Top.Mail.Ru

Кибербезопасность для бизнеса

Логотип компании SecureDefence - эксперты по кибербезопасности
Меню
Telegram-plane Vk Envelope

Сетевые атаки на компании: от разведки до поражения. Как выстроить защиту, которая не подведет

От / 2026-02-12
DDoS-атака, график сетевого трафика, UDP-flood, L7 атака на API, анти-DDoS фильтрация
DDoS-атака, график сетевого трафика, UDP-flood, L7 атака на API, анти-DDoS фильтрация

Механизмы реализации

Бизнес сегодня — это распределенная IT-инфраструктура, которая дышит, обменивается данными, обрастает новыми сервисами. И, честно говоря, чем сложнее становится сеть, тем больше в ней потенциальных точек входа для злоумышленников. Мы в SecureDefence видим это каждый день: компании готовы тратить миллионы на развитие цифровых каналов продаж, но при этом защита сети часто воспринимается как «просто купили железку и забыли».

На практике всё чуть сложнее.

Эта статья для тех, кто отвечает за устойчивость инфраструктуры. Для IT-директоров, руководителей информационной безопасности, системных архитекторов. Мы разберем три класса сетевых атак, с которыми сейчас сталкивается практически любой бизнес, — DDoS, MITM и сканирование портов. Но главное — я покажу, как выглядит рабочая защита не на бумаге, а в реальных проектах. Без воды, но с нюансами, которые выявляются только когда начинаешь копать логи в три часа ночи.

Если говорить коротко: вы узнаете, почему стандартный firewall уже не спасает, как не пропустить скрытое сканирование периметра и почему шифрование трафика — это не только про TLS, но и про головную боль при настройке.

DDoS-атаки: когда вместо сайта — белый экран

С DDoS я столкнулся еще в 2015-м, но тогда это было скорее развлечение для школьников с LOIC. Сейчас всё иначе. Инструментарий вырос, ботнеты сдаются в аренду за пару сотен долларов, а цели сместились с госсектора на e-commerce, финтех и логистику.

По моему опыту, самая опасная иллюзия — считать, что DDoS-атака — это просто «много трафика». На самом деле атакующие давно перешли на комбинированные удары. Например, сначала идет низкоинтенсивный UDP-flood, который проверяет, настроен ли у вас пороговый мониторинг. А через пару дней, когда внимание дежурной смены притупляется, — резкий рывок на L7, нацеленный прямо в самое уязвимое место: поиск, авторизацию, API.

Что реально работает против DDoS

Классический blackholing от провайдера — это уже прошлый век. Да, он сбрасывает трафик, но вместе с легитимными пользователями. Для бизнеса, где каждая минута простоя — это сотни тысяч рублей, такое решение неприемлемо.

Из практики проектов: минимально жизнеспособная защита сегодня — это связка фильтрации на L3/L4 и грамотного профилирования на L7.

Важно понимать:Важно понимать:

  • На сетевом уровне (L3/L4) мы отсекаем SYN-flood, ICMP-flood, амплификацию через NTP, DNS, SSDP. Здесь работают механизмы rate limiting и GeoIP-фильтрация — если бизнес работает только в РФ, нет никакого смысла принимать запросы из подозрительных ASN.
  • На прикладном уровне (L7) — совсем другая история. Здесь нужен WAF, который понимает, что является нормальным поведением пользователя, а что — ботом, перебирающим параметры. К слову, настроить WAF без ложных срабатываний — искусство, граничащее с шаманством.

В одном из проектов в ритейле мы столкнулись с атакой, которая имитировала действия реальных покупателей в «черную пятницу». Сотни тысяч сессий, каждая — с валидными cookies, с реальными user-agent. Обычный DPI ничего не заподозрил. Проблему выявили только когда проанализировали поведенческий фактор: «покупатели» массово добавляли товары в корзину, но никогда не доходили до оплаты.

Практический совет:


Стройте защиту от DDoS не как отдельный продукт, а как процесс. Регулярно тестируйте пороги срабатывания. Проводите учения для дежурной смены. И обязательно — держите под рукой анти-DDoS-провайдера с ручным режимом переключения. Потому что автоматика спасает от 90% инцидентов, но самые громкие кейсы — это всегда ручное управление в 4 утра.

MITM-атаки: тихий перехватчик в вашей сети

Честно говоря, долгое время я считал, что MITM — это история про кофе-шопы с открытым Wi-Fi. Но в 2024–2026 годах мы фиксируем рост атак именно внутри корпоративных сетей. Злоумышленники, получив начальную точку опоры (через фишинг или уязвимость на рабочей станции), проводят ARP-spoofing, перехватывают трафик между отделами и спокойно уводят учетные данные.

