Ваш бизнес сотрут дочиста. 5 правил от экспертов Mandiant, чтобы не остаться ни с чем
Грань между стабильностью и полным крахом стала слишком тонкой.
Команда Mandiant Threat Intelligence опубликовала обновлённое руководство по защите инфраструктуры от разрушительных кибератак. Документ описывает сценарии, при которых злоумышленники уничтожают данные, стирают следы вторжения или выводят системы из строя, а также предлагает набор практических мер для подготовки организаций к подобным инцидентам.
Разрушительные атаки остаются относительно редким инструментом, однако при обострении геополитической обстановки подобные операции используются чаще. Авторы отчёта подчёркивают, что вайперы, модифицированные вымогатели и другие подобные инструменты позволяют быстро парализовать инфраструктуру и усложнить расследование. Подобные операции обычно сопровождаются разведкой сети, повышением привилегий и перемещением между системами.
Специалисты рекомендуют организациям уделить внимание устойчивости инфраструктуры и подготовке к кризисным ситуациям. Важную роль играет резервный канал коммуникации, не связанный с корпоративной инфраструктурой. Такой канал позволит координировать действия команд реагирования, если основные сервисы перестанут работать. Также необходимо заранее подготовить планы восстановления ключевых сервисов, определить приоритеты запуска приложений и закрепить договорённости с внешними подрядчиками, которые могут участвовать в реагировании и восстановлении систем.
Отдельный блок рекомендаций касается защиты внешних сервисов. Интернет-доступные приложения и облачные сервисы часто становятся точкой первоначального проникновения через уязвимости или подбор учётных данных. Авторы отчёта советуют регулярно проводить сканирование уязвимостей и тесты на проникновение, а также следить за обновлениями программного обеспечения. При обнаружении уязвимости необходимо не только закрыть её, но и проверить систему на наличие признаков компрометации.
Для доступа к таким сервисам рекомендуется повсеместно внедрять многофакторную аутентификацию. Наиболее устойчивыми вариантами специалисты считают аппаратные ключи стандарта FIDO2 или Passkey-механизмы. Более слабые методы, включая SMS-подтверждение и телефонные звонки, остаются уязвимыми для перехвата или атак с подменой SIM-карты.
Большое внимание в отчёте уделено резервному копированию и восстановлению инфраструктуры. Критически важные системы, включая контроллеры домена, должны иметь защищённые резервные копии, изолированные от основной сети. Рекомендуется регулярно проверять процедуры восстановления и хранить часть резервных копий в офлайн-среде. Такой подход снижает риск полного уничтожения данных во время атаки.
Специалисты также советуют жёстко сегментировать сети информационных технологий и промышленной инфраструктуры. Компрометация корпоративной среды не должна давать злоумышленнику прямой доступ к системам управления технологическими процессами. Для таких сегментов следует использовать отдельные домены аутентификации и строгие правила сетевого доступа.
Отдельные рекомендации посвящены облачным платформам и виртуализированной инфраструктуре. В руководстве говорится о необходимости изолировать управляющие интерфейсы гипервизоров, ограничивать доступ к ним только из защищённых административных рабочих станций и отслеживать аномальные действия, включая массовое отключение виртуальных машин или изменение конфигураций. Также рекомендуется шифровать виртуальные диски и резервные копии, чтобы предотвратить кражу данных при доступе к файловым хранилищам.
Авторы отчёта подчёркивают, что защита от разрушительных атак требует комплексного подхода. Помимо технических мер, организациям необходимо регулярно проводить учения по восстановлению инфраструктуры и проверять готовность команд реагирования. Такой подход позволяет сократить время простоя и сохранить работоспособность критических сервисов даже после серьёзного инцидента.