Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
115

Как защититься от хакеров – план выживания для бизнеса

Масштабный взлом «Аэрофлота» обернулся отменами рейсов, очередями и сбоями сервисов. Разбор причин и последствий, реальные сроки восстановления и практические шаги защиты: контроль сети, защита от ботов, управление уязвимостями и комплаенс

Содержание

ИТ-системы «Аэрофлота» дали сбой – компания официально сообщила о кибератаке и предупредила о корректировке расписания. Работа ключевых сервисов нарушена: часть цифровых каналов недоступна, в крупных аэропортах фиксировались очереди и сложности с оформлением перевозок. Генпрокуратура возбудила дело по статье о неправомерном доступе к компьютерной информации, ситуацию контролируют Минтранс и Росавиация.

attack.png

Атакующие получили доступ к полной истории перелетов, выгрузили записи внутренних телефонных разговоров, открыли архивы видеонаблюдения – включая зоны с персоналом – и удалили ключевые внутренние системы, фактически парализовав работу компании.

Для бизнеса это показательный кейс: единичный инцидент в ИТ способен быстро распространиться на операционку и каналы обслуживания, затронув клиентов и партнеров.

Тысячи пассажиров не смогли попасть на самолеты – и что дальше

Авиакомпания уведомила об отменах и перебоях в сервисах и предложила стандартные опции: возврат полной стоимости билета за отмененный перелет либо перебронирование на доступные рейсы при восстановлении работы систем или через офлайн-каналы. Сроки зависят от канала покупки и загруженности операторов, поэтому многие оформляют возвраты после стабилизации сервисов.

Как правило, возвращаются только деньги за сам билет по отмененному участку. Дополнительные траты – отели, трансферы, билеты других перевозчиков по отдельным бронированиям – чаще всего не возмещаются. Пассажирам рекомендуют сохранять посадочные талоны, подтверждения брони и чеки, чтобы при необходимости подтвердить расходы после восстановления каналов связи.

Взлом «Аэрофлота» и последствия для компании

Взлом «Аэрофлота»: прямые издержки и косвенный ущерб

Сбой в ИТ ударил сразу по операциям и выручке. Когда не работают сайт, приложение и часть внутренних систем, продажи замирают, расписание рвется, ресурсы уходят на ручные процедуры и разбор очередей. Это формирует два слоя потерь – денежные и репутационные.

Прямые издержки

  • отмены и задержки рейсов, пересадки через других перевозчиков;
  • возвраты и перебронирования, дополнительные выплаты пассажирам по внутренним правилам;
  • экстренное восстановление инфраструктуры – подрядчики, лицензии, оборудование, сверхурочная работа персонала;
  • простой каналов продаж и допзатраты на поддержку.

Косвенный ущерб

  • снижение доверия к бренду и падение лояльности постоянных клиентов;
  • риски штрафов и претензий от партнеров по SLA;
  • медиаповестка и негатив в соцсетях, который влияет на будущие продажи;
  • перегрузка служб и выгорание персонала, что тянет качество сервиса вниз.
list.png

По оценкам экспертов, восстановление критических систем может занять от нескольких недель до полугода, а полная стабилизация – растянуться до года. Диапазон ущерба в подобных кейсах оценивается в десятки миллионов долларов – ориентир 10–50 млн в зависимости от масштаба разрушений и длительности простоя.

Причины просты: приходится поднимать инфраструктуру заново, восстанавливать данные из изолированных бэкапов, чистить доступы и роли, проверять, не осталось ли следов атакующих, пересобирать интеграции (включая Sabre, Exchange и CRM), заново настраивать защиту и регламенты. На это накладываются тесты, аудит и постепенный возврат сервисов, чтобы не повторить взлом систем «Аэрофлота» и других компаний.

Почему так бывает: типовые причины масштабных компрометаций

Когда атакующий попадает в инфраструктуру, дальше все упирается в видимость, доступы и скорость реакции. Ниже – типовые причины, из-за которых локальный инцидент превращается в кризис.

