Введение и методология

Ежедневно сервисы и продукты «Солара» распознают и блокируют десятки тысяч кибератак на тысячи организаций. Информация об угрозах, с которыми сталкиваются наши клиенты, поступает как от организаций-партнеров, так и из наших собственных источников: расследований инцидентов, анализа вредоносных инструментов, практики Threat Hunting и сети сенсоров сервиса PDNS, который осуществляет мониторинг коммуникаций различных вредоносных программ с серверами управления из зараженных сетей на территории России, что позволяет оценить распространенность угроз в стране.

DNS-серверы используются при интернет-соединении. Каждый раз, когда пользователь или приложение осуществляет попытку соединения с тем или иным веб-ресурсом, браузер делает обращение на DNS-сервер, которых хранит информацию о том, какое доменное имя какому IP-адресу соответствует.

Информация о попытках соединений (резолвах) анализируется с помощью технологии Passive DNS. Она позволяет сравнить список IP-адресов, с которыми устанавливалось соединение, со списком IP-адресов, о которых известно, что они относятся к вредоносным программам и/или атакам.

Если в списке обнаруживаются резолвы к IP-адресам, которые относятся к угрозам, этот случай считается событием, потенциально указывающим на заражение инфраструктуры клиента телеком-оператора, и учитывается в статистике отчета.

В потоке данных, полученных на основе анализа PDNS, мы выделяем несколько типов угроз по их характерным признакам:

  • деятельность известных профессиональных хакерских группировок (APT);
  • работа инструментов удаленного администрирования (Remote Access Tools, RAT);
  • заражение вредоносами-стилерами (ВПО, похищающее конфиденциальную информацию);
  • присутствие ботов одного из известных ботнетов;
  • заражение вымогателями;
  • заражение ВПО для майнинга криптовалют;
  • заражение загрузчиками — ВПО, способным устанавливать на атакованный компьютер дополнительные вредоносы;
  • переход на фишинговые страницы.

Признаки заражения выявляются в российских организациях, классифицированных по двум критериям: географическое расположение и принадлежность к той или иной сфере экономики, среди которых мы выделяем восемь:

  • Государственный сектор
  • Здравоохранение
  • Образование
  • Промышленность
  • Пищевая промышленность
  • Финансовая индустрия
  • Телекоммуникационная индустрия
  • ИТ-организации

Отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет получить примерное представление о том, какие угрозы представляют наибольшую опасность.

В отчете мы сравниваем статистику, собранную с сенсоров во втором квартале 2025 года и сравниваем ее с результатами первого квартала. Отдельно мы отслеживаем, как ситуация в ландшафте угроз изменилась по итогам первых полутора месяцев третьего квартала.

Информация в отчете является субъективной оценкой ландшафта киберугроз, сделанной на основе доступной Solar 4RAYS информации с сенсоров и ханипотов. Сведения и выводы в отчете не могут быть основанием для каких-либо решений в области практической информационной безопасности. Для детальных консультаций следует обращаться в Solar 4RAYS.

Основные результаты 2-го и первой половины 3-го квартала 2025 года

  • С начала 2025 года сохраняется тренд на рост интенсивности атак на российские компании. Об этом говорит рост среднего числа срабатываний (событий, свидетельствующих о возможном заражении вредоносным ПО) на одну организацию во 2-м квартале 2025 года на 20% в сравнении с предыдущим.
  • Самый значительный рост показателя среднего числа атак на организацию зафиксирован в IT, промышленности и предприятиях топливно-энергетического комплекса.
  • Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 2-м квартале сократилось на 23% ― до 17 тыс., что может говорить об общем повышении уровня ИБ в компаниях.
  • В первой половине 3-го квартала доля стилеров снизилась почти на 10 п. п. в сравнении с предыдущим ― до 28%. Однако доля RAT продолжила расти, как и доля индикаторов APT-группировок. Это говорит о том, что злоумышленники продолжают активно шпионить, но меняют используемые для этого средства.
  • Среднее количество событий в госсекторе выросло почти на четверть, в то время как во всех остальных индустриях показатель снижается на фоне периода отпусков.
  • Доля вредоносных событий значительно выросла в госсекторе и здравоохранении в сравнении со 2-м кварталом. Например, в первой половине 3-го квартала в организациях госсектора зафиксировано порядка 17% всех вредоносных событий, в то время как во 2-м квартале эта доля не превышала 7%. Это может свидетельствовать о растущем интересе APT-группировок к организациям в этой сфере, возможно ― на фоне текущих геополитических событий.

