Большинство разрушительных атак с использованием шифровальщиков и программ уничтожения данных заканчиваются успехом по ряду причин: ошибки в проектировании сети, небезопасное хранение учётных данных, доступность резервных копий из основной инфраструктуры и возможность беспрепятственной разведки внутри сети. Атакующий, попав внутрь, без труда находит всё необходимое для финального удара.
По данным ежегодного отчёта F6 «Аналитика и прогнозы 2025–2026», количество атак шифровальщиков в 2025 году выросло на 15%, а каждый седьмой инцидент в среднем и крупном бизнесе завершился не выкупом, а уничтожением инфраструктуры — вдвое чаще, чем годом ранее. Рекордный запрошенный выкуп достиг 500 млн рублей. За этими цифрами стоят типовые архитектурные просчёты: открытые пути к резервным копиям, пароли в общем доступе, домен без сегментации.
Эксперты F6 и специалисты Пассворка проанализировали реальные инциденты и сформировали технические и архитектурные рекомендации на основе того, что фактически позволило атакующим достичь цели. Каждая рекомендация в этой статье закрывает конкретный вектор — тот, который в зафиксированных случаях оказался решающим.
Что на самом деле является критическим сегментом
Бизнес традиционно определяет критичность системы через операционный ущерб от её недоступности. Информационная безопасность — через последствия компрометации. Это принципиально разные критерии, и путаница между ними дорого обходится при проектировании защиты.
Критический сегмент ИТ-инфраструктуры с позиции информационной безопасности — это совокупность систем, компрометация которых делает невозможным восстановление после инцидента или открывает атакующему полный контроль над организацией. Конкретный состав зависит от инфраструктуры, но в большинстве организаций в него входят:
- Средства защиты информации — межсетевые экраны, системы обнаружения и предотвращения вторжений, анализа сетевого трафика, консоли управления endpoint-защитой, SIEM-системы.
- Хранилища секретов и аутентификационных данных — корпоративные менеджеры паролей, системы управления привилегированным доступом (PAM), центры сертификации, системы многофакторной аутентификации (MFA).
- Системы резервного копирования — серверы резервных копий, хранилища снимков виртуальных машин, офлайн-архивы.
- Инфраструктура виртуализации — гипервизоры, на которых размещены системы критического сегмента, и их интерфейсы управления.
Эти компоненты определяют способность организации восстановиться после разрушительного инцидента, и именно они становятся приоритетными целями атакующих.
Архитектурные принципы защиты
Рекомендации в статье охватывают каждый уровень: от сетевой архитектуры до конфигурации отдельных сервисов. Все они строятся на нескольких архитектурных принципах — без них технические меры не работают как система.
- Физическая и логическая изоляция. Системы критического сегмента не должны входить в домен Active Directory (AD). Это исключает целый класс атак на доменные службы.
- Выделенная административная станция. Управление критическими системами осуществляется только с отдельной рабочей станции, не входящей в домен и не используемой в повседневной работе.
- Отсутствие учётных данных в операционной инфраструктуре. Аутентификационные данные от систем критического сегмента не хранятся и не передаются через основную доменную инфраструктуру.
Эти три принципа взаимосвязаны: изоляция теряет смысл, если администратор заходит на защищённый сервер с рабочей станции из домена. Выделенная станция бесполезна, если учётные данные от нее хранятся на системах доменной инфраструктуры.
Почему защиты периметра недостаточно
Передовые средства обнаружения и реагирования — необходимое условие, но не достаточное. Чтобы эффективно противодействовать угрозам, попавшим внутрь сети, необходимо придерживаться принципов безопасного проектирования инфраструктуры.
Типичная цепочка продвижения атакующего внутри сети выглядит так:
- Первоначальный доступ — через фишинг, уязвимость на периметре или, например, скомпрометированного подрядчика.
