Каждая восьмая организация сохраняет прямой админ доступ от пользовательских устройств к серверам

Иными словами, почти каждая восьмая организация оставляет рабочим станциям путь к высокоценным серверам через RDP, SSH, SMB, WinRM или смежные административные протоколы. За год показатель вырос на 3,3 п.п., а количество инцидентов и предынцидентных сценариев, где подобная связность могла ускорить развитие атаки, увеличилось на 37%.

Прямые пути от пользовательских сегментов к серверам обычно накапливаются годами: временный доступ для подрядчика, исключение для удаленной поддержки, срочная настройка после миграции, обходной маршрут для старого приложения, нестандартное подключение к терминальному серверу. В 73% проверенных сред хотя бы одно активное правило межсетевого экрана не имело владельца в CMDB – его создатель уволился или перешел в другой отдел, а правило осталось, потому что никто не взял на себя риск его удалить. Позже меняются владельцы систем, обновляется инфраструктура, уходят сотрудники, а правило остается – SIEM не фиксирует аномалию там, где трафик легитимен по форме: RDP с бухгалтерского ноутбука к файловому серверу выглядит как штатная работа ровно до того момента, как начинается горизонтальное сканирование В нормальной эксплуатации такая связность может не создавать видимых проблем. Администратор подключается к серверу, служба передает данные, инженер проверяет состояние узла. После компрометации endpoint этот же маршрут становится готовым коридором для разведки, проверки учетных данных и дальнейшего продвижения.

Особенно опасна комбинация широкого доступа к административным протоколам и устаревших механизмов аутентификации. В исследовании по боковому перемещению внутри сети указано, что 87% серверов принимают внутренний трафик RDP или SSH. Первый протокол обычно используется для удаленного подключения к Windows-серверам, второй – для администрирования Linux- и сетевых систем. Еще 78,7% серверов достижимы по SMB или WinRM: SMB применяется для доступа к файловым ресурсам и служебным сетевым шарам, WinRM – для удаленного управления Windows-средой. С помощью NetExec или CrackMapExec атакующий за 3-5 минут строит карту отвечающих хостов: скрипт параллельно опрашивает сотни адресов и одновременно тестирует перехваченные хэши без ручного перебора. На практике злоумышленник, получивший контроль над ноутбуком сотрудника, может быстро проверить, какие серверы отвечают на такие подключения, где доступны файловые ресурсы, какие учетные данные сработают повторно и какие узлы допускают удаленное выполнение команд.

Дополнительный риск создает сохранение NTLM-аутентификации. На нее приходится 43,2% наблюдаемого внутреннего трафика аутентификации. NTLM – устаревший механизм проверки подлинности в Windows-средах, который остается удобной целью для атак с повторным использованием хэша пароля. В таком сценарии злоумышленнику не всегда нужен исходный пароль: достаточно получить его криптографический отпечаток из памяти или с диска скомпрометированной машины и попытаться использовать его на других доступных системах. Когда пользовательское устройство напрямую видит серверные сегменты, эта техника становится заметно результативнее. Ключевой нюанс: NTLM-хэш, извлеченный из lsass.exe через Mimikatz или его аналоги, действителен до смены пароля – а средний цикл ротации паролей сервисных учетных записей в обследованных организациях составил 187 дней. У атакующего появляется возможность проверять учетные данные не на одной машине, а сразу на множестве достижимых узлов.

В 34% связанных сценариев стартовой точкой становился фишинг с компрометацией рабочей станции сотрудника, после чего атакующий искал открытые RDP, SSH и WinRM-направления к серверной зоне. Еще 26% приходились на кражу или повторное использование учетных данных, включая NTLM-хэши и пароли привилегированных пользователей, которые ранее входили на обычные рабочие станции. В 18% случаев риск формировали сервисные и технические учетные записи с избыточными правами, поскольку такие записи часто имеют доступ сразу к нескольким системам и слабо контролируются в ежедневной эксплуатации. На эксплуатацию внутренних уязвимостей пришлось 13% сценариев: атакующий сначала закреплялся на пользовательском устройстве, затем сканировал доступные серверные сервисы и использовал не закрытые CVE. Оставшиеся 9% были связаны с ошибками сегментации в гибридных средах, где пользовательские устройства, облачные консоли, Kubernetes-кластеры и on-prem-сервисы оказывались связаны через исключения, созданные для удобства эксплуатации.

