Журнал "Information Security/ Информационная безопасность" #3, 2025

Точка входа всегда есть В профессиональном сообществе слишком долго господствовало пред- ставление, что угроза приходит извне – будто бы взлом это акт агрессии, втор- жение, случайность, против которой можно выставить щит и спать спокойно. На деле все иначе: компрометация, как правило, вырастает не из атаки, а из самой природы наших систем – сложных, неоднородных, исторически сложивших- ся и потому изначально уязвимых. Любая инфраструктура, какой бы акку- ратной она ни казалась, почти всегда содержит то, что однажды станет точкой входа: забытый сервер с устаревшей версией PHP, не обновленный компо- нент, фреймворк с недосмотренной логи- кой авторизации. Это не ошибки и не халатность – это неизбежность. Мы живем в динамичной среде, и то, что вчера было безопасным, сегодня уже оказывается под угрозой. Вот, например, уязвимость в Next.js, позволяющая обойти middleware одним заголовком. Или CVE–2025–0475 в Git- Lab – десятки версий, множество уста- новок, все работает, пока кто-то не ска- нирует, не находит и не использует. Боты делают это постоянно. Они не ищут именно вас, они просто идут по списку. И если вы находитесь там, где удобно зайти – зайдут. Мы привыкли считать безопасность состоянием. Но на самом деле она – процесс, который начинается с призна- ния простого факта: уязвимость не исключение, а фон. Не что-то, что однаж- ды появится, а то, что уже есть. И если кажется, что вы в безопасности – воз- можно, вы просто еще не в курсе, где именно она нарушена. Когда кажется, что все под контролем Одной из самых опасных ловушек ста- новится не атака как таковая, а то спо- койствие, которое наступает после внед- рения очередного средства защиты. Мы любим списки, чек-листы, графики внед- рения: настроен EDR, стоит антивирус, работает антиспам, проведен обучающий курс по фишингу. Все формально пра- вильно. И именно в этот момент органи- зация становится по-настоящему уязви- мой – потому что начинает верить в конт- роль, которого не существует. Фишинговые письма, например, боль- ше не выглядят как "нажми сюда, чтобы выиграть айфон". Они пишутся аккурат- но, без ошибок, на хорошем языке, а иногда – с помощью ИИ, умеющего имитировать стиль внутренней перепис- ки. Адрес отправителя – знакомый, тема – уместная, вложение – вполне ожидаемое. И даже прошедший обуче- ние человек открывает файл, просто потому что все выглядит убедительно. Антиспам не срабатывает, антивирус молчит, – и злоумышленник уже внутри. Мы слишком привыкли к метафоре крепости. Но современные системы – это не бастионы, а пересекающиеся экосистемы. Они не стоят на месте. И никакая уверенность в их защищен- ности не выдержит столкновения с реальностью, где среда умнее, а зло – технологичнее, чем раньше. Не событие, а среда Существует устойчивое представление о кибератаке как о чем-то чрезвычайном: это, мол, инцидент, сбой, вспышка, кото- рую можно зафиксировать, локализо- вать, расследовать. Но реальность устроена иначе. Настоящая угроза – не в отдельно взятом заражении, не в вымо- гателе, не в эксплойте. Угроза – в посто- янном давлении, в невидимом фоне, в том, что происходит всегда, даже когда кажется, что все спокойно. В корпоративной сети может неделями не происходить ничего заметного. А между тем сканирование извне – уже идет. Кто-то на другой стороне планеты, не зная названия вашей компании, адре- са, отрасли, запускает бота, который методично зондирует IP-диапазоны, цеп- ляется за открытые порты, находит пане- ли управления, проверяет версии. И если ваш сервер на 443-м порту откликается, то уже неважно, как вы его назвали – вы просто следующая строка в списке злоумышленника. Это не атака в привычном смысле – это естественное состояние среды. И если внутри системы есть нечто уязви- мое, оно будет замечено. Не потому, что вы кому-то интересны, а потому что сейчас нет необходимости быть инте- ресным, чтобы стать целью. Достаточно просто быть. Такая атмосфера постоянного, без- личного тестирования на прочность меняет саму логику защиты. Нельзя надеяться, что если что-то начнется, мы отреагируем. Уже идет, всегда идет! Просто чаще всего мы этого не видим – не потому, что оно незаметно, а потому что привыкли считать, будто тишина за файрволом означает безопасность. Цифровая среда, в отличие от физи- ческой, не знает выходных. Она непре- рывна. И в ней важно понимать: вы не подвергаетесь атаке – вы находитесь в атакуемом пространстве. И от того, как вы воспринимаете это – как времен- ную фазу или как норму – зависит все остальное. По ту сторону хаоса Мы долго жили с образом хакера как одиночки – человека в капюшоне, дей- ствующего в темноте, взламывающего чужие системы ради вызова, азарта или денег. Этот образ до сих пор бродит в презентациях и статьях, подменяя собой куда более тревожную реальность. А она такова: взлом давно перестал быть хаотичным ремеслом и стал инду- стрией, дисциплинированной, организо- ванной, с разделением труда, с инфра- структурой, с экономикой, которая ино- гда работает надежнее, чем у многих легальных компаний. Сегодня взлом – это бизнес, в котором одни специалисты занимаются только входом в инфраструктуру, находя и экс- плуатируя уязвимости, другие – размет- кой и картографией сети, третьи – сбо- ром и шифрованием данных, четвер- тые – переговорами. Есть те, кто вымо- гает, есть те, кто восстанавливает. Неко- торые предоставляют подробный отчет после взлома: через какие узлы прошли, что помогло проникнуть, где была недо- работка. Честно, профессионально, с холодной вежливостью. Угроза стала сервисом. Разворачивают- ся бэк-офисы, ведется учет, работают платформы "взлом как услуга". У атакую- 70 • УПРАВЛЕНИЕ Уязвимость начинается с уверенности таки происходят не по графику, а по природе самой среды, и разговор о кибербезопасности неизбежно выходит за пределы инструкций и технических регламентов. Давайте попытаемся взглянуть на информационную уязвимость не как на исключение, а как на фундаментальное свойство любой сложной системы. А Дмитрий Костров, эксперт по информационной безопасности Фото: Д, Костров