Центр мониторинга информационной безопасности УЦСБ SOC представил на ЦИПР-2026 отчет «Ландшафт киберугроз 2025/2026: тренды, атаки, уязвимости». Согласно данным из документа, не менее 30% всех известных кибератак в 2025 году совершены через взлом подрядчиков. Атаки через доверительные отношения (Trusted Relationship) с подрядчиками стали ключевым трендом 2025 года, который уже получил продолжение в начале 2026 года, став одним из факторов, которые будут определять ландшафт угроз в будущем.
Редакция блога «Игнатий Цукергохер» вместе с экспертами из российских ИБ-компаний Singleton Security, «Бастион», «Газинформсервис», BI.ZONE и «Гарда» разобрала, насколько глобальный тренд на атаки через подрядчиков и атаки на цепочки поставок, как изменилась специфика атак, какие ошибки при работе с подрядчиками допускают организации и другие ключевые вопросы.
Самое главное — в конце статьи вы найдете рекомендации практиков о том, как компаниям снизить риски компрометации.
Рост Trusted Relationship — глобальный тренд
Тренд на Trusted Relationship подтверждает исполнительный директор Singleton Security Мартун Минасян. По мнению эксперта, уровень ИБ у большинства крупных заказчиков постепенно растет, но атаки через цепочку поставок и доверенных подрядчиков по-прежнему позволяют злоумышленникам проникать даже в хорошо защищенные организации.
Опыт компании «Бастион» в расследовании инцидентов также указывает на то, что в 2025 году не менее 30% подтвержденных кибератак на российские компании произошло через компрометацию подрядчиков, рассказал Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.
«Мы предполагаем, что в 2026 году атаки через подрядные организации останутся одним из трех наиболее частых векторов получения первоначального доступа. При этом более распространенным вектором с высокой вероятностью окажется эксплуатация уязвимостей веб-приложений, поскольку динамика обнаружения слабых мест в защите за счет использования больших языковых моделей растет», — поделился Семен Рогачев.
Владислав Шелепов, аналитик угроз GSOC компании «Газинформсервис», указал,что тренд выглядит вполне закономерно: в последние годы сценарий стал особенно заметным из-за высокой зависимости компаний от внешних ИТ-команд. Импортозамещение, большое количество внедрений, миграций, срочных доработок — все это часто делается с привлечением подрядчиков. Чем больше «внешних рук» в инфраструктуре, тем больше точек, через которые можно зайти.
В 2026 году атаки через подрядчиков останутся в числе ключевых угроз: зависимость компаний от сторонних решений и услуг продолжает расти, продолжаются уже запущенные процессы, в том числе импортозамещение, появляются и новые зоны риска.
Данные BI.ZONE DFIR также подтверждают этот тренд, указал Владимир Гришанов, руководитель BI.ZONE Compromise Assessment. В 2025 году около 30% всех расследованных инцидентов начинались с компрометации подрядчиков, имеющих легитимный доступ к инфраструктуре клиента. Это вдвое больше, чем годом ранее: в 2024-м аналогичный показатель составлял порядка 15%.
Согласно исследованию Threat Zone 2026 и прогнозу специалистов BI.ZONE DFIR и BI.ZONE Compromise Assessment, проникновение через подрядчиков — один из ключевых векторов атак. Эксперты BI.ZONE ожидают, что этот тренд сохранится: злоумышленники будут целенаправленно искать наиболее уязвимых IT-аутсорсеров, разработчиков ПО и поставщиков облачных сервисов.
По данным BI.ZONE PAM, 1 из 3 масштабных инцидентов в 2025 году связан с атаками через доверенных подрядчиков, указал Иван Рогалев, руководитель BI.ZONE ZTNA. В 2026 году этот риск сохранится. Компании зависят от внешних команд, интеграторов и сервисных организаций, но доступы подрядчиков не всегда контролируются так же внимательно, как доступы штатных сотрудников. Они могут действовать дольше, чем нужно, охватывать больше систем, чем требуется, и пересматриваться уже после инцидента.
