10.11.2025 07:34
BiZone_team 0 461 Источник

Наши расследования показывают: в большинстве компаний злоумышленники эксплуатируют один и тот же набор уязвимостей. Эти системные пробелы в безопасности открывают прямой путь для разрушительных атак. Подробно разобрали ошибки защиты и дали рекомендации, как их устранить

Атаки с применением шифровальщиков и вайперов — одни из самых разрушительных инцидентов для бизнеса. Они приводят к финансовым потерям из-за утечки данных, остановки работы, ущерба репутации. Причиной же становятся ошибки при построении инфраструктуры и системы ее защиты.

В 90% компаний встречаются одни и те же критические проблемы, которые создают идеальные условия для атакующего. Такую статистику приводит команда BI.ZONE DFIR (BI.ZONE Digital Forensics and Incident Response) на основе расследований инцидентов, связанных с шифрованием или уничтожением данных (вайпом), в 2025 году. Эти данные подтверждаются и результатами работы команды BI.ZONE Compromise Assessment в компаниях, которые не знали, что уже были скомпрометированы.

Разберем фазы атаки, в рамках которых злоумышленники эксплуатируют ошибки в защите.

А еще последовательно разберем ошибки безопасности. Закрывая их, организация значительно снижает вероятность шифрования или уничтожения данных.

Матрица рисков

Ниже представлена матрица рисков, которая систематизирует уязвимости по нескольким ключевым параметрам: фазам атаки, соответствующим тактикам MITRE ATT&CK, вероятности наличия проблемы в типовой инфраструктуре и приоритетности устранения.

Проблема

Фаза атаки

Тактики MITRE ATT&CK

Вероятность наличия проблемы

Приоритет исправления

Неконтролируемый периметр

Initial access

T1190,
T1133

70%

Критический

Отсутствие фильтрации в почте (фишинг)

Initial access

T1566.001,T1204

85%

Критический

Отсутствие 2FA при подключении к VPN

Initial access

T1078.004

65%

Высокий

Риски при работе с партнерами (trusted relationship)

Initial access

T1199

15%

Средний

Плоская сеть

Lateral movement

T1021,T1075

80%

Критический

Неполное покрытие СЗИ

Defense evasion

T1562.001

75%

Критический

Невыстроенный процесс реагирования на инциденты

Все фазы

Все тактики

80%

Критический

Устаревшие протоколы и популярные уязвимости

Initial access / privilege escalation

T1133,T1190,
T1068

55%

Средний

Отсутствие контроля привилегированных пользователей

Privilege escalation

T1078,T1550.002,T1484.001

70%

Критический

Злоупотребление легитимным ПО (RAT/PsExec/LOLBins)

Execution / lateral movement

T1021,T1569

65%

Высокий

Отсутствие мониторинга изменений в AD

Persistence / privilege escalation

T1484.001

50%

Высокий

Переиспользование паролей во всех сервисах

Credential access / lateral movement

T1078,T1110

60%

Высокий

Отсутствие 2FA в критических системах, некорректная архитектура доступа

Lateral movement / impact

T1486,T1021

70%

Критический

Отсутствие изоляции систем управления IT

Lateral movement / impact

T1486

65%

Высокий

Незащищенные или отсутствующие бэкапы

Impact/recovery

T1490

75%

Критический

Отсутствие логов

Impact/recovery

T1070,T1562.002

70%

Высокий

Отсутствие DRP-плана

Recovery

60%

Высокий

Отсутствие тестирования DRP

Recovery

55%

Высокий

Критический уровень означает, что, несмотря на другие меры защиты, сохранение проблемы позволяет атакующему нанести ущерб.

Ниже первая часть нашего гайда по защите инфраструктуры от шифровальщиков и вайперов. Продолжение — на нашем сайте.

