Ransomware-resilience: как выжить, когда шифровальщик уже в сети

Полное руководство: иммутабельные резервные копии, учения, сегментация и план восстановления для российских компаний

Почему 2025 год — переломный для корпоративной устойчивости к ransomware

Программы-вымогатели давно перестали быть экзотической угрозой «где-то за рубежом». По данным Positive Technologies, в первом полугодии 2025 года программы-шифровальщики применялись в 49% всех успешных атак с использованием вредоносного ПО — рост на 8 процентных пунктов к первому полугодию 2024 года [1]. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) при ФСБ фиксирует, что в 2024 году 70% обращений пострадавших организаций было связано именно с уничтожением данных вирусами-вымогателями [2].

Картину усугубляет геополитический контекст: часть группировок, атакующих российские компании, преследует не финансовые, а политические цели — диверсию и уничтожение данных без предложения дешифратора. По данным экспертов F6, около 15% атак на средний и крупный бизнес в России в 2023–2024 годах оказывались именно диверсиями [8].

Ситуацию осложняет стремительно меняющийся ИТ-ландшафт: импортозамещение, переход на отечественные платформы, новые интеграции и сервисы расширяют поверхность атаки. Компании оказываются в условиях, когда старые резервные стратегии не работают, а новые ещё не внедрены.

Эта статья — практическое руководство для ИТ-директоров, CISO, руководителей SOC и технических специалистов. Мы разберём четыре ключевых столпа устойчивости к ransomware:

1. Иммутабельные резервные копии (immutable backups).
2. Сегментация сети и ограничение латерального перемещения.
3. Учения и табличные упражнения (drills и tabletop exercises).
4. Комплексный план восстановления (recovery plan) с реалистичными метриками RTO и RPO.

Часть 1. Анатомия современной ransomware-атаки: что изменилось

1.1. Модель двойного и тройного вымогательства

Классическая схема «зашифровал — потребовал выкуп» уходит в прошлое. Современные группировки работают по схеме двойного (double extortion) и тройного (triple extortion) давления. По данным отчёта Delinea State of Ransomware 2025, 85% жертв ransomware сообщают о краже данных в дополнение к шифрованию [9]. Данные публикуются на специализированных «блогах утечек» в даркнете, если жертва отказывается платить. Третий уровень — угрозы клиентам и партнёрам пострадавшей организации с целью усилить давление.

1.2. Ransomware-as-a-Service (RaaS): демократизация угрозы

RaaS превратил создание атаки в аренду готовой платформы. Разработчики предоставляют инфраструктуру, шифровальщик и панель управления, а «партнёры» — аффилиаты — проводят атаки и делятся выручкой (обычно 70–80%). По данным Group-IB Ransomware Uncovered 2024, модель RaaS доминирует среди атакующих российские компании группировок [8]. Именно это объясняет разнообразие: в России зафиксировано более 23 разновидностей активных шифровальщиков [10].

1.3. Первоочередная цель — резервные копии

Это критически важный поведенческий паттерн: современные операторы ransomware в первую очередь охотятся за системами резервного копирования. Логика проста: если уничтожить бэкапы, организация вынуждена платить. Ransomware-группировки изучают инфраструктуру неделями и месяцами до начала шифрования, выявляя и компрометируя хранилища резервных копий [5].

1.4. Латеральное движение: скорость изменилась навсегда

По данным CrowdStrike, к 2024 году среднее время латерального перемещения атакующего сократилось до 2 минут 7 секунд [6]. Это означает, что после первичного заражения у команды реагирования практически нет времени на ручное обнаружение и изоляцию — всё должно быть автоматизировано заранее.

Часть 2. Иммутабельные резервные копии: техническая основа выживания

2.1. Что такое иммутабельные резервные копии и почему без них не обойтись

Иммутабельные (неизменяемые) резервные копии — это копии данных, защищённые по принципу WORM (Write Once, Read Many). После записи такие данные не могут быть изменены, зашифрованы или удалены в течение заданного периода удержания — даже если атакующий получил права администратора или root в системе [5].

Ключевое свойство: это не просто «ещё одна копия». Это физически или логически защищённые данные, для которых не существует команды удаления в обычном операционном контексте. Примеры реализации:

• S3 Object Lock в режиме compliance — блокирует объект на уровне AWS API без возможности отмены даже администратором.
• WORM-тома на специализированных NAS/SAN-устройствах.
• Ленточные библиотеки в режиме WORM (физическая неизменяемость).
• Воздушные зазоры (air gaps) — физически изолированные хранилища, не подключённые к сети.

Согласно данным Sophos, в 2024 году 70% ransomware-атак приводили к шифрованию данных, однако организации с иммутабельными бэкапами восстанавливались значительно быстрее [11].

2.2. Правило 3-2-1-1-0: эволюция классики

Классическое правило 3-2-1 (три копии, два разных носителя, одна вне площадки) было разработано до эпохи ransomware. Его современная версия — 3-2-1-1-0 — добавляет два критически важных требования [5]:

1. 3 копии данных (рабочая + 2 резервные).
2. 2 различных типа носителей (например, блочное хранилище + S3-совместимое объектное).
3. 1 копия вне площадки (географическая резилентность).
4. 1 иммутабельная или air-gapped копия.
5. 0 ошибок при проверке восстановления (тест с нулевой толерантностью к сбоям).

Последний пункт — самый критичный на практике. Резервная копия, которую никогда не тестировали на реальное восстановление, может оказаться нерабочей именно тогда, когда она нужна больше всего.

2.3. Zero Trust Data Resilience (ZTDR): расширение Zero Trust на данные

CISA (Агентство по кибербезопасности и безопасности инфраструктуры США) в 2025 году опубликовало руководство по микросегментации в контексте Zero Trust, подчеркнув необходимость распространения принципов Zero Trust на системы резервного копирования [15]. Концепция Zero Trust Data Resilience (ZTDR) предполагает:

• Сегментацию программного обеспечения для резервного копирования и хранилища бэкапов — они должны находиться в разных доменах безопасности.
• Принцип наименьших привилегий для всех процессов резервного копирования.
• Исключение root-доступа и прямого доступа к ОС хранилища резервных копий.
• Многофакторную аутентификацию на всех административных интерфейсах систем резервного копирования [5].

2.4. Автоматическая верификация целостности резервных копий

Резервная копия без верификации — это не резервная копия, это надежда. Автоматическая верификация должна включать:

• Контрольные суммы (checksums) и хэш-валидацию каждого задания резервного копирования.
• Автоматические тесты восстановления на изолированной среде (clean room recovery).
• Сканирование резервных копий на наличие вредоносного ПО перед восстановлением — чтобы не восстановить уже заражённую систему.
• Оповещения при любых аномалиях: неполные задания, изменения в объёмах, несоответствия хэшей [9].

2.5. Частота резервного копирования и требования RPO

Политика частоты резервного копирования должна напрямую вытекать из бизнес-требований к RPO (Recovery Point Objective — максимально допустимая потеря данных):

• Для критических бизнес-систем (ERP, CRM, базы клиентов) — непрерывное или почасовое резервное копирование с применением технологий CDC (Change Data Capture).
• Для рабочих серверов — ежедневное резервное копирование как минимум.
• Для архивных данных — еженедельное.

Минимальная частота тестирования восстановления — ежеквартально для критических систем, ежемесячно — рекомендуемая практика [6].

Часть 3. Сегментация сети: как лишить ransomware возможности распространяться

3.1. Почему «плоская» сеть — главная проблема

Большинство корпоративных сетей, с которыми приходится иметь дело после атаки, оказываются «плоскими»: единое пространство IP-адресов, минимальное разграничение между подразделениями. После первичного заражения одной рабочей станции атакующий получает возможность свободно перемещаться по всей инфраструктуре. IBM в отчёте Cost of a Data Breach 2024 зафиксировал: инциденты с латеральным перемещением обходятся организациям в среднем в 4,88 млн долл. — максимальный рост год к году с 2020 года [12].

По данным Microsoft Digital Defense Report 2024, 90% организаций имеют хотя бы один путь атаки, открывающий возможность для латерального движения [6].

