Наследие 2010-х: старые VPN, устаревшие домены и забытые файловые шары как реальный источник инцидентов 2026

Киберугрозы 2026 года часто рассматривают сквозь призму передовых технологий атак: искусственный интеллект, квантовые вычисления, продвинутые эксплойты нулевого дня. Однако реальность показывает иное — большинство успешных взломов и утечек данных происходят благодаря легаси-инфраструктуре, которая была развёрнута более пятнадцати лет назад и с тех пор забыта администраторами. Старые VPN-протоколы, забытые доменные записи, неиспользуемые файловые серверы и неактуальные системы аутентификации остаются открытыми дверями для злоумышленников. Это не сексуально, не интересно для исследователей безопасности, но именно это убивает организации в 2026 году. Проблема легаси-инфраструктуры особенно острая потому, что она часто невидима для современных систем мониторинга. Если организация инвестировала в EDR, SIEM и другие передовые решения, они всё равно не помогут, если никто не знает, что в подвале сервера стоит Windows Server 2003 с PPTP VPN, который был подключен к сети десять лет назад и забыт. Это создаёт идеальный сценарий для долгосрочного компрометирования: злоумышленник проникает через старую уязвимость, остаётся незамеченным и постепенно расширяет доступ.

Конец эпохи PPTP и L2TP: почему забытые протоколы становятся опасностью

Microsoft официально объявила о прекращении поддержки протоколов PPTP и L2TP в будущих версиях Windows Server. Это решение вызвано необходимостью усиления безопасности данных, так как оба протокола содержат известные уязвимости, которые больше не соответствуют современным стандартам защиты. PPTP взламывается за минуты, а L2TP/IPSec не предоставляет преимуществ перед IKEv2, но требует большего количества вычислительных ресурсов. Однако объявление Microsoft не означает мгновенное исчезновение этих протоколов из сетей организаций. На практике происходит совсем другое: компании получают достаточно длительный период для перехода, но многие этим не пользуются. Согласно данным, PPTP и L2TP остаются доступными для исходящих VPN-соединений, а серверы Windows RRAS больше не будут принимать входящие соединения, использующие эти протоколы. Однако это не останавливает организации, которые просто отключают обновления Windows Server или используют альтернативные решения, которые всё ещё поддерживают эти устаревшие протоколы. Проблема усугубляется тем, что многие организации даже не знают, где в их инфраструктуре используются PPTP и L2TP. Они были развёрнуты в начале 2010-х годов, когда это были лучшие доступные решения, а затем о них забыли. Отделы IT часто не имеют полной инвентаризации VPN-соединений, особенно если речь идёт о легаси-системах или филиалах, которые работают с минимальным надзором. Для злоумышленников это идеальная мишень. Если организация использует PPTP для удалённого доступа, взломать такое соединение можно за минуты с помощью стандартных инструментов. Получив доступ к VPN, злоумышленник оказывается внутри корпоративной сети и может начать разведку, поиск ценных данных и установку постоянного бэкдора.

Устаревшие домены и DNS-записи: невидимые точки входа

Другой класс легаси-проблем связан с доменами и DNS-инфраструктурой. Организации часто регистрировали множество доменов в 2010-х годах для различных проектов, подразделений и экспериментов. Многие из этих проектов закрывались, но домены оставались зарегистрированными. Что ещё хуже, часто на этих доменах остаются старые DNS-записи, которые указывают на давно выведённые из эксплуатации серверы или IP-адреса. Это создаёт две серьёзные проблемы. Во-первых, злоумышленник может перехватить истёкший домен или выкупить его и начать использовать для фишинга, выдавая себя за компанию. Если домен принадлежал подразделению компании и сотрудники помнят об этом доме, вероятность успеха фишинг-кампании резко возрастает. Во-вторых, старые DNS-записи могут указывать на серверы, которые всё ещё существуют в сети, но никто не знает об их назначении. Например, запись может указывать на IP-адрес, который был переназначен другому сервису. Если администратор не проверил все DNS-записи, может произойти конфликт или, что ещё хуже, злоумышленник может использовать эту запись для перенаправления трафика. Кроме того, многие организации не проводят регулярный аудит своих доменов и DNS-записей. Это означает, что никто не знает, какие домены зарегистрированы, какие из них всё ещё активны, а какие истекли. Такое состояние известно как «теневая IT-инфраструктура» и представляет серьёзный риск для безопасности.

