Если раньше внимание в кибербезопасности сосредотачивалось на внешнем периметре, то сегодня поле битвы сместилось внутрь — к учётным записям, привычкам сотрудников и инфраструктурным «зазорам». Реальные тесты на проникновение – то, что отделяет теорию защиты от её реального состояния. По данным Отчёта Code Red 2026 от Positive Technologies – «Актуальные киберугрозы для российских организаций», специалисты PT SWARM регулярно воспроизводят типовые сценарии атак, чтобы показать: хакеры не ждут сложных технологий — они используют то, что компании недооценивают.
Первый пример из практики PT SWARM — проникновение в корпоративный VPN (виртуальная частная сеть). Используя данные из открытых источников и уязвимости веб-приложений, специалисты шаг за шагом комбинировали методы: подбор паролей, атаку Push Bombing («взрыв push-уведомлений»), эксплуатацию человеческого фактора. Путь к целевой системе начался с мелочей — учётных данных, найденных в открытом доступе. Через уязвимость в системе управления контентом (CMS) специалисты получили новые пароли, затем — доступ к адресной книге сотрудников и, наконец, к инструкции по подключению к корпоративному VPN. Ключевым моментом стала атака Push Bombing: злоумышленник отправляет пользователю поток запросов на подтверждение входа, пока тот не нажмёт «разрешить» из усталости или неосмотрительности. Так атака на человека становится атакой на систему. Вывод: даже совершенная технология двухфакторной аутентификации бессильна, если человек не понимает, как ей пользоваться. Именно поэтому российские компании всё чаще делают ставку на обучение сотрудников, а не только на закупку систем защиты.
Иногда атака начинается не в сети, а за офисной дверью. Во время мероприятий, когда в помещения получают доступ посторонние, риск резко возрастает. На конкурсах социальной инженерии SEQuest, проводимых на Positive Hack Days в 2024–2025 годах, участники показывали, как легко можно обойти охрану, получить доступ к ноутбукам или даже серверным стойкам. Кибербезопасность всё чаще понимается не как «айтишная», а как корпоративная дисциплина: от регламентов до физической инфраструктуры. Российские компании уже начали внедрять такие подходы комплексно, соединяя безопасность ИТ и офлайн-процессов.
В другом кейсе PT SWARM показали, как поддельная точка доступа Wi‑Fi превращается в «ловушку доверия». Используя атаку Evil Twin («злой близнец»), специалисты создают копию реальной сети. Сотрудники, не заметив подмены, подключаются к ней и сами передают свои учётные данные. Эти данные становятся ключом к корпоративной сети. В одном из сценариев специалисты даже проникли в офис во время мероприятия, нашли забытый ноутбук и через туннель (Secure Shell Forwarding, SSF) вывели данные на внешние устройства. Меры противодействия: переход на протокол аутентификации EAP‑TLS (расширяемый протокол аутентификации по сертификатам), принцип минимальных привилегий и регулярный мониторинг сетей. Эти меры кажутся формальными, но именно они снижают вероятность атаки в разы.
Наибольший ущерб приносит захват домена — центрального элемента корпоративной инфраструктуры. В 44% случаев, по данным PT SWARM, злоумышленникам хватало менее 10 шагов для получения максимальных прав. Чаще всего всё начиналось с одного файла, хранившегося в открытом виде: PowerShell-сценарий с учётной записью администратора или старый сертификат с уязвимой конфигурацией. Через эксплойт уязвимости Active Directory (службы каталогов Microsoft) тестировщики запрашивали Ticket Granting Ticket – пропуск, открывающий путь к контроллеру домена. После этого доступ к системе становился абсолютным: от конфиденциальных данных до финансовых потоков. Парадокс в том, что 79% атак PT SWARM завершались успехом в течение четырёх часов после получения контроля над доменом. Это время сравнимо с обеденным перерывом – показатель, который трудно игнорировать.
В половине протестированных компаний специалисты нашли устаревшее программное обеспечение, а у 42% – критические уязвимости возрастом более десяти лет. Это говорит не о небрежности, а о сложности обновления корпоративных систем. В России, где доля собственных решений растёт, компании постепенно переходят к регулярным аудитам безопасности и внедряют внутренние процессы DevSecOps — интеграции защиты в цикл разработки.
Каждый третий успешный сценарий атаки PT SWARM начинался с компрометации легитимных учётных данных. Техника Valid Accounts («действительные учётные записи») применялась в 34% случаев при закреплении в сети, а Pass the Hash («передача хэша») – в 39% случаев при повышении привилегий.
Основная причина — небезопасное хранение данных и повторное использование паролей. Эта проблема встречается у 85% компаний. Решение здесь не в дорогих продуктах, а в культуре: обучение, регулярная смена паролей, централизованное управление учётными записями и политика нулевого доверия (Zero Trust).
Опыт PT SWARM подтверждает: устранение даже базовых проблем поднимает уровень защищённости выше среднего. 57% компаний поддаются атакам низкой сложности — а значит, первые шаги дают непропорционально высокий результат. Благодаря распространению автопентестов и сканеров уязвимостей, базовая киберзащита становится доступной всем — от малого бизнеса до банков. В России этот процесс идёт быстро: отечественные решения уровня VM-платформ (виртуальных машин) уже интегрируются в корпоративные процессы безопасности. В 2026 году роль автоматических инструментов возрастает, но они не заменят экспертизу. Сложные атаки требуют ручного анализа, red teaming (имитации реальных атак) и глубокого тестирования бизнес-логики приложений. Здесь на первый план выходят именно российские команды специалистов, сочетающие инженерное мышление и понимание человеческого фактора.
Главный урок кейсов PT SWARM — устойчивость строится не на «железе», а на культуре. Российские компании всё чаще рассматривают безопасность не как затрату, а как показатель зрелости. От обучения пользователей до регулярных red-team-испытаний — именно этот переход делает цифровую среду устойчивее. Технологии могут устареть, но внимательность и системность – никогда.
