Полешук в мире ИБ

Несколько недель назад к нам за помощью обратилась компания, пострадавшая от атаки шифровальщиков. Уже в течение первого часа после уведомления наша команда была в полной боевой готовности:

🔴один из экспертов уже находился в серверной, подключаясь к системам и оценивая масштабы проблемы.
🔴группа аналитиков подготовила профили в средствах защиты информации, чтобы оперативно определить точки проникновения и потенциал дальнейших угроз.
🔴взаимодействующие команды за 15 минут развернули инфраструктуру для безопасного трансфера данных и готовы были подключиться, предоставляя дополнительные ресурсы — ведь больше рук в кризисе никогда не бывает лишним.

И вот здесь в дело вступают классические вопросы, которые неизменно звучат при расследовании инцидентов:

❓Когда началось. Определить точное время первого проявления атаки — ключ к тому, чтобы выстроить правильную хронологию событий.
❓Откуда пришли. Источник атаки часто подсказывает, с кем мы имеем дело, и какие методы они могли использовать.
❓Какова цель. Поняв, что именно искали или пытались заблокировать злоумышленники, можно точнее определить уязвимые точки.
❓Какие инструменты использовались. Каждый шелл, каждый эксплойт оставляет свои цифровые “отпечатки пальцев”.

В таких ситуациях скорость и качество работы команды решают всё. Всего за 6 часов:

🆗проверено более 400 активов на наличие следов компрометации.
🆗обнаружена точка входа — уязвимость CVE-2021-44228 на сервере VMware Horizon, которая позволила злоумышленникам проникнуть в инфраструктуру.
🆗выявлены критические артефакты: NTLM-хэш локального администратора, который оказался уязвим из-за повторного использования одного пароля на всех системах (ай-ай-ай, такие ошибки стоят дорого).

Далее злоумышленники, вооружившись этими данными, действовали по классической схеме:
🔜перемещение по сети: хэши учетной записи использовались для доступа к другим машинам.
🔜компрометация домена: на одной из машин была активна учетная запись доменного администратора, что позволило злоумышленникам снять дамп lsass.exe и получить ключи от всей сети.
🔜целевая атака на сервисы: найдены артефакты DonPAPI и попытки брутфорса учетных записей других активов.
🔜сбор учетных данных: злоумышленники обнаружили сохраненные пароли в WinSCP — еще одна недоработка безопасности.
🔜создание туннеля: при помощи Chisel был организован туннель для долгосрочного наблюдения за действиями компании. Но мы успели обломать их планы, обнаружив и устранив этот сюрприз.
🔜финальным аккордом стала атака шифровальщика семейства Babuk, который уничтожил всю виртуализацию компании.

И, конечно, без закона Мерфи не обошлось. Доступ к серверу с резервными копиями находился в той же сети, что и остальные серверы, да еще и с теми же учетными записями. Итог закономерен: злоумышленники добрались до резервных копий и уничтожили их все.

Помните, я говорил о нашей команде, которая готова оказать помощь в любой ситуации? Пока форензики проводили анализ, администраторы чудом сохранили конфигурации, и на их основе инфраструктура была восстановлена в облаке. Новая среда была жестко изолирована: доступ — только по четко заданным адресам и портам.

Следующей ночью компания полностью мигрировала в облако, и это произошло без потерь для бизнес-процессов. В результате, несмотря на атаку, компания не ощутила простоя, а сотни магазинов и десятки тысяч покупателей продолжили работу как ни в чем не бывало.

Мораль такова:

Ошибки допускают многие. Но только тишина, хладнокровие и преданность своему делу способны победить даже самые тяжелые последствия.

Результаты:
🟩все индикаторы компрометации (IoC) были собраны и переданы в соответствующие органы.
🟩за первые 24 часа команда устранила последствия инцидента и полностью сохранила непрерывность бизнес-процессов.

Написать этот пост меня вдохновил кейс компании @F_A_C_C_T , которая рассказывала о борьбе с киберпреступниками. Анализируя их описание, я узнал знакомый почерк и понял, кто был в гостях у нашей инфраструктуры. Это работа группировки Masque.

Тишина и профессионализм всегда побеждают громкие инциденты

✨ Сочельник и Рождество: время света, мира и любви

Сочельник и Рождество — это не просто праздники, это время глубокого осмысления, тихой радости и ожидания чуда. Эти дни напоминают нам о том, как важно находить свет даже в самые тёмные времена, сохранять веру и делиться теплом с окружающими.

Сочельник — вечер, когда весь мир замирает в ожидании рождения чего-то нового и прекрасного. Это время, чтобы остановиться, заглянуть в себя, вспомнить о тех, кто рядом, и подарить им свое внимание и любовь. За семейным столом, в тёплом кругу близких, мы чувствуем ту самую магию, которую трудно объяснить словами.

Рождество же приходит, чтобы наполнить наши сердца светом и надеждой. Это праздник, который символизирует рождение добра, любви и гармонии. Он напоминает, что даже маленький жест доброты может стать началом большого чуда.

В этот особенный период хочется пожелать вам мира в душе и гармонии в сердце. Пусть в вашем доме всегда звучит смех, глаза близких сияют радостью, а каждый день приносит вдохновение и свет. Желаю, чтобы любовь окружала вас повсюду, а удача всегда шла рука об руку с вашими мечтами.

Пусть Рождество подарит новые силы для свершений, теплые воспоминания, которые останутся с вами надолго, и ощущение, что всё в этом мире возможно.

С Рождеством Христовым и светлым Сочельником! 🎄

С любовью к каждому и с благодарностью, что вы рядом,
Ваш Киберполешук 🤭

🎄Новогодние дежурства: мысли и наблюдения

Во многих компаниях с круглосуточным графиком рано или поздно встает вопрос: кто же те люди, которые встретят Новый год на работе?

Из личного опыта могу сказать, что после нескольких лет службы Новый год для меня перестал быть символом волшебства и превратился в обычный день. Моими главными праздниками всегда были Сочельник и Рождество 25 декабря. Дежурства в новогодние дни и участие в группах немедленного реагирования стали для меня привычным делом, со своей особенностью и опытом, который есть с чем сравнить.

🎅Дежурить с 31 декабря на 1 января — не самое худшее испытание. Более того, у меня сложилось впечатление, что даже воры и злодеи в эту ночь предпочитают отдыхать с близкими. Смены обычно проходили спокойно и без происшествий. А после завершения дежурства я мог спокойно отправиться домой, выспаться 1 января и воспользоваться выходными 2–3 числа (эти дни полагались за переработку в рамках охраны труда). Форс-мажоры, безусловно, возможны, но их вероятность невелика. Чаще всего я находился в режиме усиления, а не выполнял роль основного исполнителя, что значительно снижало уровень напряжения в такие смены.

🔴Совсем другое дело — смена с 1 на 2 января.
Во-первых, если 2 января рабочий день, то ты оказываешься «героем на все фронты»: разгребаешь последствия дежурств 31 декабря и 1 января за других, а заодно выполняешь свои собственные задачи, которых по "закону подлости" всегда уйма и их не ожидал и не предвидел.
Во-вторых, такой график лишает тебя даже короткой радости встречи Нового года. Полночь без шампанского и праздничных тостов, пойти спать в 0:15 а впереди 24 часа работы — это психологически не сложно, но нужно уметь быть собраным.

Добавим к этому сложности с вызовом подкрепления: кто-то недоступен (телефон разрядился), кто-то за городом, а кто-то вовсе занят другими делами.

🎄Дежурить в новогоднюю ночь не так обидно и даже более ответственно, чем начинать смену утром 1 января. Главное преимущество такого дежурства — уверенность, что в следующем году тебя точно не включат в список дежурных на эти даты.

#post

CISA (Агентство кибербезопасности и инфраструктуры США) подготовило рекомендации, которые помогают защитить ваши данные и коммуникации от киберугроз. Вдохновившись материалом я написал простые, но эффективные советы для всех — от обычных пользователей до руководителей бизнеса как держать устройство в безопасности.

📱Общие рекомендации

🔸Переходите на зашифрованные мессенджеры
Используйте приложения с End-to-End шифрованием, такие как Signal или Telegram. Они защищают ваши сообщения и звонки от перехвата. Также там можно устанавливать таймер исчезающих сообщений, что добавляет уровень конфиденциальности.

