Настоящий кризис начинается сразу после инидента. Паника, хаотичные действия и ложная экономия на восстановлении способны умножить ущерб, превратив единичный сбой в катастрофу для компании.
Авторы:
Артем Невмируха, директор управления информационной безопасности компании "Софтлайн Решения" (ГК Softline)
Александр Мосягин, руководитель департамента мониторинга и реагирования на инциденты ИБ компании "Софтлайн Решения" (ГК Softline)
Сергей Карпунин, руководитель отдела развития бизнеса компании "Софтлайн Решения" (ГК Softline)
Категорические "нельзя" в первые минуты киберинцидента
В состоянии шока легко принять роковое решение. Три ключевые ошибки могут стоить миллионов и разрушить репутацию, выстраиваемую годами.
Первое и главное – нельзя поддаваться эмоциям. Паника – основа всех последующих ошибок. Именно в этом состоянии принимаются наихудшие решения, самые опасные из которых – поддаваться на вымогательство и делать необдуманные заявления.й Уступка шантажистам не решает проблему, а лишь фиксирует компанию как легкую мишень и поощряет повторные атаки. А любое спонтанное слово для рынка, партнеров или клиентов в такой момент – это бомба, которая взорвет репутацию. Коммуникация должна быть только выверенной и своевременной.
Второе – нельзя игнорировать первые сигналы. Даже незначительные подозрения не стоит списывать на рядовые события. Реагировать нужно мгновенно. Пропущенный первый звоночек – самая частая причина катастроф.
Разберем сценарий из практики. Например, компания получает письмо, маскирующееся под официальное уведомление о пентесте: злоумышленники под видом исследователей предлагают за вознаграждение сообщить об уязвимостях. Письмо автоматически попадает в карантин или спам, где его никто не замечает. Не дождавшись ответа, мошенники переходят к активным действиям. Организация же осознает проблему лишь тогда, когда появляются серьезные последствия: отключаются критичные сервисы, а от пользователей поступает поток жалоб.
Подобный случай наглядно показывает, как игнорирование даже потенциальной угрозы лишает бизнес главного – времени на реакцию. Если компания регулярно и тщательно анализирует карантинную почту, у нее будет запас времени, чтобы узнать о целевой атаке раньше, выбрать другую стратегию, локализовать уязвимости и, возможно, все предотвратить.
Третье – халатно относиться к безопасности до инцидента – опасно. Нельзя держать инфраструктуру на слабом, непроработанном уровне, особенно если ИТ – это кровь бизнеса.
Остановить бизнес или сохранить улики?
Один из самых сложных вопросов: как быстро оценить ущерб и что важнее – восстановить бизнес или сохранить доказательства? Идеальный подход – действовать по двум направлениям одновременно.
Первое направление – расследование и сдерживание. Если инфраструктура скомпрометирована, стоит немедленно "заморозить" ее – отключить от интернета и остановить бизнес-процессы. Параллельно рекомендуем высадить команду инженеров, которая начинает скрупулезную работу: проверяет каждый сервер и рабочую станцию, ищет индикаторы компрометации, снимает образы серверов, исследует оставшиеся лог-файлы. По этим следам в дальнейшем и будет раскручиваться цепочка атаки.
Второе направление – восстановление продуктивности. Хотя в этот момент бизнес простаивает, существует параллельное решение: компания может воспользоваться мощностями в защищенном облаке. Если сохранены бэкапы данных, в зеленой зоне разворачивается чистая инфраструктура: поднимаются из дистрибутивов инфраструктурные службы, бизнес-критичные информационные системы и все закрывается сетевым экраном со строгими правилами доступа и иными необходимыми средствами защиты. Итог: пока одна команда расследует инцидент, вторая восстанавливает работу, и пользователи начинают функционировать в новой, безопасной среде.
После завершения расследования команда возвращается к старой инфраструктуре. Рабочие станции, как правило, проще переустановить, чем исследовать на предмет компрометации. Серверы же проверяются поэкземплярно с использованием EDR- и NTA-решений и, если признаков заражения нет, их переводят в изолированный сегмент сети и затем подключают к новой инфраструктуре. Стоит подчеркнуть, что данный подход не является универсальным решением, а лишь одним из возможных сценариев.
