Усложнение компьютерных атак, целевые кампании и давление на критическую информационную инфраструктуру: в этих условиях сегодня работают сотни российских организаций — субъекты критической информационной инфраструктуры (КИИ).
«Злоумышленники действуют быстрее, используют многоступенчатые сценарии. И ключевой вызов для организаций — не просто наличие средств защиты, а снижение времени обнаружения, сокращение времени реагирования и автоматизация обработки инцидентов», — утверждает Павел Гончаров, менеджер по развитию бизнеса BI.ZONE. Он прокомментировал для BIS Journal ряд вопросов, которые будут прицельно рассматриваться на Форуме ГосСОПКА (14–15 апреля, Москва).
Наглядный пример своевременного выявления атаки из опыта BI.ZONE — один из проектов по оценке компрометации (compromise assessment) инфраструктуры клиента. Уже на стартовой встрече клиент упомянул необычные события: некоторое время назад у администратора регулярно разрывались RDP-сессии, но это сочли технической проблемой.
Анализ телеметрии и результаты триажа из систем компании показал признаки посторонней активности: вход с подозрительных IP-адресов, следы использования инструментов для туннелирования трафика и извлечения учётных данных из системы. Стала понятна причина разрывов RDP-сессий: злоумышленник при подключении к серверу «вытеснял» существующее соединение. Эта малозначительная, на первый взгляд, деталь стала первым индикатором присутствия атакующего — отправной точкой для расследования.
Компрометацию удалось заметить до того, как злоумышленник нанёс значительный ущерб. При этом, отмечает Павел Гончаров, многие компании по-прежнему игнорируют «слабые сигналы» и не догадываются, что их ИТ-системы уже скомпрометированы, а последствия неосмотрительности могут обойтись очень дорого.
Сложно выделить один универсальный сценарий атаки, который чаще всего приводит злоумышленников к достижению цели. Ключевую роль играет не столько тип атаки, сколько уровень мониторинга и зрелость процессов обнаружения в организации.
Когда мониторинг безопасности налажен, есть возможность выявлять угрозы на ранних этапах и реагировать в рамках установленных SLA. В таких случаях атаки чаще можно остановить на стадии первичного доступа или начального закрепления.
Совсем другая картина наблюдается в компаниях, где полноценного мониторинга нет. Там инциденты часто становятся известными уже после нанесения ущерба — например, когда происходит шифрование инфраструктуры, утечка данных или серьёзный сбой в работе сервисов.
Ответ на существующую ситуацию — повышение зрелости процессов обнаружения инцидентов, реагирования и расследования. Обязательное условие для этого, утверждает Павел Гончаров, — обеспечение качественного контроля событий, который охватывает периметр, сетевую активность и события на хостах. В противном случае даже относительно простая атака может оставаться незамеченной длительное время.
Большое значение для реагирования на угрозы и инциденты имеет вовлечённость в информационный обмен в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Взаимодействие необходимо для выявления новых техник злоумышленников, более быстрого выявления инцидентов, а также предотвращения их распространения по отрасли или региону.
Значительно продвинуться в этом направлении поможет обмен опытом и укрепление связей между представителями субъектов КИИ, компаний с собственными центрами мониторинга (SOC) и широким кругом специалистов по информационной безопасности в рамках новой офлайн-площадки — Форума ГосСОПКА, который проводит Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Регистрация на мероприятие продолжается. Форум ГосСОПКА состоится 14–15 апреля 2026 года в кластере «Ломоносов» (Москва). В программе — практико-ориентированное обсуждение важнейших вопросов функционирования ГосСОПКА, взаимодействия её участников и консолидации опыта между госорганами, центрами ГосСОПКА и представителями ключевых сфер экономики РФ.
