42% российских компаний обладают критически низким уровнем защищенности от кибератак. Атака на такую компанию может парализовать ее деятельность на длительный срок, привести к финансовым и репутационным потерям, а также к утечке данных. Многие организации восстанавливают работоспособность систем после инцидентов, но не проводят полноценный анализ первопричин атаки. Это повышает риск повторных компрометаций и усугубляет финансовые последствия.
В материале для «Компьютерры» Семен Рогачев, руководитель отдела реагирования на инциденты «Бастиона», рассказал, как выстроить процесс расследования киберинцидентов: на какие шаги обратить внимание, какие данные важно собирать и когда стоит привлекать внешних экспертов.
Из чего состоит подход к безопасности
Мониторинг угроз — важный элемент обеспечения информационной безопасности. Он позволяет своевременно выявлять подозрительную активность и обнаруживать попытки вмешательства злоумышленников в ИТ-инфраструктуру.
Чтобы минимизировать последствия компрометации, если она все-таки произошла, и понять, как именно развивалась атака, специалисты переходят к этапам реагирования и расследования.
Заказчики часто путают эти два процесса, хотя на практике между ними есть существенные различия. Реагирование ориентировано на оперативное ограничение ущерба: изоляцию пораженных систем, сокращение каналов распространения и восстановление работоспособности инфраструктуры. Расследование же начинается после стабилизации ситуации и направлено на восстановление хронологии событий, выяснение причин инцидента и оценку его последствий.
Как работает расследование
Расследование — это системная работа, основанная на технической экспертизе специалиста и его «насмотренности» на актуальные атаки и действия злоумышленников.
После сбора необходимых данных специалисты по расследованию сопоставляют полученные фрагменты, соотносят их с разведданными, полученными при анализе инцидента, и ищут закономерности в поведении злоумышленников.
Особое внимание уделяют цифровым артефактам: временные метки, списки запущенных процессов, сетевые соединения и следы выполнения команд.
Ключевое значение имеют сведения о запуске приложений и процессов (так называемые Evidence of Execution). Именно они дают наиболее ценную информацию о конкретных действиях атакующего на скомпрометированном устройстве (использованные инструменты, режим их работы и способы запуска и т. д.).
Помимо этого, специалисты анализируют журналы аутентификации и доступа, чтобы восстановить цепочку продвижения атакующего по инфраструктуре.
На основании этой работы формируется отчет: хронология действий злоумышленников, оценка ущерба и практические рекомендации по снижению рисков. Бизнес использует этот отчет для приоритизации инвестиций в защиту, корректировки процессов и планирования ответных мер.
Почему важно разбираться в мотивах атак
Понимание мотивации атакующих напрямую влияет на выбор стратегии реагирования. В 2025 году число кибератак в России выросло на 25% по сравнению с прошлым годом. Некоторые инциденты носят финансовый характер — их целью является не дестабилизация работы, а извлечение прибыли.
Злоумышленники комбинируют техники, чтобы усилить давление на жертву:
- двойное вымогательство (double extortion) — сначала данные шифруют и требуют выкуп за расшифровку, затем под угрозой публикации или продажи украденной информации добиваются дополнительных уступок;
- тройное вымогательство (triple extortion) — к шантажу добавляют атаки на партнеров и клиентов, раскрытие украденных данных или DDoS-удары по публичным сервисам, чтобы парализовать бизнес-процессы компании.
Ошибки бизнеса, которые ведут к атакам
На первый взгляд может показаться, что кибератаки — результат высокого уровня подготовки злоумышленников. Однако при подробном разборе инцидентов становится очевидно, что они происходят в том числе из-за ошибок и недочетов со стороны самих компаний:
- Отсутствие базовой инвентаризации ИТ-ресурсов. Без точной карты систем нельзя понять, где находятся критичные компоненты и через какие точки злоумышленники могут получить доступ. Например, в одном кейсе администратор был уверен, что Linux- и Windows-сегменты изолированы, но открытый доступ между ними позволил атакующим свободно перемещаться и запустить программу-вымогатель.
- Иллюзия защищенности. Руководство склонно переоценивать текущие меры защиты и откладывать проверки и обновления. Так, в компании в течение нескольких лет использовалась одна и та же уязвимость. После первого инцидента восстановили работу, но не устранили причину, что привело к повторной компрометации и в итоге к полной остановке бизнеса.
- Поздняя реакция и удаление артефактов инцидента. Иногда клиенты сами стирают ценные данные, не понимая их важности для расследования инцидента. В других случаях системные журналы не сохраняются или перезаписываются. Эти ошибки затрудняют восстановление полной картины атаки.
Зачем зовут внешних экспертов
В небольших компаниях из-за ограниченного бюджета расследование кибератак поручают внутренним ИБ-специалистам. При этом даже при наличии ИБ-отдела в штате зачастую нет человека, который бы отвечал за разбор конкретных инцидентов. В таких условиях базовые задачи могут выполнять универсальные ИТ-специалисты. Из-за недостатка узконаправленных навыков и опыта возрастает риск неполного анализа: злоумышленник может остаться в информационной среде незамеченным.
Отдельная проблема — позднее обращение к внешним специалистам по ИБ. Чем больше времени проходит после инцидента, тем меньше шансов остается на полноценный анализ. Особенно это касается Linux-систем с настройками логирования по умолчанию, где журналы событий регулярно «затираются».
Если компания планирует привлекать стороннюю команду, важно заблаговременно обеспечить минимально необходимую подготовку: актуальную карту сети, описание потенциальных точек удаленного доступа, изоляцию скомпрометированных машин и приостановку виртуальных сред — все это поможет внешним специалистам.
Точного момента, когда нужно нанимать экспертов по киберрасследованиям, не существует. Однако есть общее правило: чем раньше, тем лучше. Несвоевременное обращение может привести к тому, что угроза останется незамеченной на годы.
Например, на практике был случай, когда при анализе инцидента и проведении полноценной проверки безопасности выявили присутствие злоумышленника шестилетней давности.
Для того, чтобы защититься от атак:
- Поддерживайте сегментацию сети, принципы наименьших привилегий и строгий контроль доступа. Документируйте ключевые сервисы и точки интеграции.
- Ведите учет всех ИТ-ресурсов и точек удаленного доступа. Это ускорит локализацию и минимизирует «слепые зоны».
- При обнаружении аномалии фиксируйте и сохраняйте цифровые следы — логи, дампы памяти, списки процессов и сетевых подключений. Эти материалы критичны для качественного расследования.
- Если в штате нет необходимых специалистов или инструментов, не затягивайте с обращением к внешней команде. Правильная подготовка и быстрые действия повышают вероятность полного анализа и снижают долгосрочные потери.