23 января 2026

18 декабря состоялся вебинар «Экспресс-усиление ИБ: практические шаги и приемы». Эксперты УЦСБ рассказали, как повысить защищенность критических узлов ИТ-инфраструктуры за счет эффективного использования уже имеющихся механизмов обеспечения ИБ, а также дали практические рекомендации, которые можно внедрить самостоятельно уже сейчас.

Участники вебинара активно участвовали в обсуждении и задавали экспертам вопросы. В этом материале мы ответили на самые интересные из них.

Были ли среди обнаруженных вами уязвимостей такие, которые не выявляются сканерами?
Если да, каким образом их удалось обнаружить?

В нашей практике встречались уязвимости, которые не выявляются автоматизированными сканерами. В первую очередь это архитектурные уязвимости, которые невозможно обнаружить инструментальными средствами. Они выявляются в ходе анализа архитектуры системы и общения с Заказчиком и могут иметь как технический, так и процессный характер.

Кроме того, сканеры, как правило, не обнаруживают уязвимости, связанные с некорректной конфигурацией средств защиты: антивирусов, политик безопасности, межсетевых экранов и других защитных механизмов. Такие проблемы не связаны с программным кодом и не поддаются автоматической эксплуатации.

При этом автоматизированные сканеры уязвимостей эффективно решают задачи поиска типовых проблем и существенно ускоряют процесс аудита. Однако для выявления архитектурных и конфигурационных недостатков необходимы экспертный анализ и ручная проверка системы безопасности.

Расскажите об успешных кейсах из вашего опыта. Сколько времени занимает услуга «Экспресс-повышение уровня защищенности»?

Срок проведения услуги зависит от готовности Заказчика вовлечься в процесс. По нашему опыту, сбор данных занимает до 3 дней, анализ — еще 3–4 дня, после чего предоставляются первичные результаты.

Например, крупная организация с большой инфраструктурой обратилась к нам с запросом на ускоренное проведение услуги. Благодаря максимальной вовлеченности Заказчика весь комплекс мероприятий, включая мониторинг и применение рекомендаций, был выполнен за полтора месяца.

По итогам аудита, какие рекомендации удалось легко масштабировать на всю инфраструктуру компании в короткие сроки, а какие работали только локально?

Быстрее всего масштабируются рекомендации, которые реализуются через средства централизованного управления. В первую очередь, это политики безопасности и настройки, связанные со службой каталогов, которые можно распространить из одной точки. Также с помощью централизованных систем управления можно оперативно корректировать права доступа, политики и другие параметры безопасности на всей инфраструктуре.

Сложнее масштабируются меры, требующие изменений архитектуры. Они обычно связаны с дополнительным проектированием и внедрением технических средств, таких как маршрутизация, сегментация сети или новое оборудование. В этих случаях устранение уязвимостей «в корне» занимает больше времени. Для таких ситуаций применяются компенсирующие меры, включая мониторинг и дополнительные механизмы контроля. Они не устраняют первопричину уязвимости, но позволяют снизить риски и ограничить возможные сценарии эксплуатации.

Даже для сложных случаев, которые нельзя быстро исправить на уровне архитектуры, существуют относительно быстрые решения, позволяющие эффективно нивелировать уязвимости и повысить уровень безопасности.

Информационная безопасность в компаниях выстраивалась эволюционно? Кто этим занимался?

Как правило, процессы ИБ в крупных и средних организациях формируются постепенно, на протяжении нескольких лет. На начальных этапах разные подразделения могли иметь свои собственные документы, политики и стандарты ИБ. На верхнем уровне они описывали целевое состояние, но на практике обеспечение безопасности часто выглядело как «лоскутное одеяло». Отдельные подсистемы закрывали конкретные риски с помощью проектных решений или приобретенных технических средств.