3.2. Макросегментация: зонирование по классам доверия

Первый уровень защиты — разделение сети на крупные зоны с разным уровнем доверия и жёстким контролем трафика между ними:

• DMZ (демилитаризованная зона) — для публично доступных сервисов.
• Операционная сеть — рабочие станции и корпоративные приложения.
• Производственная/OT-сеть — изолированная от корпоративной.
• Резервная инфраструктура — физически и логически изолирована от основной.
• Зона управления (management plane) — доступна только из защищённых Jump-хостов.

3.3. Микросегментация: гранулярный контроль на уровне рабочих нагрузок

Микросегментация применяет политики безопасности на уровне отдельных рабочих нагрузок, контейнеров и виртуальных машин, блокируя несанкционированный east-west трафик (внутрисетевой). По данным отчёта Fortinet об императиве микросегментации, Gartner прогнозирует, что к 2027 году четверть предприятий будет использовать несколько моделей сегментации одновременно [20].

CISA в июле 2025 года опубликовало специальное руководство «Microsegmentation in Zero Trust, Part One», в котором микросегментация определяется как критически важный компонент архитектуры Zero Trust для федеральных гражданских ведомств [15].

Практические результаты внедрения микросегментации:

• Производственные компании сообщают о 2–3 млн долл. ежегодной экономии на предотвращении простоев, связанных с ransomware [13].
• Организации, использующие микросегментацию, на 50% сокращают время подготовки к аудиту благодаря автоматической документации политик [12].

3.4. Изоляция резервной инфраструктуры — обязательное условие

Критически важно, чтобы системы резервного копирования были изолированы от основной сети в отдельный сегмент с минимальными привилегиями. Это означает:

• Отдельная VLAN с жёстким контролем доступа по принципу наименьших привилегий.
• Privileged Access Management (PAM) для всех административных операций.
• Логирование всех обращений к резервной инфраструктуре с интеграцией в SIEM.
• Требование подтверждения (approval workflow) для критических операций: удаление заданий, изменение политик хранения [5].

3.5. Практический путь внедрения: от макро к микро

Ошибочная стратегия — пытаться сразу перейти к гранулярной микросегментации на уровне приложений. Правильный путь [14]:

1. Инвентаризация и оценка текущего состояния сети.
2. Сегментация инфраструктурных сервисов (DNS, DHCP, AD).
3. Зонирование на основе классов доверия (DMZ, внутренняя, OT).
4. Постепенное движение к микросегментации на уровне приложений.

Часть 4. Учения и табличные упражнения: «сражайся так, как тренируешься»

4.1. Почему письменный план не работает без практики

Ни один план реагирования на инциденты не выдержит первого столкновения с реальной атакой, если его ни разу не отрабатывали. Это не метафора — это выводы из практики. По данным CISA, организации, проводящие регулярные учения, значительно быстрее реагируют на реальные инциденты. CISA предоставляет более 100 пакетов табличных упражнений (CTEP), включая сценарии ransomware, которые доступны всем организациям [16].

4.2. Форматы учений: от табличных до полноценных drill

Существует несколько уровней учений с нарастающей сложностью и реалистичностью:

Табличные упражнения (tabletop exercises) — структурированные дискуссии, в которых ключевые участники (ИТ, юридический отдел, PR, руководство) разбирают сценарий атаки без реального воздействия на системы. Фокус — на принятии решений, коммуникации и координации. Рекомендуется проводить минимум раз в год, оптимально — раз в квартал [17].

Технические drill-тесты (functional drills) — реальное тестирование: восстановление данных из резервных копий, проверка изоляции сегментов, активация резервных аккаунтов. Включают проверку, что все RTO и RPO достижимы в реальных условиях.

Полноценные учения (full-scale exercises) — симуляция атаки на изолированной тестовой среде с имитацией шифрования, изоляцией сегментов и полным восстановлением.

4.3. Что должно быть проверено в ходе учений

Хорошо составленный сценарий учений должен ответить на следующие вопросы:

• Насколько быстро команда обнаруживает факт заражения?
• Кто принимает решение о переключении на резервные системы?
• Как происходит коммуникация при недоступности основных каналов?
• Каков порядок изоляции заражённых сегментов без прерывания бизнес-процессов?
• Как уведомляются регуляторы (в России — НКЦКИ) и, при необходимости, партнёры?
• Каков процесс верификации «чистоты» восстанавливаемых данных перед запуском в production?
• Кто принимает решение платить или не платить выкуп, и по каким критериям?