Trusted Relationship и Supply chain: причины популярности
«Здесь важно сразу уточнить терминологию, которую нередко смешивают», — пояснил Владимир Гришанов. Классическая атака на цепочку поставок представляет собой внедрение вредоносного кода в легитимное ПО на этапе разработки или распространения. В российских компаниях эксперты BI.ZONE чаще всего наблюдают другой сценарий — атаки через доверенные отношения (trusted relationship). Злоумышленники компрометируют подрядчика, у которого уже есть легитимный доступ к инфраструктуре заказчика, и используют этот доступ как плацдарм, не внедряя вредоносное ПО. Именно здесь и кроются системные ошибки организаций:
- Избыточные привилегии — подрядчику выдается широкий доступ «на всякий случай», без ограничения по сети, времени и конкретным задачам.
- Отсутствие мониторинга учетных записей подрядчика — действия внешних пользователей в тестовом сегменте не логируются или не анализируются, вследствие чего аномалия остается незамеченной.
- Постоянный, а не сессионный доступ — VPN или учетные данные выданы бессрочно и не отзываются после завершения работ.
- Неверифицированная инфраструктура подрядчика — организации не предъявляют требований к уровню защищенности своих поставщиков и не проверяют их выполнение.
Низкий уровень ИБ у многих подрядчиков и консалтинговых компаний — одна из причин роста числа Trusted Relationship атак, указывает Мартун Минасян. Компании, оказывающие ИТ-услуги, нередко работают на грани рентабельности и физически не могут вкладывать значительные средства в развитие собственной ИБ.
В результате организация с развитой ИТ-инфраструктурой и серьезным уровнем защиты может иметь множество подрядчиков, которые почти не занимаются киберзащитой инфраструктуры.
Подрядчики могут иметь сервисные учетные записи, средства удаленного администрирования, привилегированные доступы, которые часто выдают под конкретный проект, а потом просто забывают отозвать, указал Владислав Шелепов. Для атакующего это готовый вход в целевую компанию, причем часто более простой и менее заметный, чем прямой взлом периметра.
Иван Рогалев также отметил, что проблемы начинаются, когда у подрядчика сохраняется постоянный удаленный доступ, права выданы с запасом, вход защищен только паролем, а одной учетной записью пользуются несколько специалистов. В такой ситуации компрометация подрядчика быстро становится инцидентом у заказчика.
«Есть и отдельная сложность с устройствами. Подрядчики не всегда готовы устанавливать на свои компьютеры агенты EDR, MDM или другое ПО клиента. Это не обязательно нарушение с их стороны: у подрядчика могут быть собственные правила безопасности, несколько заказчиков и ограничения на установку сторонних средств контроля.
Но для заказчика риск от этого не исчезает. Если устройство нельзя проверить напрямую, нужно строже ограничивать сам доступ: кто подключается, к каким ресурсам, на какой срок, с какими правами и под каким мониторингом. В этом и состоит практическая роль удаленного доступа по модели нулевого доверия (zero trust network access, ZTNA)», — рассказал Иван Рогалев.
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности компании «Гарда», выделил сразу несколько факторов роста популярности Trusted Relationship атак:
- Период самоизоляции 2020 года потребовал от бизнеса активного использования инструментов и сервисов удаленного доступа.
- Дефицит квалифицированных кадров закрепил тренд на привлечение специалистов на дистанционной основе.
- Высокая стоимость и ограниченный ассортимент оборудования подталкивают компании к использованию облачных сервисов. При этом атака в зоне пересечения ответственности ИТ- и ИБ-команд разных компаний зачастую оказывается результативнее, чем попытка взломать встроенную внутри одной организации систему защиты.
- Реализация требований регуляторов в области обеспечения ИБ — фиксируемый рост атак на цепочки поставок связан не только с тем, что атак стало больше, но и с тем, что их стали чаще обнаруживать.
Чаще всего при работе с подрядчиками компании допускают ошибки при разграничении доступа, дают избыточные привилегии, недостаточно оперативное обнаружение вредоносных действий в инфраструктуре, указывает Мартун Минасян.
Многие компании до сих пор не умеют полноценно использовать средства контроля доступа класса PAM. Из-за этого подрядчики могут получать больше прав, чем им действительно необходимо, а их действия в инфраструктуре отслеживаются недостаточно внимательно.
Еще одна большая ошибка при работе с подрядчиками, по мнению Владислава Шелепова — предоставление внешним компаниям внутреннего уровня доверия без должного контроля:
«Это проявляется в постоянных доступах, общих сервисных УЗ, избыточных правах, отсутствии многофакторной аутентификации, слабом контроле действий администраторов и несвоевременном отзыве доступов после завершения работ. Также зачастую у компаний отсутствует полная картина подрядных связей, то есть они знают, с кем у них заключены договоры, но не всегда понимают, через какие конкретно учетные записи, узлы, инструменты, каналы подрядчик фактически имеет доступ к инфраструктуре», — дополнил Владислав Шелепов.
