.PNG)
Каждый день небольшие и средние компании сталкиваются с кибератаками. Злоумышленники используют фишинг, уязвимости в программах и цепочки поставщиков, чтобы проникнуть в сеть, закрепиться и вывести данные. По данным Positive Technologies, атакующий находится в инфраструктуре российских компаний в среднем 37 дней до обнаружения.
Промедление увеличивает потери — от утечки информации и финансового вреда до штрафов по 152-ФЗ. Главное правило: сначала зафиксировать происходящее и остановить распространение, а потом устранять последствия.
37
Дней
среднее время обнаружения взлома (PT)
38%
Экономия
при реагировании в первые 24ч
5,9М ₽
Средний ущерб
от утечки данных в РФ (IBM)
67%
Повторных атак
без усиления защиты
1Признаки возможного взлома — проверьте сразу
Современные атаки редко проявляются одним ярким событием — обычно это цепочка небольших отклонений. Если заметили два-три признака одновременно — это серьёзный повод для проверки. Не рассматривайте их по отдельности.
Проблемы с учётными записями
Появление новых администраторов домена без согласования, неожиданное повышение прав доступа, отключение многофакторной аутентификации. В группе Domain Admins или Enterprise Admins — учётные записи, которые никто не создавал.
Необычная сетевая активность
Повышенный исходящий трафик на неизвестные адреса, особенно в ночное время. Устойчивые зашифрованные соединения с небольшим объёмом данных — возможная связь с C2-сервером (Command & Control) злоумышленника.
Сигналы от средств защиты
Отключение или сбои антивирусных агентов, исчезновение части журналов событий, предупреждения о запуске подозрительных процессов. Первое, что делает атакующий после получения привилегий — отключает защиту.
Изменения в групповых политиках (GPO)
Новые GPO, которые отключают Windows Defender, разрешают удалённый рабочий стол или меняют политики паролей. Классический приём для подготовки к массовому шифрованию.
Удаление теневых копий и бэкапов
Volume Shadow Copies удалены, задачи резервного копирования отключены. Если вы заметили это — шифрование может начаться в ближайшие часы.
Внешние признаки
Утечка учётных данных в открытых источниках, жалобы от партнёров на рассылки от вашего имени, в даркнете появились ваши внутренние документы.
Критически важно
2Что делать в первые минуты — пошагово
Первые минуты после обнаружения — критически важный период. Каждое неверное действие увеличивает ущерб. Ниже — проверенный подход, основанный на рекомендациях NIST SP 800-61.
1. Зафиксируйте момент обнаружения
Запишите точное время, затронутые компьютеры, учётные записи и описание аномалии. Это станет основой для дальнейшего расследования и уведомления регуляторов.
2. Ограничьте распространение
Изолируйте подозрительные устройства — выдерните сетевой кабель или заблокируйте порт на коммутаторе. НЕ выключайте их: в оперативной памяти хранятся ключи шифрования, токены сессий и следы вредоносного ПО.
3. Сохраните доказательства
Сделайте дампы оперативной памяти (WinPMEM или DumpIt), скопируйте журналы событий, телеметрию защитных средств, снимки состояния виртуальных машин. Ничего не удаляйте.
4. Оцените масштаб
Сопоставьте данные из разных источников (журналы, SIEM, EDR) и определите, на какой стадии инцидент: начальное проникновение, боковое перемещение, эксфильтрация или шифрование.
5. Подключите специалистов
Запустите внутренний план реагирования или обратитесь в SOC. Самостоятельная «очистка» без полного понимания картины приводит к повторному проникновению в 67% случаев.
Практика
3Чего НЕ делать при взломе
Паника и непрофессиональные действия наносят не меньше вреда, чем сам взлом. Вот 5 ошибок, которые допускают 70% компаний при инцидентах.
Выключать серверы и рабочие станции
В оперативной памяти хранятся ключи шифрования, токены сессий, следы вредоносного ПО. Выключение уничтожит эти улики безвозвратно. Правильно — изолировать от сети, но оставить включёнными.
Переустанавливать ОС «для чистоты»
Форматирование диска до снятия образа уничтожает все доказательства — вектор атаки, временные метки, файлы атакующего. Без этих данных невозможно понять, как закрыть брешь.
