В традиционном понимании бизнеса критически важным сегментом ИТ-инфраструктуры считаются системы, напрямую обеспечивающие непрерывность бизнес-процессов и финансовую результативность компании. Однако с позиции информационной безопасности приоритеты принципиально иные: по-настоящему критический сегмент формируют системы, отвечающие за защиту инфраструктуры, безопасное хранение секретов и аутентификационных данных, а также создание и хранение резервных копий. Именно эти компоненты определяют способность организации не только противодействовать угрозам, но и гарантированно защищать активы и восстанавливаться после разрушительных инцидентов или сбоев. Эксперты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 и специалисты по безопасности компании-разработчика корпоративного менеджера паролей Пассворк провели исследование, которое позволило сформировать рекомендации по защите критически важных устройств в каждой ИТ-инфраструктуре. Рассказывает руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко.
Идея написания этой статьи обусловлена практическим опытом реагирования на разрушительные кибератаки, в ходе которых злоумышленники получали доступы к корпоративным сетям своих жертв и использовали программы-вымогатели или вайперы для вывода из строя их ИТ-инфраструктуры. Анализ причин, благодаря которым злоумышленники достигли целей, показал, что во многом успех был достигнут за счет небезопасной конфигурации ИТ-инфраструктур, качественно проведенной разведки ресурсов жертвы, компрометации критически важных учетных данных, хранимых в том числе в корпоративных парольных менеджерах, доступности и незащищенности систем и хранилищ резервного копирования.
Для того, чтобы противостоять подобным атакам важно понимать, что какие бы мы не выстраивали преграды для доступа в корпоративную сеть, будет довольно сложно что-либо противопоставить попавшей внутрь угрозе без квалифицированных кадров и современных средств обнаружения и реагирования на нее. Тем не менее, даже имея на столе «волшебную кнопку» в виде передовых защитных решений, без безопасного проектирования и конфигурирования ИТ-инфраструктуры не обойтись.
Мы сформировали перечень архитектурных рекомендаций, направленных на повышение защищённости систем критически важного сегмента ИТ-инфраструктуры, в задачи которых входят обеспечение безопасности инфраструктуры, хранение секретов и аутентификационных данных пользователей, а также создание и хранение резервных копий, доступ к которым злоумышленники ни при каких обстоятельствах получить не должны.
Цель данных рекомендаций заключается в уменьшении поверхности атаки на системы критически важного сегмента и создании условий дорогой и неэффективной атаки, которая в идеальных условиях у злоумышленника займет столько времени и ресурсов, сколько потребуется на обнаружение его активности до момента достижения им преследуемой цели.
Принципиальные аспекты, которые должны быть достигнуты выполнением этих рекомендаций:
Вывод критически значимых систем в отдельный сегмент сети (см. рисунок), не управляемый централизованно, в том числе с помощью служб доменов.
Реализация администрирования данных систем с отдельно выделенной системы, не используемой в повседневной деятельности и также изолированной от доменных служб и централизованного управления.
Отсутствие в операционной инфраструктуре аутентификационных данных от систем критически важного сегмента.
Рекомендации по безопасной конфигурации систем критически важного сегмента ИТ-инфраструктуры
Рекомендация |
Комментарии, меры по реализации |
Не размещайте (не инсталлируйте) сервисы управления средствами защиты информации, резервным копированием, хранения корпоративных секретов и аутентификационных данных (корпоративные парольные менеджеры, системы аутентификации и т.п.) и их БД на серверах, входящих в домен Active Directory. |
Размещение сервисов управления средствами защиты информации, резервным копированием, хранения корпоративных секретов и аутентификационных данных и их БД на системах, не входящих в домены Active Directory, позволит уменьшить поверхность атаки как на эти системы, так и на размещаемые на них сервисы, за счет исключения техник атак на службы доменов. Также важно соблюдать принципы безопасного администрирования данных систем. Не управляйте системами критически важного сегмента с систем, входящих в доменную инфраструктуру. Для администрирования систем критически важного сегмента рекомендуется выделить отдельную не входящую в доменную инфраструктуру рабочую станцию, которая не используется на повседневной основе. Данная рабочая станция должна быть настроена с учетом принципов минимальных привилегий и не должна управляться удаленно. В совокупности эти меры могут существенно повысить сложность атаки на парольный менеджер за счет отсутствия необходимых аутентификационных данных на системах, подключенных к имеющимся доменам AD. |
Осуществляйте управление системами критически важного сегмента с рабочих станций, не подключенных к домену AD и не используемых на повседневной основе. | |
Не используйте и не храните в доменной инфраструктуре без должной защиты аутентификационные данные для подключения к операционным системам хостов критически важного сегмента, а также от привилегированных учетных записей сервисов, размещаемых на данных хостах. | |
Отключите поддержку и не используйте устаревшие сетевых протоколы и алгоритмы шифрования. |
Применение данных рекомендаций позволит исключить эксплуатацию уязвимостей устаревших протоколов и существенно снизить риск downgrade-атак за счёт принудительного использования только стойких алгоритмов шифрования, а также уменьшить поверхность атаки критического сегмента путём закрытия неиспользуемых портов и стандартизации единого защищённого канала для удалённого управления. |