Общая статистика во 2-м квартале 2025 г.

Общее количество срабатываний (событий), свидетельствующих о возможном заражении вредоносным ПО, во 2-м квартале 2025 года упало на 7% по сравнению с 1-м кварталом — с 2,97 млн до 2,75 млн.

Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, сократилось на 23%, до 17 тыс. При этом, несмотря на сокращения событий и количества организаций, среднее число инцидентов на одну компанию выросло более чем на 20%.

Показатель

1 квартал 2025 г.

2 квартал 2025 г.

Изменения

Общее число срабатываний

2976017

2757019

-7,36%

Число организаций

22153

17039

- 23,09%

Среднее количество атак на организацию

134,33

161,8

+20,45%

Как мы и прогнозировали в предыдущем отчете, после обусловленного постпраздничной сезонностью скачка в первом квартале во втором квартале количество событий нормализовалось и даже начало незначительно снижаться. Более значительным оказалось снижение количества организаций, в которых были зафиксированы потенциальные заражения. Оно продолжается уже второй квартал подряд и упало значительно сильнее, чем количество потенциальных заражений. Это может быть свидетельством того, что организации стали больше внимания уделять безопасности — лучше обнаруживать угрозы и защищаться от них. Вместе с этим интенсивность среднего числа атак в разрезе одной компании стабильно растет — этот тренд сохраняется с начала года и, по нашим прогнозам, удержится в третьем квартале.

Общая статистика: ситуация в 3-м квартале

Также мы приведем имеющиеся цифры за первую половину 3-го квартала и предпримем попытку спрогнозировать его итоги.

За июль-август 2025 года наши сенсоры зарегистрировали 1,12 млн срабатываний в 12 тыс. организаций. В среднем на одну организацию пришлось 93 события, свидетельствующих о вредоносной активности.

Если этот тренд сохраниться, то к концу квартала мы увидим снижение совокупного и среднего количества событий. Однако может случится и так, что показатель увеличится, поскольку традиционно начало 3-го квартала приходится на отпускной сезон и снижение бизнес-активности, которая возобновляется в сентябре.

Типы угроз и индустрии

Общие сведения

Распределение срабатываний по типу угроз в 2 квартале 2025 г.

Как видно из диаграмм, стилеры, показавшие взрывной рост в первом квартале, во втором «замедлились», хотя и увеличили долю до 38%. Доли всех прочих угроз изменились незначительно. Можно сказать, что ситуация с распределением срабатываний по типу угроз во 2-м квартале не изменилась в сравнении с 1-м.

Распределение срабатываний по типу угроз в 1 квартале 2025 г.

Тип угрозы

1-й кв. 2025 г.

2-й кв. 2025 г.

Изменение

Средства удаленного доступа (RAT)

17,92%

18,99%

+1,07 п. п.

APT

26,69%

24,91%

-1,78 п. п.

Ботнеты

9,98%

7,91%

-2,01 п. п.

Стилеры

35,54%

38,45%

+2,91 п. п.

Майнинг

3,48%

3,12%

-0,36 п. п.

Загрузчики

2,69%

2,84%

+0,15 п. п.

Фишинг

1,17%

1,06%

-0,11 п. п.

Вымогатели

2,54%

2,72%

+0,18 п. п.

Общие сведения: 1-я половина 3-го квартала

В отличие от 2-го квартала, с началом 3-го топ распространенных угроз заметно изменился. Доля срабатываний, связанных со стилерами, сократилась на 10 п. п., в сравнении с 1-м кварталом — на 7 п. п.

