Возьмём примеры WannaCry и NotPetya (оба вспышки в $2017$) — что привело к массовым отключениям и какие меры нужны.
Ключевые уязвимости инфраструктуры (технические + организационные)
- Неустановленные патчи и уязвимые сервисы: WannaCry использовал эксплойт EternalBlue (CVE-$2017$-0144) для SMB; многие хосты оставались без MS$17$-010.
- Поддержка устаревших ОС: наличие Windows XP/Server $2003$ без поддерживаемых обновлений.
- Открытый/несегментированный сетьевой доступ: порт SMB ($445$) доступен внутри сети и/или из внешней сети; «плоская» сеть позволяла широкое боковое перемещение.
- Общие/административные учётные записи и слабая сегрегация привилегий: использование одних и тех же админ-кредов на множестве хостов.
- Недостаточные резервные копии: бэкапы отсутствовали, недоступны офлайн/неприкосновенны или не проверялись на восстановление.
- Слабая телеметрия и обнаружение: отсутствие EDR/IDS/логирования, задержки с обнаружением инфекции.
- Компрометация цепочки поставок / обновлений (особенно в NotPetya — заражённый апдейт MEDoc) и отсутствие контроля целостности обновлений.
- Недостаточная подготовка и планы реагирования: не было отработанных playbook’ов и резервных каналов связи.
Технические меры (конкретно и приоритетно)
- Патч-менеджмент: внедрить централизованное тестирование и развертывание патчей с RTO/RPO; критические патчи устанавливать в $\le 7$ рабочих дней после релиза (высокий приоритет).
- Убрать/заблокировать SMBv1 и ограничить SMB: отключить SMBv1, блокировать TCP порт $445$ на границе и сегментировать доступ внутрь сети через фаервол/ACL.
- Сеть и сегментация: микро-/VLAN-сегментация по функциям и серверам; минимизировать доступ между сегментами; политика «запрещено по умолчанию».
- Принцип наименьших привилегий и управление учетными записями: разделение ролей, минимальные права, использование привилегированного доступа через jump-servers, менеджеры паролей (PAM/LAPS), MFA для админов.
- Endpoint Detection & Response (EDR), NGAV и сетьевое обнаружение: установить EDR на всех конечных точках, IPS/IDS с правилами для известных эксплойтов и поведенческого анализа.
- Резервные копии 3-2-1 и их защита: правило $3$-$2$-$1$ — минимум $3$ копии, на $2$ разных носителях, $1$ офлайн/изолированная; сделать immutable/air‑gapped снапшоты и регулярно тестировать восстановление.
- Приложенческий контроль/whitelisting: AppLocker/Device Guard или аналог для запрета выполнения неподписанных/неизвестных бинарников.
- Жёсткая защита обновлений и цепочек поставок: проверка цифровых подписей, ограничение доверенных источников обновлений, мониторинг поставщиков.
- Сегрегация административной сети и журналирование: отдельные каналы для админов, централизованный SIEM/логирование с хранением логов вне основной сети.
- Сеть нулевого доверия (Zero Trust) постепенное внедрение: аутентификация и авторизация на каждом уровне.
Организационные меры
- Политика управления конфигурациями и активами: точный CMDB/инвентарь, автоматическое сканирование уязвимостей и приоритезация по риску.
- План реагирования на инциденты и DR/BCP: документированные процедуры, роли и ответственные, регулярные tabletop-упражнения и тесты восстановления.
- Обучение персонала и тренировки: фишинговые кампании, повышение осведомлённости, специальные тренировки для ИТ/СИБ.
- SLA и контракты с поставщиками: требование безопасности к поставщикам ПО, периодические аудиты.
- Процедуры управления изменениями и тестирования обновлений: тестовые окружения, staged rollout, откатные планы.
- Регулярные аудиты и тесты на проникновение: внешние и внутренние проверки, red-team.
Краткие приоритеты действий при обнаружении угрозы
1. Изолировать заражённые сегменты/хосты (снять с сети).
2. Отключить/заблокировать SMB ($445$) внешне и внутри при необходимости.
3. Включить EDR/сигнатуры и собрать артефакты (логи, дампы памяти).
4. Восстановить сервисы из защищённых резервных копий после подтверждённой очистки.
5. Провести пост-инцидентный анализ и закрыть выявленные пробелы.
Эти технические и организационные меры в комплексе сильно снижают риск массовых отключений, характерных для WannaCry/NotPetya.