Как понять, что вашу инфраструктуру уже взломали
Степан Панфилов,
ведущий аналитик инцидентов ИБ UserGate
Иван Князев,
аналитик инцидентов ИБ UserGate
Чем дольше злоумышленник остается незамеченным в инфраструктуре, тем серьезнее последствия кибератаки. В профессиональной среде этот период называют временем ожидания, или dwell time. Это время может измеряться годами. Все зависит от цели атакующего и от того, насколько хорошо компания, ставшая целью взлома, умеет замечать скрытые следы чужого присутствия.
Организации по-разному подходят к решению этой проблемы: кто-то внедряет проактивный мониторинг инфраструктуры, кто-то проводит регулярные разовые проверки, а кто-то в спешке ищет экспертов уже после подтвержденной атаки.
Именно вокруг поиска злоумышленников выстроена комплексная проверка ИТ-инфраструктуры на наличие следов текущего или прошлого присутствия злоумышленников — оценка компрометации или Compromise Assessment.
При этом важно понимать, что Compromise Assessment — не панацея и не замена глубокому расследованию. Даже самый тщательный поиск признаков компрометации покрывает примерно 80% типовых атак. Но для многих компаний, особенно тех, кто не знает, с чего начать, или находится в состоянии паники после неподтвержденных слухов об утечке, именно такой подход становится первым и самым логичным шагом.
Как правило, собственными силами такую проверку провести сложно: у штатных администраторов не хватает времени, а у организации — специализированных инструментов и наработанных методик. Поэтому на практике Compromise Assessment чаще выполняют внешние компании, специализирующиеся на анализе инцидентов и компьютерной криминалистике.
В этой статье мы разберем, чем отличается проверка на скрытую компрометацию от пентеста и оценки уязвимостей, в каких ситуациях она действительно нужна и как устроены три уровня глубины анализа.
Оценка уязвимостей, пентест и оценка компрометации — в чем разница?
Оценка уязвимостей (Vulnerability Assessment)
Оценка компрометации (Compromise Assessment)
В каких ситуациях нужна проверка на скрытую компрометацию
Неподтвержденная утечка информации
Отсутствие средств защиты/их внедрение с нуля
Средства защиты есть, но их некому анализировать
Как устроен Compromise Assessment: три уровня глубины
Уровень первый — активный мониторинг (Health Check)
Уровень второй — целенаправленный сбор артефактов (Smart Triage)
Уровень третий — компьютерная криминалистика
Соотношение всех трех уровней между собой
Результаты Compromise Assessment и их значение
Общее описание исследованной инфраструктуры
Выявление аномальных процессов и нежелательного программного обеспечения
Индикаторы компрометации (IOC)
Направления, требующие более детальной проверки
Рекомендации по устранению выявленных проблем
Оценка уязвимостей, пентест и оценка компрометации — в чем разница?
В информационной безопасности сегодня существует целый спектр услуг — от превентивной защиты и управления уязвимостями до реагирования на инциденты. И каждая из них связана с решением строго определенных задач. Чтобы понять место Compromise Assessment, полезно сравнить ее с двумя другими распространенными подходами: оценкой уязвимостей и пентестом.
Оценка уязвимостей (Vulnerability Assessment)
Этот подход отвечает на вопрос: «Какие известные уязвимости существуют?» Если говорить совсем просто — «что потенциально может быть сломано». Здесь речь идет исключительно о слабых местах в инфраструктуре без привязки к тем или иным видам атак или атакующих. Это целостный взгляд на систему и ее потенциальные уязвимости.
Пентест (Penetration Testing)
Пентест занимается поиском ответа на ключевой вопрос: «Могут ли злоумышленники проникнуть внутрь и как именно?» Здесь моделируются практические атаки. Пентест проводится при условии, что заказчик знает о проверке и все средства защиты — тоже. Это не скрытое тестирование, а контролируемый процесс. Пентест выявляет и показывает конкретный путь взлома.
Оценка компрометации (Compromise Assessment)
Как уже говорилось выше, Compromise Assessment занимается решением наиболее злободневного вопроса — выяснением, есть ли на данный момент в инфраструктуре скомпрометированные активы.
Оценка уязвимостей отвечает на вопрос: что теоретически могут взломать?
Пентест отвечает на вопрос: могут ли взломать в принципе и как именно?
Compromise Assessment отвечает на вопрос: взломали ли уже инфраструктуру? Есть ли активная угроза прямо сейчас?
В каких ситуациях нужна проверка на скрытую компрометацию
Очень часто у компаний нет конкретных доказательств взлома, но нет и уверенности в их отсутствии. Compromise Assessment помогает проверить реальное положение дел.
Неподтвержденная утечка информации
Одна из самых частых ситуаций. Где-то в даркнете, на форумах или в мессенджерах появляется информация о том, что компания взломана. Иногда такую неприятную новость приносит кто-то из контрагентов или партнеров. При этом нет никакой конкретики о том, какие данные были украдены или как именно произошел взлом. Есть только слухи и ничего, кроме слухов.
