В данной статье на примере набора компонентов комплексной системы безопасности (техническая защита) я проведу небольшой, но наглядный экскурс в проблематику и поделюсь несколькими испробованными лайфхаками для владельцев бизнеса, генеральных директоров или руководителей служб безопасности. Вы узнаете, как быстро и просто выявить болевые точки в действующей защите, определить причины и наметить планы на будущее по минимизации и упреждению актуальных киберугроз.
Как бы вы отнеслись к тому, что с первых строк этой статьи я заявлю именно вам, уважаемый читатель, что инфраструктура вашей компании или уже была скомпрометирована злоумышленниками (хакеры сидят у вас внутри и собирают нужную им информацию), или в настоящий момент находится в серьезной опасности (хакеры готовятся взломать вашу киберзащиту и получить несанкционированный доступ внутрь защищаемого периметра) из-за банальной халатности ваших ИТ-администраторов?
Это, без какого-либо сомнения, плохая новость. Но есть и хорошая новость: вы не одиноки, ваша компания не исключение на рынке в РФ.
Почему я так в этом уверен? По статистике исследовательской команды PT SWARM (команда инженеров – тестировщиков систем безопасности на проникновение в группе Positive)1, такая же плачевная ситуация наблюдалась в 2023–2024 гг. более чем у 96% отечественных компаний, в которых коллеги проводили тестирование на проникновение. В качестве причин такого фиаско с киберзащитой авторы исследования называли самые разные моменты: отсутствие у компаний в России достаточных финансовых ресурсов на обеспечение информационной безопасности (ИБ), недостаток эффективных инструментов защиты от актуальных киберугроз, затянувшееся импортозамещение, кадровый дефицит/важность развития ИТ- и ИБ-компетенций в компании и многие другие совершенно резонные факты. Но мы с вами уже в 2025 г., а ситуация с кибербезопасностью особо-то не поменялась.
Октябрь 2024 г. Представители хакерской группировки BO Team, взявшей на себя ответственность за кибератаку на ГАС "Правосудие" и на официальный сайт федеральных арбитражных судов РФ в III квартале 2024 г., выразили "особую благодарность" заместителю начальника отдела системного администрирования телекоммуникаций ФГБУ ИАЦ "Информационно-аналитический центр поддержки ГАС "Правосудие" Басовой Наталии Александровне и ее команде системных администраторов. "Они не только открыли нам ворота, но и не захотели делать бэкапы, про что говорят любезно предоставленные нам результаты аудита"2, – процитировали сообщение хакеров крупнейшие российские СМИ. Дерзко, но правдиво.
Лайфхак № 1 для руководителя
Вызовите к себе в кабинет системного ИТ-администратора и попросите его продемонстрировать место хранения резервных копий ваших основных информационных активов (базы данных, сервера приложений, доступные из Интернета веб-серверы, файловые хранилища и репозитории с исходными кодами или иные ИТ-активы, к примеру резервную копию вашего рабочего места), а также наличие установленных паролей на файлы – резервные копии. Предложите ему прямо при вас восстановить работу случайно выбранной вами системы по состоянию на утро предыдущего дня и посмотрите на реакцию.
Важный момент: резервные копии критически важных компонентов вашей ИТ-инфраструктуры должны сниматься на регулярной основе и проверяться на целостность в автоматическом безопасном режиме.
Для продолжения погружения важно понять и принять, что выстроенная годами с вашим участием и за ваши деньги (за миллионы тысяч, и не сказать, что рублей) система безопасности в компании работает сейчас и будет работать завтра настолько же эффективно, насколько эффективно работает "самая слабая" или наименее защищенная компонента/звено в этой комплексной системе безопасности. Не согласны?! Имеете полное право, пока я не смогу убедить вас в обратном.
Вот еще одна иллюстрация из СМИ: август 2023 г. Хакеры сумели взломать крупнейшие российские компании (окончательный список не опубликован, но он внушительный и сопоставим со списком клиентов компании Citrix в России) через уязвимость в программном обеспечении продуктов Citrix (система безопасного удаленного доступа). В конце лета 2023 г. была опубликована информация о выявлении очередной уязвимости CVE-2023-4966, названной в сообществе Citrix Bleed. Citrix Bleed (CVE-2023-4966) – это критическая уязвимость безопасности в двух программных продуктах Citrix: в Citrix NetScaler ADC (приложение для оптимизации доставки веб-трафика), и в Citrix Gateway (шлюз безопасного удаленного доступа к опубликованным в гибридных облаках приложениям)3. По информации от ИБ-экспертов, до того, как Citrix выпустил и распространил актуальное обновление, закрывающее уязвимость, сотни и тысячи компаний – клиентов Citrix по всему миру, в том числе правительственные и финансовые организации в РФ, подверглись массовым атакам хакерских группировок, эксплуатировавших уязвимость Citrix Bleed. По оценкам Citrix, реальный подтвержденный ущерб от кибератак с применением данной уязвимости составил десятки миллионов долларов. Одна-единственная уязвимая компонента – и такой колоссальный по масштабу ущерб за минимальное время! При том, что все остальные компоненты защиты у клиентов компании Citrix функционировали идеально на момент кибератаки.
