ИБ по-новому: как компании готовятся к атакам и восстанавливаются после

Об эксперте: Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет».

От кражи данных к подрыву процессов: как меняется фокус атак

— Сегодня атаки все чаще нацелены не столько на кражу данных, сколько на остановку критичных процессов и дестабилизацию работы компаний. Какие сценарии в этом смысле самые опасные и требуют ли они иного подхода к защите?

— Мы действительно видим такой сдвиг. По нашей статистике, около 30% серьезных инцидентов связано с шифровальщиками, еще 20% — с вайперами, которые полностью уничтожают инфраструктуру. При этом часто шифровальщики фактически являются вайперами: злоумышленники создают видимость, будто восстановление возможно, хотя на самом деле это не так. Добавим сюда DDoS — и становится ясно: цель многих атак сегодня — не кража данных или денежных средств, а подрыв киберустойчивости и остановка бизнеса.

Кражи данных никуда не делись, но зачастую они — часть сложных атак. Например, в одном случае злоумышленники год выкачивали данные, а затем запустили шифровальщик, чтобы замести следы. Мощный DDoS тоже нередко используется как прикрытие для незаметных действий внутри инфраструктуры.

Отдельная история — атаки на бэкапы. Злоумышленники не запускают шифровальщик, пока не найдут и не уничтожат все резервные копии. Делают это на очень высоком техническом уровне — работают профессионалы.

И еще один тревожный тренд — вмешательства в расследование. Мы сталкивались с ситуациями, когда злоумышленники читали переписку сотрудников, взламывали личные телеграм-аккаунты системных администраторов или других специалистов по безопасности и подстраивались под действия защитников в реальном времени. Если раньше такое было редкостью, теперь это почти норма.

— Резонансные атаки, включая недавний случай с «Аэрофлотом», показали: под угрозой оказываются даже компании с высоким уровнем цифровизации и серьезными вложениями в ИБ. Какие выводы бизнесу стоит сделать? Как меняются приоритеты?

— Парадокс в том, что масштабная цифровизация делает бизнес не только эффективнее, но и уязвимее: увеличивается поверхность атаки и возможный ущерб. По нашей статистике, около 50% крупных компаний, даже с серьезной защитой, за год сталкиваются с тем или иным проникновением в свои системы.

Вопрос уже не в том, кого атаковали, а как быстро компания смогла восстановиться. Граница проходит не между взломанными и невзломанными, а между теми, кто сохранил устойчивость, и теми, чей бизнес остановился. В новостях — те, кто не успел отреагировать или быстро восстановить системы из бэкапа.

Даже при больших инвестициях остаются слабые места — например, подрядчики. Практически каждый пятый инцидент связан с ними. У крупных компаний десятки контрагентов с удаленным доступом и низким уровнем защиты — это типовой вектор атаки.

Все это приводит к переосмыслению информационной безопасности (ИБ): фокус смещается с «как не допустить атаку» на «что делать, когда она случится». Поэтому важны регулярные учения и симуляции, которые выявляют неожиданные уязвимости: от забытых элементов инфраструктуры до банального отсутствия доступа к контактам в момент ЧП.

Такие тренировки также показывают, что восстановление почти никогда не бывает успешным с первой попытки. Даже если есть бэкапы и резервные площадки, все нужно заранее отработать — иначе в реальной ситуации защита не сработает.

Индустрия 4.0 Технологии против угроз: 7 трендов кибербезопасности в 2025 году

— Насколько компании готовы делиться опытом после атак? Или тема киберинцидентов до сих пор остается табуированной?

— К сожалению, едва ли готовы. По нашему опыту, компании крайне редко открыто рассказывают о случившихся атаках. Даже если специалисты по ИБ хотят поделиться опытом — из желания помочь коллегам и предотвратить аналогичные инциденты у других, — им обычно этого не позволяют. В дело вступают PR-службы и руководство: в момент инцидента компания думает только о себе, и чаще всего — примерно в 90% случаев — информация не выходит в публичное поле.

