Подписаться
Читать в телеграм
В эпоху сложных и целевых кибератак выигрывает не тот, кто надеется, что его не сломают, а тот, кто умеет оперативно обнаружить вторжение, продолжить работать под атакой и быстро восстановиться. В этой статье рассмотрим основные подходы к достижению этих целей.
Без права на восстановление: новая этика хакеров
За период с января по конец ноября 2025 года Центр мониторинга и реагирования на инциденты Jet CSIRT зафиксировал более 10 тысяч инцидентов ИБ. И хотя количественные показатели остались на уровне 2024-го, качественная картина угроз претерпела значительные изменения.
Девизом кибератак последних лет стало «совершенствование вместо революции»: постоянное улучшение арсенала, оттачивание методов уклонения от обнаружения, переиспользование инфраструктуры других группировок, широкое применение инструментов ИИ — все это позволило проводить сложные атаки на цепочки поставок и использовать многошаговые схемы заражения ИТ-инфраструктуры.
При этом заметно поменялись мотивы атакующих: по мере роста устойчивости компаний к DDoS-атакам, «обесценивания» дефейсов, усиления геополитической напряженности, хакеры перешли к тактике «выжженной земли». Ключевая цель — остановить бизнес, поэтому 44% киберугроз — это атаки шифровальщиков, а еще 32% связаны с вайперами, которые стремятся полностью уничтожить инфраструктуру.
В условиях эволюции тактики атакующих компрометация инфраструктуры — лишь вопрос времени. Ответом должна стать трансформация защиты — переход от обороны «замка» (превентивной защиты периметра, до сих пор доминирующей во многих отраслях) к реализации динамичной, антихрупкой архитектурной модели.
Побеждает не тот, кто не падает, а тот, кто быстрее встает
Клиенты, регулирующие органы и акционеры ожидают от бизнеса способности переживать любой кризис. Кому-то везет больше — и он отделывается легким испугом, а кто-то на недели прекращает операционную деятельность. Поэтому умение обнаруживать атаки, нивелировать их последствия и оперативно восстанавливаться после них становится куда более важным, чем реализация просто защиты. Такая выживаемость компании в любой кризис получила название «киберустойчивость».
Необходимость обеспечения киберустойчивости обусловлена сочетанием неизбежных киберугроз, сложных цифровых зависимостей, высокой стоимости простоя, ожиданий заинтересованных сторон и требований регулирующих органов
В России начали говорить о киберустойчивости еще в 2017 году, и с тех пор проблема только обострилась. Необходимость в превентивных мерах никуда не исчезла — возникла потребность в их качественном дополнении. Так, Банк России выпустил директивы по операционной надежности, а на международном уровне появились лучшие практики, посвященные киберустойчивости: Индекс киберустойчивости от Всемирного экономического форума (WEF), Обзор киберустойчивости (Cyber Resilience Review, CRR) от Министерства внутренней безопасности США (DHS), Фреймворк кибероценки (Cyber Assessment Framework, CAF) от Национального центра кибербезопаснос-
ти Великобритании (NCSC).
Киберустойчивость — комплексная дисциплина, выходящая за рамки классической кибербезопасности. Она объединяет планирование непрерывности бизнеса (BCM), аварийное восстановление (DR), защиту информации и антикризисное управление. Таким образом, базовым условием устойчивости является конвергенция трех функций: ИТ, ИБ и BCM — в единый процесс управления.
*Результаты исследования аналитической команды «Инфосистемы Джет» за три года наблюдений среди более чем 250 респондентов — руководителей служб ИБ.
Сейчас на российском рынке такая синергия практически не встречается. Причин здесь несколько:
- ИТ и ИБ редко «дружат семьями», поэтому реальная операционная готовность к инцидентам у большинства российских компаний остается низкой. За практики непрерывности чаще отвечает ИТ-департамент, в область интересов которого входят инфраструктурные сервисы и бизнес-системы, а не бизнес-процессы в целом.
- Российские фреймворки по киберустойчивости практически отсутствуют. На международной арене киберустойчивые практики «разбросаны» по различным стандартам и требуют адаптации под специфику и опыт российского ИБ-рынка.
На практике киберустойчивость означает не внедрение супертехнологий, а реализацию разумных стратегий с фокусированием на проблемных сферах. Мы решили собрать такие киберустойчивые стратегии, переосмыслить их и адаптировать к российским реалиям. Итогом нашей работы стал фреймворк «Антихрупкая ИТ-архитектура».