Параллельно с этим выросла доля RAT — c 19% во 2-м квартале до почти 23% в первой половине 3-го, что может свидетельствовать о переходе злоумышленников к этому инструментарию, поскольку деятельность RAT сложнее обнаружить, чем заражение стилером. Кроме того, «ратники» могут быть использованы не только для похищения конфиденциальных данных, но и для платного предоставления доступа во взломанную организацию другим злоумышленникам. Иными словами, RAT дают больше возможностей для монетизации.

Распределение срабатываний по типу угроз в первой половине 3-го квартала 2025 г.

При этом доля индикаторов, относящихся к деятельности APT-группировок, возросла почти на 10 п. п. Если эта тенденция устоит по итогам квартала и абсолютные цифры количества срабатываний тоже покажут рост, это может быть свидетельством активизации профессиональных группировок атакующих.

Повышение активности таких группировок, как правило, наблюдается в периоды значимых геополитических событий. Кроме того, как мы отметили в свежем анализе наших расследований инцидентов, в 1-м полугодии на ландшафте сложных кибератак наблюдалось некоторое «затишье»: известные и ранее активные группировки стали менее заметны. С началом 2-го полугодия, когда произошла серия громких инцидентов, их активность, предположительно, усилилась. Есть основания полагать, что статистика с сенсоров отражает это изменение.

Атакованные сферы экономики

Здравоохранение, промышленность, образование и топливно-энергетическая отрасль оказались индустриями, в которых во 2-м квартале мы зафиксировали больше всего событий, указывающих на потенциальное заражение.

Атакованные индустрии во 2-м квартале 2025 г.

По сравнению с первым кварталом изменений немного: чуть сократилось количество событий в сетях учреждений здравоохранения, но выросло в промышленности и IT.

Атакованные индустрии в 1-м квартале 2025 г.

При этом если посмотреть на среднее количество срабатываний на одну организацию, то во 2-м квартале самый значительный рост показали IT (+97%), предприятия промышленности (+15%) и ТЭК (+10%).

Среднее количество событий

1-й кв. 2025 г.

2-й кв. 2025 г.

Изменение

Индустрия

 

 

 

Здравоохранение

331,79

329,99

-0,55%

Государственный сектор

65,55

71,7

+9,38%

Пищевая промышленность

178,15

214,92

+20,64%

Образование

52,34

57,32

+9,51%

ТЭК

313,73

345,44

+10,11%

Промышленность

231,8

265,69

+14,62%

Телеком

157,68

127,08

-24,07%

Финансы

118,21

123,01

+4,06%

IT

248,31

489,06

+96,96%

Индустриями с самым высоким средним показателем во втором квартале стали IT, ТЭК, здравоохранение и промышленность.

Атакованные сферы экономики: 1-я половина 3-го квартала

Статистика первой половины 3-го квартала пока показывает заметные изменения по числу заражений среди организаций в различных сферах экономики.

Атакованные индустрии в первой половине 3-го квартала 2025 г.

Например, в сравнении со вторым кварталом их число в организациях здравоохранения увеличилось на 6 п. п. Рост также показали организации государственного сектора — на 8 п. п.

Впрочем, с точки зрения среднего количества событий картина пока местами противоположная: почти все индустрии, лидирующие по абсолютному числу, показывают снижение среднего количества событий. В организациях здравоохранения оно упало на 64%, а на предприятиях промышленности — более чем на 220%.

Среднее количество событий

2-й кв. 2025 г.

1-я половина 3-го кв. 2025 г.

Изменение

Индустрия

 

 

 

Здравоохранение

329,99

200,47

-64,61%

Государственный сектор

71,7

88,59

+23,56%

Пищевая промышленность

214,92

66,41

-223,63%

Образование

57,32

22,74

-152,07%

ТЭК

345,44

235,24

-46,85%

Промышленность

265,69

82,12

-223,54%

Телеком

127,08

61,03

-108,23%

Финансы

123,01

39,66

-210,16%

IT

489,06

242,72

-101,49%

Единственным исключением стали организации государственного сектора. Рост интенсивности событий в этой сфере может быть связан с возобновлением активности APT-группировок, наблюдаемой во второй половине года. Учреждения госсектора — одна из ключевых целей атакующих, особенно на фоне текущих политических событий.

К концу квартала ситуация может измениться, но пока все выглядит так, что в период с июля по середину августа ИБ-команды организаций сталкивались с угрозами значительно реже, чем во 2-м квартале. Как мы писали выше, снижение интенсивности срабатываний может быть связано с общим падением бизнес-активности, характерным для отпускного сезона.

Типы угроз: детали

Майнеры

Майнеры: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

Во 2-м квартале угроза майнинга продемонстрировала незначительный рост в промышленности и образовании, зато доля событий из остальных сфер сократилась. Наиболее видимое сокращение пришлось на отрасль здравоохранения (доля событий из организаций этой сферы упала на 2 п. п. — с 22% до 20%).

Майнеры: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

Однако данные первой половины третьего квартала показывают, что сокращение оказалось временным — 35% всех срабатываний, связанных с заражением майнерами, было зафиксировано в сетях организаций здравоохранения. Отметим, что для здравоохранения это традиционная картина. Например, в четвертом квартале прошлого года около четверти всех зафиксированных событий, указывающих на заражение майнерами, тоже приходилось на здравоохранение.

Такая «стабильность» может объясняться несколькими причинами: цифровизация этой отрасли идет быстрее, чем растет уровень цифровой грамотности. Кроме того, медицинские учреждения — это сфера, где в силу специфики консервативно относятся к обновлению ПО (так как неудачное обновление может вывести из строя медицинское оборудование), а многие компьютеры и серверы работают круглосуточно. Это идеальные условия для майнеров, которые могут годами незаметно паразитировать на доступных вычислительных мощностях.

Вымогатели

Вымогатели: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

Как и в случае с майнерами, программы-вымогатели во втором квартале стали чаще встречаться в организациях здравоохранения. В первой половине третьего квартала тренд продолжился: более 20% всех зафиксированных событий заражения вымогателями, пришлись на здравоохранение. Причины те же: поскольку речь чаще всего идет об автоматически распространяемом вредоносном ПО, удачные заражения чаще всего происходят из-за отсутствия защиты.

Похожая ситуация в первой половине третьего квартала наблюдалась в организациях госсектора. Доля событий, зафиксированных там, взлетела с 0,7% во втором квартале до 13% в первой половине третьего. Еще в такой «неблагополучной» зоне оказались предприятия топливно-энергетического комплекса. Для шифровальщиков это лакомые цели, поскольку удачная атака может привести к остановке производства, а это — колоссальные убытки для организации-жертвы.

Вымогатели: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

Справедливости ради заметим, что в абсолютном выражении речь идет менее чем о тысяче событий. То есть, когда мы говорим, что более 20% событий, связанных с заражением вымогателями, зарегистрировано в организациях здравоохранения, речь идет о примерно двух сотнях событий. Это сравнительно немного, а потому не является признаком новых волн атак. Скорее, это признак того, что в общем потоке атак на разные типы организаций атаки на здравоохранение были для злоумышленников более результативными. В целом количество атак с использованием вымогателей-шифровальщиков в последние месяцы падает. Злоумышленники находят более удобные способы монетизации через вымогательство: например, получая доступ к конфиденциальным данным и вымогая деньги в обмен за «нераспространение» этих сведений в открытом доступе.

Отчасти этот тренд виден на статистике заражения программами-стилерами, предназначенными для кражи конфиденциальных сведений.

Стилеры

Во втором квартале небольшой рост доли срабатываний, связанных со стилерами, был заметен в здравоохранении, промышленности и IT. В первой половине третьего квартала этот тренд усилился в здравоохранении и проявился в сфере ТЭК. Если возможные причины роста заражений в здравоохранении в целом мы рассмотрели выше, то тренд на рост стилеров в отношении ТЭК может быть свидетельством растущего интереса атакующих к этим организациям.

Стилеры: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

Предприятия ТЭК тесно связаны с экономикой страны и потому конфиденциальная информация в их ИТ-инфраструктурах является объектом особого интереса для атакующих, специализирующихся на шпионаже. То же можно сказать и об организациях в госсекторе. В начале 3-го квартала доля обнаруженных там стилеров значительно возросла. Причина, скорее всего, та же — организации из этой сферы хранят немало ценных для атакующих данных. Эта тенденция заметно проявляется в статистике заражений вредоносными инструментами APT-группировок.

Стилеры: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

Индикаторы APT-группировок

Во втором квартале выросла доля APT-событий, полученных в сетях предприятий промышленности, ТЭК и IT-компаний. Все это частые цели профессиональных групп атакующих. Промышленные организации и предприятия энергетического сектора — это источники ценной конфиденциальной информации; IT-компании часто являются подрядчиками крупных организаций из самых разных отраслей, из-за чего имеют с такими организациями сетевую связанность и потому могут выступать удобным инструментом для атаки методом доверительных отношений. Взломав IT-подрядчика, группировка может воспользоваться его легитимной учетной записью в инфраструктуре другой организации, чтобы проникнуть в нее.  

Индикаторы APT-группировок: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

В первой половине третьего квартала доля событий в сфере промышленности заметно упала, но тренд на их рост сохранился в сфере ТЭК. Кроме того, после падения во втором квартале, начали расти доли событий, зафиксированных в сетях организаций здравоохранения и государственного сектора.

Индикаторы APT-группировок: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

В итоге: устойчивый интерес злоумышленников к ТЭК и растущий — к госсектору и здравоохранению. Все это ценные для кибершпионов индустрии, и их защитникам стоит иметь эту тенденцию в виду.

Загрузчики

Загрузчики — это «служебное» вредоносное ПО, главная цель которого — доставить другое вредоносное ПО на целевую систему. Часто эти вредоносы распространяются в результате массовых кампаний. Судя по статистике, во втором квартале такие кампании имели определенный «успех» в организациях здравоохранения, промышленности и IT. 

Загрузчикик: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

Первая половина третьего квартала характеризовалась продолжением активности атакующих в здравоохранении и привлечением их внимания к организациям из госсектора. Во всех остальных исследуемых отраслях наблюдается снижение количества событий в сравнении с предыдущим периодом. Такая перемена едва ли вызвана единственной причиной: злоумышленники самых разных мастей регулярно устраивают вредоносные кампании, чтобы заразить как можно больше целей. Однако и за ней всегда наступают последствия: после успешных волн заражений загрузчиками следует ждать признаков заражения другим разнообразным ВПО. Например, ботами, включающими зараженные системы в ботнеты.

Загрузчикик: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

Ботнеты

Случайно или нет, но статистика заражений ботнетами коррелирует со статистикой заражения загрузчиками и другим вредоносным ПО, которое распространяется через загрузчики. Выше мы писали о росте доли событий, связанных с заражением ВПО в организациях здравоохранения и госсектора — там же, где росла доля событий, свидетельствующих о наличии заражения загрузчиками. В случае с ботнетами ситуация повторилась.

Ботнеты: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

В отчетном периоде наблюдалось скромное увеличение доли заражений ботнетами в здравоохранении во втором квартале и значительное — в первой половине третьего. Почти такая же ситуация с предприятиями госсектора и ТЭК. Нет оснований утверждать, что только загрузчики спровоцировали такой синхронный рост заражений ВПО, но это можно назвать как минимум одной из причин.

Ботнеты: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

Фишинг

Фишинг — часто начальная стадия вредоносной атаки. Поэтому неудивительно, что в исследуемых периодах рост событий, связанных с этим типом атак, происходил в основном в тех индустриях, где фиксировался рост заражений ВПО: здравоохранение, образование, промышленность, госсектор и ТЭК.

Фишинг: 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

В большинстве случаев наличие события фишинга — это следствие действий сотрудников атакованных организаций. Если в организации растет такой тип атак, это может означать, что уровень киберграмотности персонала следует повышать.

Фишинг: 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

Средства удаленного доступа (RAT)

Во втором квартале доля заражений ПО для удаленного доступа снижался практически во всех исследуемых индустриях, кроме пищевой промышленности и IT.

Средства удаленного доступа : 1-й и 2-й кв. 2025 г.

1-й квартал 2025 г.
2-й кв. 2025 г.

По итогам первой половины третьего квартала доля заражений в пищевой промышленности упала, но продолжила расти в здравоохранении и IT. Кроме того, после падения во втором квартале значительный рост показали государственный сектор и ТЭК.

Средства удаленного доступа : 2-й кв. и 1-я половина 3-го кв. 2025

2-й кв. 2025 г.
1-я половина 3-го кв. 2025

В целом доля ВПО для удаленного управления растет, но плавно. По итогам первого квартала мы зафиксировали около 18% таких событий, во втором — 19%, а в середине третьего — уже 22%. Рост интереса злоумышленников может быть обусловлен тем, что у RAT изначально двоякая природа: эти инструменты могут применяться и в легитимных целях, а значит, вредоносные действия таких программ сложнее выделить из общего потока событий.

Кроме того, атаки с использованием RAT находят дополнительную монетизацию: полученный доступ в инфраструктуру может быть перепродан другим группам злоумышленников, которые уже продолжат развивать атаку, преследуя свои цели.

По этим причинам атакованным организациям следует предельно внимательно отнестись к управлению ПО, предоставляющим такую функциональность, даже если это легитимные программы. Необходимо четко понимать, кто и для чего им пользуется, и строго это использование регламентировать. В противном случае возможны ИБ-инциденты, от которых не спасут даже продвинутые инструменты защиты информации.

Заключение и рекомендации

Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов. Похищение конфиденциальной информации по-прежнему остается основной целью злоумышленников: несмотря на то что доля стилеров упала, она все еще значительна. Результаты первой половины 3-го квартала говорят о том, что атакующие все чаще используют инструменты удаленного управления (RAT) и стало больше событий, связанных с активностью APT-группировок.

Здравоохранение, промышленность, ТЭК и госсектор — индустрии с наибольшей долей вредоносных событий. Это индикатор повышенного интереса атакующих к организациям из этих сфер. Учитывая стремление злоумышленников к похищению конфиденциальных данных, выбор приоритетных целей ожидаем: все подобные IT-инфраструктуры содержат массу информации, на которую есть спрос как на черном рынке, так и среди внешних разведывательных организаций, в интересах которых действуют многие группировки атакующих.

Отдельно отметим, что риск компрометации растет, если общая ИБ-культура в организации невысока. Это характерно для индустрий, в которых происходит процесс цифровизация, например в здравоохранении. Медицинские учреждения быстро переходят на цифровые решения, что не всегда сопровождается адекватными мерами защиты, и в результате злоумышленники получают относительно легкую мишень.

Для надежной защиты инфраструктуры организации от кибератак эксперты Solar 4RAYS рекомендуют применять следующие меры:

  • Регулярно сканировать свой внешний периметр на предмет изменения опубликованных сервисов и наличия в них уязвимостей.
  • Публиковать в интернет только действительно необходимые сервисы и осуществлять за ними повышенный контроль. Все интерфейсы управления инфраструктурой и ИБ не должны быть доступны из публичной сети.
  • Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные.
  • Используйте данные об угрозах из OpenSource источников и фиды вендоров (Solar TI Feeds), применяйте правила корреляции, чтобы ваши СЗИ своевременно блокировали реальные атаки.
  • Оперативно обновлять все используемое в инфраструктуре ПО.
  • Строго контролировать удаленный доступ в инфраструктуру, особенно для подрядчиков.
  • Предельно ответственно относиться к соблюдению парольных политик, вовремя обновлять учетные записи и пользоваться сервисами мониторинга их утечек (Solar AURA).
  • Обеспечить защиту от автоматизированных атак методом подбора.
  • Создавать инфраструктуру бэкапов, следуя принципу «3–2–1», который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа и минимум одной копии — за пределами основной инфраструктуры.
  • В случае подозрения на атаку не медлить с оценкой компрометации, а лучше — проводить ее на регулярной основе.
  • Заниматься повышением киберграмотности сотрудников, так как успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре.
  • Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации.