Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.

Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.

Кратко об атаках шифровальщиков

Львиная доля таких атак развивается по двум сценариям. Либо в корпоративную сеть проникают через уязвимости интернет-приложений (Exploit Public Facing Application), таких как VPN или почтовые сервисы вроде Microsoft Exchange, либо точкой входа в IT-инфраструктуру компании становятся партнеры и подрядчики, чьи легитимные доступы используются злоумышленниками. 

Причем все чаще киберпреступники действуют не в одиночку, а организованными группами с четким разделением обязанностей. Одни хакеры занимаются получением первоначального доступа и проводят разведку. Другие же сортируют жертв и решают, чьи файлы сразу зашифровать и потребовать выкуп, а за кем лучше шпионить, тайно выгружая данные. Третьи специализируются непосредственно на операциях шифрования. 

Если же говорить об общей реализации подобных нелегальных акций, то это по большей части human-operated атаки. То есть ИБ-службе компании противостоят не автоматические сетевые черви, а живые люди, хотя многие стадии процесса, несомненно, автоматизированы. Так, получение первоначального доступа (Initial Access) зачастую выполняется при помощи специальных веб-серверов, которые используют выгрузки данных из Shodan или самостоятельно сканируют потенциально уязвимые веб-приложения. 

Впрочем, для жертвы атаки нет никакой разницы, координируется нападение вручную или происходит автоматически. Даже разновидность и семейство ransomware не играют большой роли для бизнеса. Разбираться с деталями приходится уже команде реагирования на инциденты. Эти нюансы не влияют на порядок действий ИБ-службы компании.

Атака глазами жертвы

Обычно атака вируса-шифровальщика для компании — это все равно что гром среди ясного неба. ИБ-специалистам попросту некогда углубляться в детали и, например, пытаться атрибутировать семейство «прилетевшего» шифровальщика в столь накаленной обстановке. Как же выглядит такая атака глазами ее жертвы? 

Как правило, атакующие переходят к активным действиям, когда бизнес и ИБ-служба менее всего готовы держать оборону — посреди ночи или в выходные дни. Злоумышленники стараются запустить процесс шифрования файлов, ставших целью атаки, одномоментно на всех компьютерах с помощью централизованного управления. Это могут быть групповые политики, механизмы удаленного доступа или средства администрирования. 

Иронично, но порой атакующие задействуют и применяемые в компании средства защиты информации. Частый кейс — когда вирус-шифровальщик распространяют по сети через средства администрирования антивируса.

Периодически случаются накладки: не удалось отключить СЗИ, шифрование не запустилось. Тогда злоумышленникам приходится выполнять дополнительные действия вручную. В такие моменты атакующие оставляют следы, которые потом служат зацепками при расследовании инцидента. Хотя в идеале компании и службе ИБ надо не доводить ситуацию до критической и вовремя проводить профилактику подобных атак. 

Превентивные меры 

Есть два вида превентивных мер. Первые направлены на предотвращение атак вирусов-шифровальщиков. Вторые помогут ИБ-службе снизить вред для бизнеса, если злоумышленникам все же получится зашифровать файлы организации. 

Как уменьшить вероятность атак вирусов-шифровальщиков

Базовые способы минимизировать риски описаны в целом ряде инструкций и регламентов. Речь идет о проработанной парольной политике, внедрении двухфакторной аутентификации, принципах наименьших привилегий, мониторинге сети. Вместо того чтобы в очередной раз повторять такие технические «‎азбучные истины», обратим внимание на другие полезные меры, которыми бизнес часто пренебрегает.

Регулярно проводить инвентаризацию сети и связанных процессов. Обычная ситуация: ИБ-специалисты забыли о существовании сервера, перестали контролировать его с помощью СЗИ и выполнять обновления. В результате этот заброшенный элемент инфраструктуры стал точкой входа для киберпреступников. Или же аутсорсерам предоставили слишком широкие права доступа, что также повысило риск атаки. 

Чтобы исключить такие опасные недоработки, безопасникам следует периодически «прочесывать» сеть организации и наводить в ней порядок. Например, проверять, что все серверы и хосты находятся под защитой, а у подрядчиков нет возможности выходить за пределы подсети, где они проводят работы. 

Проводить инвентаризацию СЗИ. Такие проверки дадут ИБ-службе понимание, покрыта ли сеть средствами защиты в достаточной степени. Далеко не обязательно нужно стопроцентное покрытие: все зависит от особенностей бизнеса, обрабатываемых данных, масштабов и сложности инфраструктуры, количества внешних интеграций и многих других факторов.

Своевременно контролировать показания СЗИ. Казалось бы, что может быть проще и очевиднее? И все же нередки ситуации, когда антивирус бьет тревогу и сообщает об обнаружении вредоноса, но никто не обращает на это внимания. ИБ-специалисты спохватываются лишь с началом атаки.

А ведь даже обычный антивирус способен засечь атакующего не только на этапе импакта, но и на стадиях закрепления в системе, повышения привилегий, разведки, сбора данных. Нужно лишь внимательно следить за показаниями средств защиты и вовремя на них реагировать, иначе любые инструменты бесполезны.

Как подготовиться к атакам вирусов-шифровальщиков и минимизировать вред для бизнеса

Сделать сеть абсолютно неуязвимой для вымогателей физически невозможно. Более реалистичная задача — выстроить работу так, чтобы эффективно реагировать на любую атаку на ранней стадии. В этом компаниям помогут компетентный SOC, средства защиты, эффективные рабочие процессы. И снова есть несколько полезных шагов, которые почему-то не всегда очевидны для бизнеса и сотрудников службы безопасности.

Ускорить согласования и подписание документов. Иногда драгоценное время при реагировании теряется из-за волокиты. Подписание NDA, поиск и согласование доступов — все это растягивается «до бесконечности». Между тем сетевые логи уходят в ротацию, следы действий киберпреступника исчезают. Да и злоумышленник все еще может находиться в сети и продолжать наносить урон бизнесу. 

В повседневной рутине топ-менеджмент и ИБ-служба не всегда обращают внимание на то, насколько неповоротливы административные процедуры в компании. Поэтому стоит оценить такие процессы, не дожидаясь инцидента. Например, разыграть ситуацию, когда требуется быстро подписать NDA в выходной или праздник. Либо согласовать сетевые доступы, пока отвечающий за инфраструктуру администратор находится в отпуске. Если подобная задача оказывается невыполнимой, это повод в корне пересмотреть процессы и убрать лишние административные барьеры. 

Обеспечить контроль инфраструктуры при любых обстоятельствах. Оптимально, когда несколько взаимозаменяемых администраторов обладают всеми сетевыми доступами и знают, как действовать в случае атаки. Если один из таких специалистов, опять же, уйдет в отпуск или на больничный, а в это время компания подвергнется нападению шифровальщика, контроль над сетью не будет потерян. 

Внедрить централизованное хранилище данных. Желательно, чтобы в компании применялась система управления информацией и событиями безопасности (SIEM) или другой инструмент, где централизованно сохраняются логи и прочие полезные при расследовании инцидентов данные. Тогда на их сбор и анализ при реагировании на инцидент уйдет намного меньше времени. Кстати, некоторые злоумышленники подчищают такие цифровые улики, так что не помешает дополнительно защитить эту информацию.

Составить базовую логическую карту корпоративной сети. С подобной картой ИБ-специалистам и команде реагирования не придется судорожно метаться по всей инфраструктуре в попытках понять, где находятся те или иные компоненты, что выходит в интернет, а что нет, каковы правила доступа и перехода между сетевыми сегментами. Безопасники сумеют быстрее сориентироваться, чтобы блокировать действия злоумышленника и разобраться в инциденте. Заодно им станет гораздо проще проводить вышеупомянутую инвентаризацию сети и СЗИ. 

Следовать правилу резервного копирования «3-2-1» В двух словах: такой подход предполагает создание трех резервных копий данных, которые сохраняются в двух различных физических форматах. Притом одна из копий вовсе должна храниться за пределами организации. Даже если злоумышленник зашифрует всю информацию внутри корпоративной сети, бизнес не потеряет жизненно важные файлы. 

Составить план коммуникаций на случай инцидента. ИБ-службе стоит подготовить детальный гайд, где будет прописано, кого из топ-менеджмента, сотрудников компании, представителей клиентов и партнеров, наконец, какие надзорные органы уведомить об атаке шифровальщика. Так получится согласовать действия, избежать паники и конфликтных ситуаций, а иногда и штрафных санкций со стороны госорганов. 

