13 Августа 2025 12:54 13 Авг 2025 12:54 |

Поделиться

Киберустойчивость в эпоху разрушительных атак: как защитить и восстановить критически важные данные

Рост разрушительных кибератак

В последние несколько месяцев мы видим стремительный рост количества, сложности и разрушительности кибератак — злоумышленники месяцами исследуют жертву, используя zero-day уязвимости (уязвимость, против которой ещё не реализованы защитные механизмы), проводят DDoS-атаки и атаки на цепочки поставок, а также все чаще атакуют объекты критической инфраструктуры — энергетику, транспорт, медицину и пр.

И целью таких атак становится уже не просто получение выкупа или кража данных с их последующей монетизацией, а именно разрушение, уничтожение инфраструктуры жертвы. По данным аналитиков особенно активно подвергаются атакам компании промышленного и топливно-энергетического секторов, где рост целевых атак (APT) составил 20–22%.

Атаки достигают своих целей. Нет средств защиты, которые на 100% исключат возможность сбоя из-за атаки. Мы видим, что инциденты случаются даже с самыми защищенными компаниями, которые тратят огромные бюджеты на информационную безопасность. И вопрос уже стоит не в том, произойдет ли атака, а в том, когда она случится и насколько организация будет готов к ней и ее последствиям. В таких условиях недостаточно просто защищаться (кибербезопасность), критически важно быть устойчивым (киберустойчивость).

Кибербезопасность и киберустойчивость

Кибербезопасность — это ответ на вопрос «как не дать себя взломать» и включает в себя защиту от атак, а также такие проактивные меры, как использование фаерволов, антивирусов, алгоритмов шифрования, фокусируясь на предотвращении.

Киберустойчивость — это ответ на вопрос «что делать, если взломали», соответственно, это способность выдерживать атаки и восстанавливаться после них, используя реактивные и адаптивные меры — управление инцидентами, использование резервных систем, фокусируясь на минимизации ущерба и быстром восстановлении. Таким образом, у киберустойчивой компании должен быть план реагирования, наличие автоматически создаваемых резервных копий и изолированные резервные мощности, чтобы продолжить работу даже после успешной атаки.

Резервное копирование

Одним из гарантированных средств, позволяющих минимизировать ущерб и восстановить работоспособность компании является создание резервных копий. И важно уже не просто иметь резервные копии, важно чтобы они были актуальными. Уже давно в ИТ используются две метрики, как раз связанные с восстановлением после сбоев, аварий, атак и пр. — RPO и RTO. Первая относится к максимальному допустимому объему данных, которые организация готова потерять. Вторая метрика — это максимальное допустимое время простоя, в течение которого работоспособность систем должна быть восстановлены.

При этом нужно понимать, что только наличие резервных копий, пусть даже поддерживающих минимальные значения RPO, это еще не гарантия возможности восстановления. Необходимо периодически проверять возможность восстановления из резервных копий, а также обеспечить защищенное хранение резервных копий. Последнее чрезвычайно важно, так как мы видим тренд на целевые атаки на резервные копии и хранилища, в которых они размещаются.

Атаки на резервные копии и хранилища

Целевое уничтожение или шифрование резервных копий — это стратегия злоумышленников, позволяющая лишить атакуемую компанию возможности восстановиться после разрушительной атаки. Как мы говорили выше, атаки стали более изощренными и киберпреступники заранее исследуют инфраструктуру жертвы чтобы найти и нейтрализовать резервные копии.

Важно отметить и то, что многие компании продолжают использовать системы резервного копирования (и другое инфраструктурное ПО), которые уже не поддерживаются и не обновляются из-за ухода зарубежных производителей с российского рынка. Это делает их относительно легкой добычей киберпреступников, так как списки уязвимостей открыты и доступны.