Да, в ряде случаев информирование регуляторов является обязательным. Но и тогда данные передаются очень скупо, без деталей. Это серьезная проблема: в итоге злоумышленники могут раз за разом использовать одни и те же инструменты и сценарии просто потому, что никто не предупредил остальных. У нас был прецедент: одну компанию буквально уничтожили, а спустя пару дней появилось описание средств взлома, которые еще за два месяца до этого применялись против другой жертвы. Если бы информация была опубликована вовремя, возможно, трагедии удалось бы избежать.

Мы пытаемся с этим бороться и создали некоммерческий клуб по обмену индикаторами компрометации. Схема простая: компания передает данные провайдеру клуба, тот их обезличивает и распространяет внутри сообщества. В клубе участвуют крупные организации, и они понимают, что источник надежный, даже если не знают, кто именно поделился информацией. Это один из немногих работающих способов наладить обмен опытом.

И все равно огромный объем ценной информации остается недоступным. Атаки происходят, а уроки из них зачастую не извлекаются.

От обороны к устойчивости: как меняется стратегия безопасности

— Киберустойчивость все чаще называют следующим шагом в развитии корпоративной безопасности. В чем ее принципиальное отличие от классической ИБ и как она меняет подход к построению архитектуры?

— Киберустойчивость — это способность компании продолжать нормально работать в условиях непрерывных и неизбежных атак. Здесь атаки воспринимаются не как форс-мажор, а как данность. Это радикальная смена мышления: мы уходим от иллюзии непреодолимого «забора» вокруг инфраструктуры и смещаем акцент с превентивных мер на мониторинг, реагирование и восстановление.

Это видно даже по инвестициям. Если десять лет назад 90% бюджета уходило на защитные меры, то сегодня — зачастую меньше половины. Все остальное — это инструменты обнаружения, реакции и быстрого восстановления. Причем мониторинг все чаще выходит за пределы IT: используется киберразведка, которая позволяет выявлять атаки еще до их начала, например по попыткам подкупа сотрудников, утечкам данных или активности в даркнете.

Еще одно ключевое отличие — постоянное изменение. Раньше ИБ строилась как проект на десять лет: сделали систему, и она «живет». Сейчас такой вариант невозможен. Безопасность становится операционной задачей, требующей непрерывных корректировок.

И при этом обеспечить киберустойчивость силами одной ИБ-службы невозможно. Нужно вовлечение IT, чтобы инфраструктура была неудобной для злоумышленника. Нужно участие бизнес-подразделений, финансов, HR, PR. Чаще всего переход к такому мышлению происходит после серьезного инцидента. Назначают «крайнего», увольняют директора по ИБ, но потом все же приходит понимание: одной службой информационной безопасности проблему не решить. Это задача всего бизнеса.

— Что отличает компанию, которая способна быстро прийти в себя после атаки? Какие процессы и инструменты обеспечивают такую устойчивость?

— Главное отличие таких компаний — они готовились заранее. Почти никогда не получается восстановиться с первого раза, если этого ни разу не пробовали. Казалось бы, очевидно, но факт: большинство компаний никогда не проводили даже учения по восстановлению. Специалисты боятся, что в процессе поломают боевую систему и получат выговор. Поэтому откладывают и надеются на авось.

А когда все-таки случается инцидент, выясняется, что нет ни проверенных бэкапов, ни понятных планов действий, ни отработанных взаимодействий между командами. В результате — паника, импровизация и потери.

А вот устойчивые компании — это те, кто хотя бы один раз отрепетировал катастрофу. Провел учения, смоделировал атаки, проверил, кто кому звонит, кто за что отвечает. Или с боем выдержал реальную атаку.

Но главное — вовлеченность. Когда в безопасности участвует не только ИБ, но и IT, и бизнес, и финансы, и HR. Все должны понимать, что в случае атаки они — часть команды спасения, а не просто наблюдатели.

Индустрия 4.0 10 самых громких кибератак XXI века

— Как трансформируется подход к построению ИБ-систем? Какие принципы — Zero Trust, Security by Design, мониторинг — действительно работают?