Первоначальный доступ в инфраструктуру

Ошибки, открывающие доступ в инфраструктуру

Рассмотрим ключевые ошибки, которые допускают компании, когда выстраивают инфраструктуру и ее защиту:

  • неконтролируемый периметр,

  • отсутствие фильтрации в почте,

  • отсутствие 2FA при подключении к VPN,

  • незащище��ный доступ для подрядчиков.

Неконтролируемый периметр

Оставленные на периметре тестовые серверы, устаревшие VPN-шлюзы и незащищенные веб-приложения часто остаются без внимания и становятся для злоумышленника удобной точкой входа в инфраструктуру. Как правило, такие системы не получают обновлений и содержат уязвимости, которые легко эксплуатировать. Эти слабые места часто используют для первоначального доступа, хотя обычно злоумышленник комбинирует разные сценарии проникновения. Например, сначала подбирает пароль к админ-панели, а затем использует уязвимость в приложении, позволяющую выполнить код на уровне системы. В итоге атака выглядит как сочетание брутфорса и эксплуатации уязвимости.

Одна из самых распространенных уязвимостей — доступный из публичной сети порт для удаленного рабочего места (remote desktop protocol, RDP). По данным интернет-сканера Shodan, в России насчитывается около 80 тысяч хостов с таким портом:

Часть из них — это honeypot-ловушки, но более ста серверов содержат в названии DC или AD, что может указывать на их критически важную роль в инфраструктуре.

Само по себе наличие открытого порта не несет риска, если соблюдаются эти два условия:

  • Есть уверенность в надежности паролей всех пользователей или внедрена 2FA.

  • Все программное обеспечение, включая ОС, регулярно обновляется. Впрочем, это не исключает риск использования 0-day-уязвимостей — тех, для которых обновление еще не выпустили (как недавние уязвимости в SharePoint — CVE-2025-53770 и CVE-2025-53771).

Но даже если оба условия соблюдены, все равно раскрываются внутренние доменные имена, что дает злоумышленнику ценную информацию на этапе пассивной разведки.

Чаще условия не соблюдаются. Мы не раз сталкивались с ситуацией, когда пароли в открытом виде хранились на ресурсах, доступных извне. Причины могли быть разные. Например, ошибки в настройке веб-сервера, которые позволяют получить доступ к данным:

Иногда проблема кроется в публично доступном Git-репозитории, в том числе размещенном на основном сайте компании:

Часто в инфраструктуре встречаются забытые и уже устаревшие тестовые приложения. На периметре можно обнаружить не только RDP, но и различные сервисы без какой-либо аутентификации: Prometheus Node Exporter, Elasticsearch, ClickHouse, а также устаревшие версии Proxmox Virtual Environment и многое другое, что оказалось неучтенным.

Проблемы, связанные с неконтролируемым периметром:

  • Неучтенные активы. Публично доступные серверы, приложения или устройства не внесены в реестр и не защищены, что делает их легкой мишенью.

  • Открытые порты и сервисы. Незащищенные порты (RDP, SMB, HTTP) или уязвимые сервисы открыты для внешнего доступа и позволяют злоумышленникам получить первоначальный доступ.

  • Слабые учетные данные. Отсутствие строгой парольной политики или двухфакторной аутентификации во внешних интерфейсах (VPN, веб-приложения) упрощает атаки подбором паролей, особенно через RDP.

  • Уязвимости в публичных приложениях. Непропатченные системы на внешнем периметре служат точкой входа для атакующих.

  • Отсутствие мониторинга. Непрерывное сканирование и оповещение о появлении новых активов или изменении старых не ведется. Это позволяет злоумышленникам использовать сервисы для незаметного проникновения.

MITRE ATT&CK

ID

Техника

T1190

Exploit Public-Facing Application

T1133

External Remote Services

Рекомендации по обеспечению безопасности внешнего периметра

Чтобы обезопасить внешний периметр организации, к защите важно подходить системно и проактивно. Ниже мы даем семь рекомендаций, которые помогут идентифицировать внешние активы, управлять ими, защищать их, минимизируя риски эксплуатации уязвимостей и других атак.