- Разведка внутри сети — поиск критически важных сервисов компании, таких как контроллеры доменов, сервера приложений и баз данных, файловых хранилищ, систем резервного копирования, хранилищ паролей и иной конфиденциальной информации.
- Повышение привилегий и компрометация аутентификационных данных — извлечение учётных данных из памяти систем, браузеров и т.п.
- Горизонтальное перемещение — с использованием легитимных сетевых протоколов и украденных учётных данных, а также с помощью техник атак на доменную инфраструктуру.
- Компрометация критических систем — получение доступа к контроллерам доменов, серверам автоматизации, гипервизорам, серверам резервного копирования, хранилищам секретов и т.п.
- Деструктивное воздействие — шифрование или уничтожение данных, включая резервные копии.
Цель харденинга критического сегмента — сделать продвижение атакующего максимально дорогостоящим по времени и ресурсам: он должен тратить на каждый следующий шаг больше времени, чем службе безопасности нужно для его обнаружения.
Рекомендации по безопасной конфигурации ИТ-инфрастуктуры критического сегмента
Рекомендации сгруппированы по направлениям. Каждая мера закрывает конкретный вектор атаки на основе техник, которые применялись в зафиксированных инцидентах.
Изоляция от доменной инфраструктуры
Сервер, входящий в домен AD, автоматически наследует всю его поверхность атаки. Скомпрометировав любой доменный хост, злоумышленник получает инструменты для продвижения к остальным через общие механизмы аутентификации и централизованного управления. Вывод критических систем за пределы домена разрывает эту цепочку на архитектурном уровне: даже при полной компрометации домена критический сегмент остаётся недосягаемым.
Рекомендация
Не размещайте сервисы управления средствами защиты информации (СЗИ), резервным копированием, хранилища секретов и аутентификационных данных (корпоративные менеджеры паролей, системы аутентификации) и их базы данных на серверах, входящих в домен Active Directory.
| Что сделать | Как реализовать |
|---|---|
| Вывести хосты критического сегмента из домена AD | Развернуть сервисы на выделенных серверах вне доменной инфраструктуры |
| Выделить административную рабочую станцию | Отдельная станция, не входящая в домен, не используемая в повседневной работе |
| Настроить станцию по принципу минимальных привилегий | Без лишних сервисов, без удалённого управления извне |
| Управлять критическими системами только с этой станции | Запретить администрирование с систем доменной инфраструктуры |
Почему это работает
В случаях, когда злоумышленнику удалось полностью скомпрометировать домен AD, но не найти в ней аутентификационные данные от критических систем, каждый следующий шаг атаки потребует проведения отдельного взлома систем изолированного контура.
Управление учётными данными
Повторное использование злоумышленниками паролей между сегментами — один из самых распространённых способов горизонтального перемещения. Если учётные данные от критических систем хранятся в основной инфраструктуре, компрометация домена автоматически означает компрометацию критического сегмента.
Рекомендация
Не используйте и не храните в доменной инфраструктуре аутентификационные данные для подключения к хостам критического сегмента и привилегированным учётным записям сервисов, размещённых на этих хостах. Используйте пароли, отличные от применяемых в остальных сегментах.
| Что сделать | Как реализовать |
|---|---|
| Исключить хранение паролей критического сегмента в доменной инфраструктуре | Не сохранять в AD, групповых политиках, скриптах автоматизации, общих сетевых ресурсах |
| Использовать уникальные пароли для каждого хоста и сервиса критического сегмента | Генерировать отдельно, хранить изолированно от основного хранилища |
| Применять строгую парольную политику | Длина, сложность, срок действия — отдельные требования для критического сегмента |
Почему это работает
Если учётных данных от критических систем нет в домене — компрометация домена не даёт атакующему точки опоры для следующего шага. Дамп учётных данных из доменной инфраструктуры окажется бесполезным: войти в критические системы с его помощью не получится.