Всегда нужно помнить и том, что атакующие могут давить на жертв и угрожать опубликовать данные. Это приведет к дополнительной моральной и организационной нагрузке на бизнес. Поэтому лучше заранее подготовиться к подобным ситуациям: определить, стоит ли вообще давать комментарии для СМИ и общественности, насколько подробные разъяснения нужны. 

Реагирование на атаку шифровальщика

Но что делать, а чего не делать, если профилактика не сработала и атака вируса-шифровальщика уже началась? Прежде всего важно понимать, какие действия только усугубляют ситуацию.

Как не стоит действовать при атаках вирусов-шифровальщиков

При таких инцидентах работает медицинский принцип «не навреди». Перечислим нежелательные меры. 

Пытаться продолжить работу так, будто ничего не произошло. В случае атаки некоторые системные администраторы и ИБ-специалисты предпочитают пойти по пути наименьшего сопротивления: поскорее восстановить работоспособность инфраструктуры своими силами (да, изредка атакующие оставляют такую возможность) и забыть о произошедшем. Никто даже не пытается изолировать сеть и проверить, не закрепился ли в ней злоумышленник. А ведь нет никаких гарантий, что он не вернется и снова не зашифрует данные организации. В нашей практике бывают случаи, когда, скажем, за пару лет атакующий трижды проникает в сеть через одну и ту же точку входа. Бизнес же спохватывается и начинает расследование только после третьего инцидента. 

Ниже представлен Unified Kill chain — модель проведения атаки. Факт запуска вируса-шифровальщика внутри инфраструктуры на ней соответствует пункту Impact. Представьте, какое количество действий внутри вашей инфраструктуры провел атакующий. Вряд ли при столь масштабном воздействии можно просто сделать вид, как будто ничего не случилось.

С ходу перезагружать машины, на которых уже запущено шифрование. Столь радикальные меры чреваты тем, что файлы технически не удастся восстановить, даже если заплатить злоумышленнику за приватный ключ. ИБ-служба рискует навсегда потерять и критичную для бизнеса информацию, и криминалистические артефакты (логи и прочее), необходимые для расследования инцидента. Сразу же «дергать рубильник» целесообразно лишь в ситуациях, когда злоумышленник уже замечен в сети, но шифрование на машине пока не началось. В противном случае нужно сперва оценить риски. 

Как правильно действовать при атаках 

Здесь возникают нюансы в зависимости от того, как быстро был замечен злоумышленник, каков уровень квалификации сотрудников службы информационной безопасности, ведется ли мониторинг сети. Есть и ряд универсальных шагов.

Выявить не затронутые атакой хосты и защитить хранящиеся там данные. Следует снять с еще не зараженных хостов бекапы и поместить их в изолированное хранилище. Конечно, можно защитить ценные файлы настройками файрвола или EDR-системы. Это усложнит задачу злоумышленникам и поможет выиграть немного времени для работы безопасников. Но рано или поздно атакующий может пробиться и через эти барьеры. Так что лучше всего сохранить холодный бэкап в физическом хранилище (на жестком диске или магнитной ленте), недоступном из интернета и скомпрометированной сети. И это вовсе не излишняя паранойя: спустя какое-то время после атаки многие злоумышленники перепроверяют, не пропущены ли важные файлы и хосты.

Убедиться, что в снятых бэкапах нет зараженных хостов. Обычно такая задача требует подключения команды реагирования. Альтернативный вариант — попытаться выполнить базовую проверку с помощью, например, утилиты AutoRuns. Но это не даст стопроцентной гарантии отсутствия зараженных хостов, к тому же и для такого теста понадобится экспертиза.

Собрать базовый набор данных об инциденте. На языке компьютерных криминалистов это звучит как «снять триаж». Для последующего расследования инцидента пригодится любая связанная с атакой информация: логи различных приложений, журналы ОС, сведения об аутентификациях и запусках программ. Иногда есть смысл оперативно собрать такие данные еще до привлечения команды реагирования. Ведь, как уже отмечалось, логи со временем уходят в ротацию, а злоумышленники порой возвращаются в сеть, чтобы «прибраться» за собой. 

