惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V2EX - 技术
V2EX - 技术
P
Privacy International News Feed
Security Latest
Security Latest
H
Hacker News: Front Page
T
Tenable Blog
The Hacker News
The Hacker News
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
S
Security @ Cisco Blogs
Project Zero
Project Zero
O
OpenAI News
AI
AI
Spread Privacy
Spread Privacy
C
CERT Recently Published Vulnerability Notes
The Last Watchdog
The Last Watchdog
G
GRAHAM CLULEY
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Scott Helme
Scott Helme
Application and Cybersecurity Blog
Application and Cybersecurity Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
C
CXSECURITY Database RSS Feed - CXSecurity.com
NISL@THU
NISL@THU
A
Arctic Wolf
T
Threat Research - Cisco Blogs
PCI Perspectives
PCI Perspectives
N
News and Events Feed by Topic
C
Cyber Attacks, Cyber Crime and Cyber Security
C
Cybersecurity and Infrastructure Security Agency CISA
Simon Willison's Weblog
Simon Willison's Weblog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Know Your Adversary
Know Your Adversary
Google Online Security Blog
Google Online Security Blog
罗磊的独立博客
L
LINUX DO - 最新话题
U
Unit 42
S
Security Affairs
有赞技术团队
有赞技术团队
WordPress大学
WordPress大学
博客园 - 【当耐特】
T
The Exploit Database - CXSecurity.com
S
Schneier on Security
月光博客
月光博客
Engineering at Meta
Engineering at Meta
腾讯CDC
F
Full Disclosure
Cyberwarzone
Cyberwarzone
S
SegmentFault 最新的问题
Recorded Future
Recorded Future
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
博客园 - 司徒正美
The Cloudflare Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Compromise Assessment: когда пора искать компрометацию и как не наломать дров
SolarSecurit · 2026-05-19 · via Все публикации подряд на Хабре

Уровень сложностиПростой

Время на прочтение7 мин

Охват и читатели21

Туториал

Стопроцентной защиты не бывает: задавшийся целью и достаточно подкованный злоумышленник лазейку найдет. Вы можете годами жить с хакером в сети и не подозревать об этом, особенно если у компании не настроена эшелонированная защита на всех сегментах сети. Риск компрометации возрастает, если недавно ушли сотрудники с сохраненным привилегированным доступом к инфраструктуре или вы поглотили новую компанию (присоединили к своей сети или собираетесь это сделать).

Единственный способ узнать, не находится ли кто-то чужой в вашей сети прямо сейчас — Compromise Assessment (CA), или оценка компрометации. Для вашей инфраструктуры это то же, что для вас профилактический осмотр у стоматолога. Тот случай, когда не ждете острой боли, чтобы проверить, не завелся ли кариес. Однако CA не лечит и не ставит пломбы, но честно показывает, кто уже поселился в вашей сети и как давно. Если говорить прямо, CA собирает артефакты и ищет следы присутствия — те, что не видят, например, EDR и SIEM. А еще такая проверка покажет, побывали уже злоумышленники в вашей инфраструктуре раньше и успели ли замести следы. К тому же Compromise Assessment обычно проводится такими же методами, технологиями и людьми, которые  задействуются в полноценных расследованиях и реагировании на инциденты.

В этой статье мы разберем, в каких ситуациях Compromise Assessment необходим, чем он отличается от привычного пентеста, как правильно подготовиться к проверке и что делать с ее результатами, чтобы не допустить повторного взлома.

Пять красных флагов: когда нужен CA

Главный маркер для проведения CA — отсутствие или потеря контроля над состоянием инфраструктуры или ее частью. Иными словами, когда нет уверенности, что прямо сейчас внутри нет «посторонних». Рассмотрим пять типовых ситуаций, в которых проверка компрометации из «ну, может сделать» превращается в «по коням!»

  • Сменились подрядчики или сотрудники с привилегированным доступом. Ушли люди, которые знали инфраструктуру досконально. Если это был внешний подрядчик — у него могли остаться учетные записи, туннели доступа или свои инструменты администрирования, о которых вы не знаете. Если ушел внутренний админ, то тут та же история: новые специалисты видят работающие сервисы, но что внутри и у кого есть доступ — неизвестно. К тому же Compromise Assessment – это повод для компании провести ревизию, которая обычно требуется перед запуском процесса: подсветить активные учетные записи, точки удаленного доступа, скрытые процессы и следы возможной компрометации. На практике это аудит унаследованной инфраструктуры, который позволяет понять, с чем предстоит работать дальше.

  • Слияния и поглощения (M&A). Вы присоединяете к своей сети чужую инфраструктуру со всей ее историей. Если там уже обосновались злоумышленники, они с высокой долей вероятности получат доступ и к вашим системам. Обнаружить такое постфактум крайне сложно. Поэтому CA до интеграции — крайне желательный пункт.

  • «Слепые зоны» мониторинга. Если часть инфраструктуры не покрыта мониторингом, вы не видите, что там происходит. CA не заменит постоянный контроль, но покажет: были ли атакующие в этой «слепой зоне» за последние 6–12 месяцев (а иногда и значительно больше) — и есть ли они там сейчас.

  • Перед внедрением SIEM или EDR. Подключать систему мониторинга к уже скомпрометированной сети — плохая идея. Вы рискуете легализовать присутствие злоумышленников, вписав их активность в «нормальный» профиль. Compromise Assessment дает исходный срез, от которого можно отталкиваться.

  • Подозрительные симптомы без понятной причины. Странные учетные записи, аномальная сетевая активность, необъяснимые процессы в памяти — это не всегда признак компрометации. Но если вы не можете объяснить происходящее через легитимную деятельность (обновления, миграции, работу подрядчиков) — не гадайте. Зовите экспертов. Каждый день задержки может обернуться потерей артефактов при атаке.

  • Неправильный выбор систем для проверки. Иногда заказчик хочет проверить только то, что сам считает важным — например, один сервер или DMZ. Но это не всегда повышает реальную безопасность. Мы рекомендуем определять критичные для бизнеса системы, учитывать их операционные системы и предлагать план, который рационален по трудозатратам и эффективен по глубине проверки.

CA vs пентест: почему одно не заменит другое

Часто компании, которые уже проводят пентесты, считают, что полностью контролируют свою инфраструктуру. Это опасное заблуждение. Пентест показывает, куда злоумышленник может пробраться сегодня. Compromise Assessment отвечает на вопрос, не зашел ли он в инфраструктуру вчера. Это принципиально разные задачи. Пентестеры ищут уязвимости: незапатченные сервисы, слабые пароли, ошибки конфигурации. Они моделируют атаку извне или способ проникновения или перемещения в инфраструктуре. CA-эксперты ищут следы уже произошедшей компрометации — даже если она случилась несколько лет назад.

Скрытый текст

В одном из наших кейсов пентест выявил путь проникновения через уязвимость веб-сервиса. А CA обнаружил APT-группировку, которая находилась в инфраструктуре три года, использовала легитимные учетные данные и оставила артефакты только в переменных окружения и временных файлах — местах, куда пентестеры даже не заглядывают.

Не навреди: как подготовиться к Compromise Assessment

Подготовка к Compromise Assessment начинается до прихода экспертов. Первым делом вас попросят заполнить опросный лист: описать инфраструктуру, сегменты сети, способы удаленного доступа и сервисы в DMZ. Заранее подготовьте карту сети и назначьте одного-двух сотрудников от ИТ, которые будут взаимодействовать с командой CA. В противном случае сроки могут сдвинуться, особенно если ИТ-отдел занят миграцией или другими критичными задачами.

Главное правило — не мешать. Не перезагружайте подозрительные системы, не переустанавливайте их и не запускайте «еще один антивирус» в надежде быстро почистить инфраструктуру. Каждое такое действие уничтожает артефакты, по которым можно восстановить цепочку компрометации. И не подменяйте утилиты, которые дает команда CA, на «похожие из интернета» — это ломает сбор данных и сбивает расследование.

К тому же, в отличие от пентеста, Compromise Assessment не оказывает активного воздействия на инфраструктуру — эксперты только запускают утилиты для сбора артефактов и анализируют то, что уже есть. Все работы проводятся под NDA, и специалисты не собирают документы или базы данных — только технические следы компрометации.

Самодеятельность мешает: как поступить с отчетом CA

Если CA подтвердил компрометацию, главное — не остановиться на отчете. Наша практика показывает, что 80% повторных взломов происходят именно из-за того, что рекомендации экспертов остаются невыполненными. Недостаточно просто удалить вредонос — нужно зачистить все артефакты (в том числе через YARA-правила и ручную проверку), обновить уязвимые системы (30% целевых атак в 2025 году использовали T1190 — уязвимости веб-сервисов), пересмотреть привилегированные учетные записи и усилить контроль за подрядчиками.

Скрытый текст

В 2023–2024 годах эксперты Solar 4RAYS расследовали атаку азиатской группировки Obstinate Mogwai на телеком-оператора. Злоумышленники проникли через ProxyLogon, а потом использовали уязвимость ViewState  для закрепления и выполнения команд, и около года оставались незамеченными. Они неоднократно возвращались в инфраструктуру — даже после частичной зачистки.

