Москва
Мероприятия
Блог
Войти
main-bg
Блог

Как понять, что вашу инфраструктуру уже взломали


Степан Панфилов, ведущий аналитик инцидентов ИБ UserGate

Степан Панфилов,
ведущий аналитик инцидентов ИБ UserGate

Иван Князев, аналитик инцидентов ИБ UserGate

Иван Князев,
аналитик инцидентов ИБ UserGate

Чем дольше злоумышленник остается незамеченным в инфраструктуре, тем серьезнее последствия кибератаки. В профессиональной среде этот период называют временем ожидания, или dwell time. Это время может измеряться годами. Все зависит от цели атакующего и от того, насколько хорошо компания, ставшая целью взлома, умеет замечать скрытые следы чужого присутствия.

Организации по-разному подходят к решению этой проблемы: кто-то внедряет проактивный мониторинг инфраструктуры, кто-то проводит регулярные разовые проверки, а кто-то в спешке ищет экспертов уже после подтвержденной атаки.

Именно вокруг поиска злоумышленников выстроена комплексная проверка ИТ-инфраструктуры на наличие следов текущего или прошлого присутствия злоумышленников — оценка компрометации или Compromise Assessment.

При этом важно понимать, что Compromise Assessment — не панацея и не замена глубокому расследованию. Даже самый тщательный поиск признаков компрометации покрывает примерно 80% типовых атак. Но для многих компаний, особенно тех, кто не знает, с чего начать, или находится в состоянии паники после неподтвержденных слухов об утечке, именно такой подход становится первым и самым логичным шагом.

Как правило, собственными силами такую проверку провести сложно: у штатных администраторов не хватает времени, а у организации — специализированных инструментов и наработанных методик. Поэтому на практике Compromise Assessment чаще выполняют внешние компании, специализирующиеся на анализе инцидентов и компьютерной криминалистике.

В этой статье мы разберем, чем отличается проверка на скрытую компрометацию от пентеста и оценки уязвимостей, в каких ситуациях она действительно нужна и как устроены три уровня глубины анализа.

Оценка уязвимостей, пентест и оценка компрометации — в чем разница?

Оценка уязвимостей (Vulnerability Assessment)

Пентест (Penetration Testing)

Оценка компрометации (Compromise Assessment)

В каких ситуациях нужна проверка на скрытую компрометацию

Неподтвержденная утечка информации

Отсутствие средств защиты/их внедрение с нуля

Средства защиты есть, но их некому анализировать

Шантаж и письма о взломе

Как устроен Compromise Assessment: три уровня глубины

Уровень первый — активный мониторинг (Health Check)

Уровень второй — целенаправленный сбор артефактов (Smart Triage)

Уровень третий — компьютерная криминалистика

Соотношение всех трех уровней между собой

Результаты Compromise Assessment и их значение

Общее описание исследованной инфраструктуры

Выявление аномальных процессов и нежелательного программного обеспечения

Индикаторы компрометации (IOC)

Направления, требующие более детальной проверки

Рекомендации по устранению выявленных проблем

Направление для дальнейшего расследования

Итоги

Оценка уязвимостей, пентест и оценка компрометации — в чем разница?

В информационной безопасности сегодня существует целый спектр услуг — от превентивной защиты и управления уязвимостями до реагирования на инциденты. И каждая из них связана с решением строго определенных задач. Чтобы понять место Compromise Assessment, полезно сравнить ее с двумя другими распространенными подходами: оценкой уязвимостей и пентестом.

Оценка уязвимостей (Vulnerability Assessment)

Этот подход отвечает на вопрос: «Какие известные уязвимости существуют?» Если говорить совсем просто — «что потенциально может быть сломано». Здесь речь идет исключительно о слабых местах в инфраструктуре без привязки к тем или иным видам атак или атакующих. Это целостный взгляд на систему и ее потенциальные уязвимости.