  • Длительное скрытое присутствие – злоумышленники закрепляются в сети и работают под легитимными учетными записями, оставаясь незаметными неделями.
  • Слабый контроль доступа и привилегий – нет многофакторной аутентификации, не используется PAM, права выданы «с запасом», встречаются общие учетки.
  • Пробелы в инвентаризации активов – часть узлов и сервисов никто не видит; реестр неактуален, из-за чего уязвимости остаются на забытых системах.
  • Отложенные обновления и технический долг – критические уязвимости живут неделями, потому что нет приоритезации по бизнес-критичности.
  • Недостаточная сегментация сети – плоская сеть облегчает боковое перемещение и быстрый захват соседних систем.
  • Экспонированные внешние сервисы – открытые RDP/VPN без MFA, панели администрирования, публичные облачные бакеты и ошибки в конфигурации.
  • Фишинг и социальная инженерия – все еще самая частая входная точка, особенно при слабой культуре безопасности.
  • Инсайдерский фактор – доступ изнутри ускоряет атаку и помогает обходить детектирование.
  • Уязвимые или несоответствующие бэкапы – копии не изолированы, нет неизменяемых резервов, поэтому их шифруют или удаляют первыми.
  • Мониторинг без глубины – логи есть, но нет корреляции событий и анализа трафика (NDR), сигнал тонет в шуме алертов.
  • Нет процесса VM/HCC – управление уязвимостями и хардениг не встроены в регламент, исправления идут по наитию.
  • Риски в цепочке поставок – доступы подрядчиков, агенты и обновления сторонних систем становятся обходным путем внутрь сети.

Общая причина сходится к одному: недостаток видимости и процессов. Когда компания не видит все активы, не управляет уязвимостями по риску и не контролирует сетевой трафик, любая точка входа быстро превращается в системную проблему.

Риск-переход: если взломали лидера, уязвимы и МСП

people.png

Масштаб компании не равен уровню защиты. Крупные игроки получают удар из-за сложности и разветвленности инфраструктуры. Малые и средние предприятия (МСП) – из-за нехватки ресурсов, дисциплины и видимости. Итог одинаковый – остановка операций и потери.

Почему риска стало больше для всех

  • Атаки стали сервисом – готовые наборы инструментов и прокси-ботнеты доступны по подписке.
  • Площадь атаки выросла – удаленка, облака, SaaS, подрядчики, интеграции.
  • Человеческий фактор никуда не делся – фишинг и слабые пароли по-прежнему открывают двери.
  • Технический долг копится годами – «забытые» серверы, устаревшие сервисы, неактуальная инвентаризация.

Для бизнеса это означает одно: ориентироваться надо на вероятность инцидента, а не на статус компании. Если нет четкой картины активов, контроля сетевого трафика и управляемого процесса устранения уязвимостей, даже единичный компромисс быстро превращается в каскад.

Что нужно бизнесу: целевой стек защиты

Инциденты масштаба «Аэрофлота» показывают простую вещь – без системной защиты ИТ быстро превращается в «черный ящик». Нужен понятный стек, который закрывает видимость, уязвимости и устойчивость.

Базовые компоненты

  1. Контроль сети (NDR) и глубокий анализ трафика

    Задача – увидеть скрытую активность до того, как начнется шифрование или удаление данных.

    Что дает:

    • обнаружение командных каналов, бокового перемещения и эксфильтрации;
    • поведенческую аналитику внутри периметра, а не только на границе;
    • восстановление хронологии инцидента и точек входа.

    Практика: развертывание на зеркалах трафика, быстрая интеграция с SIEM/SOAR, общие дашборды для ИБ и ИТ.

  2. Защита от ботов и L7-атак

    Цель – отсечь автоматизированные сценарии, которые бьют по фронту: личные кабинеты, бронирования, формы оплаты.

    Что дает:

    • фильтрацию credential stuffing, скрапинга, фрода и L7-DDoS без просадки конверсии;
    • анализ поведенческих сигналов и «отпечатка» устройства вместо одних лишь CAPTCHA;
    • защиту API и веб-приложений от массовых автоматизированных злоупотреблений.
  3. Управление уязвимостями (VM) + хардениг конфигураций (HCC)

    Задача – сократить технический долг и закрывать критические брешьи по приоритету бизнеса, а не по списку CVE.