Предупредить партнеров и клиентов о компрометации своей сети. Например, это актуально для компаний, которые предоставляют различные IT-услуги. Если клиенты вдруг засекут, что через подрядчика в их инфраструктуру проникли злоумышленники или «прилетели» фишинговые письма, возникнут нежелательные вопросы. Лучше честно предупредить о компрометации своей сети, чтобы партнеры тоже предприняли дополнительные меры перестраховки. 

Проверить защищенность бизнес-коммуникаций в мессенджерах. Некоторые киберпреступники используют программы-шпионы, чтобы изучать переписку своих жертв в Telegram и других мессенджерах. Поэтому в случае атаки нужно предупредить всех сотрудников, что их аккаунты в таких приложениях также могут быть скомпрометированы. Сотрудникам рекомендуется закрыть все сессии мессенджеров с мобильных гаджетов, поскольку атакующим труднее получить к ним доступ. Далее следует вести бизнес-коммуникацию только с проверенных средствами защиты устройств, которые никак не связаны со скомпрометированной корпоративной сетью.

Принять решение, платить выкуп или нет. Впрочем, это тема настолько острая, что о ней лучше поговорить отдельно. 

Стоит ли платить выкуп злоумышленнику

Часто встречается категоричное мнение, что идти на поводу у злоумышленников нельзя ни в коем случае. С моральной точки зрения это справедливо, но представим, будто компанию застали врасплох: критичные файлы зашифрованы, ИБ-служба не успела вовремя снять бэкапы с хостов, и работа парализована. Притом каждый час простоя приводит к материальным потерям. Вероятно, тогда топ-менеджменту придется выбирать между принципами и сохранением бизнеса.

С другой стороны, остается опасность, что даже после выплаты выкупа не получится вернуть свои файлы. Так может произойти из-за ошибок и технических сбоев в работе шифровальщиков. В результате не удастся расшифровать ничего, либо потеряется часть данных. А еще злоумышленник может просто отказаться выполнять свою часть «сделки». В общем, на вопрос о том, стоит ли выполнять требования киберпреступника, сложно ответить однозначно. Все зависит от конкретной ситуации и множества факторов.

Есть ли смысл сообщать об атаке в правоохранительные органы

Помимо «платить или не платить?» есть и другой острый вопрос в контексте атак шифровальщиков: «заявлять или не заявлять?». Крайне маловероятно, что правоохранительные органы быстро выведут злоумышленников на чистую воду и вернут потерянные данные. В большинстве случаев атакующие действуют из-за рубежа, и найти концы оказывается трудно. 

Впрочем, если бизнес оперирует персональными данными, то по закону необходимо уведомить об атаке Роскомнадзор в течение суток. Иначе есть риск столкнуться еще и со штрафными санкциями. 

Обратиться к правоохранителям стоит и потому, что это пускай небольшой, но значимый вклад в разоблачение киберпреступников. Рано или поздно накопится критическая масса информации по засветившимся в ряде инцидентов злоумышленникам, и на них удастся выйти. 

Расследование атаки

Итак, все меры по карантину еще не зашифрованных файлов предприняты, а правоохранительные органы и клиенты компании проинформированы об атаке. Самое время по горячим следам приступить к расследованию инцидента. 

Правда, здесь встает еще один вопрос: всегда ли нужно расследовать атаки вирусов-шифровальщиков? Например, насколько это целесообразно, если компании все равно не вернуть зашифрованные файлы или выкуп злоумышленнику уже заплачен?

Что дает расследование бизнесу

Разобраться в инциденте следует в любом случае. Если не сделать выводов из произошедшего, то атака рано или поздно повторится. Тот же самый злоумышленник поймет, что ему никто не помешает вновь зашифровать файлы компании, и воспользуется такой возможностью. Или найдутся новые незваные гости. 

Расследование восстановит картину инцидента и позволит обнаружить точки входа, через которые киберпреступник проник в корпоративную сеть. Также бизнес получит подробные рекомендации, как закрыть эти бреши и сделать инфраструктуру безопаснее. Попутно команда реагирования очистит корпоративную сеть от закладок и других средств закрепления атакующего. Таким образом, вероятность повторной атаки существенно снизится.

