Угрозы в сфере информационной безопасности

Рост гибридных облаков и распределённых ИТ-систем повышает уровень угроз в сфере информационной безопасности. Усложнение архитектуры делает критичными ошибки конфигурации, а удалённая работа усиливает риски компрометации через фишинг. Бизнесу необходим точный анализ угроз для выявления слабых мест и предотвращения инцидентов.

Что считается угрозой информационной безопасности

Угроза информационной безопасности — это любое событие или действие, которое может привести к утечке данных, их изменению или нарушению работы системы.

В современных стандартах ИБ это всегда связано с воздействием на информацию, процессы и инфраструктуру. Угроза безопасности существует, когда появляется возможность причинить конкретный ущерб: открыть доступ к данным, изменить их или нарушить доступность сервиса.

Отличия угрозы от риска

Угроза показывает, ЧТО может произойти. Риск отражает вероятность события и тяжесть последствий для бизнеса:

• Угроза — потенциальная опасность, например, вирус.
• Риск — оценка вероятности проникновения и нанесения ущерба.

Угроза — это то, что может случиться в принципе. Риск появляется только тогда, когда есть понимание, насколько велика вероятность и какие будут потери. Об управлении рисками информационной безопасности читайте в блоге.

Это разделение помогает не паниковать из-за каждого сценария, а заниматься теми угрозами, которые реально могут ударить по бизнесу.

Как угрозы воздействуют на конфиденциальность, целостность и доступность

Любая угроза информационной безопасности направлена на один или несколько базовых принципов триады CIA:

• конфиденциальность, когда появляются условия для раскрытия или хищения данных
• целостность, когда данные или процессы меняются неавторизованным образом
• доступность, когда сервис перестаёт работать или сталкивается с препятствиями, мешающими нормальной работе

Угроза редко затрагивает только один аспект: шифровальщик одновременно влияет на целостность и доступность, а фишинговая атака может привести к утечке данных и проникновению внутрь сети. Понимая это, вы сможете точнее оценивать последствия инцидентов и выстраивать защиту вокруг ключевых активов.

Подробнее о базовых принципах защиты информации.

Классификация показывает, откуда может прийти опасность и какие сценарии требуют внимания в первую очередь. Это нужно, чтобы увидеть общую картину, выделить слабые места и выбрать меры защиты.

Внутренние и внешние источники

Внутренние источники — это люди и процессы внутри организации. Персонал, подрядчики, администраторы с расширенными правами, ошибки конфигураций, неактуальные политики доступа. В распределённых командах и при работе из дома такие угрозы встречаются чаще, потому что контроль ослаблен, а инфраструктура шире.

Внешние источники угроз — это атакующие, криминальные группы, конкуренты, случайные нарушители, а также события, происходящие за пределами периметра. Они подбирают уязвимости в публичных сервисах, используют фишинг, сканируют инфраструктуру и ищут точку входа.

На первый взгляд граница между внутренними и внешними угрозами информационной безопасности очевидна, но в реальности внешняя атака часто использует внутренние ошибки.

Внутренние угрозы требуют регламентов и контроля доступа, внешние — технологий обнаружения и защиты периметра.

Естественные, техногенные и человеческие источники угроз

Естественные и техногенные причины — пожар, затопление, перебои в электропитании, сбои оборудования. Эти инциденты не относятся к кибератакам, но приводят к тем же последствиям: остановке сервисов, повреждению данных, утрате оборудования.

Человеческие причины включают умышленные действия злоумышленников и неумышленные ошибки сотрудников. В эту группу входят фишинг, неверные настройки, опечатки администратора, нарушение регламентов. Человеческий фактор остаётся главным триггером угроз даже в хорошо защищённых системах.

Если угрозы безопасности от естественных и техногенных причин устраняются через техническое усиление: резервирование и отказоустойчивость, то человеческий фактор требует организационных мер: формирования дисциплины, постоянного обучения и строгого следования политикам безопасности.

Пассивные и активные воздействия

Пассивные воздействия направлены на получение информации без вмешательства в работу системы. Это перехват трафика, скрытый сбор данных, наблюдение за действиями сотрудников. Пассивная угроза долго остаётся незамеченной, она готовит почву для активной фазы атаки.