    Что дает:

    • актуальную инвентаризацию активов и их важности для процессов;
    • приоритизацию уязвимостей по влиянию на операции, а не только по баллам;
    • контроль исправлений по регламентам и срокам, единые метрики защищенности;
    • проверку конфигураций на соответствие стандартам и внутренним политикам.
  4. Резервирование и план устойчивости (DR/BCP)

    Без изолированных копий любая атака заканчивается длинным простоем.

    Что дает:

    • независимые, защищенные от изменений бэкапы критичных систем и данных;
    • регулярные тесты восстановления с целями RTO/RPO, зафиксированными в регламентах;
    • пошаговые сценарии возврата сервисов, чтобы не повторять сбой при включении продакшена.

К чему нужно стремиться?

  • видимость всей сети и активов;
  • приоритизация работ по риску для бизнеса;
  • автоматизация обнаружения и ремедиации;
  • устойчивость за счет резервов и отработанных процедур.

Все это дает MaxPatrol VM.

MaxPatrol VM – полная инвентаризация и оценка критичности

Как MaxPatrol VM закрывает пробелы инвентаризации и видимости

Главная причина невидимых уязвимостей – неактуальный реестр активов и слепые зоны в сети. MaxPatrol VM устраняет это на уровне данных и процессов – дает полную картину инфраструктуры и ее важности для бизнеса.

Что делает система

  • Полное покрытие активов – сканирование в режимах черного и белого ящика, подключение к AD, CMDB, облакам и виртуализации, импорт данных из ИБ-решений и внешних каталогов.
  • Единый реестр – автоматическая дедупликация, связывание «железа», ВМ, сервисов и приложений, история изменений и владельцы систем.
  • Учет бизнес-критичности – теги по процессам и SLA, ранжирование узлов по влиянию на операции, видны зоны, где сбой остановит продажи или сервис.
  • Классификация и сегментация – группировка по площадкам, средам (prod/test/OT), стеку технологий; отдельные профили сканирования для чувствительных контуров.
  • Дашборды и оповещения – единая картина для ИБ и ИТ, очереди задач уже отсортированы по риску, а не по алфавиту.
  • Интеграции и API – связка с ITSM/Service Desk, SIEM/SOAR и CMDB: карточка уязвимости превращается в задачу с дедлайном и ответственным.

Что это дает на практике

  • Меньше слепых зон – видны «забытые» сервера, тестовые стенды, устаревшие сервисы.
  • Быстрый старт ремедиации – понятно, какие узлы чинить первыми и к кому идти.
  • Единая версия правды – ИБ и ИТ смотрят на одни и те же данные и спорят меньше, а закрывают уязвимости быстрее.
shield.png

Кейс из жизни в мини-формате: после первичной загрузки данных и сканирования выясняется, что часть прод-сервисов крутится на временных ВМ без обновлений. Система поднимает их в приоритет, ставит задачи в Service Desk, а руководитель видит на дашборде, как «красная зона» съеживается по мере закрытия тикетов.

Быстрое выявление новых уязвимостей без тотального пересканирования

Полный прогон сканера по всей инфраструктуре занимает часы, иногда дни. За это время критическая уязвимость уже может использоваться. Задача – увидеть риск сразу, без тотального пересканирования.

Как это решает MaxPatrol VM

  • Дельта-подход – система берет результаты прошлых проверок и актуальные данные об активах, версии ПО и конфигурации, а затем «накладывает» обновленную базу знаний. Если появляется новая CVE, сразу видно, какие узлы под ударом.
  • Обогащение внешними событиями – фиды угроз, бюллетени вендоров, эксплойт-трекинг. В карточке уязвимости появляется статус «эксплуатируется», что повышает ее приоритет для ремедиации.
  • Автоприоритизация по бизнес-влиянию – критичность зависит не только от балла CVSS, но и от роли узла в процессах: прод-вырезки, платежные контуры, публичные сервисы поднимаются в очереди первыми.
  • Точечные проверки вместо «ковровых» – можно запустить легкую проверку конкретной CVE или их семейства на выбранных группах активов и получить подтверждение без долгих окон обслуживания.