Лайфхак № 2 для руководителя
Пригласите работника, ответственного за обеспечение информационной безопасности в вашей организации, и попросите его предоставить вам три крайних отчета о проведении сканирования на наличие актуальных уязвимостей ИТ-ресурсов, размещенных на периметре сети вашей компании, доступ к которым осуществляется из Интернета. Это особенно актуально для компаний, имеющих собственные вебсайты, доступные для клиентов мобильные приложения, API-сервисы или использующие DNS-, MX- и VPN-серверы. Обратите внимание на реакцию вашего работника после данного вопроса. При наличии трех отчетов обратите внимание на динамику устранения выявленных, тенденцию и причины появления новых уязвимостей на статичном для вашей компании наборе доступных из Интернета сервисов.
Второй момент, который крайне важно понять руководителю в компании, – это тот факт, что не бывает совершенно неуязвимых систем и абсолютно безопасных технических решений. Каждую систему в компании потенциально возможно взломать или с ее помощью нанести компании ущерб. Основной вопрос – сколько (в деньгах и времени) злоумышленники готовы за это заплатить.
Таким образом, работа специалистов по обеспечению защиты информация нацелена на то, чтобы своими действиями максимально затруднять (вплоть до блокировки) успешную деструктивную деятельность внешних и внутренних злоумышленников по отношению к объектам защиты в компании.
А такими объектами в компании, с точки зрения кибербезопасности, могут выступать информационные активы собственные и клиентов, компоненты инфраструктуры, процессы, сервисы и технологии. Если офицеры информационной безопасности не работают или работают неэффективно, то рано или поздно (а скорее рано) злоумышленники с минимальными усилиями успешно взломают систему защиты и получат доступ в вашу инфраструктуру через уязвимые на тот момент времени компоненты.
Еще один важный аспект формирования у руководителя понимания реального уровня киберзащиты в его организации – это подход к безопасности не как к одномоментному состоянию, а как к непрерывному процессу во времени, объединяющему отдельные подпроцессы. Примерами таких подпроцессов являются:
Именно непрерывность и связанность подпроцессов безопасности формируют качественное представление о защищенности в компании.
Лайфхак № 3 для руководителя
Пригласите к себе специалистов, ответственных за сопровождение компонентов комплексной системы безопасности (СКУД, СОТ, СПО, архив видеонаблюдения, рабочие месте охранников-операторов, датчики сигнализации, турникеты и пр.). Не секрет, что внутри сети комплексной системы безопасности находится много серверов, автоматизированных рабочих мест, датчиков, камер, считывателей. Каждое устройство, если оно подключено в IP-сеть, имеет свою собственную операционную систему, IP-адрес, настройки и профиль безопасной работы и, как следствие, набор собственных уязвимостей.
Попросите ответственного работника продемонстрировать вам фактическое наличие установленных на серверах в сети комплексной системы безопасности и на рабочих местах операторов обновленные агенты антивирусной защиты (аналогичные антивирусные программы должны быть установлены и на вашем рабочем месте в сети компании). Проследите за его реакцией на вопрос и выслушайте его ответ/версию – сделайте для себя соответствующие выводы.
Март 2025 г. Жертвами киберзлоумышленников стали несколько крупных российских компаний с очевидно не маленькими бюджетами на обеспечение информационной безопасности. Немного информации, но все же просочилось в СМИ4. Одна из компаний пострадала от действий вирусов-шифровальщиков, которые проникли внутрь защищаемого периметра по электронной почте через сегменты сети с доступом пользователей в Интернет. Очевидно, что без фишинга и социальной инженерии в этом кейсе не обошлось. После проникновения внутрь злоумышленники провели горизонтальную рекогносцировку, выявили уязвимые компоненты в сети и продолжили свое продвижение вплоть до целевых серверов, информацию на которых они для ее владельцев сделали временно недоступной. Об ущербе для компании никто официально не сообщал, однако, судя по описанию сценария атаки в теневом сегменте Интернета и длительному времени устранения владельцами информации последствий от инцидента, он (ущерб) далеко не нулевой.
