Журнал "Системы Безопасности" № 4‘2025

Б И З Н Е С . И Д Е И И М Н Е Н И Я 125 щения инфраструктурных компонентов на периметре сети, особенно с обязательным уча- стием ИБ-специалистов. Но такой непрерывный анализ защищенности с учетом особого внима- ния к российским компаниям со стороны ино- странных киберпреступных группировок – это вынужденные меры. И здесь ИБ-руководителю уже рассчитывать на "русский авось" как-то недальновидно. 4. Киберразведка Безотносительно к форме реализации (собст- венные силы, OSINT-аналитика или внешний коммерческий сервис, реализуемый профес- сиональными исследовательскими лаборато- риями), объема и регулярности поступающей ИБ-руководителю информации, поиск акту- альных сведений о готовящихся, реализуемых в моменте или имевших место ранее успеш- ных кибератаках, мониторинг появления запросов на получение расширенных сведе- ний о компании на черном рынке, контроль и подтверждение (путем реализации конт- рольных закупок) утечек чувствительных дан- ных за пределы защищаемого периметра ком- пании, выявление факта привлечения на ком- мерческой основе инсайдеров для участия в целевых кибератаках – все эти отдельные элементы киберразведки нацелены на форми- рование у ИБ-руководителей дополнительных рычагов контроля и инструментов превентив- ного принятия решений. 5. Антивирус в одиночку не справляется Как бы крамольно это ни звучало, но как уни- версальное средство от всех видов кибератак классический антивирус, увы, неэффективен. Практика, в том числе многочисленных тести- рований на проникновение, показывает, что наличие в компании импортозамещенного антивирусного решения из реестра СЗИ, код класса ПО 03.06 (кстати, их, антивирусов, в РФ не только два, как принято думать в ИБ- сообществе, а больше), не обеспечивает гаран- тированную защиту от всех видов современных атак. Антивирус хорошо справляется со сканирова- нием на предмет выявления известных вредо- носов или признаков зловредов в файловой системе, проверками по сигнатурам скачивае- мых файлов, архивов, скриптов, вложений – он выступает одним из, но не единственным ком- понентом защиты в составе таких модных сей- час решений, как EDR, NDR, XDR и SOAR. Если ничего из "этого новомодного ИБ-сленга" не откликается (кроме нетленного антивируса), то как минимум стоит задуматься о пилотирова- нии/миграции/тестировании одного из про- дуктов данного класса. Ну и всегда хорошо, когда есть взаимный конт- роль и подстраховка различных решений: так, антивирус на периметре, на прокси или на фай- ловых/почтовых серверах может и должен перекрываться, к примеру, EDR-решением на конечных устройствах или XDR на мобильных или в облаках. 6. Безопасная архитектура и отказоустойчивые инфраструктурные компоненты Только после крупных сбоев и инцидентов зад- ним числом понимаешь, что зря ранее эконо- мил на создании условного второго, резервно- го, не связанного с основным, контура для осу- ществления критичных бизнес-процессов в рамках операционной деятельности. В случае распределенного/дистанционного доступа через Интернет к сосредоточенным где-то в одном месте, в ЦОД, информационным систе- мам количество потенциальных точек отказа всегда больше одной, и даже больше трех. Поэтому логичным решением кажется создание не только резервной копии данных, но и резер- вирование компонентов, поддерживающих виртуальную инфраструктуру, для реализации бесшовной миграции и резервирование кана- лов/провайдеров для доступа к централизован- ной инфраструктуре, а также вынесение части (ограниченно, согласованно, плавно) функ- ций/сервисов из центрального ЦОД на места ("на землю") для обеспечения бесперебойной работы в масштабах региона в случае возник- новения критических инцидентов "в центре". Конечно же, правильно было об этом думать на этапе проектирования архитектуры, но "история не терпит сослагательного наклонения", имеем и эксплуатируем ту промышленную инфра- структуру, которую имеем, и обеспечивать ее резервирование и отказоустойчивость чаще всего приходится по живому и рабочему про- цессу, в том числе в процессе восстановления после сбоев. Не верьте консультантам и внед- ренцам, которые обещают сделать все красиво, без фейлов, быстро и дешево. Проектирование надежной (99,999%) архитектуры, последова- тельное итеративное превращение уязвимого промышленного контура из стандартного в отказоустойчивый – это долгое и очень недеше- вое упражнение, крайне востребованное у биз- неса и руководства в текущих реалиях. 