Пентест (Penetration Testing)

Пентест занимается поиском ответа на ключевой вопрос: «Могут ли злоумышленники проникнуть внутрь и как именно?» Здесь моделируются практические атаки. Пентест проводится при условии, что заказчик знает о проверке и все средства защиты — тоже. Это не скрытое тестирование, а контролируемый процесс. Пентест выявляет и показывает конкретный путь взлома.

Оценка компрометации (Compromise Assessment)

Как уже говорилось выше, Compromise Assessment занимается решением наиболее злободневного вопроса — выяснением, есть ли на данный момент в инфраструктуре скомпрометированные активы.

Подходы к оценке защищенности инфраструктуры: оценка уязвимостей, пентест, оценка компрометации

Оценка уязвимостей отвечает на вопрос: что теоретически могут взломать?

Пентест отвечает на вопрос: могут ли взломать в принципе и как именно?

Compromise Assessment отвечает на вопрос: взломали ли уже инфраструктуру? Есть ли активная угроза прямо сейчас?

В каких ситуациях нужна проверка на скрытую компрометацию

Очень часто у компаний нет конкретных доказательств взлома, но нет и уверенности в их отсутствии. Compromise Assessment помогает проверить реальное положение дел.

Неподтвержденная утечка информации

Одна из самых частых ситуаций. Где-то в даркнете, на форумах или в мессенджерах появляется информация о том, что компания взломана. Иногда такую неприятную новость приносит кто-то из контрагентов или партнеров. При этом нет никакой конкретики о том, какие данные были украдены или как именно произошел взлом. Есть только слухи и ничего, кроме слухов.

Для того чтобы подтвердить или опровергнуть правдивость полученных сведений, требуется быстрая проверка на скрытую компрометацию.

Отсутствие средств защиты/их внедрение с нуля

Ситуация, когда в компании нет или почти нет адекватных средств защиты информации. Прежде чем устанавливать новые, современные системы защиты (например, EDR, NGFW и т.п.), важно понять: а есть ли кто-то в сети уже сейчас? Для этого нужно провести быструю проверку и убедиться, что на данном этапе никто не сидит в инфраструктуре. Затем можно приступать к внедрению защиты, не опасаясь за ее эффективность.

Средства защиты есть, но их некому анализировать

Еще один распространенный случай — в компании установлены средства защиты, возможно, даже с полным покрытием и сбором событий, но за все отвечают один или два администратора, у которых поверх задач по защите есть еще десятки других обязанностей. Ресурсов и времени на глубокий анализ просто нет. Системы выявляют события и сохраняют данные о них, но эту информацию никто не анализирует. В такой ситуации проверка на скрытую компрометацию становится одним из существенных и оправданных способов контроля.

Шантаж и письма о взломе

Многие организации регулярно сталкиваются с письмами, где неизвестные требуют выкуп, утверждая, что компания взломана, данные украдены, но ссылки на эти доказательства либо отсутствуют, либо ведут на нечто невнятное. Это классический шантаж. Тем не менее, в такой ситуации имеет смысл провести проверку. Хотя бы для того, чтобы с уверенностью сказать: «нет, нас не взламывали, это мошенники».

Ситуации, при которых нужна проверка на скрытую компрометацию

Как устроен Compromise Assessment: три уровня глубины

Ключевая идея проверки на наличие скрытой компрометации очень проста: движение от общего к частному. На практике это означает широкий охват инфраструктуры с последующим точечным углублением там, где это необходимо. Весь процесс выстраивается в трехуровневую систему, где каждый последующий уровень требует больше ресурсов, времени и экспертизы, но дает более точный и детальный ответ.

Российская экосистема для защиты ИТ-инфраструктуры:

от сетевого периметра до конечных устройств и анализа угроз.

Уровень первый — активный мониторинг (Health Check)

Это самый быстрый и наименее инвазивный этап. На данном уровне не идет речи об EDR-решениях или полноценном сборе всех событий. Используются легковесные агенты, основная цель которых — сбор оперативной телеметрии. Агенты устанавливаются на целевые системы (на базе ОС Windows или Unix-подобные) и находятся в инфраструктуре ограниченное время — обычно 1-3 дня.