Активные воздействия меняют состояние системы: нарушают работу, внедряют код, блокируют ресурсы, удаляют или искажают данные. К ним относятся DDoS, шифровальщики, эксплуатация уязвимостей, внедрение бэкдоров

Пассивные угрозы требуют контроля трафика и обнаружения аномалий, активные — механизмов предотвращения атак и быстрого реагирования.

Угрозы ИБ по объектам воздействия

Угрозы информационной безопасности разделяются в зависимости от объекта, на который нацелены:

• данные — кража, копирование, изменение, утечка
• ПО — эксплуатация уязвимостей, внедрение вредоносного кода, подмена компонентов
• инфраструктура — атаки на серверы, сетевое оборудование, виртуальные среды, облака

В реальных инцидентах угрозы редко ограничиваются одним объектом. Уязвимость в ПО приводит к доступу к данным, а атака на инфраструктуру вызывает остановку сервисов. Классификация по объекту помогает определить критичные активы и спрогнозировать последствия. О критически важных объектах и их защите.

Особенности классификации угроз ИБ в российской нормативной базе

С точки зрения государственного регулирования, фундамент определения угроз заложен в Доктрине информационной безопасности РФ и Стратегии развития ИИ. Особое внимание уделяется рискам, связанным с искусственным интеллектом: от нарушения конфиденциальности данных до замедления технологического суверенитета.

Роскомнадзор структурировал эти вызовы в Пирамиде угроз, которая охватывает уровни от технической инфраструктуры сетей до манипуляции общественным сознанием через контент. Свою классификацию угроз информационной безопасности и способы противодействия РКН опубликовал совместно с Главным радиочастотным центром.

Практическую основу для защиты предоставляет ФСТЭК России. В их Банке данных угроз выделено 11 ключевых типов (включая утечки, несанкционированный доступ, DoS-атаки) и описано более 73 тысяч уязвимостей.

Разработана Базовая модель угроз безопасности персональных данных. Это методическое пособие для операторов ПДн. Она помогает классифицировать риски, возникающие как из-за внешних атак, так и вследствие ошибок персонала.

Методика ФСТЭК определяет, какие угрозы считаются актуальными для ИСПДн.

Она используется для анализа безопасности ПДн и выбора мер защиты в любой автоматизированной системе, где они обрабатываются. Разработана в соответствии с №152-ФЗ и ПП № 781, опирается на действующие документы ФСТЭК по защите информации. Применяется для всех типов ИСПДн, кроме личных нужд.

Предназначена для гос- и муниципальных ИСПДн, корпоративных систем в организациях любой формы собственности и ИСПДн физических лиц, если они используются не для личных целей.

Субъекты КИИ обязаны взаимодействовать с НКЦКИ ФСБ России. Это центральный координатор по киберинцидентам. Платформа взаимодействия — ГосСОПКА — объединяет средства мониторинга, центры реагирования и каналы обмена информацией между государством и организациями. НКЦКИ выпустил обязательные для учёта рекомендации по угрозам.

В 2022 году Центр опубликовал Обобщённые рекомендации по минимизации угроз информационной безопасности, адресованный российским компаниям. Рекомендации детализируют требования к защите наиболее уязвимых областей: парольных политик, веб-приложений, доменных имён и других информационных ресурсов, имеющих выход в сеть.

Сама по себе угроза существует всегда, но именно факторы решают простоту ее реализации и серьезность последствий.

Ошибки пользователей и слабые регламенты

Пользователи становятся точкой входа для атак, если не знают базовых правил информационной безопасности или игнорируют их. Это переходы по фишинговым ссылкам, использование простых паролей, передача доступов коллегам, работа с корпоративными данными на личных устройствах. В нашем блоге инструкция по кибергигиене.

Слабые регламенты усиливают риск, если политики доступа не обновляются, ответственные не назначены, а обучение формально. В такой среде одна ошибка приводит к компрометации аккаунта, а та уже тянет за собой утечку или проникновение в сеть.

Архитектурные уязвимости и проблемы конфигурации

Гибридные облака, локальные дата-центры, филиалы, VPN, удалённые рабочие места — всё это усложняет архитектуру. Ошибка в конфигурации часто опаснее уязвимости в ПО. Открытый RDP, публичная база данных, неверная сегментация сети, устаревшие сервисы, слабые политики доступа — каждая из таких точек превращает инфраструктуру в мишень.