🔸Используйте FIDO для двухфакторной аутентификации
🔸Что это? Аппаратные ключи (например, YubiKey или Google Titan Key), которые подключаются к вашему устройству через USB, NFC или Bluetooth и подтверждают вашу личность.
🔸Почему это важно? Только FIDO устойчив к фишингу, тогда как SMS или приложения с кодами могут быть подделаны.
🔸Как начать? Зарегистрируйте FIDO-ключи для важнейших аккаунтов (например, Google, Apple, Microsoft) и отключите менее надежные методы аутентификации

🔸Откажитесь от SMS как второго фактора
Если FIDO недоступен, установите приложения для аутентификации, такие как Google Authenticator, Microsoft Authenticator. Они безопаснее SMS, хотя все же уступают FIDO.

🔸Держите пароли под контролем
Используйте менеджеры паролей для создания и хранения сложных комбинаций. Защитите главный пароль надежной фразой, например: “S1@dkajaBul0cH|

Утро началось со свежего кофе и маршмеллоу и чтения закона. А вот что можно почитать вечером с печеньками ☕️

🟢Вчера Лаборатория Касперского опубликовала совместное исследование K2 Кибербезопасность, а сегодня — статью о методах, которые используют Cyber Anarchy Squad. Важно взять на заметку: в конце января 2025 года эта информация станет особенно полезной.

🔵Jet CSIRT подвели итоги уходящего года в аналитическом отчёте. В нём — детализированный разбор ключевых трендов и новых угроз. Полезный материал для тех, кто планирует стратегию защиты на 2025 год.

🟣Алексей Лукацкий, бизнес-консультант по информационной безопасности, и Елена Бастанжиева, директор по развитию бизнеса PT в России и СНГ, делятся экспертным взглядом на то, что ждёт рынок российской информационной безопасности в следующем году.

И ещё — ночью, когда все уснут…🐉
Самое время покопаться в зарубежных источниках. Да, там всё ещё много рекламы и общих слов, но иногда попадается действительно стоящая информация.

1 марта 2025 года - новый Приказ №66

☕️Утро началось с прогулки на свежем воздухе, чашки кофе с маршмеллоу и чтения обновленного Приказа ОАЦ №259.

Вот мои мысли.

Положительные изменения:
🟢теперь четко определено, что подразумевается под “открытыми каналами передачи данных” – это “сети электросвязи общего пользования”
🟢появилось уточнение: положения не распространяются на системы, обрабатывающие только общедоступные персональные данные или данные, обезличенные методами, соответствующими требованиям
🟢для систем классов «3-ин», «3-спец», «3-бг», «3-дсп» и «3-юл» разрешено взаимодействие с любыми информационными системами (ссылки на Приложение 4 в старой редации потеряли актуальность)
🟢введено требование о централизованном сборе данных о DNS-запросах с хранением в течение не менее одного месяца
🟢ежегодное тестирование на проникновение теперь обязательно для оценки защищенности информационных систем
🟢появилось требование по обнаружению и реагированию на угрозы безопасности конечных узлов (ключевое - реагирования, так что отправим на покой антивирус в конце концов - да здравствует EDR!)
🟢установлено обязательное обновление или замена активов и средств защиты после истечения их срока эксплуатации
🟢исключено требование об обязательном ежегодном внутреннем и внешнем аудите на уязвимости (но это имеет свои нюансы)
🟢упрощены или удалены ранее обязательные требования, связанные с установкой оборудования в защищенных помещениях и контролем параметров их настройки
🟢централизованный сбор сведений о событиях безопасности стал обязательным для всех классов типовых информационных систем, хотя использование SIEM по-прежнему необязательно
🟢при проектировании и создании систем защиты информации взаимодействие между системами теперь должно осуществляться через защищенные каналы передачи данных
🟢введены четкие разграничения между системами 4-XX (без подключения к Интернету) и 3-XX (с подключением)
🟢добавлены подробные требования по отображению логической и структурной схем
🟢для систем «3-бг» и «3-дсп» теперь обязательно проведение тестирования на проникновение. Это, вероятно, сократит случаи избыточных решений “на всякий случай”

Недостатки:
🟣по-прежнему отсутствуют четкие критерии соответствия требованиям, аналогичные PCI DSS
🟣в пунктах 7.5–7.7 говорится об обязательном резервном копировании, но ничего не сказано о тестировании и восстановлении из копий (по сути, копии делаются “для галочки”)
🟣формы документов разрабатываются владельцем системы с учетом его специфики. Предполагаю, что цель - исключить злоупотребления маркетингом (ребят в стиле “мы быстрее и дешевле но давайте к нам”). Однако ограничения в 180 дней на аудит остаются неизменными
🟣аттестация все еще требует выявления всех уязвимостей, без учета удобства или влияния на бизнес-процессы. Это может привести к чрезмерным требованиям к обновлениям, не всегда оправданным.

✏️Новый приказ стал более понятным, структурированным и детализированным. Однако некоторые важные аспекты, такие как тестирование резервных копий и проработка критериев соответствия требованиям, остаются нерешенными. Улучшения очевидны, но пространство для совершенствования еще есть.

Уроки архитектуры для информационной безопасности

В XVIII-XIX веках помещения пороховых мельниц строили по одному интересному принципу: три стены возводились из камня, а четвёртая — из лёгких материалов, таких как дерево или солома. Почему? Всё дело в безопасности. Если порох случайно взрывался, каменные стены защищали окружающие здания и людей, а лёгкая стена давала взрывной волне возможность “уйти за реку” — буквально уносила её энергию в сторону реки, минимизируя ущерб. Эта история — не просто инженерная находка прошлого, но и метафора для построения грамотной архитектуры информационной безопасности.

Мир информационной безопасности полон “взрывов” — утечек данных, вирусов, DDoS-атак, компрометации учетных записей. Они происходят по разным причинам: неосторожность сотрудников, уязвимости в системах или действия злоумышленников. Но как пороховые мастера предвидели взрывы и минимизировали их последствия, так и специалисты по ИБ проектируют системы, чтобы минимизировать ущерб от инцидентов.

Лёгкие стены в ИБ: что это такое?

1️⃣Сегментация сети
Представьте, что сеть вашей компании разбита на несколько зон:
🔵Внешний периметр — это то, что доступно извне (например, веб-серверы).
🔵Внутренние сервисы — такие как корпоративная почта, CRM или ERP.
🔵Критичные данные — базы данных или финансовые системы.

Если злоумышленник скомпрометирует одно из приложений на внешнем периметре, сегментация не даст ему проникнуть дальше. Это как если бы взрывная волна “упёрлась” в лёгкую стену, не повредив внутренние зоны.

2️⃣Демилитаризованная зона (DMZ)
DMZ в ИБ работает по тому же принципу, что и лёгкая стена. Это изолированная зона, где размещаются сервисы, взаимодействующие с внешним миром, например, веб-приложения. Если атака произойдёт, “взрывная волна” будет нейтрализована в этой зоне, не затронув критичные системы компании.

3️⃣Управление доступом
“Лёгкая стена” здесь — это ограничение прав доступа. Сотрудники получают только те привилегии, которые необходимы для их работы. Даже если учётная запись будет взломана, злоумышленник не сможет пробиться “за каменные стены” и добраться до ключевых ресурсов.

4️⃣Резервное копирование
Резервные копии — это как эвакуационный выход из горящего здания. Если что-то пошло не так, данные можно восстановить и продолжить работу, минимизировав последствия “взрыва”.

Каждый из этих методов создаёт своего рода “лёгкую стену”, которая принимает на себя удар и позволяет защитить остальное. Такие меры не только сдерживают угрозы, но и помогают компании пережить инциденты с минимальными потерями.

Что будет, если все стены “каменные”?

Это может звучать странно, но без “лёгкой стены” ущерб от инцидентов может быть намного выше. Когда взрывная волна не имеет выхода, она уничтожает всё на своём пути:
🔘Шифровальщик проникающий в сеть, может зашифровать все системы, если нет сегментации.
🔘Массовый DDoS может обрушить всю инфраструктуру, если нет изолированного внешнего периметра.
🔘Утечка данных становится катастрофической, если нет разграничения прав доступа.

〰️
“Лёгкая стена” в ИБ — это грамотное проектирование системы, при котором атака может произойти, но её последствия останутся локальными. Мы не можем предотвратить все “взрывы”, но можем контролировать их последствия.

Аналогия с пороховыми мельницами напоминает: иногда важно не только усилить защиту, но и предусмотреть, как безопасно “выпустить пар”.

#post

Как не превратить мониторинг в паранойю

Ревность — штука хитрая. И в жизни, и в информационной безопасности она начинается с малейших сомнений. Ну, знаете, эти “а кто тебе звонил?”, “почему логон в три ночи?” или “что это за IP-шник 185.***?”. И вроде бы поисковые действия начинаются с благих намерений: всё проверить, всё выяснить. Но вот когда ревность перерастает в манию, начинаются проблемы.

