Определение угроз информационной безопасности

от

«Если спросить специалиста по безопасности, от каких угроз он защищается, часто можно услышать абстрактные списки из стандартов. Но суть не в создании идеального каталога, а в переводе безграничной абстрактной опасности в конкретные бюджетные статьи, технические конфигурации и инструкции для сотрудников. Это процесс фильтрации бесконечного шума, цель которого — выделить те угрозы, которые реально угрожают конкретному бизнесу здесь и сейчас. В условиях российского регулирования эта работа не просто «хорошая практика» — она обязательна и определяет, будет ли система защиты признана обоснованной перед лицом ФСТЭК и Роскомнадзора.»

Классификация угроз по источнику

Исходное разделение на внешнее и внутреннее задаёт фундаментальный водораздел в стратегии защиты. Первое требует построения надёжного периметра и фильтрации всего входящего, второе — контроля легитимных сессий уже внутри и минимизации ущерба от действий тех, кто формально имеет право находиться в системе. Пренебрежение этим различием приводит к ситуации «непробиваемой стены с открытой калиткой внутри».

Внешние угрозы

Источник этих угроз находится за пределами контролируемой организацией инфраструктуры. Динамика изменилась от единичных взломов к промышленному и государственному масштабам. Фоновый шум массовых автоматизированных атак — это лишь разминка; основные риски связаны с целенаправленными операциями.

  • Целенаправленные атаки (APT) — это долгосрочные, хорошо финансируемые кампании, часто с элементами кибершпионажа или саботажа. Их цель — не сиюминутная прибыль, а глубокая, зачастую скрытная компрометация для сбора информации, наблюдения или подготовки к дестабилизирующему воздействию.
  • Массовые автоматизированные кампании — постоянный низкоуровневый шум: брутфорс-атаки на RDP и SSH, сканирование портов на уязвимости, массовый фишинг, рассылки шифровальщиков. Риск стать жертвой возникает не из-за целенаправленного интереса, а из-за банальной уязвимости, попавшей в автоматический сканер.
  • Атаки на критическую информационную инфраструктуру (КИИ) — нацелены на объекты, отнесённые к КИИ, с целью их дестабилизации или вывода из строя. Отличаются использованием сложных, часто ранее неизвестных уязвимостей (zero-day) и политической или стратегической подоплёкой.
  • Компрометация цепочки поставок — атака на доверенного поставщика ПО, облачного сервиса или библиотеки зависимостей. Цель — внедрение бэкдора во все продукты, которые он распространяет, что эффективно стирает границу между «внешним» и «внутренним» для сотен конечных организаций.

Внутренние угрозы

Исходят от лиц, уже обладающих легальным доступом: сотрудников, подрядчиков, бывших работников. Главная опасность в том, что они изначально находятся внутри периметра, а их действия часто выглядят как обычная рабочая активность.

  • Умышленные действия инсайдера — целенаправленная кража данных, саботаж, установка вредоносного ПО. Мотивация — финансовая выгода, месть, шантаж или работа на конкурентов. Наибольший ущерб могут нанести привилегированные пользователи: системные администраторы, архитекторы, руководители подразделений.
  • Неосторожные действия и ошибки — отправка конфиденциального отчета не тому адресату, ошибочное удаление данных, смена критической конфигурации. Не требуют злого умысла, но их последствия могут быть катастрофическими. Это самый частый источник инцидентов.
  • Злоупотребление полномочиями — использование своих законных прав доступа для действий вне рамок служебных обязанностей. Например, системный администратор просматривает личную переписку сотрудников, а бухгалтер — зарплаты коллег. Без системы детального аудита такие действия могут годами оставаться незамеченными.
  • Компрометация легитимной учётной записи — классическая внешняя атака (фишинг, кейлоггер, утечка паролей) превращается во внутреннюю угрозу, когда злоумышленник получает доступ под учётной записью реального сотрудника, обходя многие периметровые средства защиты.

Классификация по типу воздействия и природе

Этот взгляд отвечает на вопрос «какова природа воздействия?» и помогает подобрать адекватные механизмы противодействия — от технического резервирования до юридического сопровождения.

Тип угрозы Источник / Примеры Основные меры противодействия
Техногенные Отказы оборудования (серверов, СХД, сетевого «железа»), сбои в работе ПО, ошибки проектирования архитектуры, DDoS-атаки, вызывающие отказ в обслуживании. Резервирование (N+1, географическое), отказоустойчивые кластеры, системы мониторинга, нагрузочное тестирование, грамотное проектирование с учётом SLA.
Антропогенные Действия человека: фишинг, социальная инженерия, умышленное нарушение политик, ошибки администрирования (ошибочное правило в файрволе). Самый распространённый и наименее предсказуемый источник. Регулярное обучение и повышение осведомленности (Security Awareness), жёсткие регламенты, контроль их соблюдения, технические ограничения (например, запрет на запуск исполняемых файлов с сетевых дисков или USB).
Природные (силового воздействия) Пожары, наводнения, землетрясения, длительные отключения электроэнергии на площадке ЦОДа. Часто носят катастрофический характер для локальной инфраструктуры. Географическая дисперсия (разнесение дата-центров), системы аварийного электропитания (ИБП, дизель-генераторы), утверждённые и протестированные планы аварийного восстановления (Disaster Recovery Plan). Для объектов КИИ — обязательное требование.
Организационно-правовые Изменения в законодательстве (новые поправки к 152-ФЗ, приказы ФСТЭК или ФСБ), внеплановые проверки регуляторов, судебные иски из-за утечек данных, репутационные потери. Регулярный мониторинг изменений в нормативной базе, проактивная адаптация политик безопасности, ведение обязательной документации (модели угроз, отчёты об оценке рисков), юридическое сопровождение.