Забытые файловые серверы и общие папки: хранилища конфиденциальной информации

Одна из наиболее распространённых проблем в корпоративной IT — это забытые файловые серверы и сетевые папки, которые были созданы для конкретных проектов или подразделений, а затем оставлены без присмотра. Эти серверы часто содержат чувствительную информацию: пароли в текстовых файлах, старые финансовые отчёты, персональные данные сотрудников, исходные коды приложений. Проблема усугубляется отсутствием контроля доступа. Если файловый сервер был создан в 2012 году и с тех пор не обновлялся, велика вероятность, что права доступа установлены неправильно. Может быть, папка доступна для всех пользователей сети, или права доступа основаны на старых групповых политиках, которые давно изменились. Бывает и так, что сервер вообще не защищён паролем, потому что его разместили во внутренней сети и предположили, что этого достаточно. Когда новый сотрудник присоединяется к компании, ему часто предоставляют доступ к общим папкам на основе его должности. Однако никто не проверяет, нужен ли ему доступ ко всем этим папкам. Результат — переполненные права доступа, когда сотрудник может видеть информацию, которая ему не требуется для работы. Если такой сотрудник будет скомпрометирован (например, его учётные данные украдены), злоумышленник получит доступ ко всей этой информации. Забытые файловые серверы также часто работают на устаревших операционных системах с уязвимостями. Windows Server 2003 или 2008, которые больше не получают обновления безопасности, могут содержать критические уязвимости, которые давно известны и активно используются злоумышленниками. Если такой сервер подключён к сети, это как оставить открытую дверь в здании.

Наследие аутентификации: старые системы управления доступом

В 2010-х годах многие организации использовали простые системы аутентификации, которые сегодня кажутся смешными. Однофакторная аутентификация была нормой, пароли часто хранились в простом шифровании или даже в открытом виде, двухфакторная аутентификация была редкостью и рассматривалась как излишество. Эти системы часто остаются в инфраструктуре компании. Например, может быть старая система управления доступом на основе LDAP, которая была развёрнута в 2011 году и с тех пор работает без изменений. Она может содержать учётные данные тысяч пользователей, включая бывших сотрудников, которые никогда не были удалены из системы. Бывает и так, что старые системы аутентификации не интегрированы с современными системами мониторинга и обнаружения угроз. Если кто-то попытается войти в старую систему с использованием украденных учётных данных, никакой алерт не сработает. Система просто выдаст доступ, потому что пароль верный. Кроме того, многие организации не проводят регулярный аудит учётных записей в старых системах. Это означает, что никто не знает, какие учётные записи активны, какие из них принадлежат бывшим сотрудникам, а какие вообще являются фиктивными. Такое состояние идеально для злоумышленника, который может использовать старую учётную запись для длительного скрытого доступа к системе.

Практические рекомендации по аудиту и очистке легаси-инфраструктуры

Учитывая масштаб проблемы, организациям необходимо предпринять конкретные шаги для аудита и очистки своей легаси-инфраструктуры. Первый шаг — провести полную инвентаризацию всех систем, сервисов, доменов и VPN-соединений, которые существуют в организации. Это может занять значительное время, но это критически важно для понимания поверхности атаки. Второй шаг — определить, какие из этих систем всё ещё используются, а какие можно вывести из эксплуатации. Для каждой системы необходимо установить ответственного лица, который будет отвечать за её безопасность и актуальность. Если система больше не используется, её следует безопасно удалить, включая удаление всех связанных учётных записей, доменов и DNS-записей. Третий шаг — обновить все системы до современных версий с поддержкой безопасности. Если обновление невозможно, система должна быть изолирована от основной сети или полностью выведена из эксплуатации. Использование PPTP или L2TP в 2026 году неприемлемо — необходимо перейти на современные протоколы, такие как WireGuard, OpenVPN или IKEv2. Четвёртый шаг — внедрить двухфакторную аутентификацию для всех критических систем и регулярно проводить аудит прав доступа. Это поможет предотвратить несанкционированный доступ даже в случае компрометирования пароля. Пятый шаг — регулярно мониторить и обновлять конфигурации VPN, DNS и файловых серверов. Это должно быть частью регулярного процесса управления безопасностью, а не одноразовым проектом. Легаси-инфраструктура — это не просто техническая проблема, это проблема управления и культуры организации. Необходимо изменить отношение к старым системам и понять, что забытая система — это не безопасная система, а опасная система. Только таким образом организации смогут защитить себя от инцидентов, которые происходят не благодаря передовым технологиям атак, а благодаря простому отсутствию внимания к основам безопасности.