Коли EDR недостатньо: як виявити внутрішнє поширення атаки

Анатомія сучасної ransomware-атаки

Оператори ransomware не запускають своє шкідливе навантаження в перший день. Середній проміжок часу між початковим доступом і запуском ransomware вимірюється днями або навіть тижнями — і найнебезпечнішою фазою цього періоду є бокове переміщення.
Ось як виглядає сучасний ланцюг атаки:
1. Початковий доступ: фішинг, відкритий RDP, скомпрометовані облікові дані постачальника або точка входу через ланцюг постачання програмного забезпечення.2. Підвищення привілеїв: зловживання сервісними обліковими записами, експлуатація неправильно налаштованого IAM, викрадення токенів доступу.3. Бокове переміщення: перехід від початково скомпрометованої системи до більш цінних ресурсів — контролерів домену, серверів резервного копіювання, фінансових систем.4. Підготовка до розгортання: вимкнення засобів безпеки, виведення даних для подальшого подвійного шантажу.5.  Запуск атаки: розгортання ransomware по всій мережі.
EDR створений переважно для виявлення етапів 4 та 5. На цей момент зловмисник уже фактично досяг своєї мети.
Ключова точка для зупинки атаки — це саме етап 3: бокове переміщення. Якщо зупинити переміщення мережею, можна розірвати ланцюг атаки ще до того, як її наслідки поширяться по інфраструктурі.

Чому бокове переміщення так складно зупинити лише за допомогою endpoint-захисту

Сучасні ransomware-групи адаптувалися до моделі безпеки, орієнтованої на endpoint-пристрої. Сьогоднішні техніки бокового переміщення спеціально створені так, щоб обходити EDR.
Техніки Living-off-the-Land (LOTL) стали основою більшості атак. Зловмисники використовують легітимні адміністративні інструменти — PsExec, WMI, PowerShell, RDP, SMB-шари — замість спеціалізованого шкідливого ПЗ. І причина очевидна: ці інструменти вже використовуються у Windows-середовищах для повсякденних операцій.
EDR бачить ці дії, але проблема в контексті: коли все виглядає як звичайна адміністративна активність, підтримувати точні поведінкові базові моделі в масштабній інфраструктурі стає надзвичайно складно.
Це відповідає цілому набору технік MITRE ATT&CK, які командам захисту необхідно постійно відстежувати:
● T1021 (Remote Services),● T1047 (Windows Management Instrumentation),● T1059 (Command and Scripting Interpreter),● та T1570 (Lateral Tool Transfer).
Небезпека полягає в тому, що кожна з цих дій окремо виглядає як нормальна ІТ-активність.
Ідентичність стала новою поверхнею атаки.У 2026 році 65% випадків початкового доступу вже пов’язані з техніками, заснованими на компрометації облікових даних, а 90% інцидентів містять компонент використання слабких місць у системах автентифікації та керування доступом.
Зловмисники більше не «проламують стіни». Вони заходять через парадний вхід — використовуючи викрадені або неправильно використані облікові дані. І щойно атакувальник отримує доступ до привілейованого облікового запису, етап бокового переміщення стає майже невидимим для систем, які довіряють подіям автентифікації.
AI-прискорене переміщення мережею скорочує час атаки.Кіберзлочинці вже починають використовувати штучний інтелект для автоматизації розвідки між системами, пошуку цінних цілей, аналізу взаємозв’язків і побудови оптимальних маршрутів переміщення швидше, ніж аналітики встигають це відстежити.
У результаті проміжок часу між початковим доступом і запуском ransomware стрімко скорочується.