4.4. Кто должен участвовать в учениях

Принципиальная ошибка — ограничить учения ИТ-командой. Полноценные учения должны вовлекать:

• Технические команды (ИТ, ИБ, SOC).
• Юридический отдел (требования уведомления регуляторов, оценка необходимости выплаты выкупа).
• PR и коммуникации (работа с клиентами, СМИ, репутационный ущерб).
• Финансовый блок (ликвидность, страховые требования, авторизация платежей).
• Высшее руководство (решения уровня CEO/CIO).

По данным CM Alliance, организации, проводившие учения с привлечением кросс-функциональных команд, демонстрировали значительно более скоординированную реакцию при реальных инцидентах [17].

4.5. Частота и цикл непрерывного улучшения

Рекомендуемая частота [22]:

• Тесты целостности резервных копий — ежемесячно.
• Табличные упражнения — минимум раз в квартал.
• Технические drill-тесты — раз в полгода.
• Полноценные учения — раз в год.
• Обновление плана восстановления — после каждого значимого изменения инфраструктуры и после каждого реального инцидента.

Часть 5. Plan R — план восстановления, который реально работает

5.1. RTO и RPO: метрики, которые нужно знать до атаки

Два ключевых параметра плана восстановления:

Recovery Time Objective (RTO) — максимально допустимое время простоя системы от момента инцидента до полного восстановления функциональности. Разные системы имеют разные RTO: платёжная система — часы; корпоративный портал — дни.

Recovery Point Objective (RPO) — максимально допустимая потеря данных, измеряемая в единицах времени. Если RPO = 1 час, организация готова потерять не более часа данных.

Критическая проблема: RTA (Recovery Time Actual) в реальных атаках может катастрофически отличаться от RTO. По данным Veeam, среднее время восстановления после ransomware в 2025 году составляет 24,6 дня [9]. Это происходит потому, что большинство планов написаны под восстановление одного сервера, а не тысяч одновременно.

Среднее время восстановления росло исторически: 2016 год — 33 часа, 2019 год — 7,3 дня, 2021 год — 21 день [25]. Тренд неутешительный и требует переосмысления архитектуры восстановления.

5.2. Приоритизация систем: тиеринг для ускорения восстановления

Не все системы одинаково критичны. Эффективный план восстановления разбивает ИТ-активы на уровни (тиеры):

Тиер 1 — критические системы: те, простой которых измеряется часами до наступления катастрофических последствий. Примеры: платёжная инфраструктура, системы диспетчерского управления, ключевые базы данных клиентов. RTO — часы, RPO — минуты.

Тиер 2 — важные системы: те, простой которых допустим несколько дней. Примеры: корпоративные ERP, CRM. RTO — дни, RPO — часы.

Тиер 3 — вспомогательные системы: все остальные. RTO — недели, RPO — дни.

Тиерирование напрямую определяет стоимость решения: обеспечение near-zero RTO требует полностью резервированных систем с автоматическим переключением, что кратно дороже, чем cold standby для тиера 3 [26].

5.3. Изолированная среда восстановления (Clean Room)

Принципиально важный элемент, который часто игнорируется: восстановление должно происходить в изолированной среде, не подключённой к заражённой инфраструктуре. Это необходимо по двум причинам.

Первая: нужно убедиться, что восстанавливаемые данные не содержат вредоносного ПО. Ransomware нередко «спит» в системе несколько недель до активации — восстановление заражённой копии без проверки просто перезапустит цикл атаки.

Вторая: если атакующий сохранил присутствие в сети, восстановленные системы будут немедленно перезаражены.

По данным ICI, посвящённого учениям финансовой отрасли в 2024 году, создание выделенной среды восстановления (Dedicated Ransomware Recovery Environment) является одним из ключевых выводов отработки реальных сценариев [22].