Как изменилась тактика Trusted Relationship и Supply chain атак в российском сегменте
Мартун Минасян отметил смещение вектора supply chain атак в сторону компрометации публичных репозиториев, в особенности — свободного ПО (open source). Злоумышленники внедряют вредоносный код в популярные пакеты и библиотеки, после компрометации которых разработчики автоматически наследуют скрытые уязвимости или бэкдоры. Яркие примеры — массовая компрометация npm-пакетов, включая TanStack и утилиты вокруг Mistral AI, а также скоординированные атаки на репозитории GitHub.
Владислав Шелепов указал на рост роли предварительной разведки злоумышленниками: какие подрядчики обслуживают целевую компанию, какие продукты используются, какие у них каналы обновлений, кто имеет административные права, какие сотрудники фигурировали в утечках. Это делает атаки более точечными.
«Еще одно изменение — вектор с цепочкой поставок все чаще используется не только для шпионажа, но и для разрушительных сценариев, таких как шифрование, кража данных, остановка бизнес-процессов. Компрометация подрядчика становится не финальной целью, а удобным средством для атаки на более крупную организацию», — уточнил эксперт.
Если раньше злоумышленники чаще ограничивались поставкой вредоносных пакетов в расчете на их попадание в инфраструктуру жертвы, то сейчас фокус смещается на компрометацию различных этапов самого процесса поставок, объяснил Алексей Семенычев. Атакующие стремятся внедриться на стадиях сборки ПО, его проверки, а также на этапах оценки защищенности и внедрения средств информационной безопасности.
В даркнете вырос спрос на токены, логины, пароли и другие учетные данные, которые позволяли получить доступ к ИТ-инфраструктуре организации.
Злоумышленники используют элементы социнженерии и выстраивают коммуникацию напрямую с сотрудниками компаний, добавил эксперт. Поскольку последствия таких действий проявляются не сразу, работники нередко продолжают считать, что взаимодействовали не со злоумышленником, а с собственной ИТ-службой, или помогали ИБ.
Пропорционально темпам перехода на отечественное ПО растет и число атак на него, отмечает Владимир Гришанов. Чем шире отечественное ПО распространяется в корпоративной и государственной инфраструктуре, тем привлекательнее оно становится как цель: найденная уязвимость потенциально открывает доступ сразу к большому числу организаций.
«Мы фиксируем, что злоумышленники целенаправленно исследуют российские продукты в поисках уязвимостей. Это закономерно: раньше основные усилия атакующих были сосредоточены на широко распространенных западных решениях, накопилась обширная база знаний об их слабых местах. Сейчас фокус смещается вслед за реальным ландшафтом инфраструктур», — отметил Владимир Гришанов.
Особенности Supply chain и Trusted Relationship атак на КИИ и промышленность
В промышленности часто встречаются системы, которые нельзя просто так перезагрузить, обновить или заменить, из-за этого годами сохраняются старые конфигурации, избыточные права, слабая сегментация, устаревшие версии ПО, указал Владислав Шелепов.
«Для КИИ риск еще выше из-за цены простоя. Supply-chain-атака здесь может привести не только к утечке данных или шифрованию файлов, под удар попадает непрерывность процессов. Иногда даже короткий сбой стоит дороже, чем сама ИТ-инфраструктура, через которую злоумышленник зашел».
Промышленные объекты в значительной степени зависят от используемого оборудования, которое зачастую нельзя быстро заместить, отметил Алексей Семенычев. С уходом вендоров, обслуживающих оборудование, был утрачен доступ к обновлениям и доверенному обслуживанию.
Компании вынуждены доверять любому поставщику, готовому оказать услугу, при этом не располагая достоверными инструментами проверки, указывает эксперт.
Все это создает особые риски для таких организаций и требует усиленной изоляции, а также применения наложенных средств защиты и дополнительных процедур. Это, в свою очередь, влияет на эффективность бизнес-процессов и ограничивает возможности развития, заключил эксперт.