1. Проведите полную инвентаризацию активов.

Что нужно сделать, чтобы приоритизировать защиту или обнаружить несанкционированные сервисы:

  1. Создайте базу данных управления конфигурацией (configuration management database, CMDB), которая включает:

    • Публично доступные IP-адреса и домены, принадлежащие организации.

    • Список сервисов и приложений, работающих на этих IP-адресов, с указанием портов, протоколов и версий ПО.

    • Информацию о владельцах активов (например, ответственных командах или подразделениях).

  2. Используйте инструменты автоматического обнаружения (например, Nmap, Shodan, Censys или коммерческие EASM-решения), чтобы определить внешнюю поверхность атаки.

  3. Сопоставьте результаты с внутренними записями для выявления теневых IT (shadow IT) или забытых активов.

  4. Занесите данные в CMDB, обеспечив доступ для ответственных команд, а также регулярное обновление.

2. Создайте процесс публикации сервисов в интернете.

Публикацию любых сервисов в интернете должны согласовать:

  • Специалисты по кибербезопасности. Они проверяют, не содержит ли сервис уязвимостей с известными эксплоитами, подключен ли хост к системе мониторинга, логируется ли доступ к веб-ресурсам.

  • Сотрудники IT-подразделений. Они отвечают за комплексный мониторинг: observability, availability, maintainability и другие типы мониторинга.

Что нужно сделать, чтобы снизить риски появления shadow IT и уменьшить поверхность атаки:

  1. Выстройте процесс согласования публикации сервисов.

  2. Назначьте ответственного за контроль исполнения регламента.

3. Минимизируйте поверхность атаки.

После инвентаризации оцените необходимость каждого открытого сервиса:

  1. Отключите неиспользуемые порты и протоколы. Оставьте открытыми только необходимые порты (например, 443 для веб-сервисов).

  2. Используйте VPN-подключение для всего, что возможно. Определите, какие сервисы можно переместить во внутреннюю сеть, а для каких нужно ограничить доступ, разрешив его только через VPN.

  3. Внедрите сегментацию сети. Используйте межсетевые экраны для создания выделенной DMZ и реализуйте доступ по модели нулевого доверия (zero trust), предоставляя внешний доступ только к необходимым сервисам.

Что нужно сделать, чтобы уменьшить возможности для злоумышленников и сделать их действия более предсказуемыми:

  1. Оцените риски с участием заинтересованных сторон, чтобы обосновать необходимость каждого внешнего сервиса.

  2. Замените небезопасные протоколы (например, Telnet) на защищенные альтернативы (SSH или VPN) с использованием 2FA.

  3. Используйте обратные прокси или балансировщики нагрузки для маскировки серверных служб и снижения прямого воздействия извне.

4. Настройте непрерывный мониторинг и оповещения.

Внешний периметр динамичен: новые сервисы или некорректные настройки появляются регулярно. Поэтому необходим независимый источник информации о нем. Непрерывный мониторинг помогает оперативно обнаруживать несанкционированные изменения и запрещать злоумышленникам эксплуатацию новых сервисов.

Что нужно сделать:

  1. Настройте автоматическое сканирование (ежедневное или еженедельное) для обнаружения новых IP-адресов, сервисов или портов.

  2. Настройте оповещения о несанкционированных изменениях, например о новых сервисах, не внесенных в CMDB.

  3. Интегрируйте систему мониторинга с платформой SIEM (security information and event management) для централизованного анализа и корреляции событий безопасности.

  4. Регулярно проводите ручной OSINT-анализ, чтобы выявлять неучтенные и непокрытые IP-адреса и домены.

5. Внедрите проактивное управление уязвимостями.

Регулярные проверки на уязвимости критически важны для выявления и устранения слабых мест в открытых сервисах. Эту работу можно совместить с непрерывным мониторингом.

Что нужно сделать:

  1. Чтобы выявить известные уязвимости, используйте специализированные сканеры.