5.4. Пошаговый алгоритм действий при ransomware-атаке

Первые минуты определяют масштаб ущерба. Вот проверенная последовательность действий:

1. Немедленная изоляция. Отключить заражённые системы от сети (отсоединить сетевой кабель, отключить Wi-Fi). Важно: не выключать сервер сразу — оперативная память может содержать ключи шифрования, полезные для форензики.
2. Активация плана реагирования и оповещение ключевых лиц согласно предварительно определённому списку.
3. Идентификация атаки: тип шифровальщика, вектор заражения, масштаб распространения. Помогает специализированный сайт No More Ransom (nomoreransom.org), поддерживаемый правоохранительными органами.
4. Изоляция подсетей. Отключение VPN-доступа и удалённых подключений. Деактивация скомпрометированных учётных записей с переходом на заранее подготовленные резервные.
5. Уведомление НКЦКИ (обязательно для субъектов КИИ в соответствии с ФЗ-187). Для остальных — по ситуации, но привлечение правоохранительных органов статистически снижает ущерб: по данным IBM 2024, организации, привлёкшие правоохранителей, сэкономили в среднем около 1 млн долл. на расходах по инциденту [12].
6. Запуск форензической фиксации. Сохранение логов, образов памяти, сетевых дампов для дальнейшего расследования.
7. Восстановление в изолированной среде. Проверка резервных копий на вредоносное ПО. Восстановление систем тиера 1 в первую очередь.
8. Верификация и постепенное возвращение в production. Проверка целостности данных и отсутствия следов присутствия атакующего перед каждым возвратом в рабочую среду.
9. Постинцидентный разбор (post-mortem). Не позднее 72 часов после инцидента. Фиксация уроков, обновление плана.

5.5. Почему платить выкуп — плохая стратегия

Соблазн заплатить велик, особенно когда бизнес остановлен. Однако данные убедительно свидетельствуют против:

• Только 15% жертв, заплативших выкуп, получают работающий дешифратор [7].
• Организации, заплатившие однажды, немедленно попадают в базы «надёжных плательщиков» и с высокой вероятностью подвергнутся повторной атаке другой группировкой [50].
• Глобально, несмотря на рост числа атак в 2024 году, общая сумма выплаченных выкупов снизилась — это говорит о том, что организации всё чаще успешно восстанавливаются самостоятельно.
• С 2024 года ряд стран ввёл или рассматривает ограничения на выплату выкупов операторам ransomware; ситуация меняется.

Часть 6. Типичные ошибки и как их избежать

6.1. «У нас есть бэкапы» — не значит «мы защищены»

Наличие резервных копий не равно возможности восстановления. Наиболее частые ошибки в стратегии резервного копирования:

• Резервные копии хранятся в той же сети, что и производственная инфраструктура.
• Никогда не проводились тесты реального восстановления.
• Отсутствует иммутабельный слой — атакующий, получивший права администратора, может удалить все копии.
• Период удержания слишком короткий — ransomware «спал» в системе дольше глубины хранения бэкапов.

6.2. Сегментация на бумаге, но не в реальности

Распространённая ситуация: VLAN формально создана, но трафик между сегментами никогда не проверялся. Исключения в правилах межсетевого экрана «временно» открытые годами становятся постоянными уязвимостями.

6.3. План восстановления, написанный один раз и забытый

ИТ-ландшафт меняется: появляются новые системы, интеграции, сотрудники. План восстановления, написанный три года назад, может не учитывать половину критических систем. По данным исследований, 35% брешей в данных в 2024 году затрагивали «теневые данные» — информацию, о существовании которой организация не знала [24].

6.4. Недооценка человеческого фактора

Большинство атак ransomware начинаются с фишинга или компрометации учётных данных. По данным Verizon DBIR 2025, фишинговые атаки, приводящие к ransomware, выросли с 25% в 2024 году до 35% в 2025 году [13]. Техническая защита без регулярного обучения сотрудников работает вполсилы.

6.5. Отсутствие плана коммуникации

В момент атаки страдает не только ИТ. Клиенты, партнёры, регуляторы, СМИ — все требуют информации. Отсутствие заранее согласованных шаблонов коммуникации и лиц, уполномоченных говорить от имени организации, превращает инцидент в PR-катастрофу.

Часть 7. Кейсы: уроки реальных атак

7.1. Атака на Colonial Pipeline (2021): цена платёжного рефлекса

Атака на крупнейшего оператора трубопроводов США, Colonial Pipeline, в 2021 году унесла 4,4 млн долл. выкупа. Компания заплатила, несмотря на возможность частичного восстановления из бэкапов, — потому что процесс восстановления оказался слишком медленным. Этот кейс стал хрестоматийным примером того, почему скорость восстановления критична: организации с реальными RTO, подкреплёнными протестированной архитектурой, не оказались бы в ситуации, когда «быстрее заплатить» [4].