Насколько эффективны существующие практики third-party risk management и контроля подрядчиков
Эффективность указанных практик в компаниях, российских или зарубежных, остается достаточно низкой. Как объяснил Мартун Минасян, оценивать их сложно, поэтому, по мнению эксперта, здесь работает принцип «спасение утопающих — дело рук самих утопающих».
«Заказчикам, привлекающим подрядчиков, необходимо грамотно проводить моделирование угроз, соблюдать базовые принципы информационной безопасности, минимизировать потенциальный ущерб от действий подрядчиков и тщательно мониторить любые их действия в инфраструктуре. Организационным решением, способным снизить риски, может стать пересмотр договоров с подрядчиками и включение в них разделов, описывающих потенциальные последствия для подрядчиков в случае нарушения информационной безопасности по их вине», — порекомендовал эксперт.
Работоспособность указанных практик сильно зависит от зрелости компании, рассказал Владислав Шелепов. У крупных регулируемых организаций и компаний, подключенных к SOC, практики заметно развиваются, появляется сегментация, контроль удаленного доступа, PAM, журналирование действий подрядчиков, требования к MFA. Но в среднем по рынку у компаний все еще часто формальный подход к third-party risk management.
Проверка на этапе заключения договора не заменяет постоянный технический контроль. Подрядчик может пройти первичную проверку, а через полгода у него уже другие сотрудники, другие инструменты удаленного доступа, другая инфраструктура и другой уровень защищенности.
Риск-менеджмент, как и ИБ-процессы в российских компаниях, остаются неоднородными, объяснил Алексей Семенычев. Например, компании финсектора, телеком, отдельные госструктуры и организации из ИБ-сферы уже достаточно зрело подходят к вопросам third-party risk management. Однако значительная часть компаний среднего и малого бизнеса пока не может позволить себе такой уровень зрелости процессов. Из-за этого они вынуждены принимать на себя серьезные риски и остается уязвимой для атак на цепочки поставок.
Во многих компаниях контроль подрядчиков все еще сильнее развит в документах, чем в инфраструктуре, отмечает Иван Рогалев. На этапе закупки проверяют анкеты, согласуют требования по кибербезопасности, включают нужные пункты в договор. Но после начала работ контроль часто становится менее конкретным: кто подключается, с какого устройства, к каким системам, с какими правами и что делает после входа. Эксперт советует переносить фокус с формальной проверки подрядчика на контроль реального доступа:
- У внешнего специалиста должна быть персональная учетная запись.
- Вход должен подтверждаться многофакторной аутентификацией.
- Доступ должен выдаваться не с запасом, а под конкретную задачу.
- События подключения и действия пользователя должны попадать в мониторинг, иначе служба безопасности увидит проблему слишком поздно.
Как человеческий фактор и утечки данных влияют на атаки
Во многих случаях злоумышленники изначально ставят перед собой цель проникнуть в сеть организации, оказывающей ИТ-услуги своим клиентам, отметил Мартун Минасян. В таких атаках первичным вектором проникновения становится социнженерия: кликфишинг и классический фишинг. Через сотрудников подрядчика атакующие получают первичный доступ, а затем используют доверенные связи подрядчика с клиентами для дальнейшего продвижения.
Владислав Шелепов дополняет, что человеческий фактор в таких атаках не сводится только к фишингу, хотя фишинг по-прежнему остается одним из ключевых способов первичного доступа.
«Во многих случаях цепочка атаки начинается именно с компрометации подрядной организации, сотрудник переходит по фишинговой ссылке, вводит учетные данные на поддельной странице, открывает вредоносное вложение или передает доступ под видом рабочей коммуникации. После этого злоумышленник получает точку входа в организацию, которой заказчик доверяет. Дальше начинают работать накопленные ошибки в управлении доступами, например повторное использование паролей, пересылка доступов в мессенджерах, активные учетные записи бывших сотрудников, хранение инструкций, конфигураций и токенов в недостаточно защищенных местах».
Утечки данных ускоряют такие сценарии. Если в открытом доступе или на теневых площадках появляются почтовые адреса, старые пароли, переписка, клиентские списки или технические детали проектов, злоумышленникам проще восстановить связи между компаниями. Так что утечки и атаки на цепочки и через подрядчиков поставок часто идут вместе.
