Bitdefender: 45 дней хватит, чтобы пересчитать реальную поверхность атаки

84% из 700 тысяч инцидентов высокой критичности, которые проанализировала Bitdefender, были связаны не с экзотическим вредоносом, а со штатными инструментами Windows. Для компаний, где PowerShell, WMIC, netsh или Certutil считаются обычной частью администрирования, это означает неприятную вещь: реальная поверхность атаки давно сидит внутри доверенного софта, а не где-то на периметре.

Об этом сообщает The Hacker News в материале о бесплатной программе Bitdefender Internal Attack Surface Assessment. Компания предлагает организациям с численностью от 250 сотрудников за 45 дней получить карту того, какие легитимные утилиты, удалённые админ-инструменты и теневые бинарники реально используются в инфраструктуре, кем именно и на каких машинах. Идея не новая, но формулировка очень точная: главный риск всё чаще выглядит не как атака, а как обычное администрирование.

Цифры у Bitdefender получились показательными. Чистая установка Windows 11, по данным компании, содержит 133 уникальных LOLBin-инструмента, распределённых по 987 экземплярам. PowerShell активен на 73% конечных устройств, причём заметная часть запусков происходит тихо, через сторонние приложения, о которых конечный пользователь может вообще не думать. Отсюда и главный вывод: проблему нельзя закрыть очередным патчем. Если сотрудник, подрядчик или скомпрометированная учётка уже имеют право использовать доверенные утилиты, злоумышленнику часто не нужно заносить в сеть ничего своего.

Само обследование построено как довольно прагматичный цикл. Сначала технология GravityZone PHASR в течение примерно 30 дней учится нормальному поведению для пары «пользователь-машина». Затем компания получает дашборд с оценкой экспозиции по шкале от 0 до 100 и списком находок по пяти категориям: LOLBins, инструменты удалённого администрирования, средства вмешательства в защиту, криптомайнеры и пиратский софт. После этого можно либо вручную урезать лишние права и сценарии запуска, либо включить Autopilot, который будет применять ограничения автоматически. Если бизнес-процесс всё же ломается, доступ можно вернуть через встроенный workflow согласования в один клик. Финальный этап нужен для того, чтобы посчитать, насколько сократилась поверхность атаки и какие теневые инструменты всплыли по дороге.

Bitdefender отдельно подчёркивает, что речь идёт не о замене существующего EDR или антивирусного стека, а о надстройке поверх уже работающей инфраструктуры. Это важный момент для ИТ-директоров и руководителей SOC: вендор продаёт не ещё один экран с алертами, а попытку убрать часть самих поводов для расследования. В раннем доступе, как утверждает компания, клиенты сокращали поверхность на 30% и более уже за первые 30 дней, а один из них приблизился почти к 70% после жёсткого ограничения LOLBins и удалённых инструментов. Проверить эти цифры независимо нельзя, но сама логика понятна: если на рабочей станции бухгалтерии не нужен MSBuild или certutil, лучше не ждать, пока это выяснит атакующий.

Контекст у этой истории тоже вполне рыночный. Gartner, на чьи оценки ссылается Bitdefender, ожидает, что к 2030 году проактивная киберзащита займёт 50% расходов на ИБ против менее 5% в 2024-м. Доля крупных компаний, использующих технологии динамического сокращения поверхности атаки, должна вырасти до 60% к 2030 году против менее 10% в 2025-м. Перевод с аналитического на человеческий простой: модель «нашли следы, подняли расследование, потом что-нибудь перекрыли» перестаёт успевать за атаками, где боковое перемещение и закрепление занимают минуты. Если противник живёт на штатных средствах, детектировать это после факта всё дороже и скучнее.

Для разработчиков и продуктовых команд в этой новости тоже есть практический вывод. Очень много «легитимной» активности на рабочих станциях порождают не админы, а корпоративные агенты, CI-компоненты, инсталляторы, обновляторы и самописные внутренние утилиты. Поэтому разговор о сокращении поверхности атаки быстро упрётся не только в ИБ-политику, но и в инвентаризацию реальных зависимостей: что у вас запускает PowerShell, зачем на ноутбуках разработчиков лежат удалённые админ-инструменты, какие скрипты до сих пор требуют локальных прав и можно ли их вообще переписать. Для HR и операционных команд это тоже не пустой звук: чем больше в компании исключений «этому сотруднику временно нужно всё», тем шире окно для компрометации.

На практике рынок постепенно уходит от вопроса «как быстрее заметить вторжение» к более неудобному вопросу «зачем атакующему вообще так много можно после входа». И если 45-дневное наблюдение за собственными инструментами действительно позволяет свести этот разговор к списку конкретных пользователей, устройств и бинарников, то спорить придётся уже не с теорией, а с внутренней привычкой доверять всему, что подписано Microsoft или давно лежит в образе системы. Первоисточник с деталями опубликован в The Hacker News .

The post Bitdefender: 45 дней хватит, чтобы пересчитать реальную поверхность атаки appeared first on iTech News.