7.2. Российский контекст: атаки группировок Shadow и MorLock

Группировка Shadow (также известная как Twelve, Comet, DARKSTAR) атакует российские компании как в финансовых, так и в политических целях. Характерная особенность — изощрённые методы: сначала кража учётных записей Telegram для шпионажа, затем шифрование и давление [8]. Группировка MorLock в 2024 году значительно увеличила интенсивность атак на российский бизнес [51].

7.3. Атака на Kettering Health (2025): когда ransomware останавливает больницу

Атака на сеть больниц Kettering Health в Огайо (США) в мае 2025 года парализовала системы 14 медицинских учреждений. Звонки в колл-центры, онлайн-процедуры — всё было отменено. Организация работала в режиме ручного управления несколько недель [11]. Этот кейс демонстрирует: ransomware в секторе здравоохранения — это не только финансовый ущерб, но прямая угроза жизни людей.

Часть 8. Тренды и будущее: что ждёт организации в 2026 году и далее

По данным Gartner и Positive Technologies, к 2026 году ожидается дальнейшее развитие следующих тенденций:

Использование ИИ для создания и запуска ransomware-атак. Автоматизированные атаки с использованием машинного обучения проверяют тысячи потенциальных точек входа без участия человека. По данным FunkSec, одна из новых группировок создала свой шифровальщик на Rust с помощью ИИ [32].

Рост числа атак на облачные инфраструктуры. Positive Technologies прогнозирует рост целенаправленных атак на облачные решения в 2025–2026 годах, в том числе с целью вымогательства [78].

Регуляторное давление усиливается. В России ФЗ-187 о безопасности КИИ и указ президента №250 устанавливают требования к защите критической инфраструктуры. Штрафы за нарушения в сфере персональных данных продолжают расти. В мире: обновление HIPAA Security Rule 2025 впервые делает сегментацию сети обязательным требованием [12]. Стандарты PCI DSS и ISO/IEC 27001 усиливают требования к зонированию.

Рост страховых требований. Страховщики в области киберрисков всё жёстче требуют доказательств наличия иммутабельных бэкапов и результатов тестов восстановления как условия получения полиса или урегулирования страхового случая [10].

Часть 9. Практический чек-лист: оценка вашей готовности прямо сейчас

Пройдитесь по этому списку честно. Каждый пункт, на который вы отвечаете «нет» или «не знаю», — это уязвимость.

Резервное копирование

1. Есть ли у организации минимум три копии критических данных в соответствии с правилом 3-2-1-1-0?
2. Хотя бы одна копия является иммутабельной (WORM) или физически air-gapped?
3. Резервная инфраструктура изолирована от основной сети в отдельный сегмент?
4. Тесты восстановления из резервных копий проводятся как минимум ежеквартально?
5. Резервные копии проверяются на наличие вредоносного ПО перед восстановлением?
6. Период удержания резервных копий достаточен, чтобы охватить возможное время «спящего» заражения (минимум 30–90 дней)?

Сегментация сети

1. Критические системы (ERP, базы клиентов, резервная инфраструктура) находятся в отдельных сетевых сегментах?
2. Правила межсетевого экрана регулярно проверяются на предмет ненужных исключений?
3. Привилегированный доступ к административным интерфейсам возможен только через выделенные jump-хосты с MFA?
4. Ведётся мониторинг east-west трафика между сегментами?

Учения и планирование

1. Последнее табличное упражнение по сценарию ransomware проводилось менее года назад?
2. В учениях участвовали не только ИТ, но и юридический, PR и финансовый блоки?
3. Разработан и задокументирован план реагирования на ransomware с конкретными ролями, ответственными и контактами?
4. Определены и задокументированы RTO и RPO для всех критических систем?
5. Есть ли изолированная среда для тестового восстановления и форензики?

Уведомление и коммуникация

1. Определён порядок уведомления НКЦКИ при атаке на объект КИИ?
2. Есть ли заранее согласованные шаблоны коммуникации для клиентов, партнёров и СМИ?
3. Определены лица, уполномоченные принимать решение о выплате выкупа, и критерии такого решения?