  2. Выстройте процесс управления уязвимостями:

    • Приоритизируйте устранение уязвимостей на основе их критичности и доступности эксплоитов.

    • Внедрите процесс управления обновлениями. Установка патчей должна выполняться в заранее определенные сроки.

  3. Периодически проводите тестирование на проникновение (пентест) для выявления сложных уязвимостей, которые не обнаруживаются автоматическими сканерами.

6. Регулярно проводите аудит и обновляйте меры защиты

Ландшафт угроз постоянно меняется: появляются новые уязвимости, злоумышленники внедряют новые инструменты и методы атак. Без системного и проактивного подхода к защите внешнего периметра есть риск упустить новые векторы атак, не успеть своевременно нейтрализовать угрозы.

Что нужно делать:

  1. Проводите ежеквартальные проверки CMDB на актуальность и полноту данных.

  2. Анализируйте правила межсетевых экранов, настройки доступа и мониторинга на соответствие политикам безопасности.

  3. Отслеживайте новые угрозы через каналы киберразведки, чтобы своевременно корректировать систему защиты, а также быть в курсе уязвимостей, которые активно эксплуатируются.

7. Развивайте багбаунти-программу.

В отличие от разовых аудитов или пентестов, багбаунти-программа работает постоянно и обеспечивает непрерывный мониторинг. Этот пункт применим для компаний со зрелыми и выстроенными процессами кибербезопасности.

Что нужно сделать:

  1. Определите границы программы (какие сервисы, приложения, элементы инфраструктуры доступны для проверки).

  2. Выберите модель работы: публичная программа (для всех исследователей) или приватная (для ограниченного круга специалистов).

  3. Сформулируйте правила взаимодействия: что считается уязвимостью, какие векторы атак запрещены (например, социальная инженерия).

  4. Определите приоритеты и размер вознаграждения.

  5. Интегрируйте багбаунти-процессы во внутреннюю систему управления уязвимостями (vulnerability management).

Отсутствие фильтрации в почте

Атакующие часто проникают в инфраструктуру с помощью вредоносных почтовых сообщений, имитирующих легитимные. По данным исследования Threat Zone 2025, фишинг остается самым популярным методом получения первоначального доступа — его используют в 57% атак.

До сих пор более 3% сотрудников компаний переходят по фишинговой ссылке в атаках, нацеленных на конечного пользователя (содержат посылы «вы выиграли», «скидка скоро сгорит» и подобные). Обычно цель таких атак — выманить персональную информацию или данные платежных карт. И более 37% сотрудников кликают по ссылке из таргетированного фишингового письма. Об этом говорят данные BI.ZONE Security Fitness.

Чем ниже эффективность фильтрации в электронной почте, тем выше риск успешного фишинга.

Пример фишингового письма
Пример фишингового письма

Проблемы, связанные с отсутствием фильтрации:

  • Пропуск фишинговых писем. Без современных систем фильтрации (например, антиспам- и антифишинг-решений) вредоносные письма достигают пользователей, увеличивая вероятность компрометации учетных данных или заражения систем.

  • Отсутствие анализа вложений и ссылок. Ненастроенные или устаревшие фильтры не проверяют вложения (например, PDF, DOCX) и URL-адреса на наличие вредоносного кода, что приводит к его исполнению.

  • Недостаточная защита от целевых атак (spear phishing). Отсутствие машинного обучения или анализа поведения — технологий, применяемых в песочницах, — позволяет целевым атакам, замаскированным под легитимные письма, проходить незамеченными.

  • Отсутствие DMARC/DKIM/SPF. Неправильная настройка или отсутствие этих протоколов увеличивает риск спуфинга домена, когда атакующие подделывают отправителя.

Одна из разновидностей фишинга — атаки типа fake boss через мессенджеры. Злоумышленники притворяются руководителями компании, чтобы подтолкнуть сотрудников выполнить указания: перевести деньги, раскрыть конфиденциальную информацию или запустить вредоносное ПО.