Что получает команда безопасности

  • MTTD снижается – новые риски видны в течение часов, а не после следующего большого скана.
  • Меньше «шума» – уведомления приходят только тем владельцам систем, чьи узлы действительно затронуты.
  • Быстрое принятие решений – у карточки риска уже есть контекст: наличие эксплойта, вендорные патчи, обходные меры и дедлайны.
setting.png

Практический сценарий: выходит критическая уязвимость в популярном веб-сервере. Система автоматически сопоставляет версии на прод-и публичных узлах, поднимает их в красную зону, создает задачи в Service Desk и предлагает безопасное окно для перезагрузки. Параллельно включается точечная проверка только на затронутых серверах, чтобы подтвердить закрытие после обновления.

Приоритизация и реакция на трендовые уязвимости

Когда в списке – сотни CVE, важна не полнота, а скорость закрытия того, что реально горит. Критерий простой: насколько эта уязвимость бьет по бизнесу прямо сейчас.

Как выстроить приоритет

  • Бизнес-критичность узла – прод, платежные контуры, публичные сервисы идут первыми.
  • Эксплуатация в дикой среде – есть PoC/эксплойт, фиксируется активная кампания, растет срочность.
  • Экспозиция – внешний периметр и доступ из интернета повышают класс риска.
  • Компенсирующие меры – сегментация, WAF, ограничение прав могут снизить приоритет, но не отменяют ремедиацию.
shields.png

Что делает MaxPatrol VM на практике

  • Обновляет сведения о трендовых уязвимостях в течение 12 часов и помечает их как «эксплуатируется/под атакой».
  • Собирает контекст: какие версии затронуты, где узел расположен, кто владелец, доступны ли патчи, есть ли обходные меры.
  • Автоматически раскладывает задачи по очередям ИТ/ИБ с дедлайнами по классам риска (например: внешний критический – до 72 часов; внутренний высокий – до 7 дней; средний – до 30 дней).
  • Контролирует закрытие: перезапуск служб, установка патча, смена конфигурации – факт ремедиации подтверждается повторной проверкой или политикой соответствия.
  • Показывает картину разным ролям – владельцу системы список конкретных задач, C-level видит снижение «красной зоны» и динамику SLA.

Мини-сценарий: выходит эксплуатируемая уязвимость в компоненте веб-сервера. Узлы на внешнем периметре автоматически попадают в «критические». Создаются тикеты владельцам, предлагается окно работ. После обновления система запускает точечную проверку и фиксирует закрытие. Дашборд руководителя показывает: «критика – закрыто 80% за 48 часов», оставшиеся – в работе с согласованным исключением.

Итог: время тратится на то, что реально снижает риск простоя и потери данных, а не на бесконечный «косметический ремонт» низкоприоритетных CVE.

Контроль устранения: регламенты, сроки, общие дашборды

Закрыть уязвимость мало – важно довести работу до результата, зафиксировать это и показать прогресс руководству. Для этого нужен понятный процесс, где каждый знает свою роль, сроки и метрики.

Как выстроить процесс ремедиации

  1. Роли и ответственность – владелец актива отвечает за устранение, ИТ исполняет, ИБ контролирует и подтверждает. Короткая RACI-схема фиксируется в регламенте.
  2. SLA по классам риска – внешний критический риск закрывается в течение 24–72 часов, высокий – до 7 дней, средний – до 30 дней. Сроки привязаны к бизнес-процессам, а не «в среднем по больнице».
  3. Единый поток задач – уязвимость автоматически превращается в задачу в Service Desk с дедлайном, владельцем и чек-листом действий.
  4. Окна работ и согласования – для продуктивных систем заранее определяются окна, исключения согласуются у ответственного руководителя и хранятся как артефакт аудита.
  5. Подтверждение закрытия – после патча запускается точечная проверка или policy-чек харденига. Только успешный прогон снимает задачу с контроля.
  6. Аудит-трек – кто что сделал, когда и на каком узле – фиксируется автоматически. Это снижает споры между ИТ и ИБ.

Какие метрики смотреть

  • MTTD/MTTR по критике – за сколько обнаружили и за сколько устранили.
  • Доля закрытой критики в SLA – показывает дисциплину процессов, а не только объем работ.
  • Backlog по риску – сколько уязвимостей «горит» прямо сейчас и где именно.
  • Исключения – сколько продлено и почему, чтобы не прятать проблемы под ковер.
diagram.png

Дашборды для разных ролей

  • C-level – светофор по контурам, динамика критики, влияние на ключевые сервисы.
  • ИБ-команда – карта рисков по площадкам, эксплуатируемые CVE, просрочки SLA.
  • ИТ-подразделения – очередь задач по их зонам, окна работ, чек-листы и подтверждения.