Заключение: устойчивость к ransomware — это процесс, а не проект

Главный вывод из всего накопленного опыта борьбы с ransomware прост: технологии — необходимое, но недостаточное условие. Иммутабельные резервные копии, микросегментация и план восстановления — это инструменты. Они работают только если существует живой процесс: непрерывное тестирование, обновление, обучение и совершенствование.

Ransomware-resilience — это не состояние «мы защищены», а постоянная практика задавать вопрос: «А что изменилось в нашей инфраструктуре с момента последнего обновления плана?»

Именно здесь обнаруживается одна из ключевых проблем: компании не видят, что именно изменилось. Новое поле в базе данных, новый подрядчик с доступом к системам, новая интеграция — каждое изменение потенциально расширяет поверхность атаки или создаёт новые риски утечки данных.

О «Пятый фактор»: контроль данных как фундамент устойчивости

Одна из проблем, которую часто обнаруживают при разборе реальных инцидентов, — это неполная картина того, где именно в организации хранятся данные. 35% брешей в 2024 году затрагивали «теневые данные» — информацию, которую организация просто не знала, что хранит [24]. Именно это незнание делает план восстановления неполным и создаёт бреши в стратегии сегментации.

Платформа «Пятый фактор» (5factor.ru) решает задачу, которую сложно закрыть вручную: автоматическое обнаружение, инвентаризация и непрерывный контроль персональных данных в корпоративных системах — базах данных, хранилищах, почте, Active Directory/LDAP, CRM, 1С и API.

Ключевое отличие архитектуры «Пятый фактор» от традиционных подходов — принцип privacy-by-design: платформа работает исключительно с метаданными, структурой данных и агрегатами, не передавая и не сохраняя «сырые» персональные данные. Это означает, что сам инструмент контроля не становится дополнительным источником риска и легко устанавливается как on-premise решение.

Для задач ransomware-resilience «Пятый фактор» решает конкретную проблему: даёт живую актуальную карту того, где и какие данные хранятся, кто является их владельцем и что изменилось с момента последней проверки. Это означает:

• При разработке плана восстановления: чёткое понимание, какие системы содержат критические данные и должны попасть в тиер 1 восстановления.
• При разработке стратегии сегментации: точное знание, какие данные где хранятся, что необходимо изолировать в первую очередь.
• При регулярных учениях: актуальная инвентаризация как основа для реалистичных сценариев.
• В ходе постинцидентного расследования: ясная картина, какие именно данные могли быть затронуты инцидентом, что критично для уведомления регуляторов и оценки ущерба.

Компании, которые знают, где находятся их данные, не только быстрее восстанавливаются — они принимают более точные решения до атаки.

Источники

[1] Positive Technologies. Актуальные киберугрозы: I–II кварталы 2025 года — https://global.ptsecurity.com/en/research/analytics/aktual-nye-kiberugrozy-i-ii-kvartaly-2025-goda/

[2] TAdviser. НКЦКИ: 70% обращений в 2024 году связано с уничтожением данных вирусами-вымогателями — https://www.tadviser.ru/index.php/Компания:Национальный_координационный_центр_по_компьютерным_инцидентам_(НКЦКИ)

[3] Bi.Zone / TAdviser. Рост выплат хакерам-вымогателям в 10 раз до ₽10-15 млн — https://www.tadviser.ru/index.php/Статья:Вирусы-вымогатели_(шифровальщики)_в_России

[4] IBM Security. Cost of a Data Breach Report 2024 — https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs

[5] Object First. Ransomware Backup Protection: Strategy and Best Practices — https://objectfirst.com/guides/ransomware/ransomware-backup-protection/

[6] Zero Networks. How to Mitigate Hidden Cyber Risks in 2025 — https://zeronetworks.com/blog/how-to-mitigate-hidden-cyber-risks-in-2025

[7] «Интернет-розыск» / Anti-Malware. 2024 год: ключи для расшифровки получают не более 15% пострадавших — https://www.anti-malware.ru/news/2025-03-28-121598/45647

[8] F6 (ранее Group-IB). Обзор преступных групп вымогателей, атаковавших Россию в 2023–2024 году — https://www.f6.ru/blog/ransomware-2023-2024/