За последнее время мы были свидетелями нескольких публичных атак на предприятия, жертвы которых не смогли восстановить свою работоспособность за короткое время. Им потребовалось от нескольких суток и более, чтобы вернуться к работе. Как правило такие инциденты случаются тогда, когда резервные копии были частично или полностью уничтожены злоумышленниками, либо не содержали актуальные данные

Для защиты резервных копий можно применять различные технические методы, как, например, хранение неизменяемых копий в S3-совместимых хранилищах с Object Lock, сетевая изоляция серверов резервного копирования, мониторинг аномальной активности, например, массовое удаление файлов и т.п.

Интегрированные решения компаний «Киберпротект» и Yadro

Обеспечение надежного и своевременного резервного копирования важных для бизнеса данных — это всегда ресурсоемкая задача. Для ее решения требуются вычислительные ресурсы (процессоры и память), сетевые ресурсы, а также ресурсы хранилищ резервных копий.

Таким образом, перед ИТ-специалистами стоит задача найти инструмент для резервного копирования, который обладает всей необходимой функциональностью и при этом оптимально использует ИТ-ресурсы организации. Также необходимо учитывать постоянно растущие объемы данных, уже упомянутый выше рост числа кибератак и предпочтительность использования отечественных решений.

Стратегическое партнерство двух российских компаний: «Киберпротект» — разработчика системы резервного копирования «» и Yadro — производителя систем хранения данных ставит своей целью обеспечение ускорение резервного копирования и обеспечение безопасного хранения резервных копий.

Ускорение резервного копирования

Совместное использование СРК «Кибер Бэкап» и СХД TATLIN.BACKUP с технологией T-BOOST, позволяет выполнять дедупликацию данных на источнике и передавать в хранилище только уникальные данные. Это обеспечивает минимизацию объема передаваемых данных и ускорение резервного копирования. А ускорение резервного копирования позволяет решить задачу снижения значения метрики RPO, а также снизить нагрузку на сетевые ресурсы и объемы, требуемые для хранения резервных копий.

На вебинаре мы вместе с коллегами из компании YADRO рассказали о совместном использовании СРК «Кибер Бэкап» и СХД TATLIN.BACKUP и преимуществах технологии T-BOOST.

Защита резервных копий

В версии TATLIN.BACKUP 1.3 появилась возможность создания моментальных снимков трех уровней:

• Basic — управляются администратором, можно задавать срок жизни (retention) на каждый снимок;
• Secure — разрешение удалить выдает только специальный пользователь с ролью Security;
• Locked — снимок невозможно удалить или изменить, до истечения срока хранения.

Использование этой функции в «Кибер Бэкапе» (поддержка планируется осенью, в версии 18.0) позволяет получить защищенные неудаляемые резервные копии.

Таким образом, в сценариях, когда злоумышленникам все же удалось получить доступ к СРК или СХД, они будут лишены возможности удалить или изменить хранящиеся там данные. Восстановление данных будет происходить из моментальных снимков, которые защищены на аппаратном уровне.

Заключение

Рост числа и сложности кибератак требует пересмотра подходов к защите данных. Уже недостаточно просто предотвращать угрозы — критически важно быть готовым к восстановлению после успешного взлома. Киберустойчивость становится неотъемлемой частью стратегии безопасности любой организации, а резервное копирование — ее фундаментом.

Однако даже резервные копии нуждаются в защите: злоумышленники целенаправленно атакуют хранилища, чтобы лишить жертву возможности восстановиться. Решения, такие как «Кибер Бэкап» от «Киберпротект» и TATLIN.BACKUP от Yadro, демонстрируют, что современные технологии могут не только ускорять резервное копирование, но и обеспечивать защиту данных на аппаратном уровне.

В условиях, когда вопрос не в том, произойдет ли атака, а в том, когда она случится, инвестиции в киберустойчивость — это не просто затраты, а необходимость для выживания бизнеса. Комплексный подход, включающий защиту, мониторинг и проверенные механизмы восстановления, позволит минимизировать ущерб и обеспечить непрерывность работы даже в условиях кибервойны.

Поделиться

Подписаться на новости Короткая ссылка