Только полноценное реагирование на атаку позволило выявить все точки присутствия, восстановить цепочку компрометации и окончательно вытеснить атакующих. Без CA заказчик продолжал бы лечить симптомы, а не причину.

Если же Compromise Assessment не выявил следов компрометации — да, он показывает, что пока все хорошо, но это не повод расслабляться. Отчет покажет часть критических уязвимостей, которые рано или поздно приведут к инциденту — и лучше закрыть их до того, как хакеры их используют против вас.

Отметим, что не всегда важно понимать, кто стоит за атакой. Если это массовая кампания (майнеры, шифровальщики), то такое знание не критично — важно закрыть уязвимость. Но если за атакой стоит APT-группировка, понимание профиля злоумышленника помогает восстановить вектор проникновения и предотвратить повторное возвращение. Особенно когда атакующие используют легитимные учетные данные и годами остаются незамеченными.

Подрядчики — особый случай

Особое внимание стоит уделить подрядчикам. По данным центра исследования киберугроз Solar 4RAYS ГК «Солар», 24% целевых атак в 2025 году совершались через доверительные отношения. Сторонние структуры часто имеют прямой доступ к вашей инфраструктуре — через RDP, VPN или административные панели — но при этом не находятся под вашим полным контролем. Если у подрядчика скомпрометируют сеть, злоумышленники получат «входной» ключ от всех его клиентов.

Чтобы обезопасить себя:

  • Проводите Compromise Assessment у ключевых подрядчиков до подключения их к вашей сети;

  • Сегментируйте их доступ;

  • Включайте мониторинг RDP/SSH от внешних IP;

  • Применяйте LAPS + MFA без SMS.

Скрытый текст

В 2025 году эксперты Solar 4RAYS расследовали инцидент в инфраструктуре одной российской компании и выявили, что атакующие более 10 месяцев находились в сети его ИТ-подрядчика. Используя легитимный доступ к PostgreSQL-кластеру, злоумышленники беспрепятственно проникали в инфраструктуру клиента и получали данные абонентов. Причина крылась в том, что подрядчика не проверили до подключения к собственной инфраструктуре.

Расписание CA: раз в год, раз в квартал или по сегментам

Если у вас уже есть зрелая команда ИБ и круглосуточный мониторинг, регулярный CA может быть избыточным — вы и так видите большую часть активностей. Но даже в этом случае процедуру стоит проводить при триггерах из первого пункта этого блога.

Во всех остальных случаях придерживайтесь следующей схемы:

  • Средние компании (до 250 сотрудников и выручка до 2 млрд рублей в год)  — раз в год с ретроспективой 12 месяцев. Этого достаточно, чтобы не пропустить следы нецелевых атак и своевременно заметить подозрительную активность.

  • Крупные организации (250+ сотрудников с выручкой более 2 млрд рублей) — по сегментам. Например, сначала DMZ, затем кластеры критичных сервисов, потом дочерние структуры. Проверять все сразу не всегда рационально.

  • Объекты критической инфраструктуры (КИИ) — ежеквартально. Цена пропущенной компрометации здесь слишком высока: последствия могут включать не только финансовые и репутационные потери, но и остановку производств, угрозу жизни и здоровью людей или экологический ущерб.

  • После подтвержденного заражения — повторная проверка через 3–6 месяцев, независимо от размера компании. Это необходимо, чтобы убедиться, что злоумышленники не вернулись через возможно оставленные лазейки.

Что касается выбора команды: ориентируйтесь не только на стоимость услуги. Репутация, публичные отчеты, выступления на конференциях — маркеры реальной экспертизы. На тендерах иногда побеждают фирмы-однодневки с демпинговой ценой, но качество их работы может свести пользу от CA к нулю.

Вместо заключения

Как мы отметили в начале статьи, Compromise Assessment подобен профилактическому осмотру у зубного врача. Не всегда приятно, но необходимо. Лучше узнать правду сейчас, чем экстренно удалять нерв среди ночи — когда хакеры уже вынесли данные, а вы даже не поняли, из-за чего возникла боль. Оценка компрометации не гарантирует, что вас никогда не взломают, а отвечает на вопрос о том, что происходит в системе здесь и сейчас или происходило некоторое время назад. И если вы не контролируете хотя бы часть инфраструктуры — ответ может вас удивить.

Автор: Иван Сюхин, руководитель группы расследования инцидентов центра исследования Solar 4RAYS ГК «Солар»