У кібербезпеці багато говорять про ransomware, APT-групи та витоки даних. Але на практиці одна з найбільших проблем — це не сама атака. А час між компрометацією і її виявленням.

 

Невидимий гість
У багатьох компаніях зловмисники залишаються в середовищі тижнями або місяцями до моменту виявлення. За даними Mandiant, медіанний час перебування атакуючого в мережі глобально становить близько 10 днів — але це медіана. У реальних кейсах цифри бувають набагато гіршими.
І це особливо небезпечно, тому що сучасна атака — це рідко “один вірус”.

 

Частіше це поетапний процес:

Initial access — отримання першого плацдарму
Reconnaissance — збір інформації про середовище
Lateral movement — рух мережею, розширення доступу
Credential harvesting — компрометація облікових записів
Persistence — закріплення в системі
Impact — основна фаза атаки

Кожен із цих кроків може розтягуватись на дні. І кожен виглядає підозріло… нормально.

 

Чому класичний захист не рятує?
Проблема в тому, що більшість цих дій імітують легітимну активність:

Використання реальних облікових записів із правильними паролями
Звичайні адміністративні інструменти — PowerShell, WMI, RDP
Стандартні протоколи, які не викликають підозр
Активність у робочий час, щоб “злитися з фоном”

Антивірус може нічого не побачити — немає шкідливого коду. SIEM може не підняти критичний рівень — окремо кожна подія виглядає нормально. А команда безпеки губиться в шумі тисяч алертів на день.
Саме тому сучасні атаки все частіше обходять класичний периметровий захист. Не тому що він поганий. А тому що він проєктувався під інші загрози.

 

Що насправді важливо?
Якщо атакуючий вже всередині — питання не “чи є захист”, а “як швидко ми його побачимо”.
Це змінює фокус з блокування на виявлення. І тут стає критично важливим не просто збирати події, а розуміти поведінку системи:

Що є нормою для конкретного користувача, хоста, сервісу?
Що є аномалією — навіть якщо вона технічно легітимна?
Що виглядає “підозріло нормально” — наприклад, адміністратор, який вперше підключився до сервера о 3 ночі?

Саме це лежить в основі UEBA (User and Entity Behavior Analytics) і сучасних підходів до threat hunting: не шукати відомі індикатори компрометації, а виявляти поведінкові відхилення до того, як атака перейшла в активну фазу.

 

Час — це гроші. Буквально.
IBM Cost of a Data Breach Report фіксує стійку закономірність: чим довше атакуючий залишається непоміченим, тим дорожчими є наслідки. Різниця між виявленням за 30 днів і за 200 днів може вимірюватись мільйонами доларів прямих збитків — не рахуючи репутаційних втрат і регуляторних санкцій.
Тому кібербезпека сьогодні — це вже не тільки про блокування. Це про виявлення, контекст, аналіз поведінки і швидкість реагування.
Бо чим довше атакуючий залишається непоміченим — тим дорожчими будуть наслідки для бізнесу.