Многие атаки начинаются не с эксплуатации уязвимости, требующей от злоумышленника глубоких технических знаний. Как указал Иван Рогалев, а первом месте среди методов получения первоначального доступа — фишинг (64% атак, по данным Threat Zone 2026). Вторым по популярности у злоумышленников методом стало получение первоначального доступа через службы удаленного доступа (18% атак). По данным BI.ZONE PAM, 35% высококритичных инцидентов связано с компрометацией паролей для привилегированных учетных записей. Если таким образом был скомпрометирован подрядчик и у него есть широкий сетевой доступ, это становится угрозой уже для заказчика.
Ключевые рекомендации для снижения рисков
Эксперты дали несколько рекомендаций для CISO (Chief Information Security Officer, директор по ИБ), которые могут помочь серьезно снизить риски компрометации перед лицом растущей угрозы.
Алексей Семенычев порекомендовал руководствоваться принципом «инвентаризация, сегментация, изоляция» — это может существенно сократить затраты ресурсов при реализации мер защиты и позволит чувствовать себя увереннее с точки зрения безопасности.
«При выборе отечественных ИТ-решений я бы рекомендовал обращать внимание на компании, продукты которых имеют действующие сертификаты ФСТЭК и регулярно их подтверждают, поскольку даже для несертифицированных продуктов таких компаний зачастую применяются элементы безопасной разработки.
Для ИБ важно просчитывать риски использования различных сервисов и работы с контрагентами, оценивать зрелость процессов ИБ не только внутри компании, но и у всех сторон, которым предоставляется доступ.
Особое внимание стоит уделить сотрудникам, поскольку они все чаще становятся активными, хотя и невольными участниками атак. Нужно стремиться к реализации принципа “нулевого доверия”», — рассказал Алексей Семенычев.
Владислав Шелепов выделил пять основных необходимых мер:
- Собрать полноценную карту подрядных доступов и регулярно ее обновлять. CISO должен видеть не только список подрядчиков, но и реальные технические связи;
- Убрать постоянные доступы «на всякий случай». Подрядчик должен получать ровно тот доступ, который нужен для конкретной задачи, и ровно на то время, пока эта задача выполняется;
- Жестко контролировать RMM, туннели и любые средства удаленного администрирования. Появление нового инструмента удаленного доступа в инфраструктуре не должно оставаться незамеченным;
- Усилить контроль критичного ПО и каналов обновлений. Нужно понимать, откуда приходят обновления, как проверяются дистрибутивы, кто имеет доступ к сборке и поставке, как быстро закрываются уязвимости и есть ли понятный процесс реагирования на проблемы у вендора;
- Включить подрядные доступы в мониторинг SOC. Если собственного центра мониторинга нет, стоит подключить внешний SOC;
- Если SOC уже есть, важно, чтобы он видел активность подрядчиков: удаленные подключения, административные действия, использование сервисных учетных записей, RMM-инструментов и нетипичных каналов доступа.
Мартун Минасян обратил внимание на внедрение системного технического контроля цепочки поставок ПО:
- переход к процессам безопасной разработки: SDLC и DevSecOps;
- постоянный контроль целостности используемого стороннего кода;
- инвентаризация и трекинг внешних зависимостей;
- сквозное логирование процессов сборки;
- минимизация прав подрядчиков и регулярный пересмотр доступов;
- внедрение PAM и мониторинг действий подрядчиков в инфраструктуре;
- моделирование угроз с учётом как организационных, так и технических supply chain рисков.
В отношении supply chain стоит с инвентаризации внешнего доступа, считает Иван Рогалев. Как указал эксперт, CISO должен понимать, какие подрядчики, интеграторы, сервисные организации и внешние команды имеют доступ к инфраструктуре, к каким системам они подключаются, с каких устройств и с какими правами. Следующий шаг — сократить лишний доступ подрядчикам, конкретными приложениями, сервисами и задачами, проверить настройку PAM в части хранения доступов, которые выданы подрядчику для выполнения работ.
«Отдельно нужно заранее решить, как подрядчик подключается, если его устройство нельзя контролировать напрямую. Этот вопрос нельзя оставлять на усмотрение конкретного администратора или решать уже во время инцидента. Цель — сделать так, чтобы компрометация одного внешнего участника не давала атакующему свободный доступ к инфраструктуре заказчика. Это и есть практический смысл модели нулевого доверия в работе с подрядчиками и другими внешними пользователями», — заключил Иван Рогалев.
