10 июля 2026 г.

Архитектура выживания: как изолировать критический сегмент ИТ-инфраструктуры от атак шифровальщиков

Количество атак с использованием программ-шифровальщиков в 2025 году выросло на 15%, а каждый седьмой инцидент завершился не выкупом, а полным уничтожением инфраструктуры — вдвое чаще, чем годом ранее. Эксперты Лаборатории цифровой криминалистики F6 и специалисты по информационной безопасности Пассворка проанализировали реальные инциденты и пришли к выводу: большинство разрушительных атак становятся успешными из-за типовых архитектурных просчетов. Злоумышленник без труда находит открытые пути к резервным копиям, небезопасно хранящиеся учётные данные и возможность беспрепятственной разведки внутри сети. Цель харденинга — сделать продвижение атакующего экономически невыгодным.

Что такое критический сегмент ИБ?

Бизнес определяет критичность через операционный ущерб, но информационная безопасность смотрит иначе. Критический сегмент — это совокупность систем, компрометация которых делает невозможным восстановление после инцидента или открывает полный контроль над организацией:

  • Средства защиты информации (СЗИ): межсетевые экраны, SIEM-системы, консоли управления endpoint-защитой.
  • Хранилища секретов: корпоративные менеджеры паролей, PAM-системы, центры сертификации, MFA.
  • Системы резервного копирования: серверы бэкапов, снимки виртуальных машин, офлайн-архивы.
  • Инфраструктура виртуализации: гипервизоры и их интерфейсы управления.

Архитектурные принципы выживания

Технические меры работают только при соблюдении трех базовых принципов проектирования:

  1. Физическая и логическая изоляция. Системы критического сегмента не должны входить в домен Active Directory (AD). Это исключает целый класс атак на доменные службы.
  2. Выделенная административная станция. Управление осуществляется только с отдельной рабочей станции вне домена, которая не используется для повседневных задач.
  3. Отсутствие учетных данных в операционной инфраструктуре. Пароли от критических систем не хранятся в основной доменной среде.
Если администратор заходит на защищенный сервер со своей обычной рабочей машины, входящей в домен, вся архитектура изоляции теряет смысл.

Почему защиты периметра недостаточно

Типичная цепочка атаки выглядит так: фишинг → разведка внутри сети → кража хешей из памяти → горизонтальное перемещение → компрометация контроллеров домена → уничтожение бэкапов. Чтобы противостоять этому, необходимо внедрить конкретные технические меры.

Чек-лист настройки безопасного контура:

Направление Что сделать Зачем это нужно
Изоляция от AD Вывести сервисы управления СЗИ, бэкапами и менеджерами паролей из домена Active Directory. Выделить отдельную админ-станцию. При полной компрометации домена злоумышленнику придется отдельно взламывать изолированный контур, что дает время защитникам.
Управление паролями Не хранить аутентификационные данные критического сегмента в групповых политиках AD, скриптах автоматизации и общих сетевых папках. Использовать уникальные сложные пароли. Компрометация домена не даст доступа к критическим системам. Дампы учетных данных из AD окажутся бесполезными.
Сетевая гигиена Отключить устаревшие протоколы (например, SMBv1), запретить режимы обратной совместимости, закрыть все порты кроме необходимых. Ограничить исходящий трафик публичными адресами только для обновлений. Сокращение поверхности атаки устраняет downgrade-атаки и блокирует установку C2-каналов командных серверов хакера.
Принцип минимальных привилегий Создать отдельные непривилегированные учетки для каждого сервиса без прав локального администратора и доступа к другим ресурсам сети. Если взломают один сервис, атака застрянет на нем и не сможет распространиться дальше по сегменту.
Аутентификация (MFA) Настроить блокировку аккаунтов после нескольких неудачных попыток входа. Внедрить многофакторную аутентификацию (TOTP, аппаратные токены) для всех сервисов. Скомпрометированного пароля становится недостаточно для входа. Блокировка создает детектируемый сигнал об атаке.
Шифрование дисков Включить полнодисковое шифрование (BitLocker, LUKS) на всех системах критического сегмента. Хранить ключи восстановления отдельно от хостов. Даже если злоумышленник украдет файлы виртуальных машин или физический диск сервера, он получит лишь зашифрованный набор байтов.
Обособленный гипервизор Развернуть критические виртуальные машины на отдельном физическом хосте, недоступном из общей сети управления. Доступ уровня гипервизора позволяет выгрузить дамп оперативной памяти гостевой ОС, где лежат ключи расшифровки BitLocker.
Мониторинг (SIEM) Собирать события успешных/неудачных входов, создания служб, запуска процессов, аномального трафика и изменений прав доступа. Централизованный анализ сокращает время обнаружения до того, как будет нанесен финальный удар по данным.

Частые вопросы о защите инфраструктуры

Нужно ли выводить критические системы из домена Active Directory? Да. Сервер в домене наследует всю его поверхность атаки. Вывод систем разрывает эту цепочку на архитектурном уровне.
Как проверить настройки перед внедрением? Изменения конфигурации следует проверять на тестовом стенде, воспроизводящем целевую среду. Для оценки используются сканеры конфигураций и контролируемые тесты на проникновение.
Какие ошибки допускают чаще всего? Размещение критических систем в домене AD, хранение паролей в браузерах и персональных менеджерах на доменных ПК администраторов, отсутствие MFA на административных интерфейсах и сетевая доступность резервных копий из основного сегмента.

Заключение

Комплексная реализация этих мер превращает инфраструктуру в «асфальтовый каток» для атакующего: каждый следующий шаг стоит ему больше времени, оставляет больше следов и увеличивает шансы команды реагирования обнаружить угрозу до уничтожения бизнеса. Практический первый шаг прямо сейчас — провести инвентаризацию: какие системы входят в домен, где хранятся пароли от них и есть ли у ваших бэкапов доступ из офисной сети.

В рубрике: Новости