Что такое MFA и зачем оно нужно?

MFA (многофакторная аутентификация) требует 2+ способов подтверждения личности: пароль + код из приложения. Защищает от кражи паролей.

Как часто нужно обновлять систему?

Критичные патчи безопасности — в течение 48 часов. Плановые обновления — ежемесячно. Тестируйте сначала на тестовом окружении.

Что такое правило 3-2-1 для бэкапов?

3 копии данных, на 2 разных типах носителей, 1 копия за пределами офиса (облако или удалённый сервер).

Нужна ли сегментация сети в малом бизнесе?

Да. Как минимум разделите: гостевой Wi-Fi, рабочие устройства и серверы. Это снизит риск распространения атак.

Можно ли использовать бесплатные антивирусы для компании?

Крайне не рекомендуется. Корпоративные решения дают централизованное управление, мониторинг и защиту сети, а не только ПК.

Как защитить ИТ-инфраструктуру от взлома: 5 принципов, о которых забывают сисадмины

Статистика

60% малого и среднего бизнеса закрываются в течение 6 месяцев после серьёзной кибератаки. Защита — это не параноя, а базовая гигиена.

Что чаще всего атакуют и где реальные риски

Забудьте про голливудских хакеров, взламывающих Пентагон. В реальности 90% атак — это автоматизированные сканеры, ищущие слабые места в тысячах компаний одновременно. Они бьют по следующим точкам:

Устаревшее ПО — неисправленные уязвимости в Windows, роутерах, CMS сайтов. Публичные эксплоиты доступны всем.
Слабые пароли — admin/123456, дата рождения, название компании. Перебираются за минуты.
Фишинг — письмо «от директора» с вредоносным вложением. Сотрудник открывает — вирус внутри сети.
RDP/SSH без защиты — открытый удалённый доступ в интернет. Ботнеты атакуют 24/7.
Отсутствие бэкапов — шифровальщик заразил сервер, данные зашифрованы, выкуп $50 000.

Хорошая новость: 95% атак отсекаются базовыми мерами безопасности. Плохая: многие админы игнорируют эти меры.

Принцип 1: обновления и управление уязвимостями (patching)

«Обновлю потом» — самая дорогая фраза в ИТ. WannaCry, Petya и тысячи других атак эксплуатировали уязвимости, для которых патчи вышли за месяцы до атаки.

Что обновлять

Операционные системы (Windows Server, Linux)
Прикладное ПО (1С, CRM, почтовые серверы)
Firmware роутеров, свичей, firewall
Веб-приложения и CMS (WordPress, Bitrix и т.д.)
Антивирусы и системы защиты

Как это делать правильно

Критичные патчи безопасности — устанавливайте в течение 48 часов после релиза. Microsoft Patch Tuesday — каждый второй вторник месяца.
Тестируйте на dev-окружении — не накатывайте обновления сразу на prod. Бывают баги.
Автоматизируйте — WSUS для Windows, apt/yum для Linux. Настройте расписание и отчёты.
Ведите реестр уязвимостей — какие патчи установлены, какие в очереди, что нельзя обновить и почему.

Реальный кейс

В 2023 компания потеряла 3 млн рублей из-за шифровальщика, использовавшего уязвимость в Exchange Server. Патч был выпущен 4 месяца назад, но «руки не дошли».

Принцип 2: доступы (MFA, least privilege, админ-аккаунты)

Многофакторная аутентификация (MFA)

Пароль можно украсть. Пароль + код из приложения на телефоне — намного сложнее. Включайте MFA везде, где возможно:

Корпоративная почта (обязательно для админов)
RDP/VPN для удалённого доступа
Админ-панели серверов и сервисов
Облачные хранилища и SaaS-приложения

Используйте приложения-аутентификаторы (Google Authenticator, Microsoft Authenticator), а не SMS — SIM-карты легко подменяются.

Принцип минимальных привилегий (Least Privilege)

Бухгалтеру не нужны права администратора. Менеджеру не нужен доступ к серверам. Каждому пользователю — только те права, которые реально необходимы для работы.

Рабочие аккаунты — без прав админа
Админ-аккаунты используются только для настройки системы
Регулярно проверяйте список доступов и отзывайте лишние
Отдельный аккаунт для каждого админа (не общий «admin»)

Про пароли

Минимум 12 символов, уникальные для каждого сервиса. Используйте менеджер паролей (KeePass, Bitwarden) — это безопаснее записных книжек и Excel-файлов.