Подход к антихрупкости как готовность к появлению «черных лебедей»
Хорошо применимая к ИТ-сфере концепция «черного лебедя», описанная Нассимом Талебом в одноименном бестселлере 2007 года, легла в основу фреймворка «Антихрупкая ИТ-архитектура».
Чтобы дать сообществу открытый и практичный инструмент, мы объединили опыт инженеров, аудиторов, консультантов и наших экспертов-практиков по защите сети и построению ИТ-инфраструктуры. Ежегодно мы выполняем сотни проектов, помогая бизнесу выстраивать кибербезопасность, тестировать устойчивость и восстанавливаться после атаки.
Сценарии использования фреймворка отражают основные потребности рынка:
- оценка: единый инструмент — «линейка» зрелости для сравнения с конкурентами и отраслевыми лидерами;
- планирование: каталог проверенных практик для выбора вектора развития;
- трансформация: поэтапная методика наращивания киберустойчивости от текущего состояния к целевому.
Чтобы сохранять общее видение («в крупную клетку») и при этом гибко реагировать на изменения, мы построили фреймворк по каскадной модели — от общего к частному. Такой подход позволяет перейти от стратегий к тактике:
Четыре дистанции до атаки
В условиях постоянных атак высока вероятность того, что развитие инцидента пойдет по неожиданному сценарию, поэтому требуется совсем иначе расставлять акценты в организации защиты. И если посмотреть на обеспечение киберустойчивости как на непрерывный цикл, определяющийся временем до, во время и после атаки, можно выделить четыре ключевые «дистанции».
Подготовка к вторжению
Важны регулярные проверки, обучение, инвестиции в ИБ и прогнозирование рисков: оценка возможного ущерба, анализ угроз и потенциальных противников.
Слева от вторжения
Атака близка. В ход идут вовлечение злоумышленника, активная защита и сдерживание. Цель — выявить нарушителя, остановить его или замедлить.
Справа от вторжения
Атака уже произошла. На первый план выходят обнаружение, реагирование и восстановление. Все сценарии должны быть продуманы заранее, включая план Б на случай катастрофы.
После вторжения
Глубокий анализ произошедшего, а также пересмотр политик и архитектуры безопасности по его результатам. Именно здесь формируется новая, более сильная «иммунная система» организации.
Семь стратегий и десять принципов антихрупкости
Устойчивость — это потенциал, который необходимо постоянно поддерживать и укреплять. Накопить его позволяют семь стратегий антихрупкости, составляющие каркас фреймворка:
- системное развитие и контроль;
- подготовка и прогнозирование;
- вовлечение и нападение;
- защита, замедление и сдерживание;
- обнаружение и реагирование;
- восстановление;
- адаптация и перестройка.
Эти стратегии помогают подготовиться, эффективно предотвратить или замедлить действия атакующего, вовремя среагировать на них и восстановиться, если все пошло не по плану. Каждая из них эффективна на той или иной фазе реализации инцидента.
Правильно комбинируя эти стратегии, мы можем добиться эффективности – предотвратить или уменьшить ущерб, обеспечив операционную устойчивость. И в случае инцидента восстановиться не за неделю, а за дни или часы.
Чтобы раскрыть, как реализуется та или иная стратегия на практике, мы сформировали 10 принципов киберустойчивости.
Домены и практики
В текущей версии фреймворка представлены 33 домена и почти 400 различных практик. Это не только практики кибербезопасности, но и экспертиза по таким вопросам, как:
- управление надежностью;
- планирование и поддержка кризисных процессов;
- управление репутационными рисками в условиях киберинцидента;
- управление видимостью цифрового ландшафта;
- безопасность систем искусственного интеллекта;
- управление киберустойчивой архитектурой ИБ;
- и многие другие подходы для обеспечения антихрупкости ИТ-архитектуры.
Ознакомиться с фреймворком можно в электронной версии номера (стр. 158-159)
Вместо заключения
За последние годы индустрия ИБ стала более прагматичной: настало время практиков, а не теоретиков. И в движении к реальной киберустойчивости нужен надежный фреймворк как чек-лист, чтобы ничего не забыть. В компании «Инфосистемы Джет» фреймворк антихрупкой ИТ-архитектуры определяет вектор развития, а его наполнение обеспечивают десятки внутренних проектов:
- безопасный доступ для подрядчиков;
- система безопасных бэкапов;
- перестройка бизнес-процессов платежей;
- микросегментация сети;
- развитие внутреннего SOC;
- и многие другие.
Антихрупкий подход к построению ИТ-архитектуры — направление, куда будет двигаться индустрия в перспективе ближайших лет.
