Безопасность

90% сделок M&A проходят вслепую: почему компании игнорируют поиск цифровых угроз

Оценка компрометации (Compromise Assessment) становится обязательным элементом M&A-процедур лишь в 10% случаев. Такую статистику приводят специалисты «Кросстеха», опираясь на практический опыт и рыночные запросы за первое полугодие 2026 года.

Эксперты отмечают, что за аналогичный период 2025 года поиск признаков взлома проводился примерно в 5% сделок по слияниям и поглощениям. Хотя оценка кибербезопасности сегодня входит в число стандартных M&A-процедур, на деле она чаще сводится к ИБ-аудиту или проверке на соответствие нормам. При этом углубленный анализ защищенности применяется реже.

Compromise Assessment помогает выяснить, есть ли в инфраструктуре активные хакеры или следы их действий, собрать доказательства текущих и прошлых взломов, а также убедиться, что последствия предыдущих инцидентов полностью устранены. Помимо M&A-сделок, такая проверка востребована после кибератак, при крупных изменениях в ИТ-инфраструктуре, а также при создании или замене центра мониторинга (SOC).

По данным экспертов, в 2025 году медианное время пребывания злоумышленника в инфраструктуре (dwell time) до его обнаружения составляло 14 дней — примерно на 25% больше, чем годом ранее. Рост этого показателя объясняется несколькими причинами. С одной стороны, хакеры улучшают методы маскировки, всё лучше имитируя обычную активность пользователей и сервисов. С другой — развитие средств защиты (SIEM, IDS/IPS, EDR, NDR) заставляет атакующих действовать аккуратнее, дольше закрепляться в системе и откладывать активную фазу атаки. В отдельных случаях, как уточняют специалисты «Кросстеха», скрытое присутствие хакеров может длиться 600–700 дней.

«Злоумышленники преследуют разные цели, находясь в инфраструктуре организации. Одни занимаются киберразведкой и собирают данные для следующих этапов атаки. Другие ведут кибершпионаж, оставаясь незаметными долгое время и накапливая чувствительную информацию, учетные данные и прочее. Чаще всего именно они находятся в инфраструктуре рекордно долго. Третьи уже перешли к реализации атаки, например, к установке вредоносного ПО или нарушению работы системы, но берут тактическую паузу, чтобы снизить риск обнаружения. Независимо от целей, присутствие злоумышленника в инфраструктуре недопустимо. Поэтому своевременное выявление и реагирование — критически важные задачи», — отметила Анастасия Мельникова, руководитель департамента оценки защищенности «Кросстеха».

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости