Введение и методология
Ежедневно сервисы и продукты «Солара» распознают и блокируют десятки тысяч кибератак на тысячи организаций. Информация об угрозах, с которыми сталкиваются наши клиенты, поступает как от организаций-партнеров, так и из наших собственных источников: расследований инцидентов, анализа вредоносных инструментов, практики Threat Hunting и сети сенсоров сервиса PDNS, который осуществляет мониторинг коммуникаций различных вредоносных программ с серверами управления из зараженных сетей на территории России, что позволяет оценить распространенность угроз в стране.
DNS-серверы используются при интернет-соединении. Каждый раз, когда пользователь или приложение осуществляет попытку соединения с тем или иным веб-ресурсом, браузер делает обращение на DNS-сервер, которых хранит информацию о том, какое доменное имя какому IP-адресу соответствует.
Информация о попытках соединений (резолвах) анализируется с помощью технологии Passive DNS. Она позволяет сравнить список IP-адресов, с которыми устанавливалось соединение, со списком IP-адресов, о которых известно, что они относятся к вредоносным программам и/или атакам.
Если в списке обнаруживаются резолвы к IP-адресам, которые относятся к угрозам, этот случай считается событием, потенциально указывающим на заражение инфраструктуры клиента телеком-оператора, и учитывается в статистике отчета.
В потоке данных, полученных на основе анализа PDNS, мы выделяем несколько типов угроз по их характерным признакам:
- деятельность известных профессиональных хакерских группировок (APT);
- работа инструментов удаленного администрирования (Remote Access Tools, RAT);
- заражение вредоносами-стилерами (ВПО, похищающее конфиденциальную информацию);
- присутствие ботов одного из известных ботнетов;
- заражение вымогателями;
- заражение ВПО для майнинга криптовалют;
- заражение загрузчиками — ВПО, способным устанавливать на атакованный компьютер дополнительные вредоносы;
- переход на фишинговые страницы.
Признаки заражения выявляются в российских организациях, классифицированных по двум критериям: географическое расположение и принадлежность к той или иной сфере экономики, среди которых мы выделяем восемь:
- Государственный сектор
- Здравоохранение
- Образование
- Промышленность
- Пищевая промышленность
- Финансовая индустрия
- Телекоммуникационная индустрия
- ИТ-организации
Отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет получить примерное представление о том, какие угрозы представляют наибольшую опасность.
В отчете мы сравниваем статистику, собранную с сенсоров во втором квартале 2025 года и сравниваем ее с результатами первого квартала. Отдельно мы отслеживаем, как ситуация в ландшафте угроз изменилась по итогам первых полутора месяцев третьего квартала.
Информация в отчете является субъективной оценкой ландшафта киберугроз, сделанной на основе доступной Solar 4RAYS информации с сенсоров и ханипотов. Сведения и выводы в отчете не могут быть основанием для каких-либо решений в области практической информационной безопасности. Для детальных консультаций следует обращаться в Solar 4RAYS.
Основные результаты 2-го и первой половины 3-го квартала 2025 года
- С начала 2025 года сохраняется тренд на рост интенсивности атак на российские компании. Об этом говорит рост среднего числа срабатываний (событий, свидетельствующих о возможном заражении вредоносным ПО) на одну организацию во 2-м квартале 2025 года на 20% в сравнении с предыдущим.
- Самый значительный рост показателя среднего числа атак на организацию зафиксирован в IT, промышленности и предприятиях топливно-энергетического комплекса.
- Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 2-м квартале сократилось на 23% ― до 17 тыс., что может говорить об общем повышении уровня ИБ в компаниях.
- В первой половине 3-го квартала доля стилеров снизилась почти на 10 п. п. в сравнении с предыдущим ― до 28%. Однако доля RAT продолжила расти, как и доля индикаторов APT-группировок. Это говорит о том, что злоумышленники продолжают активно шпионить, но меняют используемые для этого средства.
- Среднее количество событий в госсекторе выросло почти на четверть, в то время как во всех остальных индустриях показатель снижается на фоне периода отпусков.