Что любопытно: чаще всего атака происходит не на «толстые» серверы, а на сотрудников бухгалтерии или HR, которые ходят во внутренние системы без дополнительной защиты.

Протоколы, которые нас защищают (и предают)

Многие думают: «У нас всё по HTTPS, мы в безопасности». Но реальность сложнее.

Даже с TLS 1.3 остаются уязвимости на уровне реализации:

  • подмена сертификатов, если в компании используется собственная PKI, но не настроена должным образом проверка CRL/OCSP;
  • ослабленные шифры, которые до сих пор поддерживаются для совместимости со старым оборудованием;
  • человеческий фактор, когда сотрудник видит предупреждение браузера о проблемах с сертификатом и нажимает «Продолжить».

По опыту аудитов, я постоянно вижу одно и то же: VPN-туннели настроены, но трафик внутри них не шифруется на прикладном уровне. Достаточно скомпрометировать одну точку выхода — и можно слушать всё, что передается между филиалами.

Типичная ошибка:
Экономия на end-to-end шифровании. Компании внедряют IPsec или OpenVPN, считая задачу решенной, но забывают про HSTS, про форсированное шифрование почтового трафика, про защиту внутренних API. В результате — MITM возможен не только извне, но и от внутреннего нарушителя.

Как сделать перехват экономически нецелесообразным

На практике противодействие MITM выглядит не как одна «серебряная пуля», а как слоеный пирог:

  • Обязательное шифрование всего внутреннего трафика. Не только внешнего. Zero-trust диктует: ни одно соединение не является доверенным по умолчанию.
  • Использование certificate pinning для критичных приложений.
  • Мониторинг ARP-таблиц и появление нестандартных DHCP-серверов в сегментах.
  • Регулярная проверка на ослабленные протоколы и SSL-сертификаты с истекшим сроком.

Кстати, про сертификаты. В одном из проектов для производственного холдинга мы выявили, что 40% внутренних сертификатов либо просрочены, либо используют SHA-1. Исправлять пришлось в авральном режиме. И знаете, что удивляет? Никто не замечал проблемы годами.

Сканирование портов и сетей: разведка перед бурей

MITM-атака, ARP-spoofing в корпоративной сети, перехват трафика, подмена сертификатов TLS
MITM-атака, ARP-spoofing в корпоративной сети, перехват трафика, подмена сертификатов TLS

Сканирование портов часто недооценивают. Ну подумаешь, Nmap постучался в пару дверей. Не зашел же.

Это самая опасная недооценка.

По классификации MITRE ATT&CK, сканирование — это тактика Reconnaissance. И если вы не видите, что кто-то проверяет ваш периметр на предмет открытых 3389, 22, 443 или 445, значит, у вас просто нет инструментов наблюдения. Потому что сканируют сейчас постоянно. Автоматизированно. С распределенных адресов, имитируя легитимный трафик.

Что ищут злоумышленники

Самые «вкусные» цели — это:

  • RDP-порты, выставленные в интернет «для удобства админа»;
  • старые версии SSH;
  • веб-интерфейсы сетевых хранилищ;
  • непропатченные VPN-концентраторы.

При этом массовое сканирование портов давно перестало быть громким. Современные инструменты работают в режиме низкой интенсивности, растягивая запросы на часы и дни, чтобы не превысить пороги срабатывания IDS.

Как мы строим защиту от разведки

Из практики: полностью скрыть сеть от сканирования невозможно. Если ресурс доступен из интернета — он будет найден.

Но можно:

  1. Жестко ограничить входящий трафик по модели «запрещено всё, кроме явно разрешенного». CIS Controls v8 рекомендует это уже много лет, но до сих пор в каждой второй компании я вижу правило «allow any any» на тестовых интерфейсах.
  2. Использовать псевдонимные адреса и прокси-серверы для публикации сервисов.
  3. Внедрить NTA-системы. Они учатся понимать, что такое нормальный сетевой трафик для вашей организации, и отлавливают аномалии — например, попытки соединения с большого количества адресов на разные порты за короткий промежуток.

Важный момент: NTA — не волшебная таблетка. Оно требует настройки и тонкой калибровки. Но это единственный способ увидеть сканирование, которое маскируется под легитимный трафик.

Практический совет:
Раз в квартал проводите внешний аудит периметра своими силами. Запустите сканирование со стороны интернета и посмотрите, что увидят злоумышленники. Часто результаты таких проверок становятся холодным душем для IT-отдела.

Защита сети: от разрозненных средств к системному подходу

Если собрать всё вместе, становится очевидно: невозможно защититься от DDoS, MITM и сканирования, закупая инструменты по отдельности. Нужна архитектура.

