Почти половина инцидентов через поставщиков связаны с уязвимостями нулевого дня

Одновременно специалисты зафиксировали рост обращений по оценке рисков внешних поставщиков на 31%, а число запросов на ретроспективный поиск признаков компрометации после публикации сведений о новой уязвимости увеличилось на 27%.

Рост доли уязвимостей нулевого дня в инцидентах через поставщиков объясняется изменением самой модели корпоративной инфраструктуры, так как бизнес-процессы все чаще опираются на внешние платформы: системы удаленного администрирования, средства обмена данными, отраслевые приложения, облачные сервисы, решения для мониторинга, платежные шлюзы, сервисные кабинеты подрядчиков и инструменты сопровождения производственных сред. Основная проблема заключается в том, что доступ этих сервисов к внутренней инфраструктуре давно вышел за рамки того, что зафиксировано в договорах и согласовано с ИБ. Эти решения получают не периферийную, а операционную роль: они подключены к учетным записям, внутренним сегментам, клиентским данным, технологическим процессам и административным функциям. При такой архитектуре эксплуатация одной неизвестной уязвимости у поставщика быстро превращается в многоточечный риск для его клиентов. Организация может не иметь прямого доступа к исходному коду, не управлять сроками выпуска исправления и не видеть всю цепочку действий внутри продукта, но именно она несет последствия компрометации. На практике это выглядит так: финансовый директор утверждает SLA с подрядчиком, ИБ не участвует в согласовании архитектуры интеграции, а через год именно эта интеграция становится точкой входа.

Уязвимости нулевого дня особенно опасны для цепочек поставок из-за разрыва между техническим фактом эксплуатации и моментом, когда заказчик получает управляемый набор действий. В классическом процессе управления уязвимостями у службы безопасности есть известный идентификатор, описание затронутых версий, временные меры, исправление и возможность расставить приоритеты по активам. Весь инструментарий VM заточен под сценарий, когда CVE уже есть: есть идентификатор, есть CVSS, есть патч в очереди. Zero-day ломает этот сценарий в точке старта: нечего сканировать, нечего приоритизировать, нечего патчить. По оценке «Информзащиты», в 42% инцидентов, связанных со сторонними решениями, признаки эксплуатации фиксировались раньше, чем у заказчика появлялась техническая возможность установить исправление. В 37% случаев рекомендации поставщика выходили уже после начала массовых попыток эксплуатации. Наиболее сложными оказываются ситуации, когда поставщик ограничивается общим уведомлением без индикаторов компрометации, детального описания затронутых компонентов и временной шкалы атаки. Для защитников это означает работу в сжатом окне, где нужно одновременно локализовать возможный канал доступа, проверить журналы событий, пересобрать правила обнаружения и принять решение о временном отключении функций, от которых может зависеть бизнес-процесс. На практике аналитик SOC получает задачу без входных данных: уязвимость есть, индикаторов нет, поставщик молчит, а бизнес требует не отключать интеграцию, потому что на ней висит расчет зарплат.

По данным экспертов за пять месяцев 2026 года, на финансовый сектор пришлось 24% инцидентов через поставщиков, связанных с эксплуатацией уязвимостей нулевого дня. Производственные компании заняли 19%, здравоохранение – 17%, розничная торговля и электронная коммерция – 14%, телекоммуникации – 11%, энергетика и коммунальная инфраструктура – 8%, строительство и недвижимость – 7%. В финансах наиболее рискованными остаются интеграции с платежными сервисами, антифрод-платформами, системами дистанционного обслуживания и подрядчиками по сопровождению прикладных систем. В производственном секторе основной риск связан с удаленным доступом, инженерным программным обеспечением, системами диспетчеризации и решениями для обслуживания оборудования. В здравоохранении дополнительную роль играет высокая ценность медицинских данных и низкая допустимость простоев: специализированные системы часто нельзя быстро изолировать или обновить без влияния на работу учреждения. В рознице и электронной коммерции зона риска формируется вокруг платежной инфраструктуры, личных кабинетов, систем лояльности и внешних сервисов аналитики.

Снижение риска требует перехода от договорной оценки поставщика к техническому контролю его реальной роли в инфраструктуре: анкета поставщика не обнаружит, что его агент мониторинга запущен с правами SYSTEM и логи с него не читаются SIEM. Это обнаруживает только инвентаризация реальных соединений. Компании должны поддерживать актуальный реестр внешних зависимостей, выделять поставщиков с доступом к критичным системам, регулярно пересматривать права сервисных учетных записей и фиксировать все каналы обмена данными. Для ключевых поставщиков в договорах необходимо закреплять сроки уведомления об инцидентах, формат передачи технических индикаторов, требования к журналированию, порядок участия в расследовании и ответственность за задержку раскрытия информации. На уровне инфраструктуры приоритетом должны стать сегментация сетевого доступа, многофакторная аутентификация для внешних подключений, отдельный контроль привилегированных учетных записей, мониторинг соединений с системами поставщиков и ретроспективный поиск признаков эксплуатации после публикации сведений о новой уязвимости. При появлении информации об уязвимости нулевого дня организация должна действовать не по импровизации, а по заранее подготовленному сценарию: быстро определить затронутые активы, ограничить доверенные подключения, усилить правила обнаружения, проверить журналы за период до раскрытия и согласовать временные меры с владельцами бизнес-процессов. Чем точнее компания видит технологическую роль каждого поставщика, тем меньше вероятность, что инцидент на внешней стороне станет неконтролируемым событием внутри собственной инфраструктуры, а значит компании, которые в 2026 году все еще не могут ответить на вопрос «какие поставщики имеют доступ к нашему AD прямо сейчас» – не готовы к zero-day в supply chain ни организационно, ни технически.