Количество атак с использованием программ-шифровальщиков в 2025 году выросло на 15%, а каждый седьмой инцидент завершился не выкупом, а полным уничтожением инфраструктуры — вдвое чаще, чем годом ранее. Эксперты Лаборатории цифровой криминалистики F6 и специалисты по информационной безопасности Пассворка проанализировали реальные инциденты и пришли к выводу: большинство разрушительных атак становятся успешными из-за типовых архитектурных просчетов. Злоумышленник без труда находит открытые пути к резервным копиям, небезопасно хранящиеся учётные данные и возможность беспрепятственной разведки внутри сети. Цель харденинга — сделать продвижение атакующего экономически невыгодным.
Что такое критический сегмент ИБ?
Бизнес определяет критичность через операционный ущерб, но информационная безопасность смотрит иначе. Критический сегмент — это совокупность систем, компрометация которых делает невозможным восстановление после инцидента или открывает полный контроль над организацией:
- Средства защиты информации (СЗИ): межсетевые экраны, SIEM-системы, консоли управления endpoint-защитой.
- Хранилища секретов: корпоративные менеджеры паролей, PAM-системы, центры сертификации, MFA.
- Системы резервного копирования: серверы бэкапов, снимки виртуальных машин, офлайн-архивы.
- Инфраструктура виртуализации: гипервизоры и их интерфейсы управления.
Архитектурные принципы выживания
Технические меры работают только при соблюдении трех базовых принципов проектирования:
- Физическая и логическая изоляция. Системы критического сегмента не должны входить в домен Active Directory (AD). Это исключает целый класс атак на доменные службы.
- Выделенная административная станция. Управление осуществляется только с отдельной рабочей станции вне домена, которая не используется для повседневных задач.
- Отсутствие учетных данных в операционной инфраструктуре. Пароли от критических систем не хранятся в основной доменной среде.
Если администратор заходит на защищенный сервер со своей обычной рабочей машины, входящей в домен, вся архитектура изоляции теряет смысл.
Почему защиты периметра недостаточно
Типичная цепочка атаки выглядит так: фишинг → разведка внутри сети → кража хешей из памяти → горизонтальное перемещение → компрометация контроллеров домена → уничтожение бэкапов. Чтобы противостоять этому, необходимо внедрить конкретные технические меры.
Чек-лист настройки безопасного контура:
| Направление | Что сделать | Зачем это нужно |
|---|---|---|
| Изоляция от AD | Вывести сервисы управления СЗИ, бэкапами и менеджерами паролей из домена Active Directory. Выделить отдельную админ-станцию. | При полной компрометации домена злоумышленнику придется отдельно взламывать изолированный контур, что дает время защитникам. |
| Управление паролями | Не хранить аутентификационные данные критического сегмента в групповых политиках AD, скриптах автоматизации и общих сетевых папках. Использовать уникальные сложные пароли. | Компрометация домена не даст доступа к критическим системам. Дампы учетных данных из AD окажутся бесполезными. |
| Сетевая гигиена | Отключить устаревшие протоколы (например, SMBv1), запретить режимы обратной совместимости, закрыть все порты кроме необходимых. Ограничить исходящий трафик публичными адресами только для обновлений. | Сокращение поверхности атаки устраняет downgrade-атаки и блокирует установку C2-каналов командных серверов хакера. |
| Принцип минимальных привилегий | Создать отдельные непривилегированные учетки для каждого сервиса без прав локального администратора и доступа к другим ресурсам сети. | Если взломают один сервис, атака застрянет на нем и не сможет распространиться дальше по сегменту. |
| Аутентификация (MFA) | Настроить блокировку аккаунтов после нескольких неудачных попыток входа. Внедрить многофакторную аутентификацию (TOTP, аппаратные токены) для всех сервисов. | Скомпрометированного пароля становится недостаточно для входа. Блокировка создает детектируемый сигнал об атаке. |
| Шифрование дисков | Включить полнодисковое шифрование (BitLocker, LUKS) на всех системах критического сегмента. Хранить ключи восстановления отдельно от хостов. | Даже если злоумышленник украдет файлы виртуальных машин или физический диск сервера, он получит лишь зашифрованный набор байтов. |
| Обособленный гипервизор | Развернуть критические виртуальные машины на отдельном физическом хосте, недоступном из общей сети управления. | Доступ уровня гипервизора позволяет выгрузить дамп оперативной памяти гостевой ОС, где лежат ключи расшифровки BitLocker. |
| Мониторинг (SIEM) | Собирать события успешных/неудачных входов, создания служб, запуска процессов, аномального трафика и изменений прав доступа. | Централизованный анализ сокращает время обнаружения до того, как будет нанесен финальный удар по данным. |
Частые вопросы о защите инфраструктуры
Заключение
Комплексная реализация этих мер превращает инфраструктуру в «асфальтовый каток» для атакующего: каждый следующий шаг стоит ему больше времени, оставляет больше следов и увеличивает шансы команды реагирования обнаружить угрозу до уничтожения бизнеса. Практический первый шаг прямо сейчас — провести инвентаризацию: какие системы входят в домен, где хранятся пароли от них и есть ли у ваших бэкапов доступ из офисной сети.