В нашей практике мы пришли к тому, что эффективная защита сети строится на трех уровнях:

Уровень 1. Периметр

  • Фильтрация трафика с использованием специализированных анти-DDoS-решений.
  • Сегментация сети с выделением DMZ.
  • Минимизация опубликованных сервисов.

Уровень 2. Инфраструктура

  • Zero-trust архитектура с обязательной аутентификацией каждого устройства.
  • Шифрование трафика внутренних и внешних коммуникаций.
  • Централизованное управление сертификатами.

Уровень 3. Мониторинг и реагирование

  • NTA для обнаружения аномалий.
  • SOC-дежурство с регламентом реагирования.
  • Регулярный red teaming.

Это похоже на проверку проводки ночью: всё тихо, пока не искрит. Но когда искра возникает, система должна поймать ее за доли секунды.

Нюансы российского рынка

С 2024 года мы наблюдаем интересную динамику: западные вендоры ушли, и бизнес вынужден пересобирать защиту на отечественных решениях. Это не плохо и не хорошо — это реальность. Но есть нюанс.

Многие российские средства защиты сети показывают высокую эффективность «в стенде», но при интеграции в существующую инфраструктуру возникают сложности. Особенно это касается связки WAF и CRM-систем, написанных под конкретный бизнес.

По опыту проектов: планируйте на пилот 2–3 месяца. Не верьте вендорам, которые обещают «включил и забыл». Сетевая безопасность — это всегда поиск баланса между защитой и доступностью.

Важно знать: ключевые стандарты и почему они не панацея

Ссылаться на стандарты полезно, особенно когда нужно аргументировать бюджет перед руководством. NIST SP 800-53, OWASP ASVS, CIS Controls — это база. Но давайте честно: просто пройти аттестацию по 152-ФЗ и считать себя защищенным — опасное заблуждение.

Стандарты задают вектор, но не учитывают специфику вашего бизнеса. Конкретную архитектуру, легаси-системы, компетенции команды.

Что реально работает:

  • Адаптация рекомендаций NIST SC-5, SC-8, SC-7 под реалии вашей сети.
  • Регулярное тестирование на проникновение с прицелом на APT-сценарии.
  • Бенчмарки безопасности для конкретных ОС и СУБД.

И самое главное — не забывайте про людей. Сколько бы вы ни вложили в железо и софт, инцидент произойдет из-за того, что кто-то отключил защиту «на часок» или открыл порт «временно».

Типичные ошибки, которые сводят на нет все усилия

За десять лет в инфобезе я редко встречал уникальные ошибки. Чаще всего компании наступают на одни и те же грабли:

Фокус только на объеме DDoS.
Считают гигабиты, но пропускают низкоинтенсивную атаку на бизнес-логику. Финансовые потери — те же миллионы, а в логах — копейки трафика.

Шифрование «для галочки».
TLS настроен, но старые версии протоколов не отключены. Или сертификат подписан внутренним ЦС, который давно скомпрометирован.

Открытый RDP на 3389.
Классика, которая не умирает. Доступ к серверу через интернет без многофакторной аутентификации — это не вопрос «если взломают», а «когда взломают».

Отсутствие NTA.
Мониторинг завязан только на событиях Windows, а сеть — черный ящик. Пока не упадет — не узнают.

Игнорирование человеческого фактора.
Самый дорогой firewall не поможет, если сотрудник подключается к рабочей сети через незащищенный Wi-Fi в аэропорту и не использует VPN.

Вместо заключения: как понять, что защита работает

Сканирование портов, Nmap, разведка сети, открытый RDP порт 3389, NTA система обнаружения
Сканирование портов, Nmap, разведка сети, открытый RDP порт 3389, NTA система обнаружения

Нет идеальной защиты. Это первое, что нужно принять любому руководителю. Но есть уровень риска, с которым бизнес готов жить.

Наша задача — сделать так, чтобы злоумышленнику было проще уйти к соседу, чем тратить ресурсы на взлом вашей сети.

Как это проверить?
Проведите киберучения. Попросите внутреннюю команду или внешних аудиторов атаковать сеть по всем правилам — с разведкой, DDoS, попыткой MITM. И посмотрите, сколько времени пройдет до обнаружения.

Честно говоря, результаты часто бывают удручающими. Но лучше узнать об этом на тестах, чем после утечки данных клиентов.

Нужна помощь?

Если вы читаете этот текст и понимаете, что часть проблем, описанных выше, знакома вам не понаслышке, — возможно, пришло время для аудита сетевой безопасности.

Оставьте заявку на бесплатную консультацию на сайте:
https://securedefence.ru/

Мы подготовим чек-лист, дорожную карту и коммерческое предложение, исходя из реального состояния вашей инфраструктуры, а не абстрактных рекомендаций.

Для первых 5 заявок в месяц — расширенный аудит периметра и политик сетевого доступа в подарок.

