Заказчик всегда ищет «внутреннего» злоумышленника, даже когда атаковали снаружи

Почему так? давайте разберемся Самые популярные способы взлома в 2026:

  • Все еще фишинг (да ваш работник приложил руку ко взлому, но не специально)
  • Скомпрометированные подрядчики (опять близко к внутреннему, но за атакой все еще стоит внешний злодей
  • Атака снаружи: уязвимости веба, приложений, прочего софта (в тч. 0day), незащищенный Wi-fi, миссконфиги, слабые пароли - в общем доступная среда для хакеров
  • Ну и наконец где-то там один случай на тысячу - уволенный, обиженный или просто жадный сотрудник, который самостоятельно или по наводке вступил в сговор со злоумышленником и намеренно украл данные, запустил ВПО или продал свою учетку в даркнете.

Почему же, часто в качестве первой теории при расследовании инцидента - пострадавшая компания ищет шпиона внутри? Я провел немалое количество проектов по расследованию в роли РП, и слышал этот вопрос примерно в половине случаев: “А кто из наших помог? Кто слил данные?”

Почти никто не спрашивает “как закрыть дыру”, но многие хотят наказать злодея.

Почему так? Да потому, что по аналогии с обычными преступлениями в физическом мире - мы привыкли полагаться на правосудие. Прежде чем нам вернут украденное - нужно наказать вора, т.к. награбленное пока что томится в разделе вещдоков. В инфобезе все работает немного по другому: украденное практически невозможно вернуть, либо его вообще не требуется возвращать. Что действительно необходимо делать - это как можно быстрее возвращать инфраструктуру в рабочее состояние, поднимать бекапы и продолжать работу, ибо простой компании = потери.

Дополнительно: для CISO, у которого утекли данные или легла инфра - всегда стоит вопрос ответственности. Кажется, если быстро найти виноватого, то гнева совета директоров удастся избежать. Справедливости ради: чисто из психологии поимка воришки даст всем участникам процесса больше радости, чем быстрое восстановление инфры. Вот и выходит, что проще всего начать искать виновного внутри себя, потому что внутренний нарушитель - понятный. У него есть имя, должность и возможность получить выговор/увольнение/реальный срок (знаю ровно 1 такой случай). С внешним злоумышленником так не получится. Признать внешний взлом = допустить ответственность самого CISO.

Что с этим делать сейлу/пресейлу/рп любому эксперту, которого прислали промоутировать compromise assessment или стартовать работы по кибер-криминалистике? Возвращать разговор от поиска виноватых в плоскость реальной помощи. А реальная помощь - это собрать логи, проанализировать их, проверить внешний периметр на уязвимости и внутренний - на неверные настройки и недостатки инфры. Может быть, ваш случай как раз один из тысячи и логи приведут расследование к внутреннему злоумышленнику. Но куда вероятнее - что покажут на уязвимый сервис или фишинговое письмо.

P.S. я тут кстати упомянул оч популярное слово - “кибер-криминалистика”. Вот можете кидать в меня тапками, но кажется, что именно оно формирует у заказчика неверные ожидания от работы услуг по борьбе с инцидентами.

#иб #инциденты

Заказчик всегда ищет «внутреннего» злоумышленника, даже когда атаковали снаружи Почему так? давайте разберемся Самые популярные способы взлома в 2026: Все еще фишинг (да ваш работник приложил руку ко... | Сетка — социальная сеть от hh.ru Заказчик всегда ищет «внутреннего» злоумышленника, даже когда атаковали снаружи Почему так? давайте разберемся Самые популярные способы взлома в 2026: Все еще фишинг (да ваш работник приложил руку ко... | Сетка — социальная сеть от hh.ru