Принцип 3: резервные копии и восстановление (3-2-1, тесты)

Бэкапы — это не «если», а «когда». Диски выходят из строя, сотрудники ошибаются, вирусы шифруют данные. Единственная защита — регулярные резервные копии.

Правило 3-2-1

3 копии данных — оригинал + 2 резервные копии
На 2 разных типах носителей — например, локальный диск + NAS или облако
1 копия за пределами офиса — защита от пожара, потопа, кражи оборудования

Что бэкапить

Базы данных (1С, CRM, SQL)
Файлы пользователей и документы
Конфигурации серверов и сетевого оборудования
Виртуальные машины целиком (если используете гипервизор)

Частота бэкапов

Зависит от критичности данных. Базу 1С — каждый день (или каждые 6 часов), файлы документов — раз в сутки, архивы — раз в неделю. Храните несколько поколений: 7 дневных, 4 недельных, 12 месячных.

Самое важное

Тестируйте восстановление! Бэкап, который нельзя восстановить — это не бэкап, а самообман. Раз в квартал проверяйте процедуру восстановления на тестовом окружении.

Принцип 4: сегментация сети и защита периметра

Если вся инфраструктура в одной сети, то взлом одного компьютера даёт доступ ко всему. Сегментация — это разделение на зоны с разным уровнем доступа.

Минимальная сегментация

Гостевая сеть — Wi-Fi для посетителей, полностью изолирован от рабочих ресурсов
Рабочая сеть — компьютеры сотрудников, принтеры, общие папки
Серверная сеть — серверы, базы данных, критичная инфраструктура. Доступ только для админов.
Management VLAN — управление сетевым оборудованием (свичи, роутеры, iDRAC)

Firewall и периметр

Firewall — это пограничник между вашей сетью и интернетом. Настройте правила:

Блокируйте всё входящее по умолчанию, разрешайте только необходимое
RDP/SSH не должны быть доступны напрямую из интернета. Только через VPN.
Включите защиту от DDoS и сканирования портов
Логируйте все попытки подключения извне

Совет

Используйте современные firewall с функциями IPS/IDS (обнаружение вторжений) и фильтрацией контента. Это не роутер из магазина электроники.

Принцип 5: мониторинг, журналы, реакции на инциденты

Атака не всегда заметна сразу. Хакеры могут недели изучать вашу сеть перед ударом. Мониторинг и логи помогают вовремя обнаружить подозрительную активность.

Что мониторить

Неудачные попытки входа (3+ за минуту — возможна атака)
Необычный сетевой трафик (резкий рост или странные адреса)
Изменения в системных файлах и реестре
Создание новых админ-аккаунтов
Загрузка процессора/памяти (майнеры и ботнеты)

Централизованное логирование

Соберите логи со всех серверов, firewall и сетевого оборудования в одно место (Syslog-сервер, ELK-стек). Настройте алерты на критичные события: блокировка аккаунта, изменение прав, подозрительные подключения.

План реагирования на инциденты

Если случилась атака, паника — худший советчик. Подготовьте план:

Кто отвечает за реагирование (дежурный админ, внешняя компания)
Изоляция заражённых систем (отключить от сети, но не выключать — потеряете улики)
Анализ логов и определение масштаба
Восстановление из бэкапов
Уведомление руководства и, при необходимости, клиентов
Разбор полётов: как проникли, какие ошибки, как не допустить повторения

Тренировки

Раз в год проводите учения по реагированию на инциденты. Симулируйте атаку, проверьте процедуры.

Мини-чек-лист «что сделать за 1 день / за неделю / за месяц»

За 1 день (базовые меры)

Включить автоматические обновления Windows/Linux
Поменять дефолтные пароли на всём оборудовании
Проверить, включен ли firewall на серверах
Отключить RDP/SSH из интернета (перевести на VPN)
Проверить, работает ли последний бэкап

За неделю (углублённая настройка)

Настроить MFA для админов и ключевых сотрудников
Провести аудит пользовательских прав (отозвать лишние)
Разделить сеть на VLAN (гостевая, рабочая, серверная)
Настроить централизованное логирование
Проверить актуальность антивируса и обновить базы

За месяц (полноценная защита)

Внедрить правило 3-2-1 для бэкапов
Провести тест восстановления из резервной копии
Настроить мониторинг и алерты на критичные события
Разработать план реагирования на инциденты
Провести обучение сотрудников (фишинг, безопасные пароли)
Заказать аудит безопасности у внешних специалистов

Главное

Безопасность — это процесс, а не одноразовая настройка. Регулярно пересматривайте меры защиты, адаптируйтесь к новым угрозам. 90% атак можно предотвратить базовыми действиями из этой статьи.