«Взломали один раз — значит, сидят до сих пор»
Пока в СМИ всякие асприанты универистета Джона Хопкинса втирают какую-то дичь, проясню о чем речь.
Есть одна вещь, которую инфобез любит замазывать шпатлёвкой.
Если компанию публично «вынесли» (не важно кем: спецслужбы, «активисты», конкуренты, криминал), я почти всегда исхожу из того, что она остаётся скомпрометированной.
Так устроены экономика чёрного рынка торговли доступами и реальность развёртывания и поддержки инфраструктуры.
Не потому что «все плохие» — жизнь такая.
Это про весь мир, не только про РФ. Различаются вывески, бюджеты и нарративы. Внутрянка одинаковая: люди и внутернние интриги, домены, облака, техдолг, дедлайны, «в пятницу релиз».
Что значит «Скомпрометирована до сих пор»
Не обязательно «у них там руткит в каждом ноутбуке» (хотя иногда и так).
Чаще всё выглядит прозаичнее, оттого и опаснее:
- Сохранённые доверия: ключи, токены, OAuth-приложения, сервисные учётки, API-ключи, старые секреты в CI/CD.
- Компрометация идентичности: доменные/облачные роли, сертификат администратора, делегирования, не прибитые GPO, теневые админы.
- Якоря доверия: сертификаты, CA, SSO, федерации, device enrollment — то, что потом позволяет «войти как свой».
- Постоянные наблюдатели: не обязательно бэкдор; иногда достаточно доступа к логам/телеметрии/почте/тикетам/докам.
Это уже половина победы.
После крупного инцидента атакующий часто знает ваш ландшафт лучше, чем новый CISO через три месяца.
Ключевое здесь: даже если «всё почистили», почистили только то, что нашли. А находят обычно то, что удобно находить, и то, что красиво продаётся в отчёте.
Почему почти никто добровольно не отпускает доступ
Это рыночная экономика теневого рынка.
Прикиньте сами, что к чему:
Прикиньте сами, что к чему:
Доступ в крупную компанию — это актив. Его не бросают, как сигарету в лужу.
- Его монетизируют (время/данные/вымогательство/инсайд/перепродажа);
- используют как плацдарм (цепочки поставок, партнёры, смежные контуры);
- держат «на всякий случай» (на следующую фазу, нового интересанта, свежий контекст).
Защитнику выгодно «закрыть инцидент». Атакующему выгодно «не светиться и жить». Кто чаще получает то, что ему выгодно?
Почему вообще это вываливают в паблик, если «выгодно жить тихо»?
- Выбить конкурентов по доступу. Когда в контуре сидит несколько групп, публикация артефактов/дампов/скринов иногда делается как «флажок на территории»: поднять шум, заставить защиту дёргаться, спалить чужие якоря, обнулить их стойкость. Рынок доступов — это не романтика, это аукцион, и там конкурентов гасят.
- Актору мешают идеологические ебанаты «за всё хорошее» и прочие (бес)полезные идиоты. Им не нужны деньги, им нужен огонь и лайки. Они не понимают, что «слить базу» — это не про наказать компанию, это про поставить под удар живых людей. Такие ребята не хакеры, а дети с канистрой у бензоколонки.
- Смеха ради и демонстрация глубины. Когда доступ настолько жирный, что можно достать то, что трогать нельзя вообще, у некоторых начинается цирк: «смотрите, как глубоко мы внутри». И да, это иногда выглядит как феноменальная халатность на стороне жертвы — ровно из серии «табличка с людьми/доками/процессами лежит там, где ей быть не должно». После такого урон может поймать не только бизнес, но и те, кто вообще не в игре.
Перед этим у многих всё было «как надо» — сертификации, пентесты, галочки, «СЗИ с бумажкой», отчёты на основе двух недельного тестирования. Только эти ритуалы проверяют то, что удобно проверять, и не проверяют то, что реально держит критические процессы: доверия, процессы, подрядчиков, исключения и человеческую лень. В итоге в паблик улетает не база заявок, а ГТ — в xlsx.
«Next Generation Firewall» и прочая мифология
Инфобез продаёт ощущение контроля — чтобы бизнес потом выёбывался как муха на стекле вокруг купленных коробок, матриц и «зрелости». За примером далеко ходить не надо: посмотрите на применявшуюся риторику производителя основной российской CMS.
Это религия для менеджмента:
- Купили коробку → стало «спокойнее».