- Доля вредоносных событий значительно выросла в госсекторе и здравоохранении в сравнении со 2-м кварталом. Например, в первой половине 3-го квартала в организациях госсектора зафиксировано порядка 17% всех вредоносных событий, в то время как во 2-м квартале эта доля не превышала 7%. Это может свидетельствовать о растущем интересе APT-группировок к организациям в этой сфере, возможно ― на фоне текущих геополитических событий.
Общая статистика во 2-м квартале 2025 г.
Общее количество срабатываний (событий), свидетельствующих о возможном заражении вредоносным ПО, во 2-м квартале 2025 года упало на 7% по сравнению с 1-м кварталом — с 2,97 млн до 2,75 млн.
Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, сократилось на 23%, до 17 тыс. При этом, несмотря на сокращения событий и количества организаций, среднее число инцидентов на одну компанию выросло более чем на 20%.
Показатель |
1 квартал 2025 г. |
2 квартал 2025 г. |
Изменения |
---|---|---|---|
Общее число срабатываний |
2976017 |
2757019 |
-7,36% |
Число организаций |
22153 |
17039 |
- 23,09% |
Среднее количество атак на организацию |
134,33 |
161,8 |
+20,45% |
Как мы и прогнозировали в предыдущем отчете, после обусловленного постпраздничной сезонностью скачка в первом квартале во втором квартале количество событий нормализовалось и даже начало незначительно снижаться. Более значительным оказалось снижение количества организаций, в которых были зафиксированы потенциальные заражения. Оно продолжается уже второй квартал подряд и упало значительно сильнее, чем количество потенциальных заражений. Это может быть свидетельством того, что организации стали больше внимания уделять безопасности — лучше обнаруживать угрозы и защищаться от них. Вместе с этим интенсивность среднего числа атак в разрезе одной компании стабильно растет — этот тренд сохраняется с начала года и, по нашим прогнозам, удержится в третьем квартале.
Общая статистика: ситуация в 3-м квартале
Также мы приведем имеющиеся цифры за первую половину 3-го квартала и предпримем попытку спрогнозировать его итоги.
За июль-август 2025 года наши сенсоры зарегистрировали 1,12 млн срабатываний в 12 тыс. организаций. В среднем на одну организацию пришлось 93 события, свидетельствующих о вредоносной активности.
Если этот тренд сохраниться, то к концу квартала мы увидим снижение совокупного и среднего количества событий. Однако может случится и так, что показатель увеличится, поскольку традиционно начало 3-го квартала приходится на отпускной сезон и снижение бизнес-активности, которая возобновляется в сентябре.
Типы угроз и индустрии
Общие сведения
Распределение срабатываний по типу угроз в 2 квартале 2025 г.
Как видно из диаграмм, стилеры, показавшие взрывной рост в первом квартале, во втором «замедлились», хотя и увеличили долю до 38%. Доли всех прочих угроз изменились незначительно. Можно сказать, что ситуация с распределением срабатываний по типу угроз во 2-м квартале не изменилась в сравнении с 1-м.
Распределение срабатываний по типу угроз в 1 квартале 2025 г.
Тип угрозы |
1-й кв. 2025 г. |
2-й кв. 2025 г. |
Изменение |
---|---|---|---|
Средства удаленного доступа (RAT) |
17,92% |
18,99% |
+1,07 п. п. |
APT |
26,69% |
24,91% |
-1,78 п. п. |
Ботнеты |
9,98% |
7,91% |
-2,01 п. п. |
Стилеры |
35,54% |
38,45% |
+2,91 п. п. |
Майнинг |
3,48% |
3,12% |
-0,36 п. п. |
Загрузчики |
2,69% |
2,84% |
+0,15 п. п. |
Фишинг |
1,17% |
1,06% |
-0,11 п. п. |
Вымогатели |
2,54% |
2,72% |
+0,18 п. п. |
|
|
|
|
Общие сведения: 1-я половина 3-го квартала
В отличие от 2-го квартала, с началом 3-го топ распространенных угроз заметно изменился. Доля срабатываний, связанных со стилерами, сократилась на 10 п. п., в сравнении с 1-м кварталом — на 7 п. п.