На этом уровне в первую очередь собирается информация о запущенных процессах, их сетевых соединениях, а также другая «легковесная» телеметрия. Это не глубокий анализ, а скорее быстрый срез того, что происходит в системе прямо сейчас. По окончании сбора телеметрия выгружается и направляется на анализ.

Первый уровень позволяет ответить в режиме реального времени на базовый вопрос: есть ли в сети откровенно вредоносная или подозрительная активность.

Уровень второй — целенаправленный сбор артефактов (Smart Triage)

Если первый уровень показал, что некоторые активы требуют более пристального внимания, или если изначально важно проанализировать критические системы, наступает очередь второго уровня. Здесь речь идет уже не о текущей телеметрии, а об исторических данных. Smart Triage — это целенаправленное извлечение определенных артефактов, которые помогают аналитику быстро и точно представить реальную ситуацию.

Что может входить в такой набор? Для операционных систем семейства Windows это, например, информация о запускаемых приложениях (Prefetch), следы инвентаризации программ (Amcache), база WMI, системные и пользовательские кусты реестра, различные системные логи и журналы.

Важно! Хотя Compromise Assessment позиционируется как ответ на вопрос «скомпрометирована ли система прямо сейчас», на втором уровне все равно добавляется немного истории. Это необходимо, чтобы показать полноту картины и не пропустить следы недавней, но уже завершившейся аномальной активности.

Второй уровень не требует глубокой компьютерной криминалистики, но дает существенно больше информации, чем простой мониторинг процессов.

Уровень третий — компьютерная криминалистика

Третий уровень применяется в исключительных случаях — когда речь идет о суперважных активах, где необходима максимальная точность и полное понимание того, что происходило на системе: бухгалтерия, сервер с персональными данными или иная критическая система, где ошибка недопустима. Здесь подключается глубокая криминалистика.

На этом уровне специалисты работают с побитовыми копиями дисков, образами виртуальных машин или напрямую с физическими носителями. Это позволяет заглянуть туда, куда не достают первые два уровня: поиск удаленной информации в свободном пространстве, выявление следов давно засевшего бэкдора, который не проявляет себя в активных процессах.

Важно! Даже самая глубокая криминалистика не дает 100% гарантии, если глубина хранения исторических данных невелика или журналы событий не архивировались.

Три уровня глубины Compromise Assessment

Соотношение всех трех уровней между собой

Перечисленные уровни не обязательно проходить один за другим. Возможны разные сценарии:

  • Если у компании нет средств защиты и нужно просто проверить, нет ли в инфраструктуре посторонних, можно ограничиться первым уровнем.
  • Если нужна более детальная картина без погружения в криминалистику, то добавляется второй уровень.
  • Если требуется абсолютная точность на ограниченном наборе активов — применяется третий уровень.

При этом даже полный трехуровневый Compromise Assessment не закрывает вопрос на 100%. Такая проверка покрывает примерно 80% от всех возможных атак. Если же требуется полностью убедиться в отсутствии компрометации или, напротив, осуществить детальное расследование уже подтвержденного инцидента — тогда компьютерная криминалистика выступает уже не как третий уровень Compromise Assessment, а как самостоятельная, гораздо более глубокая дисциплина.

Результаты Compromise Assessment и их значение

После завершения проверки на наличие скрытой компрометации заказчик получает структурированный набор сведений, которые позволяют принимать дальнейшие решения.

Общее описание исследованной инфраструктуры

Первое, что фиксируется в итогах — описание того, что именно было исследовано: какие системы, в каком объеме, с применением каких методов и на протяжении какого времени. Эта информация важна не только для отчетности, но и для того, чтобы помочь лучше понять инфраструктуру, осознать, куда именно были установлены агенты и какие активы попали в зону проверки.

Выявление аномальных процессов и нежелательного программного обеспечения

Главная практическая ценность проверки — обнаружение того, чего в здоровой системе быть не должно:

  • вредоносные процессы (например, известные образцы ВПО);
  • легитимное программное обеспечение, используемое для удаленного администрирования, которое не должно быть в системе согласно политикам организации;
  • аномальная активность — процессы, которые аналитики воспринимают как подозрительные, даже если они не являются однозначно вредоносными.