[9] Veeam. Ransomware Recovery Guide: Strategies to Save Your Data — https://www.veeam.com/blog/ransomware-recovery-what-you-need-to-know.html

[10] ConnectWise. What is immutable backup? The guide to ransomware-proof data protection — https://www.connectwise.com/blog/what-is-immutable-backup

[11] TierPoint. How to Protect Against Data Loss with Immutable Backups — https://www.tierpoint.com/blog/data-protection/immutable-backups/

[12] Elisity. Preventing Ransomware Through Microsegmentation: 2025 Guide — https://www.elisity.com/blog/preventing-ransomware-through-microsegmentation-2025-guide-to-zero-trust-network-defense

[13] TenHats. Ransomware Attacks Are Skyrocketing in 2026. Here's How To Respond — https://tenhats.com/ransomware-attacks-are-skyrocketing-in-2026-heres-how-to-respond/

[14] Network World. Breaking the ransomware kill chain: Why distributed lateral security is no longer optional — https://www.networkworld.com/article/4108927/breaking-the-ransomware-kill-chain-why-distributed-lateral-security-is-no-longer-optional.html

[15] TerraZone. Ransomware Defense for Government Agencies: CISA, Microsegmentation & Zero Trust — https://terrazone.io/ransomware-defense-government-agencies-cisa-microsegmentation/

[16] CISA. CISA Tabletop Exercise Packages — https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages

[17] CM Alliance. Ransomware Tabletop Exercise Template, Scenarios — https://www.cm-alliance.com/en/ransomware-tabletop-exercise

[18] CM Alliance. Cyber Tabletop Exercises 2025: Top Tips for an Effective Cyber Drill — https://www.cm-alliance.com/cybersecurity-blog/cyber-tabletop-exercises-2025-top-tips-for-an-effective-cyber-drill

[19] Bitsight. What is a Tabletop Exercise in Cybersecurity? — https://www.bitsight.com/glossary/cybersecurity-tabletop-exercise

[20] Fortinet. The Imperative of Microsegmentation (White Paper) — https://www.fortinet.com/content/dam/fortinet/assets/white-papers/wp-microsegmentation.pdf

[21] SiliconAngle. How software-based microsegmentation stops ransomware spread — https://siliconangle.com/2025/09/22/software-based-microsegmentation-stops-ransomeware-spread-crowdstrikefalcon/

[22] ICI. Cyber Industry Tabletop Exercise 2024: After-Action Report — https://www.ici.org/system/files/2025-01/25-ppr-cyber-tabletop-exercise.pdf

[23] Ransomware.org. Creating Disaster Recovery and Incident Response Plans — https://ransomware.org/how-to-prevent-ransomware/creating-disaster-recovery-and-incident-response-plans/

[24] IBM Security / Zscaler. 7 Key Takeaways from IBM's Cost of a Data Breach Report 2024 — https://www.zscaler.com/blogs/product-insights/7-key-takeaways-ibm-s-cost-data-breach-report-2024

[25] GoAnywhere. Ransomware and Disaster Recovery: Create a Plan for Your Data — https://www.goanywhere.com/blog/ransomware-and-disaster-recovery-create-plan-your-data

[26] NetCom Online. Ransomware Protection Checklist 2025: Practical Steps — https://netcomonline.com/disaster-recovery-vs-backup-difference/

[27] Kaspersky. Ландшафт ransomware в 2025 году и новые причины не платить — https://www.kaspersky.ru/blog/ransomware-trends-2025-and-5-new-reasons-not-to-pay/39500/

[28] Anti-Malware.ru. Атаки шифровальщиков: защита бизнеса и восстановление после инцидента — https://www.anti-malware.ru/analytics/Threats_Analysis/How-to-protect-your-business-from-ransomware-attacks

[29] Anti-Malware.ru. Ransomware-as-a-Service в 2025 году: как санкции изменили угрозы для России — https://www.anti-malware.ru/analytics/Threats_Analysis/Ransomware-as-a-Service

[30] SentinelOne. What Are Immutable Backups? Autonomous Ransomware Protection — https://www.sentinelone.com/cybersecurity-101/cybersecurity/immutable-backups/