Половина критических кибератак в компаниях выявляется только через три месяца после взлома
© Сгенерировано ИИ
Многие организации несвоевременно обнаруживают следы компрометации в своих сетях из-за пассивного подхода к защите, недостатков систем мониторинга и внутренних операционных сбоев. К таким выводам пришли специалисты «Лаборатории Касперского» по итогам работы сервиса Kaspersky Compromise Assessment в 2025 году.
Сроки пребывания злоумышленников в сети
Согласно собранной статистике, в 31% изученных случаев вредоносная деятельность в ИТ-контурах предприятий продолжалась более трех месяцев. При этом 52% инцидентов с высоким уровнем критичности были выявлены только спустя 90 дней с момента проникновения хакеров. В практике экспертов зафиксирован и экстремальный пример, когда присутствие атакующих оставалось скрытым на протяжении четырех лет.
Проблемы автоматического мониторинга
Существующие защитные инструменты часто не обеспечивают должного уровня контроля. Около 60% угроз были пропущены из-за отсутствия корректных оповещений от используемых средств безопасности, что указывает на избыточное доверие к автоматике без ее правильной настройки и адаптации.
В результате каждый пятый инцидент специалистам приходилось выявлять вручную. Эксперты подчеркивают важность человеческого фактора: аналитикам ИБ необходимо регулярно разбирать даже низкодостоверные алерты, которые обычно игнорируются и остаются без внимания.
Вредоносный софт в резервных копиях
Системы резервного копирования остаются зоной повышенного риска для корпоративной безопасности. Исследование показало, что 40% обнаруженных веб-шеллов незаметно находились внутри бэкапов. Такое скрытое присутствие вредоносного кода приводит к повторному заражению ИТ-ландшафта спустя длительное время после успешной ликвидации последствий первичной атаки, что требует обязательной проверки целостности архивных данных.
Ошибки внутренних коммуникаций
Сбои при обмене информацией внутри компаний негативно влияют на скорость и качество реагирования в 32% случаев. Основными причинами становятся размытые подтверждения действий между командами и потеря внутренней экспертизы из-за текучести кадров.
Для исправления ситуации бизнесу необходимо внедрять жесткие регламенты взаимодействия (OLA), использовать стандартные операционные процедуры (SOP) для документирования процессов, а также проводить регулярные командные тренинги. Сам план ликвидации угроз должен постоянно обновляться на основе актуальных данных о методах киберпреступников.
Экспертная оценка
«Организации сталкиваются не только с внешним давлением, но и со скрытыми внутренними рисками, признаки которых далеко не всегда очевидны, — отметил Виктор Сергеев, руководитель команды реагирования на инциденты „Лаборатории Касперского“. — Регулярный независимый поиск следов компрометации (Compromise Assessment) силами внешних экспертов позволяет своевременно обнаружить взлом, минимизировать риски внезапных тяжелых последствий и повысить общую защищенность бизнеса».
Для повышения устойчивости инфраструктуры «Лаборатория Касперского» рекомендует принять комплекс превентивных мер:
- Проверить качество сбора телеметрии и актуальность действующих правил обнаружения угроз.
- Выделить отдельную группу сотрудников для первичной валидации и разбора всех подозрительных событий с низкой точностью.
- Перейти на круглосуточный проактивный поиск угроз (Threat Hunting) с упором на базовые профили активности и новые хакерские техники.
- Навести порядок в управлении уязвимостями, обеспечить своевременное обновление ПО и ведение логов аудита на важных активах.
- Пересмотреть программы обучения сотрудников, уделив особое внимание рискам использования личных устройств в рабочих целях (BYOD) и утечкам учетных данных.
- Формализовать регламенты OLA и документировать процедуры SOP для исключения коммуникационных провалов между ИТ- и ИБ-командами.
Читайте также: Скрытые ИТ-риски, о которых СЕО узнает слишком поздно
Благодарим за оставленный Вами отзыв! Мы стараемся становиться лучше!