Топ-5 актуальных векторов атак для российской ИТ-инфраструктуры

Это не теоретический список, а отражение трендов, которые регулярно фигурируют в отчётах об инцидентах. Фокус на этих векторах позволяет правильно расставить приоритеты при планировании защиты.

1. Атаки через цепочки поставок

Компрометация одного звена — обновления ПО, популярной библиотеки с открытым кодом, сервиса мониторинга — даёт ключ ко множеству конечных организаций. Защита требует не только технических мер (запуск обновлений в изолированной «песочнице» для анализа, контроль целостности), но и организационных: тщательного аудита вендоров, анализа их практик безопасности и включения соответствующих гарантий в договоры.

2. Целевой фишинг (Spear-Phishing) и социальная инженерия

Эволюция от массовых «письм счастья» к персонализированным атакам. Используются слитые базы данных, открытые источники (соцсети, корпоративные сайты), а в последнее время — генеративные модели для создания убедительных текстов, изображений и даже голосовых подделок (глубокие фейки). Цель — заставить конкретного сотрудника совершить целевое действие: перевести деньги, открыть вредоносный документ или выдать учётные данные.

3. Эксплуатация незакрытых уязвимостей и систем с прекращённой поддержкой

Значительная часть корпоративного парка до сих пор работает на системах, поддержка которых официально прекращена (EOL), например, Windows Server 2012 R2, устаревшие версии CMS. Патчи безопасности для них не выпускаются, что делает их приоритетными целями для сканеров. Отдельная категория риска — эксплуатация уязвимостей «нулевого дня» (zero-day) в актуальном ПО, против которых защиты ещё не существует.

4. Компрометация систем удалённого доступа

Сервисы RDP, VPN, веб-интерфейсы для администрирования облачных платформ (AWS Console, Azure Portal) стали ключевыми точками входа. Их атакуют методом перебора учётных данных, используя утёкшие в публичный доступ пароли или простые комбинации. Отсутствие многофакторной аутентификации (MFA) для подобных сервисов сегодня — грубая архитектурная ошибка.

5. Программы-вымогатели двойного действия

Современные шифровальщики действуют по схеме «украсть перед тем, как зашифровать». Сначала злоумышленники тихо похищают конфиденциальные данные (базы клиентов, финансовую отчётность, интеллектуальную собственность), и только потом приводят в действие механизм шифрования. Это позволяет оказывать двойное давление: требовать выкуп за ключ дешифрования и одновременно угрожать публикацией украденных данных, что влечёт репутационные потери и штрафы по 152-ФЗ.

Типовые уязвимости инфраструктуры, выявляемые при аудите

Эти недостатки — не гипотетические риски, а конкретные пробелы, которые специалисты находят с пугающей регулярностью. Их наличие — прямой индикатор недостаточной зрелости системы защиты.

  • Отсутствие сегментации сети (плоская сеть). После компрометации одной рабочей станции злоумышленник получает возможность беспрепятственно перемещаться между серверами приложений, базами данных и системами управления.
  • Прямой доступ к критическим системам из интернета. Интерфейсы СУБД (например, порт 5432 для PostgreSQL), панели администрирования (phpMyAdmin) или системы управления (Kubernetes Dashboard) доступны без промежуточных бастион-хостов или выделенных каналов.
  • Эксплуатация систем с прекращённой поддержкой (EOL) в продуктивном контуре без каких-либо компенсирующих мер, таких как строгая изоляция в отдельном сегменте сети, применение WAF или усиленный мониторинг их активности.
  • Учётные записи с привилегиями по умолчанию или со слабыми/стандартными паролями (например, root:root, admin:admin). Часто встречаются в IoT-устройствах, принтерах, камерах видеонаблюдения.
  • Отсутствие политик ограничения исполнения кода (например, через AppLocker в Windows или аналоги в Linux). Это позволяет вредоносным скриптам из вложений писем или с сетевых дисков запускаться без препятствий.
  • События безопасности не собираются или не анализируются. Отсутствие корректно настроенной SIEM-системы делает организацию «слепой» к аномальной активности, такой как подбор паролей или перемещение по сети в нерабочее время.
  • Неконтролируемое распространение прав администратора. Слишком широкий круг пользователей имеет права локального администратора на своих ПК или, что хуже, привилегии администратора домена.
  • Сервисы удалённого доступа (RDP, SSH, VNC) открыты в интернет без применения многофакторной аутентификации или без ограничения доступа по белым спискам IP-адресов.
Схематичный план типичной плоской сети, на котором стрелками показан путь движения злоумышленника: от фишингового письма на рабочую станцию пользователя -> переход на файловый сервер -> доступ к серверу БД -> компрометация контроллера домена.