Главное – никакого промедления. Этим пренебрегают даже компании с высокой ИТ-зрелостью. Классический пример – когда годами обходятся базовым набором: из средств защиты только антивирусы, межсетевой экран Open Source. В одной из таких организаций об инциденте узнали почти случайно – администратор заметил подозрительную активность на серверах в нерабочее время. Расследование показало, что инфраструктура была полностью скомпрометирована. Пришлось рубануть рубильник и потратить значительные средства в сжатые сроки, чтобы не только вернуть работоспособность, но и наконец выстроить полноценную защиту.
Под контролем ли коммуникации?
Управление репутационными рисками – такая же критическая часть плана, как и техническое восстановление. Крупный инцидент – это катастрофа для бизнеса, такая же, как пожар или наводнение.
У компании должен быть готовый алгоритм действий. Для публичной организации, по-хорошему, пресс-релиз должен быть заготовлен заранее. Если такого плана нет, действовать важно по шагам.
Первое – внутренняя коммуникация. Любые подозрения, те же фишинговые письма, рядовой сотрудник должен сразу направлять в ИБ-службу. Ее руководитель, в свою очередь, при оценке инцидента с потенциалом к развитию обязан немедленно ставить в известность высшее руководство: CEO или даже владельца бизнеса.
Второе – партнеры и клиенты. Если затронуты ИТ-активы, с которыми они взаимодействуют, то выходить на связь нужно только после первичной оценки и с тщательно проанализированной конкретикой.
Приведем пример, когда даже грамотные действия после инцидента могут быть обесценены. Одна компания провела для партнеров закрытый вебинар, чтобы откровенно разобрать произошедшее. Однако злоумышленники, проникнув на мероприятие, во время сессии в чате написали: "Ребята, никого вы не вылечили". Последующая утечка записи мгновенно обнулила весь позитивный эффект.
Главный урок: прежде чем делать красивые жесты, необходимо убедиться, что компания полностью контролирует каналы коммуникации.
Третье – регуляторы. Обращаться следует, когда окончательно убедились в фактах.
Как вернуть компанию к жизни?
Во время инцидента важно разворачивать абсолютно чистую инфраструктуру, которая изначально не была скомпрометирована, на отдельных мощностях, например в новом облаке. И ключевой момент – сразу же, до переноса данных из скомпрометированной инфраструктуры, устанавливать и настраивать средства защиты. Прежде всего, это межсетевой экран, сконфигурированный по принципу белого списка. Это лишает злоумышленников возможности взаимодействовать с удаленными командными центрами, даже если их код где-то остался.
Далее проводится полное сканирование на уязвимости, проверяются и устанавливаются все актуальные обновления. Фактически инфраструктура заново разворачивается, доводится до идеального состояния и еще раз проверяется на чистоту.
Как быть уверенным, что атака не повторится? Киберинцидент – это не простуда, которую можно быстро вылечить. Речь идет о постоянном управлении рисками. Задача состоит в том, чтобы минимизировать их, создавая максимально защищенную среду. Рекомендуется обеспечить стопроцентное покрытие всей восстановленной инфраструктуры современными EDR-системами, которые отслеживают поведенческие аномалии.
На этом этапе проявляется ценность комплексного подхода. Восстановленную инфраструктуру целесообразно взять на постоянный мониторинг. Атаки могут повторяться постоянно. Межсетевой экран ежесекундно отбрасывает миллионы подозрительных соединений. Вопрос в том, чтобы иметь возможность их стабильно отражать. Именно эту способность и помогает создать грамотно выстроенная система обороны – не иллюзию безопасности, а реально работающий механизм.
Один помощник вместо толпы вендоров
Когда компании стоит привлекать внешних подрядчиков: кризисные команды, юристов, специалистов по цифровой криминалистике? Простейший ответ – когда не хватает собственных ресурсов или компетенций. Реально справиться своими силами могут лишь единицы – корпорации-гиганты с собственным штатом ИТ- и ИБ-специалистов. Все остальные, включая крупные инфраструктурные объекты, как правило, обращаются за помощью.