- Нарисовали матрицу → стали «более зрелыми».
- Провели аудит → теперь «соответствуем».
Реальность:
Если в модели угроз есть серьёзный интересант, он не «ищет дыру». Он формирует условия, где дырой становится процесс, регламент, подрядчик, человек и его личная ситуация, легаси, интеграция, обновление, политика доступа. После публичного взлома вы уже не «чёрный ящик».
Вы белый ящик, потому что у атакующего есть:
Вы белый ящик, потому что у атакующего есть:
- внутренняя документация;
- схема и топология инфраструктуры;
- переписки;
- тикеты;
- конфиги;
- бэкапы;
- слепки;
- привычки команды.
Можно купить хоть «ультра-мега-XDR». Но если ваши якоря доверия не переосмыслены и не перестроены, вы просто купили блатной фонарик, чтобы лучше видеть, что у вас в подъезде написали что вы — лох.
«Мы почистили доступы и живём дальше»
Это миф.
Инцидент редко «заканчивается». Он переходит в фазу пассивного присутствия.
А защитники делают классический финт:
- Нашли очевидный маяк / простую закладку.
- Написали отчёт, закрыли тикет.
- Поменяли пару паролей.
- Оставили старые доверия, старые процессы, старые «исключения».
- Через полгода ловят «новый» инцидент от «неизвестной группы».
Это не «новая APT». Это старые жильцы, просто туфли новые.
«А как тогда вообще жить?»
Жить можно, но теперь по-взрослому.
Без иллюзии абсолютной безопасности. Её нет. Идея 100% предотвращения — это маркетинг, не инженерия.
Рабочая модель:
- Принять, что компрометация могла сохраниться — как допущение в системе и обеспечении безопасности предприятия.
- Перестраивать доверие, а не «ловить малварь» — малварь следствие, доверие причина.
- Делать «reset реальности», а не «уборку следов» — иногда требуется не «переустановить пару машин», а сборка идентичности и ключей с нуля.
Чем отличается «Мы отбились» от «нам показалось»
Задайте себе вопросы как инженер.
Trust Anchors / Идентичность
- Вы перевыпустили ключевые сертификаты/CA — или «ну там один сервер же»?
- Вы переучредили привилегии (Tier-0) с нуля — или просто сменили пароль домен-админу?
- Вы проверили скрытые роли (теневые админы, делегирования, OAuth apps) — или смотрели только «скомпрометированные учётки»?
- Вы сделали break glass с офлайн-контролем и процедурами?
Инфраструктура
- Бэкапы: вы уверены, что они не содержат старые секреты/агентов/конфиги — или «ну зелёным антивирусом проверили, считай, форензики посмотрели»? Что акторы получили из этих бэкапов и что смогут исполнить на основании старых?
- Золотые образы: вы их пересобрали из доверенной базы — или «клонировали то, что было»? Проверяли ли вы их целостность?
- Доступ подрядчиков: вы его перекроили — или он «как раньше, чтобы обеспечить непрерывность бизнеса»?
Наблюдаемость
- У вас есть detection engineering под реальные TTP — или «поставили SIEM и ловим на живца»?
- Вы умеете доказать, что атакующий не видит ваши планы/тикеты/почту — или вам просто хочется в это верить?
- Если на половину вопросов ответы в духе «ну… наверное…», значит, история не закончилась. Она просто ушла в тень.
Почему это важно в 2025+ и дальше будет только хуже
Тренд предсказуемый:
Инфраструктуры становятся сложнее, доверий больше, интеграций море.
Облако/SaaS делает «вход как легитимный» проще, чем «взлом как в кино».
Рынок безопасности продаёт коробки, потому что коробки удобно покупать и легко списывать бюджетом.
Облако/SaaS делает «вход как легитимный» проще, чем «взлом как в кино».
Рынок безопасности продаёт коробки, потому что коробки удобно покупать и легко списывать бюджетом.
В итоге побеждает не тот, у кого «больше продуктов», а тот, кто управляет довериями и умеет пересобирать и менять инфраструктуру и процессы после удара.
Вывод
Если компанию публично ломали, я по умолчанию считаю, что хвосты там есть до сих пор. Не потому что я пессимист — скорее реалист, и опыт у меня отнюдь не инкубаторский. Это единственная позиция, из которой можно строить реальную защиту, а не оправдания для регулятора.
Без этой трезвости вам будет непросто.
Creator has disabled comments for this post.
