Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Как остановить кибератаку после проникновения: ключевые уязвимости и меры защиты

Обновлено 13.07.2026 04:18

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru

Email: petukhov@legascom.ru

Даже после успешного проникновения злоумышленники не всегда сразу наносят ущерб: одни стремятся быстро зашифровать данные ради выкупа, другие неделями или месяцами скрываются в инфраструктуре ради кражи конфиденциальной информации. Эффективность противодействия зависит не от отдельных инструментов, а от устойчивости всей ИТ‑среды. Ниже - основные уязвимости, которыми пользуются атакующие, и практические меры по их устранению.

Плоская сеть: свобода для злоумышленников

В плоской сети с минимальной сегментацией атакующим легко перемещаться между сегментами и получать доступ к критическим системам (контроллерам домена, базам данных) через стандартные протоколы (SMB, WMI, RDP, SSH и др.). При этом выявлять аномалии сложно: трафик не фильтруется, а смешанные потоки мешают корректной настройке средств защиты.

Что делать:

Внедрить сегментацию сети: разделить инфраструктуру на изолированные сегменты и ограничить доступ между ними.

Настроить списки контроля доступа на маршрутизаторах и межсетевых экранах.

Для сервисов, доступных из интернета, выделить отдельный сегмент с жёсткими ограничениями на доступ во внутреннюю сеть.

Использовать Jump‑хосты для администраторов: вход - только со вторым фактором и сертификатом, все действия - под логированием. Это снижает риск атак через скомпрометированные привилегированные учётные записи.

Бесконтрольные привилегии: главная точка прорыва

Чаще всего компрометация привилегированных учётных записей происходит из‑за типовых ошибок: одни и те же аккаунты используют и для администрирования, и для повседневных задач; RDP‑сессии не завершаются; пароли слабые, а мониторинг недостаточен. В результате злоумышленник, получив доступ к обычной рабочей станции, извлекает учётные данные из памяти и быстро продвигается по сети.

Практические меры:

Разделить инфраструктуру по уровням привилегий (рабочие станции, серверы, критические системы) и использовать для каждого уровня отдельные учётные записи.

Не применять одинаковые локальные административные учётные записи на множестве хостов: для этого внедряют системы, генерирующие уникальные пароли на каждое устройство.

Применять PAM‑системы (Privileged Access Management) с выдачей доступа по принципу Just‑in‑Time - только на ограниченное время.

Ввести двухфакторную аутентификацию для привилегированных аккаунтов.

Проводить регулярный аудит привилегированных УЗ и тестирование на проникновение.

Запретить хранение паролей в штатных менеджерах ОС, включить очистку памяти от учётных данных при выходе, защитить процесс LSASS от недоверенных процессов.

«Зоопарк» инструментов удалённого доступа

Одновременное использование множества решений для удалённого управления (TeamViewer, AnyDesk, VNC и т. п.) усложняет мониторинг и даёт злоумышленникам возможность маскировать активность под легитимную.

Решение: стандартизировать и жёстко контролировать инструменты удалённого доступа. Оставить одно утверждённое решение, запретить несанкционированное использование RAT и системных утилит, внедрить мониторинг активности.

Отсутствие или неправильная настройка AV/EDR

По данным BI.ZONE DFIR, значительная часть компаний либо не использует централизованные средства защиты, либо настраивает их так, что реальная защита снижается: отключают поведенческий анализ, снижают уровень эвристики, увеличивают интервалы обновления сигнатур. В итоге система формально присутствует, но не способна выявлять современные угрозы.

Как повысить эффективность:

Обеспечить полное покрытие всех хостов (рабочие станции, серверы, виртуальные машины) AV‑ и EDR‑агентами.

Включить все ключевые механизмы обнаружения, настроить эвристику и поведенческий анализ в соответствии с актуальными угрозами.

Внедрить единую консоль управления вместо разрозненных систем.

Интегрировать средства защиты с SIEM‑системой и мониторить статус агентов, чтобы вовремя выявлять попытки отключения или модификации.

Развивать компетенции команды: регулярные тренинги, разбор инцидентов, командные учения и симуляции атак (в том числе с помощью BAS‑фреймворков).

Невыстроенные процессы: когда защита не работает системно

Отсутствие процессов управления уязвимостями и реагирования на инциденты - одна из самых опасных проблем. Уязвимости не закрываются вовремя, используются устаревшие и небезопасные протоколы (например, SMBv1), а при инциденте команды часто стремятся быстрее восстановить систему, не проведя полноценное расследование. Из‑за этого в системе могут остаться бэкдоры, и атаки повторяются.

Рекомендации:

Документировать процесс реагирования на инциденты с чётким распределением ролей и связью с планом аварийного восстановления.

Регулярно отрабатывать сценарии атак на практике (в том числе атаки шифровальщиков).

Выстроить управление уязвимостями: своевременное обновление ПО, отключение неиспользуемых протоколов, постоянный мониторинг конфигураций.

Реальные примеры: скорость и длительность атак

Практика показывает широкий диапазон тактик злоумышленников:

В одном случае путь от проникновения до запуска шифровальщика занял всего 12,5 минуты - причиной стала компрометация личного устройства администратора, не охваченного корпоративным мониторингом.

В другом случае злоумышленники оставались незамеченными в инфраструктуре 181 день, прежде чем нанести ущерб.

Эти примеры подчёркивают, что тактика атакующих зависит от цели, но противостоять им можно только комплексным подходом.

Вывод

Остановить развитие атаки после проникновения позволяет не отдельный инструмент, а целостная стратегия защиты. Сочетание архитектурной сегментации, строгого контроля привилегий, стандартизированных инструментов удалённого доступа, корректно настроенных AV/EDR‑решений и выстроенных процессов (управление уязвимостями, реагирование на инциденты) существенно ограничивает свободу действий злоумышленников. Регулярное обучение сотрудников и практические учения помогают превратить формальные меры в реально работающую защиту.