Сообщение якобы от лица руководителя компании
Сообщение якобы от лица руководителя компании
Атака типа fake boss, направленная на сотрудников BI.ZONE
Атака типа fake boss, направленная на сотрудников BI.ZONE

MITRE ATT&CK

ID

Техника

T1566.001

Spearphishing Attachment

T1204

User Execution

Рекомендации по настройке фильтрации электронной почты

Для эффективной защиты почты необходимы не только технические меры, которые не позволят вредоносным письмам дойти до конечных пользователей, но и регулярное обучение сотрудников.

1. Внедрите современные антиспам- и антифишинг-решения.

Чтобы не допустить доставки вредоносных писем, используйте современные системы фильтрации, способные анализировать входящую почту в реальном времени.

Что нужно сделать:

  1. Разверните облачные или локальные решения для фильтрации спама и фишинга.

  2. Внедрите решение с функцией машинного обучения для анализа аномалий в письмах: необычных отправителей, шаблонов текста или поведенческих паттернов.

  3. Настройте правила для автоматического помещения в карантин подозрительных писем на основе сигнатур, репутации отправителя и содержания.

  4. Регулярно обновляйте базы данных угроз в используемых решениях, чтобы защититься от новых фишинговых кампаний.

  5. Используйте песочницу для анализа вложений в изолированной среде перед доставкой пользователю.

  6. Настройте сканирование URL-ссылок для их проверки на наличие вредоносного кода или редиректов.

  7. Применяйте репутационные базы данных для блокировки известных вредоносных доменов.

  8. Настройте системы для выявления подозрительных изменений в метаданных писем (например, в заголовках или геолокации отправителя).

2. Настройте протоколы DMARC, DKIM и SPF.

Отсутствие или неправильная настройка этих протоколов увеличивает риск спуфинга домена, когда злоумышленники подделывают отправителя.

Что нужно сделать:

  1. Внедрите SPF (sender policy framework), чтобы указать разрешенные почтовые серверы для вашего домена.

  2. Настройте DKIM (domainkeys identified mail) для подписи писем, что будет подтверждать их подлинность.

  3. Активируйте DMARC (domain-based message authentication, reporting, and conformance) с политикой карантина или отклонения для защиты от спуфинга.

  4. Регулярно анализируйте отчеты DMARC, чтобы выявлять попытки подделки домена.

3. Обучайте сотрудников и проводите симуляции атак.

Даже при наличии качественной фильтрации угрозу представляет человеческий фактор — низкая киберграмотность сотрудников. Регулярное обучение повышает их устойчивость к фишингу.

Что нужно делать:

  1. Проводите тренинги по распознаванию фишинга, обучая сотрудников выявлять подозрительные письма (например, по орфографическим ошибкам, призывам сделать что-либо срочно).

  2. Регулярно проводите фишинговые симуляции, чтобы оценить бдительность коллег и скорректировать обучение.

  3. Внедрите политику, обязывающую сотрудников проверять подозрительные письма через отделы кибербезопасности или IT.

4. Внедрите мониторинг и реагирование на инциденты.

Эффективная фильтрация требует постоянного контроля и быстрого реагирования на обнаруженные угрозы.

Что нужно сделать:

  1. Интегрируйте почтовые шлюзы с SIEM-системами, чтобы мониторить подозрительную активность в реальном времени.

  2. Настройте оповещения о попытках доставки вредоносных писем или обхода фильтров.

  3. Разработайте план реагирования на инциденты, включающий изоляцию скомпрометированных учетных записей и анализ последствий.

Отсутствие 2FA при подключении к VPN

Использование VPN-сервисов без 2FA значительно увеличивает риск компрометации внешнего периметра, особенно через атаки методом подбора паролей (брутфорс) или украденные учетные данные. Согласно статистике BI.ZONE Compromise Assessment, в 72% компаний не внедрена 2FA при подключении к VPN для всех пользователей. Это позволяет злоумышленникам легко получать доступ к внутренним сетям после компрометации учетных данных.