Связываться с атакующими самостоятельно
Переписка с хакерами без опыта переговоров может привести к эскалации требований и утечке дополнительных данных «в качестве давления». Привлекайте профессиональных переговорщиков.
Скрывать инцидент от регуляторов
Сокрытие утечки персональных данных от Роскомнадзора — отдельное нарушение со штрафом до 3 млн рублей за неуведомление плюс штраф за саму утечку (до 15 млн рублей). НКЦКИ рассматривает сокрытие атаки на КИИ как нарушение.
Платить выкуп в первые часы
Поспешная оплата — худшая стратегия. 40% жертв не получают ключ дешифрования после оплаты. Сначала оцените альтернативы: бэкапы, бесплатные дешифраторы (nomoreransom.org), форензика RAM. Подробнее — в статье «Платить ли выкуп хакерам».
4Основные пути проникновения
Чаще всего взлом начинается не с прямого взлома серверов. Понимание типовых векторов атаки помогает закрыть наиболее вероятные бреши:
Фишинговые письма и поддельные сообщения
Социальная инженерия остаётся вектором №1. Целевой фишинг (spear phishing) направлен на конкретных сотрудников — бухгалтеров, HR, руководителей — и имитирует реальную деловую переписку.
Уязвимости в общедоступных сервисах
Незакрытые уязвимости в веб-приложениях, VPN-шлюзах, системах удалённого доступа (RDP, SSH). Эксплойт для критической уязвимости появляется в среднем через 48 часов после публикации CVE.
Подключения через подрядчиков
Компрометация через цепочку поставок (supply chain) или обновления программного обеспечения. Атакующий проникает к подрядчику, а оттуда — в вашу сеть через доверенный канал.
Ошибки сотрудников
Слабые пароли, повторное использование паролей, несанкционированные инструменты (Shadow IT), нарушение правил доступа. Регулярные киберучения снижают риск успешного фишинга на 70%.
Отсутствие постоянного контроля событий позволяет злоумышленникам оставаться незамеченными от нескольких дней до недель. По данным IBM, среднее время обнаружения атаки без SOC-мониторинга — 207 дней. С круглосуточным мониторингом — менее 1 часа.
5Когда уведомить регуляторов
Законодательство РФ устанавливает жёсткие сроки уведомления о киберинцидентах. Нарушение сроков — отдельное основание для штрафа.
| Регулятор | Когда уведомлять | Срок | Штраф за неуведомление |
|---|---|---|---|
| Роскомнадзор | Утечка персональных данных (любой объём) | 24 часа — предварительное, 72 часа — результаты | До 3 млн ₽ за неуведомление + до 15 млн ₽ за утечку |
| НКЦКИ (ГосСОПКА) | Атака на объект КИИ или значимый объект | 24 часа с момента обнаружения | Ст. 274.1 УК РФ — до 10 лет лишения свободы |
| ФСБ России | Инцидент с СКЗИ | Немедленно, по регламенту | По условиям лицензии |
| Банк России (ФинЦЕРТ) | Инцидент в финансовой организации | 3 часа (значимые инциденты) | Предписания ЦБ |
Оборотные штрафы с 2025 года
6Зачем нужен круглосуточный мониторинг ИБ
Без непрерывного наблюдения компания узнаёт о взломе на этапе активного ущерба — когда данные зашифрованы или выведены. Центр мониторинга (SOC) решает эту проблему:
Обнаружение за минуты, а не за дни
Специалисты и автоматизированные системы круглосуточно анализируют события из SIEM, EDR, NDR и сетевого оборудования. Аномалии выявляются на ранних этапах — до серьёзного ущерба.
Быстрая изоляция угрозы
При обнаружении инцидента SOAR-платформа автоматически изолирует заражённый хост, блокирует вредоносный IP на межсетевом экране, отключает скомпрометированную учётную запись — за секунды.
Снижение ущерба и стоимости
SOC-мониторинг стоит от 50 000 ₽/мес — в 100 раз дешевле среднего ущерба от атаки (5-15 млн ₽). Компании с SOC восстанавливаются в 3 раза быстрее.
Соответствие требованиям законодательства
Мониторинг закрывает требования 152-ФЗ, 187-ФЗ (для субъектов КИИ) и помогает своевременно уведомлять регуляторов в установленные сроки.