Сама логика корпоративной сети часто подталкивает к таким ошибкам. Инфраструктуру строили вокруг доступности сервисов, скорости поддержки и минимального числа обращений в ИТ, поэтому внутренний источник долго воспринимался как более доверенный. VPN-подключение, доменная рабочая станция или адрес из корпоративной подсети давали больше прав на сетевом уровне, чем фактически нужно пользователю или процессу. Из-за этого нарушается tiering-модель: обычные рабочие станции оказываются слишком близко к серверам приложений, системам резервного копирования, доменным контроллерам, консолям виртуализации и базам данных. Для защитника разница между одним и двумя переходами огромна: на каждом шаге есть шанс заметить аномалию и остановить движение. Для атакующего при широкой внутренней достижимости эта разница почти исчезает, особенно при использовании автоматизированной разведки и инструментов построения attack path.

Наиболее заметно проблема проявляется в финансовом секторе, промышленности, ритейле, телекоммуникациях и организациях с распределенной филиальной сетью. По оценке экспертов, среди выявленных случаев прямых административных маршрутов 27% пришлось на промышленность и производственные компании, где ИТ и АСУ ТП часто связаны через технологические исключения и удаленное сопровождение. Финансовые организации заняли 22% выборки: у них выше плотность администрируемых серверов, больше интеграций и строже требования к доступности сервисов, из-за чего временные разрешения нередко превращаются в постоянные. На ритейл пришлось 18%, главным образом из-за большого числа торговых точек, POS-инфраструктуры, терминальных серверов и сервисов удаленной поддержки. Телекоммуникационный сектор составил 14%, где риск усиливают сложные сетевые домены и большое количество инженерных доступов. Еще 11% пришлось на логистику и транспорт, а 8% – на медицину и образовательные организации, где слабее зрелость сегментации и заметнее зависимость от устаревших сервисов.

Первый практический шаг – это точечная инвентаризация: выгрузить из Active Directory все GPO, разрешающие RDP и WinRM, наложить их на список endpoint-устройств вне Tier 0/1 и получить конкретный перечень машин, с которых прямой путь к DC или серверам резервного копирования открыт прямо сейчас. Для снижения риска компаниям нужно начинать не с очередной проверки открытых портов, а с построения карты реальной достижимости между пользовательскими устройствами и критичными серверами. Каждый административный маршрут должен иметь владельца, понятное назначение, срок действия и техническое ограничение по источнику, роли и времени. RDP, SSH, SMB и WinRM следует переводить в режим доступа по запросу, с MFA для административных подключений, контролем сессий и запретом прямого входа с пользовательских устройств к серверам высокой критичности. Отдельно стоит пересмотреть использование NTLM, убрать постоянные привилегии у сервисных учетных записей, разделить рабочие станции администраторов и обычных пользователей, изолировать инфраструктуру резервного копирования и доменные контроллеры в отдельные зоны управления. По данным расследований, медианное время от компрометации endpoint до первого подключения к серверу резервного копирования составило 4 часа 20 минут – быстрее, чем в большинстве организаций успевает сработать эскалация из SIEM к дежурному аналитику. Компрометация ноутбука рядового сотрудника не должна давать атакующему прямой маршрут к серверу, на котором держится бизнес-процесс: пока такая связность остается штатной, SOC реагирует не на человека, а соревнуется с уже выстроенной архитектурой атаки. Практический ориентир здесь простой: компрометация ноутбука сотрудника не должна давать злоумышленнику короткий маршрут к серверу, на котором держится бизнес-процесс. Пока такая связность остается штатной частью сети, скорость реагирования SOC будет конкурировать не с человеком, а с заранее подготовленной архитектурой атаки.