Для того чтобы подтвердить или опровергнуть правдивость полученных сведений, требуется быстрая проверка на скрытую компрометацию.
Отсутствие средств защиты/их внедрение с нуля
Ситуация, когда в компании нет или почти нет адекватных средств защиты информации. Прежде чем устанавливать новые, современные системы защиты (например, EDR, NGFW и т.п.), важно понять: а есть ли кто-то в сети уже сейчас? Для этого нужно провести быструю проверку и убедиться, что на данном этапе никто не сидит в инфраструктуре. Затем можно приступать к внедрению защиты, не опасаясь за ее эффективность.
Средства защиты есть, но их некому анализировать
Еще один распространенный случай — в компании установлены средства защиты, возможно, даже с полным покрытием и сбором событий, но за все отвечают один или два администратора, у которых поверх задач по защите есть еще десятки других обязанностей. Ресурсов и времени на глубокий анализ просто нет. Системы выявляют события и сохраняют данные о них, но эту информацию никто не анализирует. В такой ситуации проверка на скрытую компрометацию становится одним из существенных и оправданных способов контроля.
Шантаж и письма о взломе
Многие организации регулярно сталкиваются с письмами, где неизвестные требуют выкуп, утверждая, что компания взломана, данные украдены, но ссылки на эти доказательства либо отсутствуют, либо ведут на нечто невнятное. Это классический шантаж. Тем не менее, в такой ситуации имеет смысл провести проверку. Хотя бы для того, чтобы с уверенностью сказать: «нет, нас не взламывали, это мошенники».
Как устроен Compromise Assessment: три уровня глубины
Ключевая идея проверки на наличие скрытой компрометации очень проста: движение от общего к частному. На практике это означает широкий охват инфраструктуры с последующим точечным углублением там, где это необходимо. Весь процесс выстраивается в трехуровневую систему, где каждый последующий уровень требует больше ресурсов, времени и экспертизы, но дает более точный и детальный ответ.
Российская экосистема для защиты ИТ-инфраструктуры:
от сетевого периметра до конечных устройств и анализа угроз.
Уровень первый — активный мониторинг (Health Check)
Это самый быстрый и наименее инвазивный этап. На данном уровне не идет речи об EDR-решениях или полноценном сборе всех событий. Используются легковесные агенты, основная цель которых — сбор оперативной телеметрии. Агенты устанавливаются на целевые системы (на базе ОС Windows или Unix-подобные) и находятся в инфраструктуре ограниченное время — обычно 1-3 дня.
На этом уровне в первую очередь собирается информация о запущенных процессах, их сетевых соединениях, а также другая «легковесная» телеметрия. Это не глубокий анализ, а скорее быстрый срез того, что происходит в системе прямо сейчас. По окончании сбора телеметрия выгружается и направляется на анализ.
Первый уровень позволяет ответить в режиме реального времени на базовый вопрос: есть ли в сети откровенно вредоносная или подозрительная активность.
Уровень второй — целенаправленный сбор артефактов (Smart Triage)
Если первый уровень показал, что некоторые активы требуют более пристального внимания, или если изначально важно проанализировать критические системы, наступает очередь второго уровня. Здесь речь идет уже не о текущей телеметрии, а об исторических данных. Smart Triage — это целенаправленное извлечение определенных артефактов, которые помогают аналитику быстро и точно представить реальную ситуацию.
Что может входить в такой набор? Для операционных систем семейства Windows это, например, информация о запускаемых приложениях (Prefetch), следы инвентаризации программ (Amcache), база WMI, системные и пользовательские кусты реестра, различные системные логи и журналы.
Важно! Хотя Compromise Assessment позиционируется как ответ на вопрос «скомпрометирована ли система прямо сейчас», на втором уровне все равно добавляется немного истории. Это необходимо, чтобы показать полноту картины и не пропустить следы недавней, но уже завершившейся аномальной активности.
Второй уровень не требует глубокой компьютерной криминалистики, но дает существенно больше информации, чем простой мониторинг процессов.
Уровень третий — компьютерная криминалистика
Третий уровень применяется в исключительных случаях — когда речь идет о суперважных активах, где необходима максимальная точность и полное понимание того, что происходило на системе: бухгалтерия, сервер с персональными данными или иная критическая система, где ошибка недопустима. Здесь подключается глубокая криминалистика.
На этом уровне специалисты работают с побитовыми копиями дисков, образами виртуальных машин или напрямую с физическими носителями. Это позволяет заглянуть туда, куда не достают первые два уровня: поиск удаленной информации в свободном пространстве, выявление следов давно засевшего бэкдора, который не проявляет себя в активных процессах.
Важно! Даже самая глубокая криминалистика не дает 100% гарантии, если глубина хранения исторических данных невелика или журналы событий не архивировались.
