Комплексный аудит ИБ (Compromise Assessment): проверка сети КИИ на наличие скрытых угроз

По данным аналитиков, в 2025 году 27 APT-групп атаковали российские организации, а среднее время обнаружения скрытого присутствия злоумышленника превышает 200 дней. Compromise Assessment — это комплексная проверка ИТ-инфраструктуры на наличие следов текущей или прошлой компрометации.

5. Инструменты и технологии поиска скрытых угроз

Эффективный поиск APT группировок требует арсенала специализированных инструментов, адаптированных к российской ИТ-среде. В отличие от пентеста, где основная задача — эксплуатация уязвимостей, при Compromise Assessment акцент делается на пассивном сборе и анализе данных.

На практике при аудите ИБ инфраструктуры объектов КИИ команда «Астелс» комбинирует не менее четырёх категорий инструментов. Это позволяет обнаруживать не только известные, но и ранее неизвестные угрозы (zero-day), которые не покрываются стандартными базами IoC.

6. Чек-лист готовности к Compromise Assessment для субъекта КИИ

Перед тем как заказать Compromise Assessment РФ, субъекту КИИ необходимо подготовить инфраструктуру и данные. Ниже — авторский чек-лист «Астелс», основанный на опыте более 7000 выполненных работ.

Организационная готовность

1. Назначен ответственный за взаимодействие с командой аудиторов (контактное лицо с достаточными полномочиями).
2. Согласована область проверки (scope): перечень сегментов сети, серверов, рабочих станций, АСУ ТП.
3. Подготовлена актуальная инвентаризация ИТ-активов: перечень хостов, ОС, сетевого оборудования.
4. Определены критические объекты КИИ и их категории значимости (результаты категорирования).
5. Согласованы сроки и формат отчётности.

Техническая готовность

1. Журналы событий ОС (Windows Event Log, syslog Linux) включены и хранятся минимум 90 дней.
2. SIEM/система централизованного сбора логов функционирует и собирает события от ключевых источников.
3. EDR-агенты развёрнуты на критических хостах (или имеется возможность оперативного развёртывания).
4. NetFlow/IPFIX собирается на ключевых сетевых устройствах (маршрутизаторы, межсетевые экраны).
5. Журналы DNS-серверов включены и хранятся минимум 30 дней.
6. Имеется доступ к журналам прокси-серверов и VPN-концентраторов.
7. Подготовлены учётные записи с правами чтения для сбора артефактов (без административных привилегий на изменение).
8. Обеспечен защищённый канал для передачи собранных данных команде аудиторов (SFTP, зашифрованные архивы).

Документационная готовность

1. Актуальная сетевая схема (L2/L3) с обозначением сегментации и точек межсетевого экранирования.
2. Перечень установленных СЗИ (сертифицированных средств защиты) с версиями и конфигурацией.
3. Актуальная модель угроз для значимых объектов КИИ.
4. Перечень известных инцидентов ИБ за последние 12 месяцев.

Типичная ошибка — приглашать команду Compromise Assessment без предварительной подготовки. Если журналы событий не включены или хранятся менее 30 дней, значительная часть следов компрометации будет утрачена, и аудит не даст полной картины.

7. Типичные находки: что обнаруживают при проверке сетей КИИ

По опыту проведения аудитов ИБ для субъектов КИИ из различных отраслей, специалисты «Астелс» выделяют наиболее распространённые категории находок. Часть из них свидетельствует об активной компрометации, часть — о системных слабостях, создающих условия для незамеченного проникновения.

7.1. Признаки активной компрометации

• Веб-шеллы на внешних сервисах. Обнаруживаются на веб-серверах, доступных из интернета. Злоумышленники используют их как точку входа для повторного доступа.
• Скрытые учётные записи в Active Directory. Созданные атакующими учётные записи с привилегиями, замаскированные под служебные (например, svc_backup$, print_admin).
• Нелегитимные запланированные задачи. Задачи в Task Scheduler, обеспечивающие persistence и запускающие вредоносные скрипты при перезагрузке.
• C2-каналы через DNS-туннелирование. Обращения к подозрительным доменам с длинными поддоменами (base64-закодированные данные в DNS-запросах).

7.2. Системные слабости, создающие риски

• Отсутствие сегментации между корпоративным и промышленным сегментами. Один из самых опасных дефектов — прямой сетевой доступ от рабочих станций офиса до АСУ ТП.
• Избыточные привилегии сервисных учётных записей. Учётные записи подрядчиков и интеграторов с правами Domain Admin, неотозванные после завершения работ.
• Отключённый или неполный аудит событий. На критических серверах не настроена политика аудита, журналы перезаписываются каждые 3–5 дней.
• Устаревшие версии ПО с известными CVE. Особенно характерно для промышленных систем, где обновления откладываются из-за риска нарушения технологического процесса.