Короткий чек-лист регламента

  • есть RACI и SLA по классам риска;
  • задачи рождаются автоматически и имеют владельца;
  • исключения согласуются и хранятся;
  • закрытие подтверждается проверкой;
  • дашборды показывают прогресс без ручных отчетов.

Такой контур переводит ремедиацию в управляемый процесс – с предсказуемыми сроками и понятной ответственностью.

Соответствие стандартам и политикам: MaxPatrol HCC

Когда инфраструктура большая, ручной контроль настроек не работает. Нужен инструмент, который регулярно проверяет конфигурации, фиксирует отклонения и помогает быстро доводить системы до нормы. Эту задачу закрывает MaxPatrol HCC.

Что делает HCC

  • Проверяет конфигурации ОС, СУБД, прикладных серверов, сетевого оборудования, каталогов пользователей и облачных сервисов на соответствие принятым правилам.
  • Использует готовые профили PT Essentials – оптимальный набор проверок для повышения базовой защищенности.
  • Поддерживает соответствие требованиям ФСТЭК России – помогает готовиться к проверкам и снижать риск несоответствий.
  • Позволяет создавать собственные стандарты на базе существующих проверок: под отраслевые регламенты, SLA и особенности архитектуры.
  • Ведет историю активов и изменений – видно, когда и на каком узле возник «дрейф» настроек.
  • Формирует прозрачные отчеты – от подробных карт несоответствий до сводных показателей для руководства.

Какие несоответствия могут быть замечены на практике

  • отключенная или мягкая многофакторная аутентификация;
  • слабые политики паролей и блокировки;
  • лишние пользователи в привилегированных группах;
  • устаревшие протоколы шифрования и небезопасные параметры доступа;
  • ошибки в журналировании и хранении логов;
  • слишком широкие права на файловые шары и хранилища в облаке;
  • небезопасные настройки RDP/SSH, открытые панели администрирования.

Как это встраивается в процесс

  1. Определяются профили для прод, теста, офисного контура и OT/АСУ ТП.
  2. Назначаются владельцы систем и дедлайны устранения несоответствий.
  3. Результаты автоматически уходят в Service Desk как задачи с приоритетом.
  4. После фикса – повторная проверка подтверждает, что правило выполнено.
  5. Дашборды показывают динамику: где норма достигнута, где просрочки и какие правила «плывут» чаще всего.
computer.png

Что получает бизнес

  • Стабильный базовый уровень защиты без ручных чек-листов.
  • Меньше инцидентов из-за конфигураций – закрываются дыры, которые часто используют атакующие.
  • Готовность к аудиту – все действия, исключения и подтверждения лежат в одной системе.
  • Ускорение ремедиации – ИБ видит, что именно не так; ИТ получает четкий список шагов и сроки.

Итог простой: HCC закрепляет хардениг как правило , а не как разовую инициативу. В связке с VM и контролем сети это снижает шанс повторить чужой сценарий – когда единичный промах в настройках приводит к цепочке сбоев.

Преимущества продукта MaxPatrol VM

global.png

Инцидент с «Аэрофлотом» наглядно показал: одна брешь способна остановить продажи и операционные процессы, а восстановление растягивается на недели. Прямые и косвенные потери растут быстрее, чем возвращаются сервисы. Вывод очевиден – видимость активов, приоритизация уязвимостей и контроль конфигураций должны работать постоянно, а контроль сети и защита от ботов — закрывать скрытую активность и автоматизированные атаки до того, как начнется простой.

Хотите уберечь компанию от хакерских атак? Наши эксперты расскажут вам, как это сделать с помощью MaxPatrol

Нужна консультация
Информационная безопасность ЗПДн Взлом «Аэрофлота»
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Защита персональных данных в 2025: для операторов ПД и владельцев сайтов

Как подключение к ГИС может повлиять на безопасность данных

Защита ИСПДн: как минимизировать риски утечек персональных данных

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 524 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