Журнал "Information Security/ Информационная безопасность" #2, 2026

Показательный случай произошел в конце 2024 г. в компании из сферы инфобезопасности. Злоумышленники проникли в сеть через уязвимость в кор- поративном VPN. Внутри на рабочем столе одного из инженеров по безопас- ности лежал обычный текстовый файл с резервными кодами восстановления мно- гофакторной аутентификации . Универ- сальные ключи на случай, когда основной способ подтверждения недоступен, поз- волили злоумышленникам обойти MFA. Дальше хакеры зашли в управляющую консоль с правами инженера, отметили инциденты безопасности как решенные, отключили изоляцию зараженных хостов и запустили удаление агентов системы безопасности на зараженных машинах. Одного файла хватило, чтобы рухнула вся система защиты. Передачи информации за периметр не было, DLP не зафиксировал угрозу. Именно поэтому недостаточно контро- лировать только движение файлов. Нужно регулярно проверять, что именно хранится на компьютерах сотрудников и файловых серверах – до того, как файл уйдет наружу. Кроме описанного случая с резерв- ными кодами MFA, есть и другие типич- ные сценарии, когда хранение конфи- денциальных данных на рабочих стан- циях создает риски утечки: 1. Проблема: персональные данные в открытом доступе. Сканер находит на рабочей станции бухгалтера в папке "Загрузки" Excel-файл со списком пас- портных данных всех сотрудников, а на компьютере кадровика – незашифро- ванную базу с адресами и телефонами. Если политика безопасности требует хранения ПДн только на защищенных файловых серверах, такое обнаружение становится основанием для немедлен- ных мер. 2. Проблема: коммерческая тайна и интеллектуальная собственность. В конструкторских бюро и инженерных подразделениях критично знать, не хра- нятся ли чертежи или исходные коды на локальных дисках, в общих сетевых папках с открытым доступом или на рабочих столах. Сканер выявляет такие файлы по расширениям (.dwg, .stp, .cad) и по ключевым словам внутри (названия проектов, заказчиков, технологические параметры). 3. Проблема: файлы с паролями на виду. Сотрудники часто пренебрегают корпоративными политиками и менед- жерами паролей, сохраняя учетные дан- ные в текстовых файлах, документах Word или на отсканированных стикерах. Попадание такого файла в сеть или на флешку дает злоумышленнику прямой доступ к системам. Сканер по регуляр- ным выражениям находит строки вида "пароль:", "login:", "pass:" и оповещает администратора. Администратор может настроить собственные регулярные выражения и использовать списки реальных паролей, если он управляет выдачей прав, – так найдется больше, чем по стандартным ключевым сло- вам. 4. Проблема: вредоносные скрипты в маскировке. Сканер анализирует содержимое .bat-, .ps1-, .vbs-, .py-фай- лов, даже если они переименованы в .txt или .doc. Подозрительные скрипты – например, с вызовами команд пере- дачи данных на внешний сервер – выде- ляются в отдельный отчет. Даже если скрипт запланирован на определенное время, профилактическое сканирование раскроет его присутствие. Что такое файловый сканер и как он работает с данными? Файловый сканер ищет конфиденци- альную или критичную информацию, утечка которой нанесет ущерб: пароли, паспортные данные, чертежи, финан- совые отчеты. Типовой алгоритм состоит из пяти шагов. Шаг 1. Настройка правил. Админи- стратор указывает, что искать: по рас- ширениям файлов, ключевым словам, регулярным выражениям или словарям (например, "паспорт", "серия", "номер"). Шаг 2. Проверка директорий. С заданной периодичностью сканер автоматически проходит по рабочим станциям и файловым серверам, про- веряя указанные папки. Шаг 3. Сбор данных. На центральный сервер отправляется информация о каждом найденном файле: располо- жение, размер, атрибуты, хэш-сумма, а для текстовых форматов – еще и извлеченное содержимое. Шаг 4. Автоматическая фильтрация. Сервер распределяет файлы по кате- гориям на основе настроек. Можно про- вести поверхностный анализ – по имени или расширению. А можно углубленный: заглянуть внутрь документа и опреде- лить, что перед ним не просто "доку- мент1.docx", а список сотрудников с пас- портными данными. Исходный код про- граммы, переименованный в "отчет_бух- галтерии.xls", сканер тоже не обманет: он прочитает содержимое, распознает скрипт и покажет его в отчете, даже если название не вызывает подозре- ний. 64 • ТЕХНОЛОГИИ Контроль информации в состоянии покоя и предотвращение утечек истемы предотвращения утечек следят только за передачей файлов. Если файл никто не трогает, DLP его не видит. Даже если в этом файле, годами лежащем на рабочем столе, пароли от всей корпоративной инфраструктуры или персо- нальные данные клиентов. Штрафы регуляторам, финансовые убытки – вероятный финал такой небрежности. Разберемся, как обнаружить критичные файлы в покое и взять их под контроль до того, как они уплывут наружу. С Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды Фото: АО "ПФ "СКБ Контур"