Как долго длится расследование и что на это влияет 

Расследование подобных атак может продолжаться от пары часов до нескольких месяцев и даже дольше. Вот основные факторы, от которых это зависит: 

  • скорость сбора данных и выполнения рекомендаций команды реагирования администраторами компании;

  • объемы сети и количество зараженных хостов;

  • степень гибкости центрального администрирования сети. 

Нередко процесс тормозят сами ИБ-специалисты пострадавшей от атаки компании. Здесь снова на ум приходят примеры, когда вместо оценки рисков и сбора первичных данных об инциденте (триажа) штатные специалисты судорожно переустанавливают операционную систему на устройствах. Или же выполняются другие необдуманные действия, которые уничтожают необходимые для расследования следы. 

Отчасти так происходит из-за отсутствия планов реагирования в организациях. Другая причина — банальная паника ИБ-специалистов. Некоторые из них попросту пытаются «спрятать голову в песок» и сделать вид, будто ничего не произошло. Опять же, переустановить ОС на устройствах, а потом восстановить потерянные файлы из бэкапов, пока никто не узнал об инциденте. То есть это способ избежать ответственности за непредотвращенную атаку. 

Так или иначе, команда реагирования заходит в тупик и не может продолжать обратное движение по вектору атаки от хоста к хосту. Приходится идти окольным путем: выдвигать и самим же проверять различные гипотезы. 

Возвращаясь к страху ответственности: порой этот пункт становится серьезным камнем преткновения. Часто админы и безопасники думают, что цель команды реагирования — найти козла отпущения. Они не спешат помогать расследованию или даже саботируют его по мере возможности. 

На самом деле смысл реагирования на инцидент совершенно не в том, чтобы наказать виновных — задача лишь восстановить картину произошедшего.

Конкретные решения по итогам расследования принимаются на уровне C-level компании. Если безопасник или админ в состоянии внятно объяснить, почему в сети присутствует та или иная уязвимость, то бояться ему нечего.


Увы, вывести универсальный алгоритм действий ИБ-специалистов при атаке вирусов-шифровальщиков нельзя. Даже на вопрос, стоит ли платить выкуп злоумышленнику, нет однозначного ответа. 

Если свести все к нескольким простым советам, то, пожалуй, нужно как можно лучше разбираться в корпоративной сети, обеспечить ее достаточное покрытие средствами защиты, избавиться от административных барьеров и волокиты в бизнес-процессах. Когда атака произошла, необходимо спасти данные с еще не зараженных хостов и оперативно привлечь команду реагирования. Ведь нерасследованный инцидент — это, по сути, приглашение в гости новых злоумышленников.

Комментарии (12)


  1. diakin
    13.08.2024 11:24

    А запретить левым программам пакетную обработку файлов нельзя?


    1. xSinoptik
      13.08.2024 11:24
      +1

      Каждый раз, когда читаю статью про шифровальщиков об этом думаю. У них же очень специфичная работа в системе. Можно отключить возможность шифровать сразу кучу уже существующих файлы?


      1. diakin
        13.08.2024 11:24

        Если уж такие строгости по безопасности, то наверное набор программ, работающих с конкретными типами файлов может быть ограничен. То есть с *.doc может работать только офис, с *.с только студия и т.д. А остальным с этими файлами работать запрещено.


        1. SantrY Автор
          13.08.2024 11:24
          +1

          Это довольно неплохой в теории способ защиты, который, к сожалению, на практике имеет пару серьезных недостатков:
          1. Современные атаки вирусов-шифровальщиков происходят не в автоматизированном режиме. Атакующие могут автоматизировать часть действий, однако и ручную работу (и, что не менее важно, ручное исследование инфраструктуры) они также проводят. Запуск шифровальщика — финальный этап атаки, на момент наступления которого атакующий чаще всего имеет практически полный контроль над инфраструктурой и имеет возможность централизованно ограничивать и завершать работу различных средств защиты, в том числе и описанных вами.
          2. По поводу работы только конкретных программ с конкретными файлами — по ощущениям это довольно сильно ограничивает комфорт работы пользователей. Если ваши политики безопасности позволяют это сделать — это хорошо, но на нашей практике это скорее приводит к тому, что пользователи начинают всеми силами пытаться обойти те ограничения, которые замедляют или усложняют их работу


          1. diakin
            13.08.2024 11:24

            пользователи начинают всеми силами пытаться обойти те ограничения

            Смысл в том, чтобы предотвратить несанкционированное, незаметное для пользователя изменение файлов. Если пользователь что-то запускает самостоятельно, то и ладно. Главное чтобы это было осознанное действие.
            В принципе и UAC должно бы работать.
            А так-то пользователь и сам может по злобе все зашифровать, кто ему помешает)
            А если у атакующего есть полный контроль, то тогда конечно...