По статистике «Астелс», при первичном Compromise Assessment в организациях, ранее не проводивших подобный аудит, в 70 % случаев обнаруживаются следы прошлых или текущих инцидентов, не зафиксированных штатными средствами мониторинга.

8. Как интегрировать результаты Compromise Assessment в систему безопасности

Проведение разового аудита ИБ инфраструктуры ценно само по себе, но максимальный эффект достигается при интеграции результатов в постоянные процессы ИБ организации.

Дерево решений: что делать после получения отчёта

Если обнаружена активная компрометация:

1. Немедленно активировать план реагирования на инциденты (IR Playbook).
2. Уведомить НКЦКИ через ГосСОПКА в установленные сроки (24 часа).
3. Изолировать скомпрометированные хосты без уничтожения forensic-артефактов.
4. Провести полноценное расследование инцидента (форензику) для определения полной картины.
5. Устранить точки входа и механизмы закрепления до восстановления нормальной работы.

Если компрометация не подтверждена, но выявлены системные слабости:

1. Сформировать план устранения уязвимостей (Remediation Plan) с приоритизацией по уровню критичности.
2. Интегрировать обнаруженные IoC в правила корреляции SIEM и политики EDR.
3. Обновить модель угроз с учётом выявленных векторов атаки.
4. Запланировать повторный Compromise Assessment через 6–12 месяцев для контроля устранения.
5. Включить результаты в программу повышения осведомлённости (Security Awareness) для персонала.

Если инфраструктура «чистая»:

1. Зафиксировать baseline (эталонное состояние) инфраструктуры.
2. Настроить непрерывный мониторинг с использованием IoC из отчёта как базы правил детектирования.
3. Запланировать регулярный Compromise Assessment (ежегодно для 3-й категории, раз в полгода для 1–2-й).

9. Как «Астелс» проводит комплексный аудит ИБ инфраструктуры КИИ

Компания «Астелс» (sertifikat.bz) выполняет полный цикл работ по Compromise Assessment РФ для субъектов критической информационной инфраструктуры. За более чем 12 лет работы и 7000+ выполненных проектов мы выработали подход, который сочетает глубину технического анализа с пониманием требований российских регуляторов.

Наши ключевые преимущества при проведении аудита КИИ:

• Комплексный подход. Compromise Assessment проводится не изолированно, а в связке с аудитом ИБ перед проверкой ФСТЭК, что позволяет закрыть и формальные, и фактические требования одним проектом.
• Использование российских Threat Intelligence. Мы работаем с актуальными базами IoC, включая данные от НКЦКИ и российских центров мониторинга, адаптированные к угрозам для отечественного сегмента КИИ.
• Минимальное воздействие на инфраструктуру. Сбор артефактов проводится без установки агентов на промышленные контроллеры и без активного сканирования сегмента АСУ ТП.
• Отчётность для регуляторов. Результаты оформляются в формате, принимаемом ФСТЭК при проверках, с маппингом на требования Приказов № 235 и № 239.
• Сопровождение после аудита. Помогаем устранить выявленные проблемы, интегрировать IoC в существующие средства защиты, провести повторный контроль.

Стоимость и сроки зависят от масштаба инфраструктуры, количества конечных точек и глубины анализа. Для получения индивидуального расчёта — оставьте заявку на сайте или свяжитесь с нами по телефону 8(800) 70-70-144.

Итог

Compromise Assessment — это процедура, которая закрывает критический разрыв между «бумажной» безопасностью и реальной устойчивостью к APT-атакам. Субъекты КИИ, ограничивающиеся только плановыми пентестами и документальным комплаенсом, рискуют не заметить злоумышленника, который уже находится в их инфраструктуре. В условиях 2026 года, когда число APT-группировок, атакующих российские организации, продолжает расти, а требования регуляторов ужесточаются, комплексный аудит ИБ инфраструктуры с элементами Compromise Assessment становится не рекомендацией, а необходимостью.

Начните с малого: проведите ревизию журналов событий, убедитесь, что централизованный сбор логов работает, и закажите экспертную оценку у профильной команды. Чем раньше вы обнаружите скрытое присутствие атакующего, тем меньше будут последствия для критических процессов вашей организации.

Подозреваете компрометацию или хотите убедиться, что ваша сеть КИИ «чистая»? Оставьте заявку на сайте sertifikat.bz — эксперты «Астелс» проведут экспресс-оценку и предложат оптимальный формат Compromise Assessment для вашей инфраструктуры.