Мережевий рівень бачить те, чого не бачать endpoint-рішення

Є одна важлива річ, яка залишається незмінною незалежно від постачальника: endpoint-агент може повідомляти лише про те, що відбувається на конкретному пристрої. Він не бачить бокового переміщення між endpoint-пристроями на мережевому рівні — реальних шаблонів трафіку, спроб встановлення з’єднань чи переміщення мережею — допоки трафік уже не досягне цілі та процес не буде виконаний.
Мережеве запобігання загрозам працює інакше. Воно аналізує трафік у процесі передачі, спроби з’єднання, поведінку протоколів і репутацію цільових адрес ще до того, як трафік досягне endpoint-пристрою.
Це означає, що:
● оператора ransomware, який намагається поширюватися через SMB, можна зупинити на мережевому рівні ще до того, як шкідливе навантаження потрапить на наступний хост;● підозрілі RDP-з’єднання з неочікуваних IP-адрес можуть бути заблоковані ще до завершення автентифікації;● вихідні з’єднання до відомої C2-інфраструктури, навіть якщо їх ініціює процес, що виглядає легітимним, можна розірвати ще до того, як дані залишать середовище.
Саме так працює проактивний контроль на мережевому рівні.Не як заміна EDR, а як рівень захисту, який діє ще до того, як EDR матиме що зафіксувати.

Ланцюг постачання: бокове переміщення, якого ви не очікували

Є ще один фактор, який ускладнює ситуацію: зловмисник не завжди починає атаку всередині вашої мережі. Часто він починає всередині мережі вашого постачальника.
Сьогодні компрометація сторонніх постачальників і ланцюга постачання становить уже 30% усіх інцидентів витоку даних. Ця цифра подвоюється з року в рік, а середня вартість одного такого інциденту сягає 4,91 мільйона доларів.
Ще серйозніше те, що на виявлення та локалізацію таких атак у середньому йде 267 днів — це найдовший показник серед усіх векторів атак.
Коли компрометується програмне забезпечення постачальника, VPN-клієнт або інструмент віддаленого моніторингу, зловмисник фактично успадковує весь мережевий доступ цього постачальника.
Ваш EDR бачить легітимний процес.Міжмережевий екран бачить трафік із довіреного джерела.Навіть політика Zero Trust може не спрацювати, тому що автентифікація була дійсною.
Що здатне це виявити?Аномальна мережева поведінка — неочікувані шаблони трафіку, нові бокові з’єднання, нетипові обсяги передачі даних — яка аналізується в реальному часі на мережевому рівні ще до того, як зловмисник отримає ті самі 267 днів для непомітного переміщення мережею.

Пріоритети для команди захисту

Якщо ви переглядаєте свою стратегію захисту від ransomware, варто зосередитися на таких напрямках:
● Оцініть ризики бокового переміщення: визначте, до яких систем може отримати доступ зловмисник із обліковими даними середнього рівня привілеїв. Виходьте з того, що атакувальник спробує використати всі можливі маршрути.
● Перевірте видимість east-west трафіку: більшість організацій добре контролюють north-south трафік (периметр мережі), але мають слабку видимість внутрішнього east-west трафіку, який використовується для бокового переміщення всередині інфраструктури.
● Перегляньте привілеї сервісних облікових записів: сервісні акаунти залишаються одним із найпоширеніших інструментів для бокового переміщення. Принцип мінімально необхідних привілеїв тут дає особливо великий ефект.
● Тестуйте виявлення технік T1021 і T1047: моделюйте сценарії бокового переміщення з використанням типових адміністративних інструментів і перевіряйте, чи справді ваш стек безпеки здатний їх виявляти.
● Аудитуйте мережевий доступ постачальників: сторонні підключення мають бути чітко обмежені, сегментовані та постійно контролюватися, а не вважатися автоматично довіреними.

Проактивне запобігання — це не просто краще виявлення

Індустрія кібербезпеки витратила останнє десятиліття на оптимізацію швидшого виявлення та реагування.
MTTD (Mean Time to Detect) і MTTR (Mean Time to Respond) сьогодні є на кожній панелі CISO. І ці показники справді важливі.

Але проблема в тому, що відлік починається вже після того, як зловмисник почав переміщення мережею.

Проактивне запобігання починає діяти раніше. Воно оцінює загрози ще до того, як вони закріпляться в середовищі, до виконання шкідливих дій і ще до того, як на endpoint-пристроях з’явиться процес, який EDR зможе виявити.

На мережевому рівні контроль відбувається безпосередньо в момент розвитку атаки, а не після її наслідків.

Саме такий архітектурний підхід дозволяє розірвати ланцюг бокового переміщення ще до того, як EDR згенерує своє перше сповіщення.

Дізнайтеся, як технологія проактивного запобігання загрозам від threatER
зупиняє бокове переміщення на мережевому рівні — ще до того, як будуть задіяні endpoint-пристрої.