В реальной жизни такой подход заканчивается прочёсыванием телефона, допросами с пристрастием и следственными экспериментами: “а кто лайкнул?” или “а что за обед за двоих в чеке?”. В ИБ — это включение режима «смотрим ВСЁ». Терабайты логов? Скачай. Анализируй каждый пакет, каждый сигнал, каждую цифру.

Что в итоге?

Вместо реальной угрозы ты находишь:
👀Лайк троюродной сестры на фото трёхлетней давности.
👀Пинг принтера, который, как оказалось, вообще не в сети.
👀Атака, которая… о, подожди, это был внутренний тест на бдительность.

Когда ревность или подозрение переходят в манию, ты не только не находишь настоящего врага, но и изматываешь себя в первую очередь. Это тот случай, когда мониторинг превращается в самоистязание. И, конечно, ещё и изматываешь тех, кто рядом — попробуй после таких поисков объяснить, почему босс не может зайти в CRM (ты ж заблокировал на всякий случай).

Вывод?

Контролировать — это хорошо. Но не забывай, что:
💖Если ты ищешь проблему, не факт, что она есть. Иногда всё работает просто потому, что настроено правильно.
💖Ворота всегда должны быть закрыты, но не заперты в стиле “никто не выйдет, пока не выясним, кто и зачем пришёл”.
💖Ревность к системам не делает их безопаснее, как и слежка за человеком не делает отношения крепче.

Короче, ищи реальные инциденты, а не фантомы. А если чувствуешь, что начинаешь сходить с ума — лучше съешь шоколадку. Она, в отличие от безумного мониторинга, точно поднимет настроение🍫

#post

🔥Компания F.A.С.С.T. подвела итоги 2024 года. Про Беларусь нет конкретных данных, но в разрезе общих паттернов атакующих есть интересный факт - в 2024 году не менее 17 группировок хактивистов атаковали российские и белорусские организации (в прошлом году 13).

👀Подробнее на Хабре

В одном из чатов по ИБ, где собрались профессионалы, как всегда, запустили вопрос:

Во время планового аудита безопасности обнаружилось, что критически важный сервер был скомпрометирован и используется в качестве узла C2 (C&C) для ботнета. Выбери лучшее действие?

Варианты ответа:
🔤Изолировать сервер, выполнить криминалистический анализ, а затем исправить уязвимость
🔤Немедленно исправить уязвимость, выполнить криминалистический анализ, а затем изолировать сервер
🔤 Выполнить криминалистический анализ, изолировать сервер, а затем исправить уязвимость
🔤 Изолировать сервер, исправить уязвимость, а затем выполнить криминалистический анализ

Большинство проголосовало за 🔤 (я в том числе). Почему? Ну, здравый смысл вроде бы подсказывает, что сначала тушим пожар, а уже потом разбираемся, кто в него плеснул бензин.

Но не тут-то было! Правильным, по мнению автора вопроса, оказался ответ 🔤

Почему?

Предполагаю, что логика ответа такова:
1️⃣Надо собрать все улики, пока ничего не тронули. Представьте, что это преступление: злодеи уже орудовали, и ваш сервер — это их “пальцы на стекле”. Изолируете сервер, и всё пропало: доказательства стерты, злодей растворился, а вы остались у разбитого корыта.
2️⃣Всё должно быть в естественном виде. Что там делает злоумышленник? Какие соединения активны? Какие процессы работают? Пусть сервер — это аквариум, а вы смотрите, как там плавают рыбы. Трогать нельзя, иначе вода замутится.
3️⃣Не пугайте злодея раньше времени. Если вы резко отключите сервер, он заметит. А вдруг у него есть план “Б”?

Но вот что странно. Согласно условиям, сервер критически важный. То есть, пока вы смотрите в аквариум, у злодея есть доступ ко всей вашей сети. Что он там делает? Да кто его знает! Может, уже грузит ваши данные на свои сервера или запускает вирус-шифровальщик. И тут вы, как герой фильма, мрачно шепчете: “Но у нас будет полная картина событий”. Правда, всё, что останется от вашей сети, — это эта самая “картина”.

Почему все таки нужно делать по варианту🔤?

(Изоляция - Анализ - Исправление) предлагает простой, прагматичный подход:
1️⃣Вырываем сервер из лап злоумышленника. Пусть он останется без своего “пульта управления”.
2️⃣Потом анализируем. Да, возможно, не всё сохраним, но зато остановим атаку.
3️⃣И в конце чиним дыру, чтобы никто снова не пролез.

Это как пожарные: они не будут фотографировать горящий дом, чтобы “понять, откуда пошло возгорание”. Они сначала тушат.

Хорошо, душила Полесская, давай проще и на пальцах объясни

Представьте, что ваш сервер — это драгоценный сундук, а злоумышленник — вор, который копается в нём.
🔤 говорит: “Подождите, пусть вор закончит свои дела, а мы всё зафиксируем и потом его изловим”.
🔤 говорит: “Захлопнем сундук, а уж потом разберёмся, что он успел утащить”.

Скажите честно, вы сундук сразу захлопнете или будете любоваться, как вор роется в ваших сокровищах?

“Форензика сначала” звучит умно, но на практике её логика работает только в очень специфических случаях, когда компрометация не несёт прямого риска. Но если сервер критически важен, безопасность сети должна быть приоритетом.

И всё же: изоляция, потом анализ. Или сначала анализ, а потом изоляция? Решать вам, но знайте: пока вы размышляете, ваши данные могут быть где-то на другом конце Интернета… так что подумайте что вы будете делать заранее.

#post

Когда-то, занимаясь организацией деловых встреч, я услышал любопытную мысль: вопросы решаются на сцене, а решения принимаются за кулисами. Сегодня эта старая истина обросла новомодными форматами — закрытые завтраки, встречи «без галстуков» с ЛПР.

Но здесь есть закономерность: сильным компаниям такие маневры не нужны. Михаил Булгаков писал: «Никогда ничего не просите — сами предложат и сами всё дадут». Именно так: к тем, кто уверен в своих позициях, идут сами. А слабые вынуждены договариваться в темноте, шепотом, где-нибудь в кулуарах.

Особенно забавно, когда компании, гордо заявляющие о «более двух десятков лет практики», начинают продвигать услуги только сейчас. Это как если бы человек с двадцатилетним стажем работы вдруг заявил: «А вот теперь я всё-таки научился делать свою работу». Вы бы не насторожились? Стоит ли доверять тому, кто всё это время сидел в тени и вдруг решил доказать, что он эксперт?

Не менее абсурдны рассказы про «сотни тысяч клиентов». Так говорят, словно любой пользователь компании автоматически становится клиентом услуги. Это всё равно что таксист стал бы считать каждого пассажира своим другом. Но настоящая ценность измеряется не количеством «перевезённых», а их лояльностью и результатами, которые они получают.

Что же до тех, кто с энтузиазмом посещает такие «кофепития», тут совет простой: держите ухо востро. За бесплатным кофе всегда скрывается цена. Обратите внимание на ложечки: иногда под блестящим «серебром» обнаруживается дешевый пластик. И не забудьте проверить свои золотые часы — такие встречи имеют обыкновение оставлять после себя ощущение потерь.

Давно я не видел в трафике и wget на загрузку эксплойта, и chmod +x для запуска и rm -rf для удаления

Вот не люблю Unix-форензику - без дампа ОЗУ смысла нет никакого. Запускают с диска в качестве демона и все - systemclt в помощь

Недавно узнал интересный факт: браконьеров-рыбаков чаще задерживают летом. Причина вовсе не в удобстве для сотрудников органов, а в том, что рыба в теплое время года быстро портится, и браконьеры вынуждены чаще проверять свои снасти, увеличивая вероятность быть пойманными.

А как это связано с кибербезопасностью? На мой взгляд, чем “горячее сезон” в ИТ-процессах — миграция данных, аудиты, внедрение новых систем, выполнение требований регуляторов — тем сложнее злоумышленникам закрепиться в системе. Им приходится адаптироваться к изменяющейся инфраструктуре, действовать наспех и чаще совершать ошибки или “терять снасти” — свои инструменты, закладки и прочие, оставляя более явные следы.

Пример из реальной жизни: во время распродажи “Черная пятница” один из онлайн-ритейлеров заметил аномальный рост активности на сервере. Оказалось, злоумышленники пытались адаптировать стиллер, чтобы использовать нагрузку как прикрытие. Благодаря активному мониторингу и быстрой реакции их замысел провалился .

Вывод простой: чем больше активной работы ведется с системой — не на бумаге, а в реальности, — тем выше шанс поймать киберпреступника или предотвратить его действия. Динамическая, живая инфраструктура всегда сложнее для атак, чем статичная и “застывшая”.