Softline: защита от вайперов требует архитектуры выживания, а не только бэкапов
Читайте в Telegram
|
В кибербезопасности долгое время главным разрушительным сценарием считались атаки шифровальщиков.
Их логика была понятна: злоумышленники блокировали данные, требовали выкуп и оставляли компании хотя бы теоретический шанс на восстановление. Но в последние годы все заметнее другой класс угроз - вайперы. Это вредоносное ПО создается не для заработка, а для уничтожения данных и вывода инфраструктуры из строя.
Главное отличие вайпера от шифровальщика в цели атаки. Шифровальщик работает как криминальный инструмент монетизации: данные блокируются, а жертве предлагают заплатить за ключ восстановления. Вайпер действует иначе. Его задача - не получить деньги, а нанести максимальный ущерб. Он может стирать данные напрямую, повреждать загрузочные записи, уничтожать файловые системы или имитировать шифрование, после чего ключ восстановления исчезает или вообще не создается.
Эту разницу важно понимать уже в первые минуты инцидента. Внешне атака вайпера может напоминать работу вымогателя: на экране появляется сообщение, инфраструктура перестает работать, пользователи теряют доступ к файлам. Но если команда ИБ воспринимает происходящее как обычное шифрование и начинает обсуждать переговоры или возможность выкупа, она теряет самое ценное - время на изоляцию систем и сохранение незатронутых данных.
Директор по продажам компании «ГИГАНТ Компьютерные системы» Алексей Колодка подчеркивает, что шифровальщики и вайперы действительно похожи по внешним проявлениям, но принципиально различаются по назначению. Классический шифровальщик рассчитан на выкуп, поэтому механизм восстановления обычно заложен в саму модель атаки. Вайпер, напротив, ориентирован на разрушение: его цель - уничтожить данные или сделать восстановление невозможным.
По словам Алексея Колодки, отличается и типология целей. Шифровальщики чаще направлены на коммерческие организации с достаточными финансовыми ресурсами, где можно рассчитывать на выкуп. Вайперы чаще применяются против государственных, окологосударственных и критически важных структур. В таких атаках ценность имеет не монетизация, а деструктивный эффект, остановка процессов и демонстративный ущерб.
Поэтому стратегия реагирования должна строиться не из оптимистичного сценария, а из предположения, что перед компанией может быть именно вайпер. Если ошибочно принять разрушительную атаку за классическое шифрование, организация может упустить окно, в котором еще можно отключить резервные системы, изолировать сегменты и сохранить часть инфраструктуры.
«В первые часы инцидента целесообразно исходить из более жесткого сценария, как если бы это был вайпер. Это предполагает немедленную изоляцию сегментов, отключение резервных систем от сети, блокировку подозрительных учетных записей и приоритетную защиту инфраструктуры резервного копирования», - отмечает Алексей Колодка.
Вайпер-атака почти никогда не начинается с финального уничтожения данных. Массовое стирание - это последняя и самая короткая фаза. До нее злоумышленники могут неделями находиться внутри инфраструктуры: закрепляться в сети, повышать привилегии, изучать архитектуру, искать контроллеры домена, системы хранения, резервные копии, гипервизоры и средства централизованного управления.
На ранних стадиях такая активность может выглядеть как обычное администрирование. Атакующие используют легитимные инструменты, системные команды, удаленный доступ и штатные механизмы управления. Именно поэтому признаки подготовки к вайпер-атаке часто теряются среди обычного ИТ-шума. Но есть сигналы, которые должны насторожить: попытки массового удаления теневых копий, отключение служб резервного копирования, повреждение загрузочных областей, изменение политик, подозрительная активность с привилегированными учетными записями, очистка журналов событий и атаки на контроллеры домена.
Типовой жизненный цикл такой атаки развивается по нескольким этапам. Сначала злоумышленники получают первичный доступ - через фишинг, уязвимость во внешнем сервисе, скомпрометированный VPN, учетные данные подрядчика или купленный доступ. Затем они закрепляются в инфраструктуре, создают дополнительные учетные записи, разворачивают инструменты удаленного управления и проводят разведку. После этого начинается латеральное перемещение: атакующие ищут критические узлы, расширяют контроль и готовят механизм массового запуска вредоносного кода.
Финальная фаза может быть очень быстрой. Вайпер распространяется по инфраструктуре через групповые политики, планировщики задач, системы управления конфигурациями или другие штатные инструменты. Если у злоумышленников уже есть доменные привилегии, ущерб может стать лавинообразным: серверы, рабочие станции и хранилища выходят из строя почти одновременно.
Главная сложность для команды реагирования в том, что первые часы проходят в условиях неопределенности. Поврежденные файловые системы могут выглядеть как технический сбой, часть журналов уже уничтожена, а действия атакующих замаскированы под легитимную активность. Поэтому ошибаться лучше в сторону более жесткой реакции: изолировать сегменты, отключать потенциально скомпрометированные узлы, блокировать подозрительные учетные записи и защищать резервный контур.
Алексей Колодка отмечает, что неопределенность типа вредоносного ПО должна смещать стратегию реагирования в сторону максимальной изоляции. При разрушительной атаке избыточная реакция безопаснее, чем недооценка сценария. Если это окажется шифровальщик, часть действий можно будет откатить. Если это вайпер, промедление может стоить всей инфраструктуры.
Отдельная зона риска - резервное копирование. Долгое время бэкапы воспринимались как универсальный ответ на любые инциденты: если данные потеряны, их можно восстановить. Но вайперы меняют эту логику. Современные атакующие понимают ценность резервных копий и почти всегда пытаются уничтожить их до запуска основной разрушительной фазы.
Проблема в том, что во многих компаниях резервное копирование слишком тесно связано с основной инфраструктурой. Если система бэкапов использует доменную аутентификацию, находится в том же контуре управления и доступна тем же администраторам, при компрометации домена она становится такой же уязвимой, как рабочие данные. В этом случае резервные копии могут исчезнуть одновременно с основной инфраструктурой.
Поэтому бэкап в условиях вайпер-угрозы должен быть не просто регулярным, а устойчивым к компрометации. Нужны неизменяемые копии, изолированный резервный контур, физически или логически отделенные офлайн-копии, защита серверов резервного копирования и регулярная проверка восстановления. Бэкап, который существует только формально, но не восстанавливается быстро и предсказуемо, в реальном инциденте бесполезен.
Фактически компании приходится переходить от логики «сохранять данные на всякий случай» к архитектуре выживания. Задача резервного копирования - не просто хранить информацию, а гарантировать, что хотя бы одна копия переживет компрометацию домена, уничтожение основных систем и попытку атакующих стереть следы.
Еще один ключевой принцип защиты от вайперов - ограничение радиуса поражения. Полностью исключить проникновение невозможно, особенно в сложной инфраструктуре с подрядчиками, удаленным доступом, облачными сервисами и множеством учетных записей. Поэтому архитектура должна быть устроена так, чтобы компрометация одного сегмента не позволяла уничтожить все сразу.
Технический директор MD Audit ГК Softline Юрий Тюрин считает, что в таких сценариях наиболее эффективна строгая сегментация сети с ограничением распространения привилегий. Если администраторские домены, серверы резервного копирования и критичные сервисы изолированы, масштаб разрушения можно существенно сократить. Отдельное значение имеет защита Active Directory, поскольку компрометация доменной инфраструктуры часто становится точкой централизованного запуска вредоносного кода.
По словам Юрия Тюрина, раздельные домены администрирования, многофакторная аутентификация для привилегированных учетных записей, минимизация прав доступа и отказ от универсальных администраторских учетных записей снижают риск лавинообразного распространения атаки. Наиболее критичными остаются два элемента: защита Active Directory и изоляция резервного контура. Именно они во многом определяют, сохранится ли у компании возможность восстановления после разрушительного инцидента.
Такой подход меняет саму философию защиты. В классической модели компания пытается построить максимально прочный периметр. В модели киберустойчивости она исходит из того, что периметр может быть пробит, а значит, инфраструктура должна уметь локализовать ущерб. Один сегмент может быть скомпрометирован, но это не должно автоматически приводить к остановке всей сети.
Для этого нужны не только технологии, но и заранее отработанные процессы. Команда должна понимать, кто принимает решение об отключении сегмента, как быстро изолируются хранилища, какие учетные записи блокируются в первую очередь, где находятся актуальные резервные копии и как проверяется их целостность. В момент вайпер-атаки времени на обсуждение регламентов не будет.
Вайперы показывают, что классическая периметровая защита больше не гарантирует безопасность. Даже хорошо защищенная инфраструктура может быть скомпрометирована. Вопрос в другом: сможет ли организация пережить атаку, сохранить критичные данные и восстановить работу до того, как ущерб станет необратимым.
Поэтому фокус постепенно смещается от предотвращения любого инцидента к киберустойчивости. Это способность инфраструктуры продолжать работу или быстро восстанавливаться даже после разрушительной атаки. Для этого нужны сегментация, защищенный Active Directory, изолированные резервные копии, контроль привилегий, мониторинг подозрительной активности и готовность к жесткой изоляции систем в первые часы инцидента.
В конечном счете задача ИБ уже не только в том, чтобы не допустить атаку. В случае с вайперами важно сделать так, чтобы даже самый тяжелый сценарий не превращал всю инфраструктуру в цифровую «выжженную землю».