— Главное изменение — отход от старой модели «замка и рва», где надежный периметр считался достаточным, а внутри всем можно было доверять. Сегодня ясно: злоумышленник все равно проникнет — через фишинг, уязвимости, подрядчиков или Wi-Fi. Поэтому архитектура IT должна замедлить его действия и дать время на реакцию — с помощью сегментации, жесткой настройки инфраструктуры и постоянного мониторинга.

Zero Trust предполагает, что никто не считается безопасным по умолчанию и каждое действие в системах проверяется на легитимность заново. Но реализовать это полностью сложно: мешают устаревшие приложения и громоздкая инфраструктура. Security by Design считается обязательным: защиту нужно закладывать на этапе разработки. Параллельно развивается мониторинг внешней среды: важно не только контролировать внутренние процессы, но и отслеживать утечки, активность в даркнете, попытки подкупа. Атака не должна застать врасплох.

С чего начать: первые шаги к безопасности

— Многим до первого инцидента кажется, что защита надежна. Как реально оценить готовность компании к сложной атаке и выявить слабые места?

— Тут работает только один способ — эксперимент. Нужно просто попробовать взломать себя самому. Это может быть внешний пентест, когда нанимается команда, чтобы найти уязвимости. Или реалистичные учения с хакерами, которые действуют как настоящие злоумышленники. Иногда даже внутренние специалисты не знают, что это симуляция, чтобы все было по-настоящему.

Есть и другой формат — Table Top учения. Это ролевая игра, когда участники садятся за стол и разыгрывают сценарий атаки: кто что делает, кто кому звонит, кто отвечает за решение. Такие учения часто показывают неочевидные пробелы в коммуникациях и процессах.

Очень полезен Bug Bounty — когда компания дает «белым» хакерам возможность найти уязвимости в своей инфраструктуре и получить за это вознаграждение. Так можно выявить слабые места, которые не удалось найти внутренними силами.

Но важно не забывать и про вторую половину устойчивости — способность восстанавливаться. Именно здесь чаще всего возникает провал. Бэкапы не проверялись, инструкции не работают, ответственные не знают, что делать. Поэтому обязательно нужно заранее тренироваться именно на восстановление, даже если это страшно и грозит сбоями. Только это дает реальное понимание, насколько вы готовы.

— Если компания только начинает выстраивать современную систему безопасности — с чего стоит начать?

— Формально в любой организации хоть какая-то защита есть — хотя бы антивирус. Но, по сути, это уровень «ноль». На практике к реальной работе по ИБ нередко приходят после крупного инцидента, когда инфраструктура уже лежит в руинах.

Первый шаг — посмотреть на компанию глазами злоумышленника. Для этого используется киберразведка: проверить, какие логины и пароли уже утекли в открытый доступ, какие сервисы «торчат» наружу, не появились ли фишинговые сайты под брендом компании. Это быстро дает картину самых очевидных дыр.

Затем важно закрыть простейшие уязвимости: забытые сервисы, старые учетки бывших администраторов, лишние открытые порты. Параллельно стоит навести порядок в базовых настройках инфраструктуры — Windows, Linux, серверов. Гайды для этого есть, затрат почти не требуется, но эффект очень заметный.

Следующий шаг — пентест. Его результат предсказуем: компанию взломают. Но он показывает вероятный путь злоумышленника и позволяет этот маршрут закрыть. Полезно также проводить фишинговые симуляции: пользователи дисциплинируются, а иногда учебные рассылки пугают их даже больше реальных.

Дальше нужны учебные сценарии. Их итог чаще всего печален — вскрываются десятки проблем. Но именно такие учения вовлекают соседей по процессу: финансистов, айтишников, бизнес. Люди начинают понимать, что они тоже часть решения, а не только наблюдатели.

Ну и есть аксиома, без которой сегодня вообще нельзя: второй фактор. Если у вас вход только по логину и паролю — считайте, что у вас нет защиты. Все остальное — уже следующий уровень: аудит, план, приоритизация. Но база должна быть именно такой.