Сетевая изоляция и протоколы
Устаревшие протоколы и избыточное количество открытых сетевых портов — дополнительные возможности для атакующего. Чем меньше пул доступных портов и протоколову систем критического сегмента, тем меньше поверхность атаки на данные системы и тем проще эти системы контролировать.
Рекомендация
Отключите устаревшие сетевые протоколы и алгоритмы шифрования. Минимизируйте количество открытых портов. Ограничьте взаимодействие с публичными сетями.
| Что сделать | Как реализовать |
|---|---|
| Отключить устаревшие протоколы | Принудительно запретить старые версии сетевых протоколов и слабые алгоритмы шифрования — оставить только актуальные и стойкие |
| Запретить режимы обратной совместимости | Использовать строгие политики согласования протоколов без возможности отката к устаревшим версиям. |
| Открыть только необходимые порты | Закрыть всё, кроме портов размещённых сервисов |
| Определить единый протокол удалённого управления | Например, RDP — один утверждённый канал, остальное закрыто |
| Ограничить исходящий трафик в публичные сети | Разрешить только адреса серверов обновлений ОС и сервисов |
Почему это работает
Закрытые порты и запрет устаревших протоколов устраняют downgrade-атаки и сокращают возможности нелегитимного взаимодействия с системами, уменьшая поверхность атаки на них. Ограничение исходящего трафика блокирует установку C2-каналов (command-and-control) и эксфильтрацию данных, даже если злоумышленник уже получил доступ к хосту.
Принцип минимальных привилегий
Сервисные учётные записи с избыточными правами превращают компрометацию одного сервиса в плацдарм для атаки на всю сеть. Ограничение привилегий позволяет существенно ограничить возможности атакующего при компрометации той или иной системы.
Рекомендация
При разграничении прав доступа руководствуйтесь принципом минимально необходимых привилегий для сервисных учётных записей. Учётные записи сервисов не должны быть привилегированными и не должны иметь доступа к другим ресурсам локальной сети.
| Что сделать | Как реализовать |
|---|---|
| Создать отдельные непривилегированные учётные записи для каждого сервиса | Без прав локального администратора, без доступа к сетевым ресурсам |
| Ограничить область действия учётной записи одним сервисом | Учётная запись сервиса A не должна иметь доступа к сервису B |
| Регулярно проводить ревизию прав | Убрать избыточные права, выданные учетной записи по той или иной причине |
Почему это работает
Компрометация сервиса с минимальными привилегиями создает значительные трудности злоумышленнику, сокращая спектр доступных ему действий, что увеличивает время развития атаки и дает шансы на обнаружение нелегитимной активности с минимальным ущербом.
Аутентификация: блокировка и MFA
Брутфорс, подстановка скомпрометированных учётных данных из утечек (credential stuffing), целенаправленные атаки на конкретные учётные записи — базовые техники, которые применяются против любых доступных интерфейсов аутентификации. Блокировка учётных записей и многофакторная аутентификация (MFA) создают барьеры, которые делают эти атаки нерентабельными.
Рекомендация
Настройте блокировку учётных записей после нескольких неудачных попыток входа. Внедрите MFA для доступа ко всем системам критического сегмента и размещённым на них сервисам.
| Что сделать | Как реализовать |
|---|---|
| Установить порог блокировки учётной записи | Определить допустимое количество неудачных попыток, после которого учётная запись блокируется |
| Настроить алерты на превышение порога | Передавать события блокировки в SIEM для оперативного реагирования |
| Внедрить многофакторную аутентификацию | Одноразовые коды (TOTP), аппаратные токены или криптографические ключи — коммерческие и открытые решения для ОС и сервисов критического сегмента |
| Усилить защиту протоколов удалённого управления | Там, где отключить удалённый доступ невозможно, многофакторная аутентификация — обязательный дополнительный барьер |
Почему это работает
Блокировка учётных записей останавливает перебор и создаёт детектируемый сигнал. MFA делает скомпрометированный пароль недостаточным для входа — злоумышленнику нужен второй фактор, которого у него нет.
