.PNG)
Каждая минута после обнаружения взлома — это нарастающий ущерб. По данным IBM Cost of a Data Breach 2025, средняя стоимость утечки данных в России достигла 5,9 млн рублей, а компании, которые реагировали в первые 24 часа, сокращали ущерб на 38%. Проблема в том, что большинство организаций не имеют плана реагирования — и теряют критическое время на панику, ошибочные действия и поиск виноватых.
Эта инструкция написана для CISO, IT-директоров и руководителей бизнеса, которые прямо сейчас подозревают или уже подтвердили факт компрометации инфраструктуры. Действуйте по шагам — и сохраните эту страницу в закладки на случай, если понадобится в будущем.
37
Дней
среднее время обнаружения взлома
38%
Экономия
при реагировании в первые 24ч
5,9М ₽
Средний ущерб
от утечки данных в РФ
67%
Повторных атак
без усиления защиты
1Признаки взлома компании
Прежде чем действовать, нужно понять — действительно ли произошёл взлом, или это техническая неисправность. Вот 8 признаков, которые с высокой вероятностью указывают на компрометацию инфраструктуры.
1. Массовые блокировки учётных записей
Десятки сотрудников одновременно не могут войти в систему. Active Directory фиксирует сотни неудачных попыток аутентификации с разных хостов — это признак перебора паролей или кражи хэшей (Pass-the-Hash).
2. Появление неизвестных администраторов домена
В группе Domain Admins или Enterprise Admins появились учётные записи, которые никто не создавал. Атакующие всегда стремятся получить максимальные привилегии и создают резервные аккаунты для закрепления.
3. Аномальная нагрузка на серверы в нерабочее время
CPU загружен на 80-100% в 3 часа ночи, диски активно работают, хотя бизнес-приложения не запущены. Это может быть криптомайнер, выгрузка данных или подготовка к шифрованию.
4. Исходящий трафик в необычные страны
Межсетевой экран фиксирует стабильные соединения с IP-адресами в странах, с которыми ваша компания не работает. Это может быть связь с C2-сервером (Command & Control) злоумышленника.
5. Отключение или модификация средств защиты
Антивирус остановлен, политики EDR изменены, журналы SIEM перестали поступать. Первое, что делает атакующий после получения привилегий — отключает защиту.
6. Сообщения от контрагентов о подозрительной активности
Партнёры получают фишинговые письма «от вашего имени», клиенты жалуются на мошеннические звонки с вашими данными, в даркнете появились ваши внутренние документы.
7. Изменения в групповых политиках (GPO)
Появились новые GPO, которые отключают Windows Defender, разрешают удалённый рабочий стол или меняют политики паролей. Это классический приём для подготовки к массовому шифрованию.
8. Удаление теневых копий и бэкапов
Volume Shadow Copies удалены, задачи резервного копирования отключены или модифицированы. Если вы заметили это — шифрование может начаться в ближайшие часы.
Критически важно
2Пошаговая инструкция: что делать в первые 24 часа
Ниже — проверенный алгоритм из 10 шагов, основанный на методологии NIST SP 800-61 и практике расследования инцидентов в российских компаниях. Распечатайте его заранее — при инциденте с шифровальщиком электронные документы могут быть недоступны.
Шаг 1. Изолируйте скомпрометированные системы (0-15 мин)
Отключите заражённые хосты от сети — выдерните кабель или заблокируйте порт на коммутаторе. НЕ выключайте компьютеры: в оперативной памяти могут быть ключи шифрования и следы атаки. Изоляция останавливает боковое перемещение атакующего.
Шаг 2. Соберите и вызовите группу реагирования (0-30 мин)
Оповестите: CISO или ответственного за ИБ, системного администратора, руководителя IT, генерального директора. Если у вас нет внутренней IR-команды — немедленно звоните внешним специалистам по расследованию инцидентов.
Шаг 3. Зафиксируйте хронологию и масштаб (30-60 мин)
Запишите: когда обнаружен инцидент, кто обнаружил, какие системы затронуты, какие данные под угрозой, какие действия уже предприняты. Эта информация критична для расследования и уведомления регуляторов.