Индикаторы компрометации (IOC)

Если в ходе проверки обнаружены признаки компрометации, формируются ее индикаторы — набор данных в табличной форме.

Типичные IOC включают:

  • сетевые соединения (IP-адреса, домены);
  • пути к файлам (полные пути с именами или директориями);
  • контрольные суммы (хэши) файлов.

Эти индикаторы имеют двойную ценность. Во-первых, они позволяют потом самостоятельно проверить другие сегменты инфраструктуры, не привлекая внешних экспертов. Во-вторых, они становятся основой для дальнейшего расследования — если принято решение его проводить.

Направления, требующие более детальной проверки

Проверка может выявить проблемные места инфраструктуры. Например, что сеть плохо сегментирована, что без должного контроля используется программное обеспечение для удаленного доступа или отсутствует актуальная инвентаризация не только активов, но и разрешенного ПО.

Такие наблюдения оформляются как рекомендации: на какие зоны стоит обратить внимание в первую очередь, какие процессы требуют пересмотра, где необходимо провести углубленное исследование.

Рекомендации по устранению выявленных проблем

Если найдены конкретные уязвимые места или аномалии, формируются практические рекомендации по их устранению. Это точечные указания, связанные с выявленными фактами.

Направление для дальнейшего расследования

Самый важный результат — это четкое указание на то, что делать дальше. Если проверка показала, что система скомпрометирована, услуга Compromise Assessment на этом завершается, но ее результатом является не просто констатация факта, а понимание, что в дальнейшем необходимо полноценное расследование инцидентов с привлечением компьютерной криминалистики.

Результаты Compromise Assessment

Итоги

Скрытое присутствие злоумышленников в сети — реальность, с которой сталкиваются многие организации. Dwell time может исчисляться годами, и чем дольше атакующий остается незамеченным, тем серьезнее потенциальный ущерб. Compromise Assessment — это инструмент, который позволяет регулярно (раз в полгода или раз в год) проводить генеральную уборку инфраструктуры и отвечать на главный тревожный вопрос: есть ли кто-то чужой в сети прямо сейчас.

Такие проверки требуют специальных знаний, поэтому их проводят не внутренние ИТ-отделы, а компании, которые специализируются на подобных услугах. Обращение к таким компаниям позволяет получить независимый взгляд на внутреннюю инфраструктуру и ее безопасность. Результатом становится полноценная документация результатов, которую затем можно использовать для отчетности перед руководством или регуляторами.

Compromise Assessment не решает всех проблем безопасности, но он дает ответ там, где другие подходы (оценка уязвимостей и пентест) бессильны: он не спрашивает «что может быть сломано» и «могут ли взломать», а прямо проверяет — взломали уже или нет. И для многих компаний это именно та информация, с которой начинается реальное понимание собственной защищенности.

Информация, представленная на сайте, носит исключительно справочный и ознакомительный характер, не предназначена для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности и не ориентирована на потребителей по смыслу Федерального закона от 24.06.2025 № 168-ФЗ.

Новости, истории и события
Смотреть все
Test IT («Девелоника» fabricaONE.AI, акционер – ГК Softline) выпустила новую версию 5.8 Fornax с поддержкой MCP
Новости

Test IT («Девелоника» fabricaONE.AI, акционер – ГК Softline) выпустила новую версию 5.8 Fornax с поддержкой MCP

07.07.2026

Группа «Борлас» (ГК Softline) и НИУ МГСУ объединяют усилия в развитии технологий ИИ и цифровизации строительства
Новости

Группа «Борлас» (ГК Softline) и НИУ МГСУ объединяют усилия в развитии технологий ИИ и цифровизации строительства

07.07.2026

«Инферит» (кластер «СФ Тех» ГК Softline) и Агентство цифрового развития объявили о сотрудничестве
Новости

«Инферит» (кластер «СФ Тех» ГК Softline) и Агентство цифрового развития объявили о сотрудничестве