Шифрование дисков
Физический доступ к серверу или кража файлов виртуальных машин — реальные векторы атаки, особенно в средах с виртуализацией. Шифрование дисков защищает данные даже при полной потере контроля над носителем.
Рекомендация
Зашифруйте диски всех систем критического сегмента. Обеспечьте надёжное хранение ключевой информации.
| Что сделать | Как реализовать |
|---|---|
| Включить полнодисковое шифрование | BitLocker (Windows), LUKS (Linux) или сертифицированные аналоги |
| Организовать безопасное хранение ключей | Ключи не должны храниться на том же хосте или в основной инфраструктуре |
Почему это работает
Зашифрованный диск, извлечённый из сервера или скопированный как файл ВМ, бесполезен без ключа. Это закрывает вектор физического доступа и кражи носителей.
Виртуализация: обособленный гипервизор
Виртуализация создаёт неочевидный риск: даже зашифрованные диски гостевой ОС уязвимы, если злоумышленник получает доступ к гипервизору. С уровня гипервизора можно выгрузить файлы ВМ целиком — включая дамп оперативной памяти, где в момент работы находятся ключи расшифровки.
Рекомендация
Если системы критического сегмента развёрнуты в виртуальной среде, выделите под них обособленный гипервизор, администрируемый исключительно с выделенной рабочей станции, не входящей в домен.
| Что сделать | Как реализовать |
|---|---|
| Выделить отдельный физический хост под гипервизор критического сегмента | Не размещать критические ВМ на общем гипервизоре с операционной инфраструктурой |
| Изолировать гипервизор от общей сети управления | Отдельный интерфейс управления, доступный только с выделенной административной станции |
| Администрировать гипервизор только с выделенной станции | Та же станция, что используется для управления критическим сегментом |
| Ограничить возможность снятия снапшотов и экспорта ВМ | Только для авторизованных административных операций |
Почему это работает
Компрометация общего гипервизора даёт атакующему доступ ко всем ВМ на нём — включая дампы памяти с ключами шифрования. Обособленный гипервизор разрывает эту цепочку: чтобы добраться до критических ВМ, нужно отдельно взломать изолированный контур управления.
Обновления и встроенные механизмы безопасности
Уязвимости в ПО — постоянный источник точек входа и повышения привилегий. Критический сегмент должен быть в приоритете процесса управления обновлениями, а не исключением из него.
Рекомендация
Регулярно обновляйте операционные системы и компоненты сервисов критического сегмента. Включите все встроенные механизмы безопасности, реализованные в размещённых сервисах.
| Что сделать | Как реализовать |
|---|---|
| Включить критический сегмент в процесс управления обновлениями | Регулярная установка патчей ОС и компонентов сервисов |
| Активировать встроенное шифрование данных в сервисах | Шифрование на уровне приложения, если поддерживается |
| Включить MFA в самих сервисах | Не только на уровне ОС, но и в интерфейсах приложений |
| Отключить неиспользуемые функции и компоненты сервисов | Уменьшить поверхность атаки на уровне приложения |
Почему это работает
Известные уязвимости без патчей — самый дешёвый способ получить доступ к системе. Встроенные механизмы безопасности сервисов создают дополнительный слой защиты, независимый от конфигурации ОС.
Мониторинг и SIEM
Без видимости в критическом сегменте любая аномальная активность останется незамеченной до момента, когда реагировать уже поздно. Централизованный сбор событий — обязательный элемент архитектуры.
Рекомендация
Настройте централизованный сбор и анализ событий безопасности критического сегмента в SIEM-системе.
| Что контролировать | Какие события собирать |
|---|---|
| Уровень ОС | Успешные и неудачные входы в систему, создание задач и служб, запуск процессов, изменения конфигурации, подключения по сети |
| Уровень сервисов | Входы в приложение, подключения к базам данных, операции создания / изменения / удаления объектов, изменения прав доступа |
| Уровень сети | Попытки подключения к закрытым портам, исходящие соединения за пределы разрешённых адресов, аномальные объёмы трафика |
Почему это работает
Злоумышленник, действующий в критическом сегменте, неизбежно оставляет следы. Централизованный мониторинг сокращает время обнаружения и даёт защитникам возможность среагировать до того, как атака достигла цели.
