В 2025 году одной из ключевых тенденций в киберпреступности стали цепочки атак через подрядчиков. Вместо прямых атак на укрепленные WAF и IPS публичные приложения злоумышленники предпочитают таргетировать сторонние организации, имеющие легальный доступ к инфраструктуре заказчика. Компрометация подрядчика, например системного интегратора или ИБ-аудитора, создает для атакующих канал несанкционированного доступа к сетям их клиентов.
Формально такие инциденты — это атаки через системы удаленного доступа: VPN-клиенты, RDP или специализированное ПО вроде AnyDesk. Подключения с аккаунтов подрядчиков выглядят легитимными, что делает их идеальной маскировкой для вредоносной активности.
Интерес к этой теме подогревает и законодательство. Уже с 1 марта 2026 года вступает в силу новый приказ ФСТЭК №117 (придет на смену приказу №17), который ужесточает требования к защите государственных информационных систем, в том числе к контролю удаленного доступа. Аналогичные рекомендации по защите подключений подрядчиков регулярно публикует и НКЦКИ. Это не просто формальность, а прямой ответ на реальные угрозы.
Типовые ошибки и проблемы: почему шифрования трафика недостаточно
Организовать удаленный доступ технически просто. Однако многие компании останавливаются на первом же шаге — шифровании канала связи. Возникает ложное чувство защищенности: если трафик между пользователем и корпоративной сетью идет по VPN или через зашифрованную сессию AnyDesk, то миссия выполнена. Это роковая ошибка. Шифрование защищает только от перехвата данных «в трубе», но абсолютно бессильно против угроз внутри вашей сети.
Главные проблемы, с которыми компании сталкиваются на практике:
- Отсутствие сегментации и разграничения прав доступа. Самая распространенная и опасная ошибка — создание общего правила, разрешающего удаленному пользователю доступ «ко всей сети». Фактически, подключившись, он получает возможность бесконтрольно перемещаться по инфраструктуре. Вместо этого — составить детальную матрицу доступа: какой пользователь к какому конкретному ресурсу по какому протоколу и в какое время имеет право подключаться.
- Нулевой контроль трафика после подключения. Компании забывают, что зашифрованный канал может нести в себе вредоносный код. Трафик удаленных пользователей необходимо проверять так же тщательно, как и любой другой: с помощью систем предотвращения вторжений (IPS), антивирусного сканирования и анализа угроз. Доверять, но проверять.
- Игнорирование компрометации учетных записей подрядчиков. Яркий пример — недавние атаки с использованием AnyDesk, о которых компания «Код Безопасности» упоминает в исследовании по угрозам за 2024 год. Вредоносное ПО маскировалось под легитимный процесс anydesk.exe, что позволяло злоумышленникам действовать от имени подрядчика. Без логирования и анализа аномалий (подключения из необычных стран, в нерабочее время) такие атаки остаются незамеченными неделями.
От ложного чувства безопасности к эффективной защите: практические рекомендации
Текущий ландшафт угроз требует комплексного подхода. Безопасный удаленный доступ — это не один продукт, а архитектура, построенная на нескольких ключевых принципах.
Базовый чек-лист для любого сценария:
- Инвентаризация и матрица доступа. Определите, кто из подрядчиков к каким ресурсам должен иметь доступ. Формат: «пользователь/группа» — «конкретный ресурс (сервер, сеть)» — «разрешенные протоколы».
- Запрет опасных технологий. Исключите прямой RDP через интернет и откажитесь от использования бесплатных приложений для удаленного доступа (TeamViewer, Radmin, AnyDesk) для критичных задач.
- Усиленная аутентификация. Используйте сертификаты (PKI) на защищенных токенах или многофакторную аутентификацию (MFA) с одноразовыми паролями или пуш-уведомлениями.
- Комплаенс-контроль рабочих станций. Перед подключением проверяйте, что устройство пользователя соответствует политикам безопасности: нет запрещенного ПО, установлен и обновлен антивирус, актуальны ОС и патчи.
- Детальное логирование и мониторинг аномалий. Фиксируйте время, IP и геолокацию подключений. Подключения из неожиданных стран или в нерабочие часы — красный флаг.
Углубленные сценарии для разных уровней риска
В зависимости от критичности ресурсов и уровня риска можно реализовать различные сценарии подключения. В «Коде Безопасности» прорабатывают несколько вариантов защиты удаленного доступа, например с использованием решения «Континент».
Сценарий 1: доступ к корпоративным ресурсам
Пользователь подключается с домашнего устройства через VPN. Ему предоставляется доступ только к определенным внутренним системам (например, CRM или базам данных). Весь остальной его трафик идет напрямую в интернет через его же канал. Это базовый уровень, подходящий для рядовых задач.
Сценарий 2: доступ к критически важным ресурсам предприятия
Для работы с высокочувствительными системами (например, промышленные сети АСУ ТП, финансовые серверы) используется режим полной изоляции. Когда пользователь подключается по VPN, весь его сетевой трафик, кроме доступа к целевым корпоративным ресурсам, блокируется. Выход в интернет с этой рабочей станции становится невозможен, что сводит к минимуму риски утечки или заражения.
Сценарий 3: полная фильтрация всего трафика
Этот сценарий предполагает, что весь трафик пользователя, включая выход в интернет, перенаправляется через корпоративный VPN-шлюз. Его ключевое преимущество раскрывается в ситуации, когда компания выдала сотруднику корпоративную рабочую станцию для удаленной работы. В этом случае организация несет ответственность за защиту самого устройства и его трафика. Именно поэтому перенаправление всего интернет-трафика через корпоративный шлюз позволяет проверять его так же, как если бы сотрудник работал в офисе, защищая корпоративное устройство от угроз из внешней сети.
Заключение
Предоставление удаленного доступа подрядчикам перестало быть технической рутиной и превратилось в вопрос управления рисками. Защита не заканчивается на настройке VPN. Необходима многоуровневая стратегия, включающая строгую сегментацию, контроль трафика, усиленную аутентификацию и постоянный мониторинг. Только так можно противостоять целенаправленным атакам, которые всё чаще приходят не напрямую, а через доверенных партнеров.
