Андрей Янкин, «Инфосистемы Джет»: Лучшая метрика киберустойчивости — как быстро вы можете восстановиться, а не как вы защищены

Андрей Янкин: Если смотреть на нашу статистику по расследованиям, то раньше лидировали DDoS и deface, а сейчас 80% инцидентов вызваны шифровальщиками и вайперами. Причем значительная часть из них вообще не про деньги — это чистая диверсия без возможности восстановления.

Буквально на днях расследовали инцидент и выяснили, что сервер клиента был взломан 15 раз! И только последний, пятнадцатый злоумышленник, сделал дефейс. Остальные 14 тихо разместили на нем бэкдоры и ждали своего часа для чего-то более серьезного. Пару лет назад дефейс был самой частой историей, а сейчас — так, редкое исключение.

Еще один важный сдвиг — многие до сих пор думают, что основные риски исходят от автоматизированных вирусов, которые хаотично перемещаются по сети и при первой возможности атакуют. А на деле абсолютное большинство серьезных атак — это полностью ручная работа. Злоумышленники управляют атакой, месяцами сидят в инфраструктуре, изучают ее и ждут удобного момента. Пока не поймут, что могут нанести максимальный урон, они не действуют. У этого, кстати, есть и плюс: у служб мониторинга появляется шанс успеть обнаружить вторжение.

Андрей Янкин: Футуризм — это увлекательно, но реальность пока иная. Да, ИИ используется, но как инструмент. Например, для генерации качественного фишинга или адаптации эксплойтов. Но чтобы ИИ сам, автономно, взламывал сети — в реальных расследованиях мы такого не видим. В 2025 году киберпреступники — это все еще люди. Просто у них появились более мощные инструменты.

Андрей Янкин: По Талебу, антихрупкость — это свойство системы после негативного происшествия не просто восстанавливаться, а становиться прочнее. Для области ИБ это инструмент достижения киберустойчивости бизнеса.

Раньше все разрабатывали ИБ-стратегии на 3–5 лет, писали толстые пачки документов, долго и нудно внедряли политики. Сейчас это не работает: пока пишешь детальную стратегию, она уже пять раз устарела. Нужно непрерывно изучать свой и чужой опыт, проводить учения, находить дыры в безопасности и быстро их латать. Кажется очевидным, но перестроиться невероятно тяжело. Наверное, только 20% крупных компаний реально так работают, инерция высока.

Многое упирается в корпоративную культуру. Если после инцидента ищут виноватого — путь к антихрупкости закрыт. А если кризис воспринимают как возможность честно разобраться и улучшиться, тогда можно говорить о киберустойчивости. Мы по нашим клиентам видим, что корпкультура важнее фаерволов.

Андрей Янкин: Большая ошибка — считать, что главное — это сеть, домены, гипервизоры. Это обслуживающий слой. Реальный удар почти всегда идет в бизнес-критичные системы: ДБО в банках, TMS в логистике, АСУТП на производстве.

Ирония в том, что именно туда часто не пускают ИБ: «это критично, не трогайте». В итоге именно бизнес-критичные системы — самые «дырявые», необновляемые и уязвимые. А злоумышленники прекрасно понимают, атака на какие системы приведет к максимальным финансовым потерям, — и бьют именно туда. Их задача — не «положить сеть», а остановить ключевой бизнес-процесс, чтобы у руководства не осталось пространства для маневра.

Недавно мы анализировали, часто ли при атаке шифровальщиком сносят сеть. Оказалось, нет, даже имея возможность, злоумышленники этого не делают. Им важно нанести фокусный удар по системе, понятной бизнесу, — чтобы руководство было готово заплатить любые деньги, лишь бы восстановиться. Но при этом они не ломают все до основания, чтобы оставить надежду восстановиться при покупке ключа у злоумышленников. Чтобы определить такие системы, важен диалог ИТ, ИБ и бизнеса.

Андрей Янкин: Кажется, что это должно быть абсолютно очевидно, но на практике — нет. В крупных организациях почти никогда нет одного человека, который понимает всю картину целиком. Всегда есть люди, для которых какая-то система критична — но их не всегда вовремя находят и не всегда спрашивают.