Проблемы, связанные с отсутствием 2FA:

  • Уязвимость к брутфорсу. Однофакторная аутентификация, основанная только на пароле, уязвима к атакам методом подбора паролей, особенно если используются слабые или повторяющиеся.

  • Компрометация учетных данных. Злоумышленники могут применять учетные данные, полученные через фишинг или утечки данных, для прямого доступа к VPN. По данным BI.ZONE Brand Protection, каждая 15-я корпоративная учетная запись находится хотя бы в одной утечке. 2FA добавляет второй уровень проверки, что существенно затрудняет несанкционированный доступ, даже если пароль скомпрометирован.

MITRE ATT&CK

ID

Техника

T1133

External Remote Services

T1110

Brute Force

T1078

Valid Accounts

T1621

Multi-Factor Authentication Request Generation

Рекомендации по внедрению 2FA для VPN

Для защиты VPN от несанкционированного доступа необходимо внедрить двухфакторную аутентификацию и правильно ее настроить. Это значительно снижает риски атак, использующих внешние удаленные сервисы.

1. Сделайте двухфакторную аутентификацию обязательной.

Любое подключение к корпоративной VPN должно быть возможно только после успешного прохождения 2FA.

Что нужно сделать:

  1. Выберите подходящее решение 2FA: программные аутентификаторы (например, Google Authenticator, Microsoft Authenticator, «Яндекс Ключ»), аппаратные токены (YubiKey) или биометрические методы.

  2. Настройте 2FA на VPN-серверах (например, Cisco AnyConnect, FortiClient, OpenVPN) с использованием стандартов TOTP (time-based one-time password) или RADIUS.

2. Настройте строгие политики паролей.

Даже с 2FA надежные пароли остаются важной частью защиты.

Что нужно сделать:

  1. Внедрите политику сложных паролей (не менее 12 символов, включая буквы верхнего и нижнего регистров, цифры и специальные символы).

  2. Настройте регулярную смену паролей (например, каждые 90 дней) для всех учетных записей VPN.

3. Ограничьте доступ к VPN.

Это поможет минимизировать поверхность атаки.

Что нужно сделать:

  1. C помощью GeoIP настройте мониторинг сетевых подключений к VPN из нетипичных регионов.

  2. Используйте клиентские сертификаты в дополнение к другим методам 2FA.

4. Подключите мониторинг подозрительной активности.

Непрерывный мониторинг помогает своевременно выявлять попытки брутфорса или несанкционированного доступа.

Что нужно сделать:

  1. Настройте оповещения о многократных неудачных попытках подключения к VPN и массовых запросах второго фактора.

  2. Интегрируйте VPN-логи с SIEM-системами, чтобы анализировать события безопасности в реальном времени.

  3. Регулярно проверяйте учетные данные на предмет утечек.

Риски при работе с партнерами (trusted relationship)

Многие организации привлекают внешних партнеров для работы в своей инфраструктуре. Однако такие доверительные отношения (trusted relationship) несут в себе риски, поскольку партнеры, подрядчики и поставщики получают доступ к инфраструктуре. Компрометация одного из них может привести к быстрой компрометации самого заказчика.

Проблемы, связанные с доверительными отношениями:

  • Неконтролируемый доступ для подрядчиков. Внешние компании часто имеют прямой доступ к администрируемым ими хостам (VPN, RDP), причем на их учетных записях нередко отсутствует мониторинг или MFA. Это позволяет злоумышленникам использовать их как точку входа.

  • Использование облачной инфраструктуры. Хотя само по себе это не является проблемой, важно быть уверенным, что провайдер обеспечивает достаточный уровень безопасности. Отсутствие мониторинга со стороны провайдера создает прямые риски для компании-клиента.

  • Скрытая компрометация. Подрядчик может быть уже заражен, что позволяет злоумышленникам использовать его учетные данные для проникновения в вашу сеть.