Параллельно с этим выросла доля RAT — c 19% во 2-м квартале до почти 23% в первой половине 3-го, что может свидетельствовать о переходе злоумышленников к этому инструментарию, поскольку деятельность RAT сложнее обнаружить, чем заражение стилером. Кроме того, «ратники» могут быть использованы не только для похищения конфиденциальных данных, но и для платного предоставления доступа во взломанную организацию другим злоумышленникам. Иными словами, RAT дают больше возможностей для монетизации.
Распределение срабатываний по типу угроз в первой половине 3-го квартала 2025 г.
При этом доля индикаторов, относящихся к деятельности APT-группировок, возросла почти на 10 п. п. Если эта тенденция устоит по итогам квартала и абсолютные цифры количества срабатываний тоже покажут рост, это может быть свидетельством активизации профессиональных группировок атакующих.
Повышение активности таких группировок, как правило, наблюдается в периоды значимых геополитических событий. Кроме того, как мы отметили в свежем анализе наших расследований инцидентов, в 1-м полугодии на ландшафте сложных кибератак наблюдалось некоторое «затишье»: известные и ранее активные группировки стали менее заметны. С началом 2-го полугодия, когда произошла серия громких инцидентов, их активность, предположительно, усилилась. Есть основания полагать, что статистика с сенсоров отражает это изменение.
Атакованные сферы экономики
Здравоохранение, промышленность, образование и топливно-энергетическая отрасль оказались индустриями, в которых во 2-м квартале мы зафиксировали больше всего событий, указывающих на потенциальное заражение.
Атакованные индустрии во 2-м квартале 2025 г.
По сравнению с первым кварталом изменений немного: чуть сократилось количество событий в сетях учреждений здравоохранения, но выросло в промышленности и IT.
Атакованные индустрии в 1-м квартале 2025 г.
При этом если посмотреть на среднее количество срабатываний на одну организацию, то во 2-м квартале самый значительный рост показали IT (+97%), предприятия промышленности (+15%) и ТЭК (+10%).
Среднее количество событий |
1-й кв. 2025 г. |
2-й кв. 2025 г. |
Изменение |
---|---|---|---|
Индустрия |
|
|
|
Здравоохранение |
331,79 |
329,99 |
-0,55% |
Государственный сектор |
65,55 |
71,7 |
+9,38% |
Пищевая промышленность |
178,15 |
214,92 |
+20,64% |
Образование |
52,34 |
57,32 |
+9,51% |
ТЭК |
313,73 |
345,44 |
+10,11% |
Промышленность |
231,8 |
265,69 |
+14,62% |
Телеком |
157,68 |
127,08 |
-24,07% |
Финансы |
118,21 |
123,01 |
+4,06% |
IT |
248,31 |
489,06 |
+96,96% |
|
|
|
|
Индустриями с самым высоким средним показателем во втором квартале стали IT, ТЭК, здравоохранение и промышленность.
Атакованные сферы экономики: 1-я половина 3-го квартала
Статистика первой половины 3-го квартала пока показывает заметные изменения по числу заражений среди организаций в различных сферах экономики.
Атакованные индустрии в первой половине 3-го квартала 2025 г.
Например, в сравнении со вторым кварталом их число в организациях здравоохранения увеличилось на 6 п. п. Рост также показали организации государственного сектора — на 8 п. п.
Впрочем, с точки зрения среднего количества событий картина пока местами противоположная: почти все индустрии, лидирующие по абсолютному числу, показывают снижение среднего количества событий. В организациях здравоохранения оно упало на 64%, а на предприятиях промышленности — более чем на 220%.
Среднее количество событий |
2-й кв. 2025 г. |
1-я половина 3-го кв. 2025 г. |
Изменение |
---|---|---|---|
Индустрия |
|
|
|
Здравоохранение |
329,99 |
200,47 |
-64,61% |
Государственный сектор |
71,7 |
88,59 |
+23,56% |
Пищевая промышленность |
214,92 |
66,41 |
-223,63% |
Образование |
57,32 |
22,74 |
-152,07% |
ТЭК |
345,44 |
235,24 |
-46,85% |
Промышленность |
265,69 |
82,12 |
-223,54% |
Телеком |
127,08 |
61,03 |
-108,23% |
Финансы |
123,01 |
39,66 |
-210,16% |
IT |
489,06 |
242,72 |
-101,49% |
|
|
|
|
Единственным исключением стали организации государственного сектора. Рост интенсивности событий в этой сфере может быть связан с возобновлением активности APT-группировок, наблюдаемой во второй половине года. Учреждения госсектора — одна из ключевых целей атакующих, особенно на фоне текущих политических событий.