Принцип управления угрозами через оценку рисков

Попытка защититься от всего приводит к распылению бюджета и созданию иллюзии безопасности. Эффективный подход строится на управлении рисками: целенаправленном выявлении, анализе и приоритизации угроз для конкретных бизнес-процессов. Процесс включает три этапа: 1) инвентаризацию и оценку ценности активов (что защищаем и насколько это критично для бизнеса?), 2) анализ вероятных источников и методов атаки на эти активы, 3) оценку вероятности реализации угрозы и потенциального финансового или репутационного ущерба.

Такой подход переводит безопасность из реактивного режима «латания дыр» после инцидента в проактивное управление. Ресурсы вкладываются в меры, которые максимально снижают наиболее значимые для организации риски. Для операторов персональных данных (152-ФЗ) и объектов КИИ этот процесс формализован требованием о разработке модели угроз — документа, который служит прямым обоснованием для выбора и внедрения конкретных защитных мер. Без утверждённой модели угроз система защиты считается технически необоснованной с точки зрения регулятора.

Рекомендации для организаций — операторов персональных данных (152-ФЗ)

Работа с персональными данными накладывает специфические обязательства. Защита информационных систем персональных данных (ИСПДн) требует не просто общих мер, а их строгого соответствия установленным требованиям. Приоритетными становятся следующие области:

  • Жёсткий контроль доступа с обязательной многофакторной аутентификацией (MFA). MFA должна быть применена для всех учётных записей, имеющих доступ к ИСПДн. Принцип наименьших привилегий должен быть реализован на техническом уровне, а не только в политике.
  • Регламентированный и контролируемый процесс управления обновлениями. Должен быть утверждённый график установки обновлений безопасности для всего ПО, входящего в ИСПДн. Использование неподдерживаемых версий — исключение, требующее формального обоснования и введения дополнительных компенсирующих мер контроля.
  • Обязательный сбор и анализ журналов событий безопасности. Настройка SIEM для агрегации логов всех критических компонентов ИСПДн (серверов приложений, БД, средств защиты) — это не только формальное требование, но и основа для обнаружения аномалий и расследования инцидентов.
  • Регулярный пересмотр и очистка прав доступа. Проведение процедурных аудитов не реже раза в квартал для своевременного отзыва прав у уволившихся сотрудников и корректировки полномочий при смене должностных обязанностей.
  • Непрерывное обучение персонала, работающего с ПДн. Необходим переход от формальных ежегодных инструктажей к регулярным (например, ежеквартальным) коротким сессиям о новых тактиках фишинга, правилах обработки ПДн и персональной ответственности. Сотрудник должен стать не слабым звеном, а первым рубежом обороны.
  • Подготовленный и актуальный план реагирования на инциденты с ПДн. Документ должен быть утверждён, известен ответственным лицам и регулярно тестироваться на учениях. В нём чётко прописываются шаги по локализации инцидента, уведомлению Роскомнадзора (в установленные законом 72 часа) и восстановлению нормального режима обработки данных.

Интеграция с требованиями ФСТЭК для КИИ и государственного сектора

Для операторов критической информационной инфраструктуры (КИИ) и государственных информационных систем работа с угрозами строго регламентирована документами ФСТЭК России. Здесь модель угроз — не рекомендательный, а обязательный нормативный документ, основа для всех последующих действий. Её разработка ведётся с учётом «Базовой модели угроз безопасности информации» ФСТЭК и отраслевых перечней угроз.

Ключевые аспекты, на которые обращают внимание при проверках соответствия:

  • Актуальность и полнота перечня угроз. Документ должен регулярно пересматриваться и обновляться с учётом изменений в инфраструктуре, внедрения новых технологий и актуальной киберобстановки. Застывшая на год модель считается недействительной.
  • Реализация мер противодействия инсайдерским угрозам. Требуется наличие не только политик, но и технических средств контроля действий привилегированных пользователей (PAM-системы), средств защиты от утечек данных (DLP) и регламентов их применения.
  • Корректная классификация информационных активов. Точное выделение критически важных объектов (КВО) и информационных ресурсов. Ошибка на этом этапе ведёт к неверному распределению ресурсов защиты и нарушению требований по уровню защищённости.
  • Прямая и прослеживаемая связь модели угроз с политиками и мерами защиты. Каждая организационная и техническая мера, прописанная в документации по безопасности, должна иметь чёткую ссылку на конкретные угрозы из утверждённой модели. Защита «на всякий случай» или «потому что так у всех» не принимается регулятором.

Таким образом, в контексте требований ФСТЭК определение угроз трансформируется из аналитического упражнения в строгую инженерную задачу по обоснованию архитектуры системы защиты. Каждый внедряемый элемент — от межсетевого экрана до регламента — должен документально закрывать конкретную, формально идентифицированную угрозу.

Загрузка…

Оставьте комментарий