Администраторы не всегда видят полную картину, если архитектура сложная. И тогда один открытый порт или тестовый сервис дают злоумышленнику возможность закрепиться. Регулярный аудит и автоматические проверки конфигураций помогут выявить эти ошибки до атаки. Посмотрите кейс по настройке Eltex и UserGate в реальной инфраструктуре

Технические сбои и отсутствие резервирования

Риск выхода из строя технической среды сопоставим по частоте и последствиям с риском целенаправленной кибератаки. Перебои электропитания, выход из строя дисков, сбои контроллеров, перегрев, проблемы с виртуализацией — любой из этих инцидентов бьёт по доступности сервисов.

Чтобы не было простоя, потерь данных или повреждения систем, в арсенале компании должны быть резервное оборудование, запасные каналы связи, аварийные схемы питания или корректно настроенный бэкап. Ситуации сбоев будут кратковременными инцидентами, а не катастрофой, если  резервирование и тестирование планов восстановления — это части непрерывного процесса безопасности, которые регулярно проверяются.

Как выстроить реагирование на инциденты, читайте в нашем блоге

Недоработки процессов и недостаток контроля

Процессы безопасности часто страдают от формальности:

1. Политики существуют, но сотрудники их не читают.
2. Регламенты не проверяют.
3. Доступы выдают разово, но не пересматривают.
4. Обновления планируют, но откладывают на потом.
5. Уязвимость не закрыта, потому что никто не отслеживает сроки.
6. Инцидент не замечают, потому что журналирование настроено частично.
7. Ошибка администратора приводит к сбою, потому что ревью изменений отсутствует.

Это только малая часть реальных ситуаций. Такой фон — идеальные условия для угроз.

Как проверка процессов и регламентов ИБ помогает предотвратить инциденты

Примерный сценарий атаки «компрометация через удалёнку»:

1. Сотрудник переходит по фишинговой ссылке и вводит корпоративный пароль.
2. Атакующий получает доступ к почте и собирает контекст (контакты, задачи, документы).
3. Через push-бомбинг или SIM-swap злоумышленник перехватывает MFA.
4. Доступ к VPN открывает путь к внутренней сети.
5. Идёт эксплуатация слабых точек: устаревшие сервисы, неверная сегментация, открытые порты.
6. Закрепление в сети и далее — вынос данных или запуск шифровальщика.

Этот сценарий характерен для компаний с удалёнными командами и распределённой инфраструктурой.

Устойчивость системы повышают настроенные процессы и регулярный контроль. Компания, которая держит инфраструктуру в актуальном состоянии, быстрее замечает уязвимости.  Это серьезно снижает риск того, что мелкая ошибка перерастёт в серьёзный инцидент.

Основные угрозы информации

Основные угрозы формируют набор сценариев, которые чаще всего приводят к инцидентам. Они различаются по технике, цели и последствиям, однако каждая из них затрагивает ключевые процессы компании: работу сервисов, конфиденциальность данных, финансовую устойчивость и репутацию. Перечислим категории угроз, наиболее значимых для российских организаций.

Вредоносное ПО и шифровальщики

Одна из самых распространённых угроз. Шифровальщики блокируют доступ к данным и инфраструктуре, нарушают работу сервисов и требуют выкуп. Инциденты наносят серьёзный удар по доступности и целостности информации.

Помимо шифровальщиков, угрозу создают трояны, шпионские модули, бэкдоры и программы удалённого управления. Они собирают данные, открывают скрытый доступ или используются для дальнейшего проникновения в сеть.

APT и сложные целевые атаки

Продвинутые устойчивые угрозы (APT) нацелены на конкретную организацию, преследуют долгосрочные цели. Атакующие действуют скрытно, изучают инфраструктуру, получают привилегии, закрепляются на нескольких узлах и долго сохраняют присутствие.

Атаки приводят к хищению коммерческой информации, компрометации цепочек поставок, нарушению критичных процессов. Бизнес сталкивается с долгим расследованием, восстановлением доверия к инфраструктуре и риском повторных вторжений.

Zero-Day эксплойты

Zero-Day эксплойты используют уязвимости, о которых производитель и сообщество ещё не знают. Защита от таких атак сложнее, потому что отсутствуют патчи и сигнатуры. Злоумышленники получают возможность проникнуть в систему незаметно, используя стандартные протоколы и легитимные процессы.

На бизнесе это отражается через скрытую компрометацию, дальнейшее распространение в инфраструктуре и закладку долговременных механизмов доступа. Такие атаки часто становятся частью сложных целевых операций.

Социальная инженерия и фишинг

Фишинговые письма, поддельные страницы авторизации, звонки от «службы безопасности» и другие приёмы социальной инженерии направлены на получение учётных данных или прямой доступ к важным системам.

Эта угрозa опасна тем, что обходит технические меры и воздействует на сотрудников. Ошибочное действие пользователя приводит к компрометации корпоративной почты, хранилищ данных, VPN-доступов и облачных сервисов.

Для бизнеса последствия включают утечки, финансовые потери, подмену информации и использование легитимных аккаунтов в дальнейших атаках.

Нарушение доступности и DDoS

Атаки на доступность направлены на вывод сервисов из строя. DDoS-потоки перегружают сетевую инфраструктуру, нарушают работу веб-ресурсов, API и внутренних систем.

Помимо кибератак, в эту группу входят ошибки конфигурации, сбои оборудования и проблемы с облачными ресурсами. Нарушение доступности влияет на все процессы, которые зависят от ИТ: онлайн-сервисы перестают работать, пользователи не могут авторизоваться, филиалы теряют связь с центром.

Для бизнеса это прямые финансовые потери, снижение доверия клиентов и операционные задержки.

Почему мониторинг сетевого трафика — это основа для раннего обнаружения угроз

Утечки данных и риски для ПДн

Утечки связаны с неправомерным доступом или копированием информации. Причиной становятся фишинг, слабые пароли, уязвимые сервисы хранения, ошибки конфигурации, отсутствие сегментации и нарушение регламентов работы с данными.

Особая категория — персональные данные. Их раскрытие приводит к претензиям со стороны регуляторов, штрафам, уведомлению пострадавших, потере репутации и дополнительным затратам на расследование. Подробно о защите персональных данных

Для компаний утечки становятся одним из самых болезненных видов инцидентов из-за сложности восстановления доверия, крупных штрафов и необходимости пересмотра политики обращения с данными.

Критичные ошибки конфигураций, которые чаще всего приводят к инцидентам

Слабые места, которые встречаются в российских компаниях постоянно:

• публичные хранилища S3/MinIO без ACL
• открытые RDP/SSH порты
• некорректная сегментация (весь офис — один VLAN)
• отсутствие hardening для серверов и рабочих станций
• AD без пересмотра привилегий и паролей сервисных аккаунтов
• устаревшие версии VPN и отсутствие MFA
• тестовые сервисы, оставленные на боевых серверах
• отсутствие контроля конфигураций и автоматического аудита

Эти ошибки становятся отправной точкой большинства успешных атак.

Карточки угроз информационной безопасности

Категории угроз часто выглядят абстрактно, пока не связаны с конкретными ошибками инфраструктуры.

Как связаны источники, факторы и конкретные угрозы ИБ

Источники, факторы и типы угроз формируют единую цепочку, по которой развивается инцидент:

• Источник определяет, откуда исходит воздействие.
• Факторы — условия, которые облегчают его реализацию.
• Конкретная угроза — итоговое действие, приводящее к последствиям для бизнеса.

Как выглядит эта связка на практике

внешний атакующий → открытый RDP (фактор) → подбор пароля и захват сервера (угроза)

или

внутренний сотрудник → лишние привилегии (фактор) → выгрузка базы данных (угроза)

Понимание этих связей помогает увидеть реальные пути атаки, понять, какие ошибки инфраструктуры используют чаще всего, и продумать, какие меры применять в первую очередь.

Внутренние угрозы

Внутренние угрозы чаще всего развиваются из-за ошибок сотрудников, нарушений регламентов или несанкционированных действий внутри компании.

К числу характерных ситуаций можно отнести:

• использование слабых паролей или повторяющихся комбинаций приводит к компрометации аккаунтов
• нарушение правил доступа к данным, когда сотрудник получает больше прав, чем требуется
• открытие фишинговых вложений и запуск вредоносного ПО, после чего атакующий использует внутренний узел как точку входа
• некорректное обращение с носителями информации становится причиной утечек.

Эти сценарии показывают, что внутренние угрозы часто не требуют сложных техник. Их развитие зависит от осведомлённости сотрудников, качества регламентов и контроля доступа.

Внешние атаки

Внешние угрозы возникают, когда злоумышленник получает доступ извне: через публичные сервисы, уязвимости в ПО, фишинг или социальную инженерию. Вот характерные сценарии:

• эксплуатация уязвимости в веб-приложении с дальнейшим проникновением в сеть
• подбор или кража учётных данных через фишинговую рассылку
• использование Zero-Day эксплойтов для получения доступа к важным системам
• DDoS-атаки, направленные на вывод сервисов из строя

Внешняя атака развивается быстрее, если инфраструктура содержит ошибки конфигурации, устаревшие компоненты или не имеет сегментации. В таких условиях злоумышленник легко переходит от одной системы к другой, закрепляется и расширяет контроль.

Техногенные и управленческие ошибки

Техногенные события и управленческие недочёты часто приводят к угрозам, которые не связаны напрямую с атакующими.

Примеры:

• отказ дисков или оборудования, ведущий к нарушению доступности
• отсутствие резервирования и тестируемых бэкапов, из-за чего восстановление невозможно или занимает критично много времени
• неверно изменённые настройки сетевого оборудования, вызывающие сбои в работе сервисов
• несогласованные изменения в инфраструктуре, которые приводят к открытым портам, отключённым защитным механизмам или неполным обновлениям

Как определить основные угрозы информации

Определение актуальных угроз — это анализ того, какие действия злоумышленника наиболее вероятны в конкретной инфраструктуре. Компании используют разные сервисы, архитектуры и модели доступа, поэтому универсального списка угроз не существует. Чтобы определить, что реально опасно, можно опирается на требования российских регуляторов и международные модели, которые описывают поведение атакующих.

Моделирование угроз в российских реалиях

1. БДУ ФСТЭК. Реестр угроз и уязвимостей — основа для моделирования угроз в ИС и ИСПДн.
2. Методика ФСТЭК по определению актуальных угроз ПДн — обязательный инструмент для всех ИСПДн. Помогает выбрать угрозы, характерные для конкретной отрасли и технологии обработки данных.
3. №152-ФЗ, №187-ФЗ и ПП № 781 описывают общие требования к защите ПДн и КИИ.
4. Приказы ФСТЭК № 17/21, 239, 31 определяют порядок оценки угроз, требования к контролю изменений, журналированию и мерам защиты.

Эти документы формируют базовый перечень угроз и определяют процессы, которые организация обязана учитывать. Однако нормативные акты, описывая, что должно быть защищено, не показывают, как действуют злоумышленники. Для этого применяются международные модели.

Использование MITRE ATT&CK

MITRE ATT&CK описывает реальные техники злоумышленников: способы получения доступа, повышения привилегий, закрепления в системе и перемещения по инфраструктуре.

Матрица помогает:

• увидеть, как разворачивается атака в вашей архитектуре
• понять, какие узлы станут следующими точками опоры
• определить события, которые нужно мониторить, чтобы остановить атаку на раннем этапе

ATT&CK показывает угрозы через TTP (tactics, techniques, procedures) — поведение атакующего. Это позволяет оценивать угрозы не по типовым атакам, а по тому, что реально возможно в вашей инфраструктуре: AD, облаках, Kubernetes, VPN, веб-приложениях, CI/CD.

Pyramid of Pain и приоритеты мониторинга

Pyramid of Pain — модель, которая показывает, насколько сложно злоумышленнику изменить разные типы индикаторов атаки. Она построена в виде пирамиды: чем выше уровень, тем больше усилий требуются атакующему, чтобы уйти от обнаружения. Она показывает, какие признаки злоумышленник может быстро изменить (IP, хеши), а какие потребуют перестройки всей схемы атаки (TTP).

Структура пирамиды:

• Hash Values — меняются мгновенно, пользы почти нет.
• IP Addresses — меняются легко, ценность низкая.
• Domain Names — немного сложнее, но тоже легко ротируются.
• Network/Host Artifacts — характерные следы атаки, менять уже труднее.
• Tools — инструменты злоумышленников; их замена требует больше ресурсов.
• Tactics, Techniques and Procedures (TTPs) — поведение атакующего. Сменить способ действий сложнее всего.

Главный вывод: чем выше слой пирамиды отслеживает компания, тем сложнее атакующему адаптировать свои действия.

Поэтому мониторинг должен ориентироваться на поведение: нетипичные команды, движение между узлами, попытки повышения привилегий, использование встроенных утилит.

Как объединить российские нормы и международные модели

Российская нормативная база определяет обязательный перечень угроз и процессов, которые организация должна учитывать.

ATT&CK показывает, как именно действуют злоумышленники.

Pyramid of Pain помогает выбрать что мониторить, чтобы обнаруживать атаки до того, как они нанесут ущерб.

Вместе эти инструменты дают возможность:

• определить ключевые активы и точки входа;
• выявить слабые конфигурации и архитектурные риски;
• выбрать релевантные TTP, опасные для конкретной инфраструктуры;
• настроить мониторинг на ценные индикаторы;
• сформировать модель угроз, которая соответствует нормам РФ и отражает реальные методы атакующих.

Так компания получает список действительно актуальных угроз, а не формальный набор пунктов для отчёта.

Основные этапы моделирования угроз

Моделирование угроз сводится к последовательному анализу инфраструктуры и факторов, которые могут привести к инциденту.

В рабочей практике используются пять базовых шагов:

1. Определение критичных активов.
    Сервисы, данные, доменные контроллеры, облака, ИСПДн, VPN, точки удалённого доступа — всё, что влияет на непрерывность бизнеса.
2. Выявление возможных точек входа.
    Публичные веб-сервисы, внешние API, подрядчики, удалённые сотрудники, уязвимые конфигурации, слабые сегменты сети.
3. Идентификация источников угроз.
    Внешние атакующие, инсайдеры, ошибочные действия администраторов, сбои оборудования и нарушения процессов.
4. Определение методов атаки (TTP).
    На этом шаге используется MITRE ATT&CK: фишинг, эксплуатация уязвимостей, повышение привилегий, lateral movement, закрепление в сети.
5. Оценка вероятности и последствий.
    Результат — перечень актуальных угроз: сценарии, которые реально могут произойти в текущей инфраструктуре и требуют первоочередного внимания.

Этот алгоритм поможет компании перейти от формального перечня угроз к реальной модели, отражающей поведение атакующих и слабые места инфраструктуры.

Российские компании работают в среде, где сочетаются требования регуляторов, сложные ИТ-архитектуры и высокое давление кибератак. Поэтому практические меры должны охватывать процессы, архитектуру, обучение и мониторинг. Мы дадим набор рекомендаций, который формирует базовый уровень зрелости безопасности и закрывает большинство распространённых угроз информационной безопасности.

Чек-лист: минимизация основных угроз информационной безопасности

Этот набор — минимальный уровень защиты для организации, работающей с корпоративными данными, облаками, ИСПДн и критичными сервисами:

1. Сегментация сети. Разделение инфраструктуры на зоны, контроль восточного/западного трафика, ограничение перемещений между сегментами.
2. Инвентаризация инфраструктуры. Актуальная карта сервисов, хостов, учетных записей, публичных точек входа. Регулярный аудит открытых портов и внешних ресурсов.
3. Многофакторная аутентификация (MFA). Для почты, VPN, доступа к облакам, админ-панелям, консолям управления.
4. Регулярный аудит AD. Проверка слабых паролей, неиспользуемых учеток, сервисных аккаунтов, привилегий. Мониторинг password spray.
5. Hardening рабочих станций и серверов. Закрытие ненужных сервисов, применение CIS-бенчмарков, контроль конфигураций.
6. Патч-менеджмент. График обновлений, приоритет критичных уязвимостей, тестирование патчей.
7. Мониторинг событий и централизованные логи. Единый сбор логов, хранение не менее 90 дней, правила корреляции для критичных сценариев.
8. Резервирование и тестирование восстановления. Регулярные бэкапы, отдельное хранение, испытания сценариев восстановления.
9. Контроль данных (DLP, DCAP). Поиск чувствительных данных, контроль доступа и операций с файлами.
10. Обучение сотрудников. Антифишинг-тренировки, кибергигиена, практические сценарии ошибок.