К концу квартала ситуация может измениться, но пока все выглядит так, что в период с июля по середину августа ИБ-команды организаций сталкивались с угрозами значительно реже, чем во 2-м квартале. Как мы писали выше, снижение интенсивности срабатываний может быть связано с общим падением бизнес-активности, характерным для отпускного сезона.
Типы угроз: детали
Майнеры
Майнеры: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
Во 2-м квартале угроза майнинга продемонстрировала незначительный рост в промышленности и образовании, зато доля событий из остальных сфер сократилась. Наиболее видимое сокращение пришлось на отрасль здравоохранения (доля событий из организаций этой сферы упала на 2 п. п. — с 22% до 20%).
Майнеры: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
Однако данные первой половины третьего квартала показывают, что сокращение оказалось временным — 35% всех срабатываний, связанных с заражением майнерами, было зафиксировано в сетях организаций здравоохранения. Отметим, что для здравоохранения это традиционная картина. Например, в четвертом квартале прошлого года около четверти всех зафиксированных событий, указывающих на заражение майнерами, тоже приходилось на здравоохранение.
Такая «стабильность» может объясняться несколькими причинами: цифровизация этой отрасли идет быстрее, чем растет уровень цифровой грамотности. Кроме того, медицинские учреждения — это сфера, где в силу специфики консервативно относятся к обновлению ПО (так как неудачное обновление может вывести из строя медицинское оборудование), а многие компьютеры и серверы работают круглосуточно. Это идеальные условия для майнеров, которые могут годами незаметно паразитировать на доступных вычислительных мощностях.
Вымогатели
Вымогатели: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
Как и в случае с майнерами, программы-вымогатели во втором квартале стали чаще встречаться в организациях здравоохранения. В первой половине третьего квартала тренд продолжился: более 20% всех зафиксированных событий заражения вымогателями, пришлись на здравоохранение. Причины те же: поскольку речь чаще всего идет об автоматически распространяемом вредоносном ПО, удачные заражения чаще всего происходят из-за отсутствия защиты.
Похожая ситуация в первой половине третьего квартала наблюдалась в организациях госсектора. Доля событий, зафиксированных там, взлетела с 0,7% во втором квартале до 13% в первой половине третьего. Еще в такой «неблагополучной» зоне оказались предприятия топливно-энергетического комплекса. Для шифровальщиков это лакомые цели, поскольку удачная атака может привести к остановке производства, а это — колоссальные убытки для организации-жертвы.
Вымогатели: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
Справедливости ради заметим, что в абсолютном выражении речь идет менее чем о тысяче событий. То есть, когда мы говорим, что более 20% событий, связанных с заражением вымогателями, зарегистрировано в организациях здравоохранения, речь идет о примерно двух сотнях событий. Это сравнительно немного, а потому не является признаком новых волн атак. Скорее, это признак того, что в общем потоке атак на разные типы организаций атаки на здравоохранение были для злоумышленников более результативными. В целом количество атак с использованием вымогателей-шифровальщиков в последние месяцы падает. Злоумышленники находят более удобные способы монетизации через вымогательство: например, получая доступ к конфиденциальным данным и вымогая деньги в обмен за «нераспространение» этих сведений в открытом доступе.
Отчасти этот тренд виден на статистике заражения программами-стилерами, предназначенными для кражи конфиденциальных сведений.
Стилеры
Во втором квартале небольшой рост доли срабатываний, связанных со стилерами, был заметен в здравоохранении, промышленности и IT. В первой половине третьего квартала этот тренд усилился в здравоохранении и проявился в сфере ТЭК. Если возможные причины роста заражений в здравоохранении в целом мы рассмотрели выше, то тренд на рост стилеров в отношении ТЭК может быть свидетельством растущего интереса атакующих к этим организациям.
