Почти половина атак начинается через VPN

Тенденция вписывается в общемировую картину: по данным глобальных исследований, VPN-устройства и оборудование на сетевом периметре стали одним из наиболее активно эксплуатируемых классов инфраструктуры. Эксперты фиксируют, что компрометация учётных данных в целом фигурирует примерно в каждом шестом расследовании крупных инцидентов по всему миру.

VPN часто устроен по модели разового доверия: пользователь прошел проверку, получил доступ к сети и дальше работает почти без дополнительных ограничений. Для атакующего это означает простую логику действий: достаточно купить учетную запись в теневом сегменте интернета, извлечь пароль с зараженного личного устройства сотрудника или перехватить сессионные данные, чтобы оказаться внутри корпоративного периметра под видом легитимного пользователя. Специалисты фиксируют, что в 58% таких инцидентов вход выполнялся с корректной пары логин-пароль, а признаки атаки проявлялись уже после подключения: нетипичная география, нестандартное время активности, попытки обращения к файловым хранилищам, контроллерам домена и административным панелям.

Отдельную роль играет качество контроля удаленного доступа. В 52% случаев, связанных с VPN-компрометацией, многофакторная аутентификация либо отсутствовала, либо была включена не для всех групп пользователей. Еще в 19% инцидентов второй фактор присутствовал, но его удалось обойти за счет похищенных cookies или доступа к почтовому ящику сотрудника. Важно учитывать, что вредоносное ПО класса infostealer извлекает из браузера токены уже завершенной аутентификации, позволяя атакующему войти в систему без запроса второго фактора – то есть происходит не взлом МФА, а обход уже установленной сессии. Единственным классом МФА, устойчивым к этому вектору, остаётся FIDO2 с аппаратными ключами: они криптографически привязывают аутентификацию к конкретному домену и не поддаются перехвату. Нередко компании считают, что сам факт наличия VPN уже снижает риск, хотя в реальности опасность определяется не названием технологии, а тем, насколько жестко ограничены права после входа. В средних компаниях один VPN-профиль часто открывает доступ сразу к нескольким подсетям, внутренним порталам, файловым ресурсам и системам администрирования. При такой архитектуре компрометация одной учетной записи быстро превращается в инцидент с широким охватом.

На ситуацию влияет сразу несколько факторов. Многие VPN-решения внедрялись несколько лет назад под задачу массовой удаленной работы и с тех пор почти не пересматривались. Другой фактор связан с внешней средой. Рынок украденных учетных данных стал более организованным, а вредоносные программы для кражи паролей научились собирать не только логины и пароли, но и токены сессий, данные браузеров, конфигурации клиентов удаленного доступа. По оценкам ряда аналитических компаний, только за первую половину 2025 года инфостилеры похитили около 1,8 млрд учётных записей с 5,8 млн заражённых устройств; журналы украденных данных появляются на теневых площадках в течение нескольких часов после заражения – нередко прежде, чем жертва успевает обнаружить инцидент. Согласно внутренним данным, среднее время от первичного VPN-входа до попытки горизонтального перемещения в сократилось до 44 минут против 71 минуты годом ранее. В компаниях с плоской сетью этот показатель опускается до 18-25 минут.

Наиболее заметно проблема проявляется в промышленности, финансовом секторе и рознице. В промышленности на такие инциденты приходится 24% всех случаев, связанных с компрометацией VPN, поскольку удаленный доступ часто используется подрядчиками, инженерами и эксплуатационными службами. Финансовые организации дают 19% инцидентов: здесь атакующих привлекают платежная инфраструктура, клиентские данные и возможность подготовки мошеннических операций. На розницу приходится 16%, на логистику и транспорт – 14%, на медицинские организации – 11%, на ИТ- и телеком-компании – 9%, на образовательные и государственные учреждения – 7%. В малом и среднем бизнесе риск выше из-за меньшего числа администраторов и слабее формализованных процедур: по оценке экспертов, 68% компаний этого сегмента не проводят ежеквартальную проверку VPN-доступа и не удаляют учетные записи сразу после смены роли или увольнения сотрудника.

Для минимизации рисков компаниям необходимо пересмотреть сам подход к удаленному доступу. VPN-доступ должен выдаваться не ко всей сети, а к конкретным приложениям и ресурсам, которые нужны пользователю по роли. В части организаций эту задачу уже решает переход на модель ZTNA (Zero Trust Network Access) – она технически реализует принцип минимальных привилегий на сетевом уровне и существенно сокращает радиус поражения при компрометации учётной записи. Многофакторная аутентификация должна быть обязательной для всех подключений, приоритет лучше отдавать устойчивым к фишингу методам, включая аппаратные ключи и FIDO2. Требуется регулярная инвентаризация учетных записей, отключение неактивных пользователей, отдельный контроль подрядчиков и временных доступов. Не менее значимы сегментация сети, ограничение административных прав, мониторинг аномальных подключений, анализ географии и времени входа, проверка устройств перед допуском. VPN необходимо рассматривать не как финальную точку проверки, а как один из элементов системы доступа, где каждое подключение подтверждается контекстом, правами и поведением пользователя.