Выделим важный нюанс, основанный на нашей практике. Плохой сценарий – когда заказчик в панике собирает множество команд от разных вендоров. Они неизбежно начинают мешать друг другу. Безусловно, иногда полезно получить второе мнение, как у врачей, но одновременно работающих команд не должно быть больше двух.
Эффективной альтернативой является поиск одного партнера, способного предоставить решение под ключ. Речь идет не просто о продаже софта или консультации, а о полном принятии комплекса работ – от а до я. Такой интегратор помогает подготовить компанию к возможному инциденту (прорабатывая инфраструктуру ИБ и регламенты реагирования), а в случае атаки оперативно предоставляет необходимое оборудование, команду кризисных инженеров, специалистов по цифровой криминалистике, и при необходимости подключает юристов и экспертов по антикризисным коммуникациям. То есть он не только проводит расследование, но и готовит всю информацию в строгом соответствии с требованиями регуляторов или правоохранительных органов.
Таким образом, ключевых критерия для привлечения внешних сил два:
- Количественный: когда собственных человеческих ресурсов объективно недостаточно для ликвидации инцидента.
- Качественный: когда внутренняя команда не обладает требуемой узкой квалификацией. Можно иметь десятки специалистов в штате, но они не смогут разрешить сложный кейс, требующий уникального опыта.
Преврашаем киберинцидент в стратегический актив
Инцидент – это не приговор, а опыт. Иногда именно угроза становится катализатором позитивных изменений. Представим компанию с критической инфраструктурой, где изначально исповедовали подход "вас все равно взломают". Он сводился к фокусу на скорости восстановления при почти полном игнорировании профилактики. Со временем внутри компании укрепился принцип "если прямо не требуется и за невыполнение не накажут – делать не будем".
Переломным моментом стала плановая проверка регулятора, в ходе которой аудиторы получили полный контроль над инфраструктурой. Это вынудило бизнес действовать. Результатом стало предписание об устранении нарушений за три месяца. Организация обратилась к услугам SOC, но пошла по пути ложной экономии, покрывая мониторингом лишь малую часть активов. Специалисты предупреждали: частичное покрытие подобно тому, как смотреть только одним глазом, – можно не увидеть угрозу. Последующая проверка это подтвердила, выявив новые, непокрытые векторы. Однако на этот раз негативный опыт сработал как стратегический актив. У внутренних ИБ-специалистов появились веские, подкрепленные реальными инцидентами аргументы для расширения покрытия и увеличения бюджета. Руководство, ранее сфокусированное исключительно на операционных процессах, начало погружаться в тему и осознало необходимость системных инвестиций в безопасность.
Этот пример иллюстрирует ключевые принципы, позволяющие превратить инцидент в преимущество:
- Уроки – это актив. Грамотный разбор инцидента позволяет системно усилить защиту, получить бюджет и поддержку руководства, а в перспективе – превратить зрелый подход к безопасности в конкурентное преимущество.
- Баланс – основа стратегии. Изначальная философия "вас все равно взломают" не лишена смысла – способность к быстрому восстановлению критически важна. Но она не должна подменять собой стратегию упреждающей защиты.
- Комплексный подход и экспертиза. Привлечение одного надежного партнера, способного закрыть все задачи под ключ, эффективнее хаотичных закупок и работы с десятком вендоров.
Вывод
Современная парадигма смещается с утопичной цели не допустить любой ценой к реалистичной задаче – обеспечить устойчивость. Грамотно выстроенная защита данных работает как прививка: компания может заболеть, столкнувшись с атакой, но перенесет ее в легкой форме. К такой устойчивости и нужно стремиться, она позволяет не просто преодолевать инциденты, но и становиться сильнее, анализируя каждый из них. Этот подход превращает негативный опыт в стратегический актив, укрепляя доверие клиентов и партнеров.