<1ч
Обнаружение
с профессиональным SOC
24/7
Мониторинг
без выходных и праздников
207→<1
Дней → часов
обнаружение без SOC vs с SOC
15 мин
Реагирование
среднее время изоляции (SLA)
Чек-лист: что сделать после инцидента
1. Провести полное расследование с анализом причин
Установить точку входа, маршрут перемещения по сети и масштаб компрометации. Без расследования нельзя гарантировать, что атакующий не оставил бэкдоры.
2. Сменить все учётные данные и усилить правила доступа
Начните с krbtgt (дважды с интервалом 12 часов), Domain Admins, сервисных учёток. Внедрите MFA на все критичные системы.
3. Закрыть уязвимости и обновить ПО
Закройте вектор атаки, через который произошло проникновение. Обновите VPN, почтовые шлюзы, веб-приложения.
4. Проверить и протестировать резервные копии
Бэкапы должны быть изолированы от основной сети (правило 3-2-1). Проверьте восстановление на изолированном стенде.
5. Обновить план реагирования на будущие инциденты
Документируйте уроки, обновите матрицу эскалации, проведите tabletop-учения с командой.
Взлом — это не вопрос «если», а вопрос «когда». Компании, которые заранее подготовились — внедрили постоянный мониторинг и чёткий план действий — минимизируют потери и быстро восстанавливаются. Остальные рискуют длительным простоем и серьёзными последствиями.
Частые вопросы
Как понять, что компанию взломали, если нет SIEM?▼
Без SIEM обращайте внимание на косвенные признаки: массовые жалобы сотрудников на невозможность войти в систему, необъяснимое замедление серверов, уведомления от контрагентов о подозрительных письмах, сообщения антивируса о многочисленных угрозах. Проверьте журналы Windows (Event Viewer), логи межсетевого экрана и консоль антивирусного ПО. Однако без SIEM среднее время обнаружения — более 200 дней.
Сколько стоит расследование инцидента (Incident Response)?▼
Стоимость IR-расследования для СМБ-компании — от 500 000 до 3 000 000 рублей в зависимости от масштаба инцидента, количества затронутых систем и необходимости форензики. Для сравнения: средний ущерб от нерасследованного инцидента составляет 5-15 млн рублей (простой, утечка, штрафы, репутация). Расследование окупается всегда.
Нужно ли обращаться в полицию при кибератаке?▼
Да, если есть финансовый ущерб или компрометация данных. Обращайтесь в управление «К» МВД России (ст. 272-274 УК РФ). Заявление в полицию также важно для страхового возмещения (если есть киберстраховка) и для возможного гражданского иска к виновным. Подавайте заявление параллельно с расследованием — не дожидайтесь его завершения.
Можно ли предотвратить взлом на 100%?▼
Нет, абсолютной защиты не существует — любая инфраструктура может быть скомпрометирована при достаточных ресурсах атакующего. Но можно довести стоимость атаки до уровня, при котором она становится экономически нецелесообразной. Комбинация SOC-мониторинга, EDR, сегментации сети, обучения сотрудников и регулярных пентестов предотвращает 97% атак и обнаруживает остальные на ранней стадии.
Через какое время после взлома можно вернуться к нормальной работе?▼
Зависит от масштаба инцидента. При наличии актуальных бэкапов и IR-команды — от 2 до 7 дней для критичных систем. Полное восстановление инфраструктуры с усилением защиты занимает 2-4 недели. Без бэкапов и внешней помощи простой может длиться от 3 недель до нескольких месяцев. Компании с подключённым SOC восстанавливаются в 3 раза быстрее.
Как SOC КРЕДО-С реагирует на инцидент?▼
При обнаружении инцидента аналитики SOC КРЕДО-С подключаются в течение 15 минут (экстренный SLA) или 4 часов (стандартный). Первый шаг — изоляция скомпрометированных систем и консервация цифровых доказательств. Затем — анализ вектора атаки по MITRE ATT&CK, оценка масштаба и предоставление детального отчёта с рекомендациями. Стоимость мониторинга — от 50 000 ₽/мес.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты. Руководит командой SOC-аналитиков 24/7. Экспертиза: SIEM, EDR/XDR, Threat Hunting, IR.