Этот чек-лист закрывает большую часть типичных инцидентов: фишинг, компрометацию AD, утечки ПДн, ошибки конфигураций и последствия технических сбоев.

Угроза → Признаки → Меры защиты

Таблица показывает, какие признаки нужны для оперативного обнаружения и какие меры блокируют развитие сценариев.

Требования НКЦКИ по противодействию основным угрозам информации

НКЦКИ ФСБ в 2022 году выпустил обобщённые рекомендации для компаний, работающих с критичными данными и инфраструктурой.

Ключевые меры:

1. Провести полную инвентаризацию ИТ-ресурсов — сервисов, доменов, публичных точек входа.
2. Отключить все неиспользуемые сервисы и порты.
3. Включить централизованный сбор и хранение логов, настроить контроль целостности.
4. Настроить защиту доменных имён и корпоративной почты.
5. Внедрить DMARC, SPF, DKIM для защиты от фишинга.
6. Внедрить MFA для критичных систем.
7. Проверить конфигурации VPN и удалённого доступа.
8. Ограничить доступ к админ-панелям по сетевым правилам и разрешённым спискам.
9. Использовать песочницы и антифишинговые механизмы.
10. Организовать мониторинг и реагирование (SOC/SIEM).

Эти меры закрывают большую часть бытовых и сложных атак: от фишинга и перебора паролей до атак на удалённый доступ, веб-приложения и внутренние сервисы.

Главное

Угроза — это конкретный сценарий вреда, а не абстрактная возможность.
Важно различать угрозы и риски: угроза описывает, что может произойти, риск показывает вероятность и последствия. Такое разделение позволяет расставлять приоритеты и не тратить ресурсы на малозначимые сценарии.

Классификация помогает увидеть структуру угроз, а не перечень разрозненных событий.
Деление по источникам, объектам, воздействию и природе возникновения делает анализ системным. Это основа для построения моделей угроз и правильного выбора защитных мер.

Факторы создают условия для реализации угроз, и на них можно влиять.
Ошибки пользователей, уязвимости архитектуры, сбои оборудования и недоработки процессов — причины, которые открывают путь атакам. Управление этими факторами снижает вероятность инцидента ещё до внедрения сложных технологий.

Основные угрозы — вредоносное ПО, APT, Zero-Day, фишинг, DDoS и утечки данных.
Эти категории воздействуют на ключевые активы бизнеса, нарушая конфиденциальность, целостность и доступность. Они формируют ядро современных инцидентов и определяют требования к защите.

Источники, факторы и угрозы образуют причинно-следственные цепочки.
Внутренние ошибки, внешние атаки или техногенные события приводят к конкретным последствиям. Такой подход помогает прогнозировать сценарии и выявлять слабые места в инфраструктуре.

Российские реалии требуют учёта нормативной базы и сертифицированных решений.
ФЗ-152, ФЗ-187, документы ФСТЭК и ФСБ задают обязательные требования к защите. Невыполнение норм влечёт ответственность и влияет на устойчивость бизнеса.

Практическая защита опирается на процессы, архитектуру и мониторинг.
Управление доступом, сегментация сети, контроль уязвимостей, резервирование, журналирование и аудит изменений формируют основную линию обороны.

SOC, SIEM и мониторинг событий повышают обнаруживаемость и уменьшают ущерб.
Корреляция событий и оперативное реагирование сокращают время между атакой и её выявлением — критически важный параметр в современных инцидентах.

Обучение персонала остаётся необходимой мерой.
Большая часть атак начинается с действия человека, и регулярная работа с сотрудниками снижает вероятность успешного фишинга и внутренних ошибок.

Ландшафт угроз меняется, и стратегия защиты должна адаптироваться.
Компании сталкиваются с новыми опасностями: атаками на цепочки поставок, облачные сервисы, IoT и CI/CD. Устойчивость требует регулярной пересмотра подходов и процессов.