Шаг 4. Сохраните цифровые доказательства (1-2 ч)
Снимите дампы оперативной памяти заражённых хостов (утилита WinPMEM или DumpIt). Скопируйте логи: Windows Event Log, журналы межсетевого экрана, SIEM, VPN-шлюза, почтового сервера. Зеркалируйте диски (dd или FTK Imager).
Шаг 5. Заблокируйте все точки удалённого доступа (1-2 ч)
Отключите VPN, RDP, SSH, TeamViewer, AnyDesk, веб-панели управления. Атакующий почти всегда имеет несколько путей доступа — оставив хотя бы один, вы позволите ему вернуться.
Шаг 6. Сбросьте пароли критичных учётных записей (2-4 ч)
Начните с: krbtgt (дважды с интервалом 12 часов), Domain Admins, сервисные учётки, учётные записи с доступом к бэкапам, почтовые администраторы. Используйте сложные пароли не менее 20 символов.
Шаг 7. Проверьте целостность резервных копий (2-4 ч)
Убедитесь, что бэкапы не зашифрованы и не модифицированы. Проверьте офлайн-копии, ленточные хранилища, облачные бэкапы с версионированием. НЕ подключайте бэкапы к скомпрометированной сети.
Шаг 8. Определите вектор атаки (4-8 ч)
Совместно с IR-командой установите: как атакующий проник (фишинг, уязвимость, компрометация подрядчика), когда произошло первичное проникновение, какие инструменты использовались, какие данные были выгружены.
Шаг 9. Уведомите регуляторов и пострадавших (8-24 ч)
При утечке персональных данных: Роскомнадзор — в течение 24 часов. При атаке на объект КИИ: НКЦКИ (ГосСОПКА) — в течение 24 часов. Подготовьте уведомления для клиентов и партнёров, чьи данные могли быть скомпрометированы.
Шаг 10. Начните восстановление из чистой среды (12-24 ч)
Восстанавливайте системы из проверенных бэкапов на чистых образах ОС. Перед вводом в эксплуатацию — полная проверка на наличие бэкдоров. Включайте системы в сеть по одной, контролируя сетевой трафик.
3Чего НЕ делать при взломе
Паника и непрофессиональные действия наносят не меньше вреда, чем сам взлом. Вот 5 ошибок, которые допускают 70% компаний при инцидентах. Каждая увеличивает ущерб.
Выключать серверы и рабочие станции
В оперативной памяти хранятся ключи шифрования, токены сессий, следы вредоносного ПО. Выключение уничтожит эти улики безвозвратно. Правильно — изолировать от сети, но оставить включёнными.
Переустанавливать ОС «для чистоты»
Форматирование диска до снятия образа уничтожает все доказательства — вектор атаки, временные метки, файлы атакующего. Без этих данных невозможно понять, как закрыть брешь и предотвратить повторение.
Связываться с атакующими самостоятельно
Переписка с хакерами без опыта переговоров может привести к эскалации требований, утечке дополнительных данных «в качестве давления» и потере позиции для торга. Привлекайте профессиональных переговорщиков.
Скрывать инцидент от регуляторов
Сокрытие утечки персональных данных от Роскомнадзора — отдельное нарушение со штрафом до 3 млн рублей за неуведомление плюс штраф за саму утечку (до 15 млн рублей). НКЦКИ рассматривает сокрытие атаки на КИИ как нарушение.
Платить выкуп в первые часы
Поспешная оплата — худшая стратегия. 40% жертв не получают ключ дешифрования после оплаты. Сначала оцените все альтернативы: бэкапы, бесплатные дешифраторы (nomoreransom.org), форензика RAM.
Практика
4Когда нужно уведомить регуляторов
Законодательство РФ устанавливает жёсткие сроки уведомления о киберинцидентах. Нарушение сроков — отдельное основание для штрафа, даже если сам инцидент был обработан корректно.
| Регулятор | Когда уведомлять | Срок | Штраф за неуведомление |
|---|---|---|---|
| Роскомнадзор | Утечка персональных данных (любой объём) | 24 часа — предварительное уведомление, 72 часа — результаты расследования | До 3 млн ₽ за неуведомление + штраф за саму утечку (до 15 млн ₽) |
| НКЦКИ (ГосСОПКА) | Атака на объект КИИ или значимый объект | 24 часа с момента обнаружения | Административная и уголовная ответственность (ст. 274.1 УК РФ) |
| ФСБ России | Инцидент с СКЗИ (средства криптографической защиты) | Немедленно, по регламенту эксплуатации СКЗИ | По условиям лицензии и нормативных актов |
| Банк России (ФинЦЕРТ) | Инцидент в финансовой организации | 3 часа (для значимых инцидентов) | Предписания ЦБ, ограничения деятельности |
Оборотные штрафы с 2025 года
5Как SOC предотвращает и обнаруживает взломы
Профессиональный SOC сокращает время обнаружения взлома с 37 дней (средний показатель) до менее чем 1 часа. SOC работает по трём направлениям:
Непрерывный мониторинг 24/7
Аналитики первой линии SOC круглосуточно контролируют события безопасности из SIEM, EDR, NDR, WAF и других источников. Алгоритмы корреляции выявляют цепочки подозрительных событий, которые по отдельности выглядят безобидно.
Проактивный поиск угроз (Threat Hunting)
Аналитики третьей линии целенаправленно ищут следы компрометации в инфраструктуре, используя актуальные индикаторы (IoC) и тактики атакующих (MITRE ATT&CK). Так SOC находит злоумышленника даже без срабатывания правил детекции.
Автоматическое реагирование (SOAR)
При обнаружении критичного инцидента SOAR-платформа автоматически изолирует заражённый хост, блокирует вредоносный IP на межсетевом экране, отключает скомпрометированную учётную запись — за секунды, без ожидания ручных действий.
Расследование и рекомендации
По каждому подтверждённому инциденту SOC предоставляет полный отчёт: вектор атаки, затронутые системы, хронология, рекомендации по усилению защиты. Это база для принятия управленческих решений.
<1ч
Обнаружение
с профессиональным SOC
24/7
Мониторинг
без выходных и праздников
37 дн → <1ч
Обнаружение
без SOC vs с SOC
15 мин
Реагирование
среднее время изоляции угрозы
Частые вопросы
Как понять, что компанию взломали, если нет SIEM?▼
Без SIEM обращайте внимание на косвенные признаки: массовые жалобы сотрудников на невозможность войти в систему, необъяснимое замедление серверов, уведомления от контрагентов о подозрительных письмах, сообщения антивируса о многочисленных угрозах. Проверьте журналы Windows (Event Viewer), логи межсетевого экрана и консоль антивирусного ПО. Однако без SIEM среднее время обнаружения — более 200 дней.
Сколько стоит расследование инцидента (Incident Response)?▼
Стоимость IR-расследования для СМБ-компании — от 500 000 до 3 000 000 рублей в зависимости от масштаба инцидента, количества затронутых систем и необходимости форензики. Для сравнения: средний ущерб от нерасследованного инцидента составляет 5-15 млн рублей (простой, утечка, штрафы, репутация). Расследование окупается всегда.
Нужно ли обращаться в полицию при кибератаке?▼
Да, если есть финансовый ущерб или компрометация данных. Обращайтесь в управление «К» МВД России (ст. 272-274 УК РФ). Заявление в полицию также важно для страхового возмещения (если есть киберстраховка) и для возможного гражданского иска к виновным. Подавайте заявление параллельно с расследованием — не дожидайтесь его завершения.
Можно ли предотвратить взлом на 100%?▼
Нет, абсолютной защиты не существует — любая инфраструктура может быть скомпрометирована при достаточных ресурсах атакующего. Но можно довести стоимость атаки до уровня, при котором она становится экономически нецелесообразной. Комбинация SOC-мониторинга, EDR, сегментации сети, обучения сотрудников и регулярных пентестов предотвращает 97% атак и обнаруживает остальные на ранней стадии.
Через какое время после взлома можно вернуться к нормальной работе?▼
Зависит от масштаба инцидента. При наличии актуальных бэкапов и IR-команды — от 2 до 7 дней для критичных систем. Полное восстановление инфраструктуры с усилением защиты занимает 2-4 недели. Без бэкапов и внешней помощи простой может длиться от 3 недель до нескольких месяцев. Компании с подключённым SOC восстанавливаются в 3 раза быстрее.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты. Руководит командой SOC-аналитиков 24/7. Экспертиза: SIEM, EDR/XDR, Threat Hunting, IR.