Подход к управлению ИБ в таких компаниях можно рассматривать как реализацию мер на нескольких уровнях:

инструментальный — конкретные технические средства;
тактический — средства связываются с внутренними политиками и процедурами;
стратегический — управление осуществляется на уровне процессов и рисков, формируется долгосрочное планирование.

Опыт УЦСБ показывает, что организации постепенно переходят от отдельных проектных решений к более зрелому управлению информационной безопасностью. Решения принимаются с учетом рисков и процессов, а не только на базе отдельно внедренных инструментов.

Порекомендуйте наиболее эффективный способ быстро выявить уязвимости в инфраструктуре предприятия без значительных финансовых и временных затрат.

Эффективное выявление уязвимостей начинается с аудита инфраструктуры. При этом не обязательно приобретать дорогостоящие инструменты — важно уметь правильно ими пользоваться. С помощью инструментов можно получить необходимый слой информации, который помогает определить, что нужно скорректировать, какие меры принять для повышения безопасности. Аудит можно проводить как внутренними силами, так и с привлечением сторонних специалистов.

Если говорить о конкретных инструментах, для быстрого анализа подходят сканеры защищенности как коммерческие, так и open-source. Они позволяют выявлять уязвимости с определенными ограничениями, но дают практическую информацию для дальнейших действий.

Главное правило: лучше использовать доступные инструменты и проводить аудит, чем не предпринимать никаких мер.

Какие меры по усилению информационной безопасности могут негативно повлиять на работоспособность критических систем в транспортной отрасли? Как этого избежать?

Важно понимать, что практически любой инструмент информационной безопасности при некорректном применении может повлиять на работу критических систем. Речь идет не столько о конкретных технологиях, сколько о подходе к их внедрению.
Мы опираемся на собственный практический опыт работы с критически важными системами.

Например, в проектах по безопасности АСУ ТП приходилось сталкиваться с ситуациями, когда любое вмешательство воспринималось как потенциальная угроза для непрерывности технологического процесса. Даже простая попытка снять копию трафика для анализа могла восприниматься как нагрузка на сетевое оборудование.

В нашей практике ключевой принцип — не выбор опасных или безопасных инструментов, а итеративный и аккуратный подход к внедрению мер. Мы устанавливаем средства защиты информации или настраиваем встроенные функции безопасности, но перед этим обязательно готовим план восстановления системы к работоспособному состоянию. Затем мы проверяем, как изменения влияют на систему, корректируем настройки, тестируем их на отдельных узлах. Мы переходим к следующему элементу инфраструктуры только после подтверждения корректности функционирования защищаемой системы. Это также относится к внедрению межсетевых экранов и задачам сегментации сети. Новые правила фильтрации трафика могут блокировать часть легитимного сетевого взаимодействия. Поэтому сначала мы применяем режим наблюдения, затем базовые грубые правила, постепенно уточняем их, доводя политику межсетевого экранирования до точного описания сетевых взаимодействий защищаемой системы.

Какие конкретные методики и инструменты анализа угроз можно внедрить в короткие сроки, чтобы минимизировать риски атак нулевого дня и обеспечить высокий уровень защиты критически важных данных организации?

По нашему опыту, быстрые меры по минимизации рисков атак нулевого дня и обеспечению защиты критически важных данных можно реализовать с помощью инструментов и методик, используемых в центрах мониторинга безопасности (SOC).

При подключении к SOC на практике применяются следующие подходы:

мониторинг событий,
анализ сетевого трафика,
анализ метрик с конечных узлов.

Эти подходы позволяют оперативно выявлять подозрительную активность, делать предварительные выводы о возможных атаках и реагировать на них.

Бывали ли случаи, когда ваши рекомендации по усилению информационной безопасности создавали новые уязвимости? Как в таких ситуациях вы их устраняли?

В нашей практике мы исходим из базового принципа «не навреди». Если в результате внедрения мер система становится сложнее и потенциально более уязвимой, возникает вопрос, зачем такие изменения вообще нужны.