MITRE ATT&CK

ID

Техника

T1199

Trusted Relationship
Пример атаки через подрядчика
Пример атаки через подрядчика

Рекомендации при работе с подрядчиками

Для минимизации рисков, связанных с доверительными отношениями, необходимо внедрить строгий контроль доступа, а также регулярный аудит и мониторинг действий партнеров.

1. Проведите аудит партнеров и зависимостей.

Начните с полной инвентаризации внешних связей и предоставленных доступов.

Что нужно сделать:

  1. Создайте реестр подрядчиков, поставщиков и SaaS-сервисов с указанием уровня доступа, условий контрактов и сроков их действия.

  2. Оцените риски каждого партнера, например, с помощью скоринга: историю инцидентов, соответствие стандартам вроде ISO 27001 и другие параметры.

  3. Проводите ежегодный аудит доступов, включая проверку на наличие уязвимостей в инфраструктуре партнеров.

2. Внедрите строгий контроль доступа.

Применяйте принцип наименьших привилегий (least privilege) для минимизации рисков.

Что нужно делать:

  1. Предоставляйте временный доступ (just-in-time) через решения класса privileged access management (PAM).

  2. Используйте MFA и клиентские сертификаты для всех подключений подрядчиков (VPN, API).

  3. Сегментируйте сеть — изолируйте зоны для подрядчиков, например, с помощью VLAN или метода zero trust.

3. Подключите мониторинг активности подрядчиков.

Непрерывно отслеживайте действия подрядчиков в вашей инфраструктуре.

Что нужно сделать:

  1. Интегрируйте логи доступа в SIEM-систему, чтобы выявлять подозрительные действия (например, необычные IP или объемы данных).

  2. Настройте оповещения о подозрительной активности (например, вход с необычных IP или несанкционированные изменения).

  3. Мониторьте сетевой трафик из сетей подрядчиков с помощью решений NTA (network traffic analysis).

  4. Мониторьте информационное пространство на предмет сообщений о компрометации компаний, которые имеют доступ к вашей сети.

4. Юридически закрепите правила безопасности.

Обезопасьте отношения с подрядчиками через четкие договорные обязательства.

Что нужно сделать:

  1. Включите в контракты требования к кибербезопасности: обязательные аудиты, уведомления об инцидентах в течение 24 часов и соответствие отраслевым стандартам.

  2. Используйте страхование от киберрисков, покрывающее риски цепочки поставок (supply chain).

5. Проводите регулярный аудит и обновляйте политики

Политики безопасности должны успевать за изменениями в работе с подрядчиками и новыми угрозами.

Что нужно делать:

  1. Проводите ежеквартальный аудит реестра подрядчиков и их доступов.

  2. Своевременно обновляйте политики безопасности в соответствии с новыми угрозами (например, 0-day-уязвимостями в цепочке поставок).

  3. Интегрируйте результаты аудита в общий план реагирования на инциденты (DRP).

В этой статье мы продемонстрировали, что основная угроза для организаций — не в сложных атаках на неизвестные уязвимости, а в ошибках базовой безопасности. Неконтролируемый периметр, отсутствие фильтрации в почте, VPN-доступ без 2FA и незащищенный доступ для подрядчиков — это не гипотетические угрозы, а стандартные векторы атак. Именно их злоумышленники успешно используют для получения первоначального доступа.

Устранение этих пробелов — первоочередная задача. Важно выстроить многоуровневую защиту: технические меры (внедрение EASM-, антиспам- и антифишинг-решений, обязательная 2FA) необходимо дополнять организационными (разработка регламентов доступа, аудит подрядчиков, обучение сотрудников).

Читайте следующие части гайда на нашем сайте. В них разбираем, какие ошибки позволяют злоумышленникам распространяться внутри инфраструктуры, и что делать, если шифровальщики уже добрались до ваших систем.

Автор:
Владимир Гришанов
Руководитель направления проактивного выявления угроз

Комментарии (0)