  1. MesDes
    13.08.2024 11:24
    +1

    Хорошая статья. Теория изложена хорошо. Правильно, чем крупнее компания тем сложнее обеспечить сохранность данных. Хотелось бы примеров, что и как применяется.


    1. SantrY Автор
      13.08.2024 11:24

      Попробую уговорить Семена раскрыть подробности нескольких кейсов в следующей статье, хотя бы без упоминания заказчиков. Все эти проекты плотно обложены NDA, поэтому с раскрытием подробностей сложно.


  1. skippy163
    13.08.2024 11:24

    Хорошая статья. Но хотелось бы получить какие-то best practices по мерам защиты и недопущения шифрования файлов, средствами GPO или как-то иначе. Уверен, варианты есть и выше уже об этом начали дискутировать. Если кто-то обладает подобным опытом, поделитесь.


    1. SantrY Автор
      13.08.2024 11:24

      Как уже писал в соседней ветке, момент запуска шифровальщика — это финальный этап атаки. Так что да, в целом, есть различные подходы по предотвращению шифрования файлов (собственно, данная проблема настолько актуальна, что даже в Windows Defender есть встроенная защита от вирусов-шифровальщиков), но куда более правильно и надёжно направить усилия на обнаружение атаки на более раннем этапе и на недопущение её развития


  1. cahbeua
    13.08.2024 11:24
    +1

    В описании этих идеальных условий есть одно НО - это не про работу, это про лабораторные среды обитания. У начальства всегда есть доступ ко всему, и попробуй ему этого не дать, даже под угрозой полнейшего краха. 95% компаний имеют одного админа и он выступает и службой ИБ, и почтовым специалистом, и техподдержкой на мониторинге, и даже он и есть подменный админ на случай отпуска, больничного и смерти.

    По доступам в шары и к сервисам какое-то время можно протянуть, но потом всё так же ссыпается в бездну рутинных проблем - бухгалтерша приболела, плотёжку нужно провести вчера - бегом дать всем всего. ок, один раз можно запомнить что давал, а на след день обратно отобрать, но вот лето и сотрудники хороводами пошли по отпускам, раскидывая друг дружке свои доступы, много вы там запомните кому что давалось и у кого что забирать, а главное когда и в каком порядке? Ещё и с удобнейшей системой АД в винде, которая не менялась ещё с бестпрактикс конслагерей гестапо.

    Держать сеть в чистоте и порядке можно пока речь идут о файловом сервре, РДП, РДГ, Домене и сервере баз данных под 1ску, но потом к этому всему начинают обрастать сервисы, боты, почты, сайты, балансиры и т.д. В общем всё звучит очень красиво пока этим всем занимается 3 отдельных отдела из 5 человек в каждом.


    1. itshnick88
      13.08.2024 11:24

      Как бы мне не хотелось, но придётся люто плюсовать вашему комментарию. Жиза


  1. Genry79
    13.08.2024 11:24

    Выключать все или нет? Если начали сыпаться сервисы однозначно Да. СРК в первую очередь. Если есть рубильник "выкл все" это плюс.

    Для минимизации вреда и увеличения времени на реагирование однозначно запрет сохранения учеток. Разные мастер пароли по локациям(мы же не говорим про контору на пять компов с одной одинэской), все мастер пароли только у топов(не в смысле руководства) и на бумажке. Даже если они не совсем сложные это не беда, перебор паролей фиксируется на раз.

    Допом снапы схд регулярно но не часто раз в сутки достаточно по моему.

    Это все только для угрозы из вне.

    Ну и кадры ИБ. Я не из них, они должны быть топ, пусть и за дорого.