Если отвечать прямо на вопрос, то случаев, когда наши рекомендации создавали новые уязвимости, не было. При этом важно понимать, что любая автоматизированная система по своей природе сложна. Она состоит из оборудования, программного кода, конфигураций, а также людей и процессов, которые эту систему эксплуатируют, настраивают и поддерживают в актуальном состоянии.

Внедряемые нами инструменты и настройки изначально направлены на сокращение поверхности атаки и снижение возможностей для эксплуатации уязвимостей. Далее мы работаем в рамках процессного подхода. Внедрили изменения, проверили их эффективность, при необходимости скорректировали настройки. Этот цикл повторяется постоянно.

Подобный подход хорошо известен и описан, в том числе, в стандартах и рекомендациях по мониторингу информационной безопасности: внедрение, измерение, планирование изменений и повторение цикла. Благодаря этому, даже по мере роста сложности системы, она остается в эффективном и контролируемом состоянии.

Как внутренней службе по аудиту быстро проверить в компании, что внедренные меры действительно снизили риски информационной безопасности, а не просто создали видимость защиты?

В данном случае речь идет об экспресс-пентесте или повторном тестировании защищенности. Мы выдаем рекомендации, но их реализация — частично или полностью — лежит на стороне Заказчика.

Даже если мы сами участвуем во внедрении и выполняем настройки, необходимо учитывать, что уже на следующий день они могут быть кем-то изменены. Чтобы понять, что система по-прежнему остается защищенной и уровень рисков действительно снижен, проводится экспресс-тестирование защищенности или повторный аудит. Такой подход позволяет оперативно оценить текущее состояние системы и подтвердить, что внедренные меры работают эффективно, а не создают лишь формальное ощущение защищенности.

Через какое время после внедрения быстрых мер информационной безопасности можно ожидать снижения числа инцидентов? Какие метрики следует отслеживать?

Если в компании ведется мониторинг событий безопасности и оценивается количество потенциальных инцидентов ИБ, есть и фактура, на основании которой можно оценивать эффект от внедренных мер.

Повышение уровня защищенности связано с реализацией конкретных мер защиты. В ряде случаев эффект появляется сразу после внедрения меры. Например, если мы устраняем проблемы с учетными записями, у которых установлены бессрочные пароли, то возможности злоумышленника сокращаются немедленно. Соответствующий сценарий атаки с перебором паролей становится сложнее и улучшение наступает сразу после применения меры.

При экспресс-внедрении мер по усилению ИБ могут возникнуть трудности и проблемы. Как и по каким метрикам можно оценить эффективность мероприятий?

Эффективность мероприятий в первую очередь оценивается через повторную проверку защищенности — экспресс-пентест или повторный аудит. Если говорить о метриках, то именно пентест дает наглядный и измеримый результат. После анализа защищенности сразу видно, какие уязвимости были закрыты и какие векторы атак перестали работать.
Более того, если рассматривать в динамике, каждое последующее тестирование на проникновение показывает изменение общей картины защищенности. Эта динамика и является ключевым индикатором того, что меры действительно работают и уровень безопасности повышается.

Новые технологии могут конфликтовать с существующими системами и оборудованием, вызывая сбои и отказы в работе ИТ-инфраструктуры. Как этого избежать?

Эта проблема решается не выбором «безопасных» инструментов, а корректным подходом к внедрению. Любые изменения в критичной инфраструктуре требуют особой осторожности и поэтапности. На практике заранее формируется план отката в безопасное и работоспособное состояние, работы выполняются в предусмотренные технологические окна, после внедрения система некоторое время находится под наблюдением. Проверяется, что ИТ-функции работают корректно и ничего не сломалось. После этого принимается решение о переходе к следующему узлу или этапу.

Таким образом, новые меры безопасности внедряются не за счет резкого вмешательства в уже работающую инфраструктуру, а постепенно — с контролем, проверкой и поэтапным приведением системы в более безопасное состояние без нарушения ее работоспособности.