7. Найти подход и обучить основам ИБ самых проблемных/неприкасаемых работников в компании Это большая проблема, когда в рамках про- граммы повышения осведомленности по ИБ- вопросам работников всегда возникает некая группа лиц, которая снисходительно и иронич- но смотрит на все происходящее, лениво листа- ет учебные материалы, с напряжением в глазах изучает сценарии киберучений, иногда пытает- ся этим процессом управлять, предъявляет даже какие-то свои требования ("5 копеек") и в итоге подписывает договоры и счета на оплату, но… не выносит из этого процесса ничего полез- ного для себя лично, не применяет базовые правила информационной безопасности на www.secuteck.ru август – сентябрь 2025 ВинЛаб Novabev Group официально заявила о кибератаке на сеть "ВинЛаб" на своем сайте 16 июля 2025 г. Компания уделяет большое внимание кибербезопасности, регулярно совершенствует защиту инфраструктуры, ежедневного мониторит и устраняет уязвимости и обучает сотрудников. Благодаря этому пре- дыдущие атаки удавалось отражать. Однако 14 июля группа подвер- глась масштабной и скоординированной акции, осуществленной хакерами. В результате инцидента была временно нарушена работо- способность части ИТ-инфраструктуры, что отразилось на доступности некоторых сервисов и инструментов. Злоумышленники вышли на связь и выдвинули требование о выплате денежного вознаграж- дения. Компания категорически отказалась от этого. ИТ-команда круглосуточно работала над решением сложившейся ситуации. Для ускорения процесса к расследованию были подключе- ны внешние эксперты. Исходя из доступной информации, персональ- ные данные клиентов не пострадали. 22 июля было сообщено, что компания поэтапно восстанавливает работу. Более 100 торговых точек "ВинЛаб" открылись в Москве, Мос- ковской области, Хабаровске, Владивостоке и других городах. На данный момент покупки в магазинах "ВинЛаб" осуществляются в привычном формате: полностью сохранены ассортимент, качество обслуживания и дисконтная программа. Онлайн-сервисы также воз- вратились к стандартному режиму работы. Источник: www.novabev.com Орион телеком 12 июня сервисы "Орион телеком" подверглись масштабной кибератаке, о чем компания сообщила на официальном сайте. Работы по восстановлению сервиса велись круглосуточно. В тот же день Интернет был настроен в Абакане, Черногорске, Мину- синске, Саяногорске, Канске, Зеленогорске, Новокузнецке, Кисе- лёвске, Прокопьевске, Иркутске и Братске, в остальных городах были реанимированы основные элементы сети. В связи с ситуацией, связанной с возможной утечкой персональ- ных данных в результате кибератаки, руководство компании при- няло решение о дополнительных мерах по защите данных и уси- лении информационной безопасности. Пользователям было реко- мендовано сменить пароль для входа в личный кабинет через кнопку "Забыли пароль?" на сайте orionnet.ru , выдана подробная инструкция. Дополнительно были приняты следующие меры: 1. Весь интернет-трафик компании проходит через федеральную систему фильтрации, защищающую от DDoS-атак и внешнего вмеша- тельства. 2. Серверная инфраструктура обновлена и переведена на сертифи- цированное российское программное обеспечение (ПО), обеспечи- вающее высокий уровень устойчивости к киберугрозам. 3. Проводятся регулярные проверки безопасности и использование передовых технологий. Источник: www.orionnet.ru