Используйте строгие политики согласования протоколов. Отключите режимы обратной совместимости с устаревшими протоколами. | |
При организации сетевого доступа к системам критически важного сегмента придерживайтесь принципов минимального количества доступных сетевых портов. Обеспечьте доступность только размещенных на них сервисов. | |
Для удаленного управления системами критически важного сегмента определите и используйте один утвержденный протокол, например RDP. | |
Ограничьте возможность взаимодействия систем критического сегмента с публичными сетями. В списки разрешенных публичных ресурсов можно добавить публичные адреса серверов обновлений операционных систем и размещенных на них сервисов. |
Данная мера позволит ограничить взаимодействие с публичными сетями и не позволит установить скрытные каналы управления к серверам атакующих, используемых для управления и эксфильтрации критических данных. |
При разграничении прав доступа руководствуйтесь принципом минимально необходимых привилегий для сервисных учетных записей сервиса. |
Учетные записи, от имени которых работают сервисы на системах критически важного сегмента, не должны быть привилегированными и иметь доступа к другим ресурсам локальной сети. |
Придерживайтесь строгих парольных политик для всех учетных записей, связанных с системами критически важного сегмента. Убедитесь в использовании паролей, отличных от используемых в других сегментах инфраструктуры. |
Данная мера позволит исключить возможность повторного использования атакующими аутентификационных данных, добытых в основной инфраструктуре. |
Настройте политики блокировки учетных записей при достижении определенного количества неуспешных попыток входа на сервер парольного менеджера. |
При доступе к системам критически важного сегмента рекомендуется установить ограничение на количество попыток аутентификации. Данная мера позволит противостоять атакам перебора и выявлять их. |
Используйте многофакторную аутентификацию (MFA) для доступа к системам критически важного сегмента и сервисам, размещенных на них. |
Внедрите средства многофакторной аутентификации, основанные на одноразовых кодах. Для операционных систем могут использоваться как коммерческие, так и свободно распространяемые решения с открытым кодом. Это создаст дополнительный барьер для атакующих, в случаях, например, когда отключить протоколы удаленного доступа и управления не представляется возможным. |
Обеспечьте шифрование дисков систем критически важного сегмента. |
Используйте программное обеспечение BitLocker, LUKS или аналоги. Обеспечьте надежные места хранения ключевой информации. Это защитит информацию при физическом доступе к накопителям информации или краже файлов дисков виртуальных машин. |
В случаях если системы критически важного сегмента созданы в виртуальной среде, то выделите под них обособленный гипервизор, который администрируется исключительно с рабочей станции, не управляемой централизованно, не входящей в домены и не используемой на повседневной основе. |
При построении критически важного сегмента инфраструктуры в виртуальной среде следует учитывать риски компрометации гипервизоров, на которых данные системы размещены. Даже в случаях с шифрованием дисков гостевой ОС, злоумышленники могут скомпрометировать гипервизоры и провести эксфильтрацию файлов виртуальных машин, включая файлы оперативной памяти виртуальных машин (ВМ) с ключевой информацией, необходимой для расшифровки дисков. Реализация подобного сценария атаки позволит злоумышленникам атаковать украденные ВМ в подконтрольных им средах. Если этот риск неприемлем, выделите обособленный гипервизор для критически важных ВМ и обеспечьте его изоляцию от общей инфраструктуры. |
Регулярно обновляйте операционные системы систем критически важного сегмента и компоненты сервисов, размещенных на них. |
Программное обеспечение может содержать ошибки и уязвимости, что в ряде случаев может привести к компрометации хранимых в них данных. |
Включите дополнительные механизмы безопасности, реализованные в сервисах, размещенных на системах критически важного сегмента. |
В приложениях и критически важных сервисах могут быть реализованы функции для повышения безопасности хранения данных (шифрование данных, многофакторная аутентификация). |
Настройте централизованный сбор и анализ событий безопасности в SIEM-системе. |
Контролируйте события, связанные с - операционными системами устройствам критически важного сегмента: события ОС (успешный/неуспешный вход на систему, создание задач и служб, процессов и т.д.); - доступом к сервисам, размещенных на системах критически важных систем: события входа в приложение, подключений к БД, операций по созданию/изменению/удалений объектов и т.п. Отслеживание подобных событий позволит своевременно выявлять и реагировать на аномальную активность. |
Комментарии (2)
Granulex
20.05.2026 08:57«Изолируйте всё критичное на отдельной станции» — верно. Только это означает, что вы только что создали один предмет, который стоит красть физически. Вся архитектура сужается до одного девайса: кто контролирует workstation — контролирует Passwork, бэкапы и MFA. Статья объясняет, как выстроить периметр вокруг этого узла, но не то, кто охраняет саму охрану.
feyd12
Ну сами же себе противоречите, сначала упоминаете, что есть опыт разрушительных атак, использование в них вайперов, и рассматриваете защиту критических элементов бизнеса. А затем пишете про создании условий дорогой и неэффективной атаки для злоумышленников. Если атака не имеет цели получения финансовой выгоды, то и про цену атаки говорить не всегда возможно. Она может быть, гипотетически, любой, и не всегда в случае кии будет ограничиваться какими то экономическими или временными преградами для злоумышленников.