Часто задаваемые вопросы

Вопрос: С чего вообще начинать выстраивать защиту сети, если раньше этим никто системно не занимался?

Если честно, самый частый сценарий, который я вижу: «у нас всё вроде работает, давайте что-то докупим и усиливать». Это ошибка. Начинать надо с инвентаризации. Вы удивитесь, сколько «забытых» серверов с торчащими в интернет RDP-портами висит в legacy-сегментах. По моему опыту, первые две недели любого аудита мы просто рисуем реальную карту сети — и это всегда открытие для заказчика. Дальше — приоритезация: закрыть дыры периметра, внедрить базовый мониторинг аномалий, и только потом покупать сложные WAF и NTA.

Вопрос: Анти-DDoS-сервисы — это обязательно? Мы же небольшой интернет-магазин, нас вроде никто не атакует.

Знаете, мне часто говорят: «нас никто не атакует». Я обычно отвечаю: «вы просто не знаете, что вас уже сканируют». DDoS сегодня — это не всегда месть обиженного клиента. Часто это проверка: «ляжет или нет?». Для ботнетов ваш магазин — просто строчка в списке целей. И если защита не выдержит тестового удара, дальше последует вымогательство. Это как страхование офиса от пожара: можно надеяться, что не загорится, но последствия одного ЧП перекроют годы экономии.

Вопрос: Какая самая недооцененная угроза среди сетевых атак сейчас?

ARP-spoofing внутри периметра. Все настолько зациклились на внешних угрозах, что забывают: атакующий уже может сидеть внутри, просто дожидаясь удобного момента. В прошлом году на проекте мы обнаружили, что через ARP-отравление злоумышленник полгода перехватывал трафик между бухгалтерией и банком. Никакие WAF и анти-DDoS его не видели — он вообще не ходил в интернет. И это при том, что компания проходила сертификацию по PCI DSS. Нюанс в том, что сертификация не гарантирует безопасность, если вы не проверяете сетевую активность горизонтально, внутри сегментов.

Вопрос: Zero-trust — это реально внедрить у себя или это маркетинговая история?

Реально, но с оговорками. Zero-trust в чистом виде — это смена философии, а не покупка коробки. Если вы заставите всех сотрудников каждые пять минут проходить аутентификацию, бизнес взбунтуется. Поэтому мы обычно идем по пути микросегментации: выделяем критичные сегменты (финансы, разработка, HR) и для них внедряем жесткую политику доверия. Остальное — поэтапно. К слову, многие российские компании уже перешли на эту модель, потому что регуляторы (ФСТЭК, ФСБ) в новых приказах явно начинают закладывать принципы минимизации доверия.

Вопрос: Насколько критично использовать только российское ПО для защиты сети?

В 2026 году это уже не столько вопрос импортозамещения, сколько вопрос безопасности обновлений и поддержки. Мы видим, что западные вендоры просто перестали продлевать лицензии в РФ. Системы, оставшиеся без апдейтов сигнатур, превращаются в тыкву. Но есть нюанс: не все отечественные решения одинаково хороши в работе с легаси-оборудованием. Практический совет: не пытайтесь мигрировать всё и сразу. Выделите пилотный участок, обкатайте связку «российский NGFW + отечественный WAF», поймите, где падает производительность. Российский софт уверенно догоняет мировые аналоги, но в интеграции с уникальными ERP-системами пока есть шероховатости.

Вопрос: Допустим, мы всё настроили. Как часто нужно перепроверять защиту?

Постоянно. Если образно: безопасность — это не покраска забора, а уборка в квартире. Сегодня чисто, завтра — опять пыль. Я рекомендую заказчикам:

  • Еженедельно — анализ NTA-аномалий дежурной сменой.
  • Ежемесячно — ревью правил firewall (вы удивитесь, как быстро плодятся временные разрешения).
  • Ежеквартально — внешний пентест или автоматизированное сканирование периметра.
  • Раз в полгода — полноценные киберучения с моделированием APT.

Это не избыточность. Это тот минимум, при котором вы хотя бы успеваете заметить проблему до того, как она станет катастрофой.

Вопрос: Что делать, если наша компания не может нанять целый SOC, но хочет защищаться хотя бы на базовом уровне?

Самый прагматичный путь — аутсорсинг. Сейчас на российском рынке достаточно провайдеров managed SOC, которые за разумные деньги закроют мониторинг событий, реакцию на инциденты и базовую аналитику трафика. Да, это не кастомный SOC уровня крупного банка, но для среднего бизнеса это честный уровень защиты от 80% угроз. И, что важно, это предсказуемые расходы — без необходимости держать в штате пятерых дорогих специалистов, которых еще надо найти.

══════

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]

Все публикации

Прокрутить вверх