Как бизнесу в короткие сроки провести быстрый пентест без закупки специализированных сканеров и привлечения внешних услуг? Какие легальные подходы или инструменты вы могли бы порекомендовать?

Можно воспользоваться бесплатными сканерами. Их функциональность может быть ограничена, но они подсветят наиболее критичные проблемы, которые можно определить по версии ПО или другим подобным маркерам. При этом важно понимать, что даже платные сканеры не могут обеспечить ту же глубину исследования, которую дает полноценный пентест. Главное преимущество пентеста в том, что специалисты эксплуатируют уязвимости и могут последовательно развивать атаки, формируя из них цепочки.

Что бы вы посоветовали небольшим компаниям, которые ограничены в бюджете на информационную безопасность, не располагают квалифицированными кадрами и испытывают сложности с адаптацией приобретаемых продуктов и технологий под свои реальные потребности?

Одно из преимуществ небольших компаний — масштаб инфраструктуры, позволяющий применять базовые меры защиты даже с ограниченным бюджетом. К таким мерам прежде всего относятся покрытие антивирусным ПО, сегментирование и управление уязвимостями. В малых компаниях не обязательно автоматизировать управление уязвимостями с помощью сложных систем, достаточно своевременного обновления ПО. Реализовав эти три меры, компания уже получит 80% результата при 20% усилий.

Используете ли вы в своей практике рекомендации по харденингу операционных систем Linux, разработанных ФСТЭК России?

Мы используем рекомендации по настройке встроенных механизмов безопасности Linux, в том числе предоставленных ФСТЭК России.

Какие действия вы бы предприняли в первую очередь, если бы выяснилось, что ранее предложенный вами набор практических мер по усилению ИБ оказался недостаточно эффективным и компания продолжает регулярно сталкиваться с успешными атаками?

Если происходят успешные атаки, нужно проводить их анализ. Необходимо определить, через какие компоненты они происходят, почему в этих компонентах были недостатки, которыми смог воспользоваться нарушитель, и что это за недостатки. Далее в зависимости от результатов анализа следует устранение недостатков как самих компонентов инфраструктуры, так и процессов, из-за которых эти недостатки появились. Например, если системы не были обновлены, нужно обратить внимание, с какой регулярностью происходит патч-менеджемент и каково покрытие систем этим процессом.

Как достичь зрелого уровня информационной безопасности при работе с технологическими и производственными сетями с учетом рисков нарушения технологических процессов при управлении уязвимостями?

Работа по устранению уязвимостей в промышленных системах автоматизации основывается на тщательном планировании. Чаще всего, работы производятся в периоды технологических остановов, которые различаются в зависимости от отрасли и производства. Прежде всего, обязательно нужно проработать план отката к работоспособному состоянию на случай, если во время работ что-то пойдет не по плану. Далее нужно определиться с приоритетными работами, которые можно выполнить в период технологического останова, а именно, какие уязвимости нужно провести в первую очередь.

Например, работы по устранению критичных уязвимостей ПО или конфигураций, которые возможно проэксплуатировать в конкретном окружении конкретной АСУ ТП. При наличии возможности, рекомендуется провести работы на тестовых стендах или резервных установках, и только после этого переходить к действующим компонентам АСУ ТП. В течение некоторого периода времени после проведения работ, требуется наблюдать за тем, чтобы АСУ ТП работала в штатном режиме, и ее функции не были нарушены.

Напишите нам на cybersec@ussc.ru или оставьте заявку

Нужна консультация по экспресс-повышению уровня защищенности?

Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных

FAQ: ответы на вопросы к вебинару «Экспресс-усиление ИБ: практические шаги и приемы»

Были ли среди обнаруженных вами уязвимостей такие, которые не выявляются сканерами? Если да, каким образом их удалось обнаружить?