Сообщить об инциденте
Сообщить об инциденте
Главная
Статьи
Отчёт SOC ПМ по мониторингу информационной безопасности за 1 квартал 2026 года

Отчёт SOC ПМ по мониторингу информационной безопасности за 1 квартал 2026 года

Отчёт SOC ПМ по мониторингу информационной безопасности за 1 квартал 2026 года
ИсследованиеОтчётSOC

Введение

В данном отчёте отражена статистика по компьютерным инцидентам, выявленным командой центра мониторинга информационной безопасности SOC ПМ за первый квартал 2026 года.

Используемые сокращения

ПО – программное обеспечение

ВПО – вредоносное программное обеспечение

КИ – компьютерный инцидент

КА – компьютерная атака

ИБ – информационная безопасность

ЦМ – Центр Мониторинга

Результаты работы за 1 квартал 2026 года

В 1 квартале 2026 года командой SOC ПМ зарегистрировано и обработано на 4% больше компьютерных инцидентов, чем за аналогичный период четвертого квартала 2025 года. Вместе с тем, зафиксировано двукратное увеличение числа критических КИ и рост на 7% КИ низкого и среднего уровня критичности. Количество инцидентов высокого уровня критичности снизилось на 10%.

Классификация КИ 4 кв 2025.pngКлассификация КИ 1 кв 2026.png

Также отмечается изменение распределения КИ по времени суток. В 4 квартале 2025 года зафиксировано 82% КИ, совершенных в дневное время, в то время как в 1 квартале 2026 года доля дневных КИ увеличилась на 4% и составила 86 % от общего числа КИ.

В 1 квартале 2026 года произошли изменения в количественных показателях по типам КИ.

Тип КИ 4 кв 2025.pngТип КИ 1 кв 2026.png

Наблюдаются снижение на 15% числа КИ, связанных с попытками эксплуатации уязвимостей, и одновременно с этим увеличение на 14% числа КИ, связанных с заражением ВПО.

Рост заражений ВПО свидетельствует о смещении акцента атакующих на внедрение вредоносного программного обеспечения. Оперативная корректировка правил обнаружения, а также взаимодействие с заказчиками позволяют минимизировать последствия и не допустить дальнейшего развития инцидентов.

Распределение КИ по типам ВПО в 1 квартале 2026 года: наибольшее число обнаруженного ВПО было связано с майнерами криптовалюты (23%), программами вымогателями (23%), троянскими программами (20%).

Специалисты SOC ПМ зафиксировали 4 наиболее распространенных типа эксплуатируемых уязвимостей. В их число вошли: CVE-2017-0144 (EternalBlue) – 20%, CVE-2025-55182 – 13%, PHP-инъекции – 9%, CMS Bitrix – 7%.

Своевременное обновление программного обеспечения, а также проактивный поиск сведений об уязвимостях и правил их обнаружения позволяют обеспечивать защиту инфраструктуры на должном уровне.

Также следует отметить повышение внимания организаций к усилению контроля за соблюдением политик в области информационной безопасности. В течение 1 квартала 2026 года общее число КИ связанных с нарушением политик ИБ снизилось на 4%.

Сократилось среднее время расследования инцидентов: на 30% снизилось время расследования КИ, связанных с обнаружением ВПО, на 45% – расследования КИ, связанных с попытками эксплуатации уязвимостей, на 50% – в случаях сетевого сканирования.

 Время расследования инцидента.png

Выводы

Преобладающее число КА происходят в дневное время суток.

Наблюдается рост числа инцидентов низкого, среднего уровня критичности, а также критических КИ.

Отмечается общее снижение среднего времени расследования инцидентов.

Наблюдается смещение фокуса в сторону внедрения ВПО.

Злоумышленники эксплуатируют и осуществляют поиск новых уязвимостей, а также не перестают эксплуатировать ранее известные.

Рекомендации

1. На основании выявленных тенденций, статистики инцидентов и анализа актуальных векторов атак специалисты SOC ПМ рекомендуют реализовать следующие меры по повышению уровня информационной безопасности:

2. Рекомендуется усилить возможности обнаружения аномальной активности пользователей и систем, не выявляемой сигнатурными методами.

3. В связи с тем, что основной путь заражения ВПО связан с фишинговыми рассылками, рекомендуется регулярно проводить обучение сотрудников методам обнаружения фишинговых писем.

4. Для противодействия КА, связанным с эксплуатацией уязвимостей, требуется осуществлять регулярное обновление имеющегося ПО, а также проверку конфигураций и настройку безопасности веб-приложений.

Рекомендации по закрытию популярных эксплуатируемых уязвимостей

  • Для закрытия уязвимости CVE-2025-55182 рекомендуется выполнить обновление компонентов:

1) react-server-dom-webpack, до версии 19.2.4.

2) react-server-dom-parcel, до версии 19.2.4.

3) react-server-dom-turbopack до версии 19.2.4.


  • Для закрытия уязвимости CVE-2017-0144 (EternalBlue) рекомендуется проверить наличие установленного обновления ОС Windows MS17-010, при его отсутствии осуществить обновление.

  • Для закрытия возможных PHP-инъекций, а также уязвимостей CMS Bitrix, рекомендуется проводить регулярное обновление модулей до последней версии.