Стилеры: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
Предприятия ТЭК тесно связаны с экономикой страны и потому конфиденциальная информация в их ИТ-инфраструктурах является объектом особого интереса для атакующих, специализирующихся на шпионаже. То же можно сказать и об организациях в госсекторе. В начале 3-го квартала доля обнаруженных там стилеров значительно возросла. Причина, скорее всего, та же — организации из этой сферы хранят немало ценных для атакующих данных. Эта тенденция заметно проявляется в статистике заражений вредоносными инструментами APT-группировок.
Стилеры: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
Индикаторы APT-группировок
Во втором квартале выросла доля APT-событий, полученных в сетях предприятий промышленности, ТЭК и IT-компаний. Все это частые цели профессиональных групп атакующих. Промышленные организации и предприятия энергетического сектора — это источники ценной конфиденциальной информации; IT-компании часто являются подрядчиками крупных организаций из самых разных отраслей, из-за чего имеют с такими организациями сетевую связанность и потому могут выступать удобным инструментом для атаки методом доверительных отношений. Взломав IT-подрядчика, группировка может воспользоваться его легитимной учетной записью в инфраструктуре другой организации, чтобы проникнуть в нее.
Индикаторы APT-группировок: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
В первой половине третьего квартала доля событий в сфере промышленности заметно упала, но тренд на их рост сохранился в сфере ТЭК. Кроме того, после падения во втором квартале, начали расти доли событий, зафиксированных в сетях организаций здравоохранения и государственного сектора.
Индикаторы APT-группировок: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
В итоге: устойчивый интерес злоумышленников к ТЭК и растущий — к госсектору и здравоохранению. Все это ценные для кибершпионов индустрии, и их защитникам стоит иметь эту тенденцию в виду.
Загрузчики
Загрузчики — это «служебное» вредоносное ПО, главная цель которого — доставить другое вредоносное ПО на целевую систему. Часто эти вредоносы распространяются в результате массовых кампаний. Судя по статистике, во втором квартале такие кампании имели определенный «успех» в организациях здравоохранения, промышленности и IT.
Загрузчикик: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
Первая половина третьего квартала характеризовалась продолжением активности атакующих в здравоохранении и привлечением их внимания к организациям из госсектора. Во всех остальных исследуемых отраслях наблюдается снижение количества событий в сравнении с предыдущим периодом. Такая перемена едва ли вызвана единственной причиной: злоумышленники самых разных мастей регулярно устраивают вредоносные кампании, чтобы заразить как можно больше целей. Однако и за ней всегда наступают последствия: после успешных волн заражений загрузчиками следует ждать признаков заражения другим разнообразным ВПО. Например, ботами, включающими зараженные системы в ботнеты.
Загрузчикик: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
Ботнеты
Случайно или нет, но статистика заражений ботнетами коррелирует со статистикой заражения загрузчиками и другим вредоносным ПО, которое распространяется через загрузчики. Выше мы писали о росте доли событий, связанных с заражением ВПО в организациях здравоохранения и госсектора — там же, где росла доля событий, свидетельствующих о наличии заражения загрузчиками. В случае с ботнетами ситуация повторилась.
Ботнеты: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
В отчетном периоде наблюдалось скромное увеличение доли заражений ботнетами в здравоохранении во втором квартале и значительное — в первой половине третьего. Почти такая же ситуация с предприятиями госсектора и ТЭК. Нет оснований утверждать, что только загрузчики спровоцировали такой синхронный рост заражений ВПО, но это можно назвать как минимум одной из причин.
Ботнеты: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
Фишинг
Фишинг — часто начальная стадия вредоносной атаки. Поэтому неудивительно, что в исследуемых периодах рост событий, связанных с этим типом атак, происходил в основном в тех индустриях, где фиксировался рост заражений ВПО: здравоохранение, образование, промышленность, госсектор и ТЭК.
Фишинг: 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
В большинстве случаев наличие события фишинга — это следствие действий сотрудников атакованных организаций. Если в организации растет такой тип атак, это может означать, что уровень киберграмотности персонала следует повышать.