07.07.2026

ПАО «Софтлайн» сообщает о ходе исполнения обязательств в рамках сделки по приобретению Bell Integrator
Новости

ПАО «Софтлайн» сообщает о ходе исполнения обязательств в рамках сделки по приобретению Bell Integrator

06.07.2026

«Девелоника» (fabricaONE.AI, акционер – ГК Softline) представила Девелоника-GPT: защищенный контур, сохранение экспертизы и минимум рутины
Новости

«Девелоника» (fabricaONE.AI, акционер – ГК Softline) представила Девелоника-GPT: защищенный контур, сохранение экспертизы и минимум рутины

06.07.2026

ГК Softline заняла первое место среди крупнейших ИТ-поставщиков в российском ритейле
Новости

ГК Softline заняла первое место среди крупнейших ИТ-поставщиков в российском ритейле

06.07.2026

Российский вендор «Инферит» (кластер «СФ Тех» Softline) стал партнером МГК «Информпроект»
Новости

Российский вендор «Инферит» (кластер «СФ Тех» Softline) стал партнером МГК «Информпроект»

06.07.2026

ГК Softline и Российский федеральный центр судебной экспертизы имени профессора А.Р. Шляхова при Минюсте России договорились о сотрудничестве
Новости

ГК Softline и Российский федеральный центр судебной экспертизы имени профессора А.Р. Шляхова при Минюсте России договорились о сотрудничестве

02.07.2026

«Софтлайн Решения» (ГК Softline) запускает «Софтлайн Цифровой Актив» – экосистему для управления ИТ-закупками и поддержки в едином окне ПО и оборудования
Новости

«Софтлайн Решения» (ГК Softline) запускает «Софтлайн Цифровой Актив» – экосистему для управления ИТ-закупками и поддержки в едином окне ПО и оборудования

01.07.2026

MAINTEX fabricaONE.AI (акционер - ГК Softline) и «Квант Программ» объединяют компетенции в области предиктивной диагностики промышленного оборудования
Новости

MAINTEX fabricaONE.AI (акционер - ГК Softline) и «Квант Программ» объединяют компетенции в области предиктивной диагностики промышленного оборудования

30.06.2026

Visitech fabricaONE.AI (акционер - ГК Softline) добавила в ИСОБР новый модуль для автоматизации СОУТ и управления производственными рисками
Новости

Visitech fabricaONE.AI (акционер - ГК Softline) добавила в ИСОБР новый модуль для автоматизации СОУТ и управления производственными рисками

29.06.2026

Акционеры ПАО «Софтлайн» в ходе Годового общего собрания приняли решение впервые выплатить дивиденды
Новости

Акционеры ПАО «Софтлайн» в ходе Годового общего собрания приняли решение впервые выплатить дивиденды

26.06.2026

ГК Softline и НГТУ НЭТИ объединяют усилия в подготовке ИТ-кадров
Новости

ГК Softline и НГТУ НЭТИ объединяют усилия в подготовке ИТ-кадров

25.06.2026

Bell Integrator FabricaONE.AI (акционер – ГК Softline) обеспечил доступность 99,99% критичным сервисам ведущего банка
Новости

Bell Integrator FabricaONE.AI (акционер – ГК Softline) обеспечил доступность 99,99% критичным сервисам ведущего банка

25.06.2026

ENTERCHAIN fabricaONE.AI  (акционер – ГК Softline) помогла компании Greiner повысить компетенции в управлении цепочками поставок и развитии процессов планирования на российских производственных площадках
Новости

ENTERCHAIN fabricaONE.AI (акционер – ГК Softline) помогла компании Greiner повысить компетенции в управлении цепочками поставок и развитии процессов планирования на российских производственных площадках

24.06.2026

СберТех и fabricaOne.AI (акционер - ГК Softline) предложат рынку корпоративные решения для работы с данными
Новости

СберТех и fabricaOne.AI (акционер - ГК Softline) предложат рынку корпоративные решения для работы с данными

24.06.2026

Софтлайн Решения (ГК Softline) и компания «Перспективный мониторинг» открыли киберполигон Ampire в Краснодарском университете МВД России
Новости

Софтлайн Решения (ГК Softline) и компания «Перспективный мониторинг» открыли киберполигон Ampire в Краснодарском университете МВД России

23.06.2026

ГК Softline и ГК «Аквариус» объединяют усилия для обеспечения технологической независимости госсектора и предприятий
Новости

ГК Softline и ГК «Аквариус» объединяют усилия для обеспечения технологической независимости госсектора и предприятий

23.06.2026

Как понять, что вашу инфраструктуру уже взломали
Блог

Как понять, что вашу инфраструктуру уже взломали

08.07.2026

«Железо» без дефицита: российские компьютеры на базе DDR5
Блог

«Железо» без дефицита: российские компьютеры на базе DDR5

03.07.2026

PAM-системы в 2026 году: от хранилища паролей до интеллектуального щита для инфраструктуры
Блог

PAM-системы в 2026 году: от хранилища паролей до интеллектуального щита для инфраструктуры

02.07.2026

Аутсорсинг ИТ. 10 задач, которые выгоднее передать внешнему партнеру
Блог

Аутсорсинг ИТ. 10 задач, которые выгоднее передать внешнему партнеру

26.06.2026

Как быстро купить лицензионное ПО: пошаговая инструкция
Блог

Как быстро купить лицензионное ПО: пошаговая инструкция

25.06.2026

Почему промышленный ИИ остается локальным инструментом — и что с этим делать
Блог

Почему промышленный ИИ остается локальным инструментом — и что с этим делать

18.06.2026

Новые ИТ-льготы и запреты, ИИ в судах, дроны в медицине, контроль чипов и возвращение Roblox
Блог

Новые ИТ-льготы и запреты, ИИ в судах, дроны в медицине, контроль чипов и возвращение Roblox

11.06.2026

Облако на OpenStack: готовая замена VMware для бизнеса и госсектора
Блог

Облако на OpenStack: готовая замена VMware для бизнеса и госсектора

09.06.2026

ТОП-5 российских систем видеоконференцсвязи в 2026 году: сравнение особенностей и преимуществ
Блог

ТОП-5 российских систем видеоконференцсвязи в 2026 году: сравнение особенностей и преимуществ

04.06.2026

Как выбрать систему инвентаризации, учета и контроля ИТ-инфраструктуры: обзор 5 российских решений
Блог

Как выбрать систему инвентаризации, учета и контроля ИТ-инфраструктуры: обзор 5 российских решений

01.06.2026

Главные ИТ-новости недели 29.05.2026
Блог

Главные ИТ-новости недели 29.05.2026

29.05.2026

ИИ в образовании 2026: практика, инфраструктура, регулирование
Блог

ИИ в образовании 2026: практика, инфраструктура, регулирование

22.05.2026

Управление программными активами (SAM) — как эффективно распоряжаться ИТ-активами, избежать штрафов и выполнить требования регуляторов
Блог

Управление программными активами (SAM) — как эффективно распоряжаться ИТ-активами, избежать штрафов и выполнить требования регуляторов

19.05.2026

Как меняется инфраструктура образования: опыт российских школ
Блог

Как меняется инфраструктура образования: опыт российских школ

13.05.2026

Главные ИТ-новости недели 08.05.2026
Блог

Главные ИТ-новости недели 08.05.2026

08.05.2026

Электронные подписи в 2026: получить по биометрии, обновить «КриптоПро» и избежать штрафов
Блог

Электронные подписи в 2026: получить по биометрии, обновить «КриптоПро» и избежать штрафов

06.05.2026

Как сократить расходы на облачную инфраструктуру: распределение нагрузок на практике
Блог

Как сократить расходы на облачную инфраструктуру: распределение нагрузок на практике

29.04.2026

ИТ-инфраструктура: как бизнес решает задачи отказоустойчивости и импортозамещения
Блог

ИТ-инфраструктура: как бизнес решает задачи отказоустойчивости и импортозамещения

22.04.2026