Соотношение всех трех уровней между собой
Перечисленные уровни не обязательно проходить один за другим. Возможны разные сценарии:
- Если у компании нет средств защиты и нужно просто проверить, нет ли в инфраструктуре посторонних, можно ограничиться первым уровнем.
- Если нужна более детальная картина без погружения в криминалистику, то добавляется второй уровень.
- Если требуется абсолютная точность на ограниченном наборе активов — применяется третий уровень.
При этом даже полный трехуровневый Compromise Assessment не закрывает вопрос на 100%. Такая проверка покрывает примерно 80% от всех возможных атак. Если же требуется полностью убедиться в отсутствии компрометации или, напротив, осуществить детальное расследование уже подтвержденного инцидента — тогда компьютерная криминалистика выступает уже не как третий уровень Compromise Assessment, а как самостоятельная, гораздо более глубокая дисциплина.
Результаты Compromise Assessment и их значение
После завершения проверки на наличие скрытой компрометации заказчик получает структурированный набор сведений, которые позволяют принимать дальнейшие решения.
Общее описание исследованной инфраструктуры
Первое, что фиксируется в итогах — описание того, что именно было исследовано: какие системы, в каком объеме, с применением каких методов и на протяжении какого времени. Эта информация важна не только для отчетности, но и для того, чтобы помочь лучше понять инфраструктуру, осознать, куда именно были установлены агенты и какие активы попали в зону проверки.
Выявление аномальных процессов и нежелательного программного обеспечения
Главная практическая ценность проверки — обнаружение того, чего в здоровой системе быть не должно:
- вредоносные процессы (например, известные образцы ВПО);
- легитимное программное обеспечение, используемое для удаленного администрирования, которое не должно быть в системе согласно политикам организации;
- аномальная активность — процессы, которые аналитики воспринимают как подозрительные, даже если они не являются однозначно вредоносными.
Индикаторы компрометации (IOC)
Если в ходе проверки обнаружены признаки компрометации, формируются ее индикаторы — набор данных в табличной форме.
Типичные IOC включают:
- сетевые соединения (IP-адреса, домены);
- пути к файлам (полные пути с именами или директориями);
- контрольные суммы (хэши) файлов.
Эти индикаторы имеют двойную ценность. Во-первых, они позволяют потом самостоятельно проверить другие сегменты инфраструктуры, не привлекая внешних экспертов. Во-вторых, они становятся основой для дальнейшего расследования — если принято решение его проводить.
Направления, требующие более детальной проверки
Проверка может выявить проблемные места инфраструктуры. Например, что сеть плохо сегментирована, что без должного контроля используется программное обеспечение для удаленного доступа или отсутствует актуальная инвентаризация не только активов, но и разрешенного ПО.
Такие наблюдения оформляются как рекомендации: на какие зоны стоит обратить внимание в первую очередь, какие процессы требуют пересмотра, где необходимо провести углубленное исследование.
Рекомендации по устранению выявленных проблем
Если найдены конкретные уязвимые места или аномалии, формируются практические рекомендации по их устранению. Это точечные указания, связанные с выявленными фактами.
Направление для дальнейшего расследования
Самый важный результат — это четкое указание на то, что делать дальше. Если проверка показала, что система скомпрометирована, услуга Compromise Assessment на этом завершается, но ее результатом является не просто констатация факта, а понимание, что в дальнейшем необходимо полноценное расследование инцидентов с привлечением компьютерной криминалистики.
Итоги
Скрытое присутствие злоумышленников в сети — реальность, с которой сталкиваются многие организации. Dwell time может исчисляться годами, и чем дольше атакующий остается незамеченным, тем серьезнее потенциальный ущерб. Compromise Assessment — это инструмент, который позволяет регулярно (раз в полгода или раз в год) проводить генеральную уборку инфраструктуры и отвечать на главный тревожный вопрос: есть ли кто-то чужой в сети прямо сейчас.
Такие проверки требуют специальных знаний, поэтому их проводят не внутренние ИТ-отделы, а компании, которые специализируются на подобных услугах. Обращение к таким компаниям позволяет получить независимый взгляд на внутреннюю инфраструктуру и ее безопасность. Результатом становится полноценная документация результатов, которую затем можно использовать для отчетности перед руководством или регуляторами.
Compromise Assessment не решает всех проблем безопасности, но он дает ответ там, где другие подходы (оценка уязвимостей и пентест) бессильны: он не спрашивает «что может быть сломано» и «могут ли взломать», а прямо проверяет — взломали уже или нет. И для многих компаний это именно та информация, с которой начинается реальное понимание собственной защищенности.
Информация, представленная на сайте, носит исключительно справочный и ознакомительный характер, не предназначена для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности и не ориентирована на потребителей по смыслу Федерального закона от 24.06.2025 № 168-ФЗ.
Подпишитесь на нашу рассылку последних новостей и событий
Подписаться