Мы постоянно видим это в своей практике. Есть две крайности. Первая — про какую-то реально критичную систему просто забывают. И она «всплывает» уже во время инцидента, когда все упало, производство встало, и вдруг выясняется, что есть технологическая система, о которой никто не вспоминал при моделировании рисков.

Вторая крайность — когда критичными объявляют буквально все. Недавно мы работали с компанией уже по следам инцидента, попросили выделить бизнес-критичные системы — и нам выдали список из 80 «критичных» систем. Мы спросили, с какого конца начать. В ответ заказчик предложил: «Может, по алфавиту?»

Андрей Янкин: Самое главное — тренировки. Ни одна компания в мире не может успешно восстановиться с первого раза. Это горькая правда жизни. Поэтому нужно тренироваться на тестовых ситуациях, чтобы не раскаиваться во время реального инцидента.

Второй ключевой элемент — бэкапы. Бэкапы — это как подушка безопасности в автомобиле. Неприятно, когда она срабатывает: это значит, что машина разбита, а водитель весь в синяках. Но он жив — и это главное! Злоумышленники это знают и целенаправленно бэкапы уничтожают.

Еще важны:

Сегментация. Если злоумышленник снес не все, а только сегмент, восстановиться легче.

Мониторинг. Логи помогают понять, как произошла атака, и не наступить на те же грабли после восстановления. Частая картина — восстановили уязвимую систему из бэкапа, и ее снова шифруют, зайдя через ту же уязвимость.

План экстренного реагирования. Не нужно пытаться быть героем. Если у врача аппендицит, он не делает сам себе операцию, а вызывает скорую. Так и здесь — надо заранее знать, куда звонить, чтобы даже ночью в офис прислали 20-30 экспертов. Мало кто может держать «на всякий случай» штат специалистов по форензике, по восстановлению, десяток запасных Windows-администраторов для экстренного развертывания новых систем. Поэтому должны быть заранее подготовленные договоренности — центры реагирования, интеграторы, партнеры, которые подключаются в первый час.

Андрей Янкин: Есть старое правило 3-2-1 — три копии, два носителя, одна копия в удаленной зоне. Причем речь идет об удаленности не только с физической точки зрения, но и в части доступности по сети: не на соседнем сервере, а в сейфе — чтобы ничего нельзя было повредить или удалить. Это правило придумано лет 30 назад, но оно до сих пор актуально.

И обязательно нужно делать пентест бэкапов. Проверять, что они не только в наличии, но и защищены, и восстановимы. Иначе можно развернуть бэкап с теми самыми «спящими закладками» хакеров и подвергнуться новой атаке.

Сегодня бэкапы — это не «чисто айтишная» задача. Их проверяют ИБ-службы, проводят по ним пентесты, включают в сценарии учений.

Андрей Янкин: Универсального ответа нет. Каждая система, которая существенно меняется, должна проверяться перед вводом в промышленную эксплуатацию. Иногда это занимает всего пару часов, но позволяет закрыть критичные дыры. Плюс регулярные пентесты своими силами и внешней командой, чтобы не замыливался глаз. И хотя бы раз в год — полноценные учения Red Team, чтобы SOC и мониторинг не теряли бдительность.

Андрей Янкин: Лучше всего, конечно, учиться на чужих ошибках. Но и своих обычно хватает. Самый выгодный инструмент, с точки зрения стоимости и эффекта, на мой взгляд, — это tabletop-учения.

Представьте: руководство компании запирается в кабинете и разыгрывает сценарий, например, «нас зашифровали». С модератором, с реалистичным сценарием, который развивается постепенно. И там происходят две важных вещи. Во-первых, выявляется чудовищная неготовность, даже в простых казалось бы вещах. Ищется план реагирования, но он сам хранится на «уничтоженном» сервере. Нужно позвонить, но адресная книга тоже зашифрована, и кому звонить — не понятно. Вроде мелочи, но в критической ситуации готовность к ним определяет выживание компании.

А во-вторых, и это главное, — люди проживают эту ситуацию вместе и вовлекаются. Финансовый директор вдруг осознает, что он — часть команды защиты, а не сторонний наблюдатель. Когда случится реальный инцидент, он уже не будет просто спрашивать статус, а будет четко знать свою роль и помогать компании выжить.

Андрей Янкин: Это классическая боль и как раз та причина, по которой управление уязвимостями у многих буксует. Сразу скажу: это не «плохие сканеры», это плохой отчет. Это незаконченная работа.

Мы в проектах сначала проводим аудит, подробно опрашиваем заказчика: какие системы для него критичны, как устроена сеть, как связаны между собой сегменты. Строим карту инфраструктуры и оцениваем бизнес-критичность, на них накладываются уязвимости. То же самое и с инцидентами. Когда SOC работает на аутсорсе, он может «сыпать» огромным количеством алертов. И поначалу сложно понять, где важное, а где шум: тут какая-то подозрительная активность на тестовом стенде, а тут, условно, задели Active Directory.

Поэтому всегда есть период совместной притирки. Обычно он занимает около трех месяцев. За это время настраиваются правила и реакции: что можно оставить «на потом», а где должно быть правило — «если что-то зашуршало, звоните ночью, поднимаем руководство и начинаем действовать сразу».

Андрей Янкин: Если новостей про пострадавших коллег недостаточно, запустите tabletop-учения. Это игра, людей легко уговорить, им интересно. Но выходят они оттуда другими. Если у вас есть упертый руководитель, которому все по барабану, дайте ему прожить этот опыт. Работает безотказно.

Андрей Янкин: Раньше любили сложные количественные метрики, расчеты рисков до рубля. Сейчас этот интерес поутих — руководители и так каждый день читают в новостях, кого и как взломали. Убеждать и оценивать уже не надо, все спрашивают «что делать».

Но практические метрики есть:

Пентесты и Red Team. Тут все просто: ломают вас или нет?

Bug Bounty. Это не только метрика, но и весьма выгодная инвестиция. У нас был случай, когда исследователь через нашу программу Bug Bounty в тот же день сообщил, что сотрудник по ошибке вывел в интернет устаревшее сетевое оборудование. Нам эта ошибка стоила 38 тысяч рублей, а если бы ее обнаружил злоумышленник, могла стоить миллионы.

Кибериспытания. Это новая и очень интересная вещь. Компания назначает крупный приз (скажем, 10 млн рублей) за доказательство реализации катастрофического сценария. Если ее «взламывают», она исправляется, а потом и повышает приз — скажем, до 20 млн. рублей. По сути, появляется метрика «сколько стоит тебя сломать». Это очень наглядно и понятно для бизнеса.

Андрей Янкин: «Черные лебеди» по определению непредсказуемы, но если фантазировать, то главная зона неизвестности — ИИ: и как объект атаки, и как инструмент злоумышленников. При этом защищающаяся сторона объективно отстает. К тому же, происходит деградация экспертизы: из-за использования ИИ разработчики и безопасники перестают понимать, как работают системы, которые они же и создают.

Есть долгосрочные риски — квантовые вычисления, которые могут похоронить все современное шифрование, возможные социальные и технологические кризисы. Настоящие «черные лебеди», к которым никто не готов заранее.

Андрей Янкин: ИБ перестает быть спокойной офисной работой. Сегодня это скорее спецназ. Нужны люди, которые умеют работать в стрессе, мобилизоваться, проходить внеплановые учения.

Мы видели реальные ситуации, когда опытные ИБ-руководители во время атаки буквально впадали в ступор — не могли принимать простейшие решения. Людей надо тренировать, никакая теория тут не поможет. Но кто-то оказывается реально профнепригоден и должен поискать работу поспокойнее. Требования к людям изменились кардинально.

Андрей Янкин: Единственный критерий истины сегодня — это практика. Любая теоретическая защита — это гарантированно неработающая защита. Учения, симуляции, «боевые» проверки — вот теперь наши альфа и омега. Без них в современном мире делать нечего.