Защита критически важных устройств ИТ-инфраструктуры
Харденинг как стратегия сдерживания
Реальная цель харденинга — сделать атаку настолько дорогой по времени и ресурсам, чтобы злоумышленник был обнаружен раньше, чем достигнет критических систем.
Комплексная реализация описанных мер создаёт именно такие условия: каждый следующий шаг атакующего требует больше усилий, оставляет больше следов и даёт команде реагирования больше времени на обнаружение и локализацию угрозы.
Практический первый шаг — провести инвентаризацию: какие системы сейчас входят в домен, где хранятся учётные данные от критических сервисов и есть ли у резервных копий сетевая доступность из основной инфраструктуры. Ответы на эти три вопроса покажут, с чего начинать.
Часто задаваемые вопросы
Что такое харденинг ИТ-инфраструктуры?
Харденинг — это процесс целенаправленного снижения поверхности атаки на компоненты ИТ-инфраструктуры: отключение неиспользуемых протоколов и сервисов, ограничение привилегий, настройка аутентификации и шифрования. Цель: сделать каждый компонент максимально устойчивым к компрометации, даже если периметр уже преодолён.
Какие системы являются критически важным сегментом инфраструктуры?
Критический сегмент — это системы, компрометация которых делает невозможным восстановление после инцидента или открывает атакующему полный контроль над организацией. В большинстве инфраструктур это средства защиты информации, хранилища секретов и аутентификационных данных, системы резервного копирования и инфраструктура виртуализации.
Что защищать в критическом сегменте?
Приоритет определяется ролью системы в финальной фазе атаки: резервные копии уничтожают, чтобы лишить организацию возможности восстановиться, хранилища секретов — чтобы эскалировать привилегии, гипервизоры дают доступ ко всем гостевым ВМ разом, средства защиты отключают, чтобы действовать незаметно. Active Directory — не часть критического сегмента, а инфраструктура, от которой он должен быть изолирован.
Как настроить харденинг критического сегмента без простоя?
Большинство мер применяются поэтапно и не требуют остановки сервисов. Начинать стоит с инвентаризации и изменений, не затрагивающих работу сервисов: аудит прав, отключение неиспользуемых протоколов, настройка мониторинга. Вывод систем из домена и перенастройка аутентификации требуют планового технологического окна, но не экстренного простоя.
Нужно ли выводить критические системы из домена Active Directory?
Да. Сервер в домене AD наследует всю его поверхность атаки. При полной компрометации домена злоумышленник получает инструменты для продвижения к любому доменному хосту через общие механизмы аутентификации. Вывод критических систем за пределы домена разрывает эту цепочку на архитектурном уровне.
Как проверить настройки перед внедрением в рабочую среду?
Изменения конфигурации критического сегмента стоит проверять на тестовом стенде, воспроизводящем целевую среду. Для оценки защищённости используют сканеры конфигураций, ручной аудит прав и сетевых правил, а также контролируемые тесты на проникновение с фиксацией результатов до и после изменений.
Какие ошибки чаще всего допускают при харденинге инфраструктуры?
Наиболее распространённые: размещение критических систем в домене AD, хранение привилегированных учётных данных в доменной инфраструктуре (включая персональные парольные менеджеры, используемые на доменных хостах системных администраторов), сетевая доступность резервных копий из основного сегмента, отсутствие MFA на административных интерфейсах и использование одних и тех же паролей в разных сегментах. Каждая из этих ошибок встречается в реальных инцидентах и напрямую влияет на то, достигает ли атакующий финальной цели.
Илья Шелыгин
Илья Шелыгин
Анастасия Лебедева