Фишинг: 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
Средства удаленного доступа (RAT)
Во втором квартале доля заражений ПО для удаленного доступа снижался практически во всех исследуемых индустриях, кроме пищевой промышленности и IT.
Средства удаленного доступа : 1-й и 2-й кв. 2025 г.
1-й квартал 2025 г.
2-й кв. 2025 г.
По итогам первой половины третьего квартала доля заражений в пищевой промышленности упала, но продолжила расти в здравоохранении и IT. Кроме того, после падения во втором квартале значительный рост показали государственный сектор и ТЭК.
Средства удаленного доступа : 2-й кв. и 1-я половина 3-го кв. 2025
2-й кв. 2025 г.
1-я половина 3-го кв. 2025
В целом доля ВПО для удаленного управления растет, но плавно. По итогам первого квартала мы зафиксировали около 18% таких событий, во втором — 19%, а в середине третьего — уже 22%. Рост интереса злоумышленников может быть обусловлен тем, что у RAT изначально двоякая природа: эти инструменты могут применяться и в легитимных целях, а значит, вредоносные действия таких программ сложнее выделить из общего потока событий.
Кроме того, атаки с использованием RAT находят дополнительную монетизацию: полученный доступ в инфраструктуру может быть перепродан другим группам злоумышленников, которые уже продолжат развивать атаку, преследуя свои цели.
По этим причинам атакованным организациям следует предельно внимательно отнестись к управлению ПО, предоставляющим такую функциональность, даже если это легитимные программы. Необходимо четко понимать, кто и для чего им пользуется, и строго это использование регламентировать. В противном случае возможны ИБ-инциденты, от которых не спасут даже продвинутые инструменты защиты информации.
Заключение и рекомендации
Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов. Похищение конфиденциальной информации по-прежнему остается основной целью злоумышленников: несмотря на то что доля стилеров упала, она все еще значительна. Результаты первой половины 3-го квартала говорят о том, что атакующие все чаще используют инструменты удаленного управления (RAT) и стало больше событий, связанных с активностью APT-группировок.
Здравоохранение, промышленность, ТЭК и госсектор — индустрии с наибольшей долей вредоносных событий. Это индикатор повышенного интереса атакующих к организациям из этих сфер. Учитывая стремление злоумышленников к похищению конфиденциальных данных, выбор приоритетных целей ожидаем: все подобные IT-инфраструктуры содержат массу информации, на которую есть спрос как на черном рынке, так и среди внешних разведывательных организаций, в интересах которых действуют многие группировки атакующих.
Отдельно отметим, что риск компрометации растет, если общая ИБ-культура в организации невысока. Это характерно для индустрий, в которых происходит процесс цифровизация, например в здравоохранении. Медицинские учреждения быстро переходят на цифровые решения, что не всегда сопровождается адекватными мерами защиты, и в результате злоумышленники получают относительно легкую мишень.
Для надежной защиты инфраструктуры организации от кибератак эксперты Solar 4RAYS рекомендуют применять следующие меры:
- Регулярно сканировать свой внешний периметр на предмет изменения опубликованных сервисов и наличия в них уязвимостей.
- Публиковать в интернет только действительно необходимые сервисы и осуществлять за ними повышенный контроль. Все интерфейсы управления инфраструктурой и ИБ не должны быть доступны из публичной сети.
- Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные.
- Используйте данные об угрозах из OpenSource источников и фиды вендоров (Solar TI Feeds), применяйте правила корреляции, чтобы ваши СЗИ своевременно блокировали реальные атаки.
- Оперативно обновлять все используемое в инфраструктуре ПО.
- Строго контролировать удаленный доступ в инфраструктуру, особенно для подрядчиков.
- Предельно ответственно относиться к соблюдению парольных политик, вовремя обновлять учетные записи и пользоваться сервисами мониторинга их утечек (Solar AURA).
- Обеспечить защиту от автоматизированных атак методом подбора.
- Создавать инфраструктуру бэкапов, следуя принципу «3–2–1», который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа и минимум одной копии — за пределами основной инфраструктуры.
- В случае подозрения на атаку не медлить с оценкой компрометации, а лучше — проводить ее на регулярной основе.
- Заниматься повышением киберграмотности сотрудников, так как успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре.
- Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации.