Информзащита: почти половина инцидентов через поставщиков связаны с уязвимостями нулевого дня

Анализ кейсов, которые прошли через SOC «Информзащиты» за январь-май 2026 года, показал: почти каждый второй инцидент через поставщика начинался до того, как заказчик вообще узнавал о существовании уязвимости. Об этом CNews сообщил представитель компании.

Рост доли zero-day и сдвиг в тактике атакующих

По данным исследования компании, доля таких сценариев выросла до 48% против 39% годом ранее – и это не постепенный тренд, а следствие конкретного сдвига: атакующие перешли от эксплуатации известных CVE (Common Vulnerabilities and Exposures) к целенаправленному поиску уязвимостей именно в SaaS-прослойке (Software as a Service), которую корпоративная безопасность исторически контролирует слабее всего. Одновременно специалисты зафиксировали рост обращений по оценке рисков внешних поставщиков на 31%, а число запросов на ретроспективный поиск признаков компрометации после публикации сведений о новой уязвимости увеличилось на 27%.

Изменение модели корпоративной инфраструктуры

Рост доли уязвимостей нулевого дня в инцидентах через поставщиков объясняется изменением самой модели корпоративной инфраструктуры, так как бизнес-процессы все чаще опираются на внешние платформы: системы удаленного администрирования, средства обмена данными, отраслевые приложения, облачные сервисы, решения для мониторинга, платежные шлюзы, сервисные кабинеты подрядчиков и инструменты сопровождения производственных сред. Основная проблема заключается в том, что доступ этих сервисов к внутренней инфраструктуре давно вышел за рамки того, что зафиксировано в договорах и согласовано с ИБ (информационной безопасностью).

Эти решения получают не периферийную, а операционную роль: они подключены к учетным записям, внутренним сегментам, клиентским данным, технологическим процессам и административным функциям. При такой архитектуре эксплуатация одной неизвестной уязвимости у поставщика быстро превращается в многоточечный риск для его клиентов. Организация может не иметь прямого доступа к исходному коду, не управлять сроками выпуска исправления и не видеть всю цепочку действий внутри продукта, но именно она несет последствия компрометации. На практике это выглядит так: финансовый директор утверждает SLA (Service Level Agreement) с подрядчиком, ИБ не участвует в согласовании архитектуры интеграции, а через год именно эта интеграция становится точкой входа.

Почему zero-day особенно опасны для цепочек поставок

Уязвимости нулевого дня особенно опасны для цепочек поставок из-за разрыва между техническим фактом эксплуатации и моментом, когда заказчик получает управляемый набор действий. В классическом процессе управления уязвимостями у службы безопасности есть известный идентификатор, описание затронутых версий, временные меры, исправление и возможность расставить приоритеты по активам. Весь инструментарий VM (Vulnerability Management) заточен под сценарий, когда CVE уже есть: есть идентификатор, есть CVSS (Common Vulnerability Scoring System), есть патч в очереди. Zero-day ломает этот сценарий в точке старта: нечего сканировать, нечего приоритизировать, нечего патчить. По оценке «Информзащиты», в 42% инцидентов, связанных со сторонними решениями, признаки эксплуатации выявляются уже постфактум.

ПО ТЕМЕ: Рассрочка на 24 месяца без процентов — на электронику
Карта с кешбэком до 30% у партнёров — доставка за 1 день

На фоне роста числа атак через поставщиков компании вынуждены пересматривать подходы к оценке рисков внешних сервисов. Специалисты «Информзащиты» отмечают, что традиционные методы управления уязвимостями не работают в сценарии zero-day, когда нет ни идентификатора CVE, ни патча, ни возможности сканирования. Это требует от заказчиков внедрения проактивных мер мониторинга поведения поставщиков и их инфраструктуры, а не только реактивного анализа после публикации данных об уязвимости.

Контекст с данными рынка:

• Биткоин: $62586 (24ч: -1.3%)
• Ethereum: $1663.47 (24ч: -6.0%)