Журнал "Системы Безопасности" № 2‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 47 но, что без фишинга и социальной инженерии в этом кейсе не обошлось. После проникнове- ния внутрь злоумышленники провели горизон- тальную рекогносцировку, выявили уязвимые компоненты в сети и продолжили свое про- движение вплоть до целевых серверов, информацию на которых они для ее владель- цев сделали временно недоступной. Об ущер- бе для компании никто официально не сообщал, однако, судя по описанию сценария атаки в теневом сегменте Интернета и длитель- ному времени устранения владельцами информации последствий от инцидента, он (ущерб) далеко не нулевой. Распространенные ошибки В завершение обзора и лайфхаков приведу топ-5 наиболее распространенных у ИТ-адми- нистраторов ошибок в настройках компонентов инфраструктуры и подсистемы безопасности, которые приводят к успешным взломам и про- никновениям злоумышленников внутрь защи- щаемого периметра сети организации в России в 2025 г.: 1. Слабые/подбираемые пароли привилегиро- ванных пользователей, в том числе админи- страторов, офицеров информационной без- опасности и руководителей в организации. 2. Наличие прямого (нефильтруемого, без JUMP- или proxy-сервера) доступа в Интернет из внутреннего контура организации со СКУД- /СОТ-серверами. 3. Публикация в Интернете недостаточно защи- щенных интерфейсов с доступом во внутрен- нюю сеть организации (почтовые сервера, фай- ловые перекладчики, удаленный доступ VPN и пр.). 4. Размещение клиентских сервисов и API- интерфейсов внутри сегмента сети организации (без DMZ, без сетевой фильтрации и дополни- тельных ограничений) – эта ошибка касается как боевых (промышленных сред), так и тесто- вых серверов разработки и проверки функцио- нальности (контур с финальным тестированием перед размещением в промышленном сегмен- те). 5. Объединение сегмента сети с Wi-Fi-доступом с внутренними сегментами в сети организации, в том числе с прикладными серверами и фай- ловыми обменниками. Обратите особое внимание работников, ответ- ственных за обеспечение информационной без- опасности, на эти типовые недочеты и ошибки конфигурирования. Очень вероятно, что их быстрое выявление и устранение поможет защитить вашу компанию от потенциального ущерба в ближайшем будущем. n Иллюстрация предоставлена автором. Лайфхак № 5 для руководителя Запросите у ИТ-администраторов актуальную сетевую схему вашей организации. По своему содержанию это карта вашей сети с нанесенными на нее сегментами и информационны- ми потоками. По данной схеме сети (при ее наличии в организации) можно определить, размещены ли сервера и пользователи в одном сегменте сети (в прямом доступе друг для друга) или в разных (доступ фильтруется на межсетевом экране), а также наличие в организации выделенных сегментов сети для серверов и рабочих станций СКУД, отдельного сегмента с досту- пом в Интернет и прочих деталей, характеризующих уровень зрелости процесса обеспечения информацион- ной безопасности. Если схема сети в компании отсутствует и/или ее содер- жание сложно для первичного вос- приятия не техническим специали- стом, попросите администраторов комплексной системы безопасности (СКУД, СОТ, СПО, архив видеонаблю- дения, рабочие места охранников-опе- раторов, датчики сигнализации, тур- никеты и пр.) со своих рабочих мест зайти на любой сайт в Интернет – это означает наличие прямого доступа в Интернет из сегментов сети с ограниченным доступом. www.secuteck.ru апрель – май 2025 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Т естирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. В ходе проведения этих работ исследователи помогают выявлять небезопасные места в ключе- вых и целевых системах, тем самым информируя компании о возмож- ности реализации недопустимого события со стороны реальных зло- умышленников. Как и в 2022 г., доля уязвимых к внешнему нарушителю компаний осталась прежней – 96%. В организациях, в которых был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100% случаев. В 2022 г. этот показатель также был максимальным. Необходимо отметить, что те организации, которые регулярно проводят пентесты и принимают соответствующие меры по обеспечению без- опасности по их результатам, в итоге выходят на более высокий уро- вень защищенности. Систематически проверяйте эффективность внедренных мер защиты, а также готовность службы ИБ выявлять и останавливать атаки на ран- них этапах, до наступления недопустимых последствий 5 . 4 Кондакова Т. Масштабная кибератака на "Роснефть" и "Лукойл" 26.03.2025 года: хакеры парализовали работу компаний [Электронный ресурс]. 26.03.2025. URL: https://allestate.pro/news/26.03.2025/masshtabnaya-kiberataka-na-ros- neft-i-lukoyl-26-03-2025-goda-hakery-paralizovali-rabotu-kompaniy (дата обращения: 06.05.2025). 5 Итоги пентестов 2023 [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/research/analytics/preview/results- of-pentests-2023 (дата обращения: 06.05.2025).