометации здесь слишком высока: последствия могут включать не только финансовые и репутационные потери, но и остановку производств, угрозу жизни и здоровью людей или экологический ущерб.

  • После подтвержденного заражения — повторная проверка через 3–6 месяцев, независимо от размера компании. Это необходимо, чтобы убедиться, что злоумышленники не вернулись через возможно оставленные лазейки.

Что касается выбора команды: ориентируйтесь не только на стоимость услуги. Репутация, публичные отчеты, выступления на конференциях — маркеры реальной экспертизы. На тендерах иногда побеждают фирмы-однодневки с демпинговой ценой, но качество их работы может свести пользу от CA к нулю.

Вместо заключения

Как мы отметили в начале статьи, Compromise Assessment подобен профилактическому осмотру у зубного врача. Не всегда приятно, но необходимо. Лучше узнать правду сейчас, чем экстренно удалять нерв среди ночи — когда хакеры уже вынесли данные, а вы даже не поняли, из-за чего возникла боль. Оценка компрометации не гарантирует, что вас никогда не взломают, а отвечает на вопрос о том, что происходит в системе здесь и сейчас или происходило некоторое время назад. И если вы не контролируете хотя бы часть инфраструктуры — ответ может вас удивить.

Автор: Иван Сюхин, руководитель группы расследования инцидентов центра исследования Solar 4RAYS ГК «Солар»

ссылка на оригинал статьи https://habr.com/ru/articles/1036564/