Лайфхак № 4 для руководителя
Если вы, как руководитель, задумываетесь об информационной безопасности, читаете профильную периодику и дошли по тексту статьи до четвертого лайфхака, значит, в вашей организации могут выполняться или уже выполняются базовые требования по обеспечению режима конфиденциальности, к которым в числе прочего относится создание и поддержание внутренней парольной политики на серверах и рабочих станциях. Запросите у офицеров информационной безопасности действующую в вашей компании парольную политику и ознакомьтесь с ней. Дойдите до рабочего места ИТ-администратора, попросите его ввести свой пароль от своего рабочего места, от системы удаленного доступа к выбранным вами серверам, рабочим станциям, сетевому оборудования (достаточно три-четыре типа устройств) в вашем присутствии и проследите, что именно он вводит и как это соответствует парольной политике вашей компании. Риск минимальный, так как после данного "упражнения" ИТ-администраторы обязаны поменять свои пароли на новые, соответствующие парольной политике в организации. Проделайте то же упражнение с администраторами комплексной системы безопасности (СКУД, СОТ, СПО, архив видеонаблюдения, рабочие места охранников-операторов, датчики сигнализации, турникеты и пр.) – попросите их ввести свои пароли на серверах и рабочих станциях в сегменте с оборудованием комплексной системы безопасности и оцените соответствие паролей парольной политике. С высокой долей вероятности вы увидите, что действующие на момент проверки пароли ИТ-администраторов и администраторов серверов СКУД (привилегированных пользователей с максимальными правами доступа) не соответствуют утвержденной парольной политике в вашей организации.
Сделайте соответствующие выводы для себя.
В завершение обзора и лайфхаков приведу топ-5 наиболее распространенных у ИТ-администраторов ошибок в настройках компонентов инфраструктуры и подсистемы безопасности, которые приводят к успешным взломам и проникновениям злоумышленников внутрь защищаемого периметра сети организации в России в 2025 г.:
Обратите особое внимание работников, ответственных за обеспечение информационной безопасности, на эти типовые недочеты и ошибки конфигурирования. Очень вероятно, что их быстрое выявление и устранение поможет защитить вашу компанию от потенциального ущерба в ближайшем будущем.
Лайфхак № 5 для руководителя
Запросите у ИТ-администраторов актуальную сетевую схему вашей организации. По своему содержанию это карта вашей сети с нанесенными на нее сегментами и информационными потоками. По данной схеме сети (при ее наличии в организации) можно определить, размещены ли сервера и пользователи в одном сегменте сети (в прямом доступе друг для друга) или в разных (доступ фильтруется на межсетевом экране), а также наличие в организации выделенных сегментов сети для серверов и рабочих станций СКУД, отдельного сегмента с доступом в Интернет и прочих деталей, характеризующих уровень зрелости процесса обеспечения информационной безопасности. Если схема сети в компании отсутствует и/или ее содержание сложно для первичного восприятия не техническим специалистом, попросите администраторов комплексной системы безопасности (СКУД, СОТ, СПО, архив видеонаблюдения, рабочие места охранников-операторов, датчики сигнализации, турникеты и пр.) со своих рабочих мест зайти на любой сайт в Интернет – это означает наличие прямого доступа в Интернет из сегментов сети с ограниченным доступом.
Тестирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. В ходе проведения этих работ исследователи помогают выявлять небезопасные места в ключевых и целевых системах, тем самым информируя компании о возможности реализации недопустимого события со стороны реальных злоумышленников. Как и в 2022 г., доля уязвимых к внешнему нарушителю компаний осталась прежней – 96%. В организациях, в которых был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100% случаев. В 2022 г. этот показатель также был максимальным.
Необходимо отметить, что те организации, которые регулярно проводят пентесты и принимают соответствующие меры по обеспечению безопасности по их результатам, в итоге выходят на более высокий уровень защищенности.
Систематически проверяйте эффективность внедренных мер защиты, а также готовность службы ИБ выявлять и останавливать атаки на ранних этапах, до наступления недопустимых последствий5.
1 Итоги пентестов от Positive Technologies: 96% организаций уязвимы перед кибермошенниками [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/about/news/itogi-pentestov -ot-positive-technologies-96-organizaczij-uyazvimy -pered-kibermoshennikami/ (дата обращения: 06.05.2025).
2 Кильдюшкин Р. Во взломанной ГАС "Правосудие" могли использоваться продукты "Лаборатории Касперского"// газета.ru [Электронный ресурс]. 08.10.2024. URL: https://www.gazeta.ru/tech/news/2024/10/08/24101431.shtml (дата обращения: 06.05.2025).
3 Немедленно обновите свои устройства, хакеры не упустят удобного случая // securitylab.ru [Электронный ресурс]. 24.10.2023. URL: https://www.securitylab.ru/news/542955.php (дата обращения: 06.05.2025).
4 Кондакова Т. Масштабная кибератака на "Роснефть" и "Лукойл" 26.03.2025 года: хакеры парализовали работу компаний [Электронный ресурс]. 26.03.2025. URL: https://allestate.pro/news/26.03.2025/masshtabnaya-kiberataka-na-rosneft-i-lukoyl-26-03-2025-goda-haker y -paralizovali-rabotu-kompaniy (дата обращения: 06.05.2025).
5 Итоги пентестов 2023 [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/research/analytics/preview/resultsof-pentests-2023 (дата обращения: 06.05.2025).
Опубликовано в журнале "Системы безопасности" № 2/2025
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Изображение сгенерировано нейросетью