За последние несколько лет я регулярно сталкиваюсь с одними и теми же проблемами в инфраструктуре — будь то небольшой бизнес, стартап или даже относительно зрелые компании. И самое интересное: большинство инцидентов происходят не из-за сложных атак, а из-за банальных, повторяющихся ошибок.
Ниже — пять самых частых из них. Если коротко: почти все можно закрыть за один день, но почему-то этого не делают.
1. Пароли уровня «123456» (и их вариации)
Да, это всё ещё реальность.
Люди используют:
- простые пароли
- одинаковые пароли везде
- пароли без ротации годами
И даже если пароль «сложный», он часто уже утёк в одной из баз.
Почему это критично:
Атаки через credential stuffing и brute force давно автоматизированы. Если у тебя нет защиты — это вопрос времени.
Что делать:
- использовать менеджер паролей
- включить MFA (обязательно)
- не переиспользовать пароли
- проверять утечки
2. Отсутствие MFA (многофакторной аутентификации)
Это, пожалуй, самая недооценённая мера защиты.
Очень часто вижу:
- доступ к почте без MFA
- админки без MFA
- VPN без MFA
Почему это критично:
Даже если пароль скомпрометирован, MFA почти всегда останавливает атаку.
Реальность:
Большинство успешных взломов аккаунтов — это не «хакеры», а просто вход по украденным данным.
Что делать:
- включить MFA везде, где возможно
- приоритет: почта, VPN, админки, облака
- использовать TOTP или hardware-токены
3. Открытые сервисы наружу (RDP, SSH, админки)
Классика: сервер с открытым RDP или SSH на весь интернет.
Что обычно вижу:
- RDP на 3389 без ограничений
- SSH без fail2ban
- панели администрирования без IP-фильтрации
Почему это критично:
Такие сервисы сканируются постоянно. Боты находят их за минуты.
Типичный сценарий:
- нашли открытый порт
- перебор паролей
- вход
- закрепление
Что делать:
- закрыть доступ по IP (allowlist)
- использовать VPN
- отключить парольную аутентификацию (для SSH)
- менять стандартные порты (не как защита, но как шумоподавление)
4. Нет логирования и мониторинга
Это одна из самых опасных вещей, потому что проблема здесь не в атаке, а в том, что её не замечают.
Часто встречается:
- логи не собираются
- логи не анализируются
- нет алертов
Почему это критично:
Взлом может происходить неделями, и никто об этом не узнает.
Реальность:
Многие компании узнают о компрометации не сами, а от третьих лиц.
Что делать:
- включить базовое логирование
- использовать SIEM или хотя бы централизованный сбор логов
- настроить алерты на подозрительную активность
5. Отсутствие бэкапов (или «бэкапы есть, но…»)
Фраза «у нас есть бэкапы» часто заканчивается проблемами.
Потому что:
- бэкапы не проверяются
- бэкапы лежат рядом с системой
- бэкапы тоже шифруются при атаке
Почему это критично:
Ransomware — это не «если», а «когда».
Типичная ситуация:
- данные зашифрованы
- бэкапы тоже
- восстановиться невозможно
Что делать:
- делать регулярные бэкапы
- хранить их отдельно (offline / immutable)
- тестировать восстановление
- иметь хотя бы одну копию вне инфраструктуры
Вывод
Практически все успешные атаки, которые я видел, сводятся к одному:
не было базовой гигиены безопасности
Не zero-day, не сложные APT, не «хакеры в капюшонах», а:
- слабые пароли
- отсутствие MFA
- открытые порты
- нулевой мониторинг
- отсутствие бэкапов
Хорошая новость — всё это можно закрыть быстро и без огромных бюджетов.
Плохая — большинство этого не делает, пока не станет поздно.
Если ты сейчас читаешь это — просто пройдись по списку и честно ответь:
что из этого уже есть у тебя, а что — нет?