Восстановление после кибератак

Первое, что делает инфраструктурная команда — полностью переустанавливает контроллеры домена, почтовые серверы, СУБД и другие критичные сервисы «с нуля». Это не восстановление из образа — это развёртывание чистой, проверенной конфигурации на новых или переформатированных серверах. Только после этого начинается загрузка данных.

Мы не используем последние резервные копии «на всякий случай». Только те, которые:

• прошли проверку целостности,
• датированы до начала атаки (с учётом времени проникновения злоумышленника),
• хранятся в изолированном, air-gap защищённом хранилище, недоступном из основной сети.

Процесс восстановления проходит в изолированной среде — без подключения к основной инфраструктуре, чтобы исключить распространение угрозы.

После восстановления мы:

• проверяем работоспособность всех сервисов: аутентификация, почта, базы данных, печать,
• тестируем отказоустойчивость: переключение между узлами, восстановление сессий,
• интегрируем восстановленные компоненты в единую среду: DNS, служба каталогов, мониторинг (Zabbix и другие).

Чтобы атака не повторилась, мы сразу после восстановления внедряем меры, повышающие устойчивость:

• включаем многофакторную аутентификацию на всех критичных сервисах,
• настраиваем политики ограничения USB, буфера обмена, скриншотов,
• обновляем групповые политики безопасности, отключаем устаревшие протоколы (SMBv1, NTLM),
• интегрируем решения DLP и KSMG для контроля передачи персональных данных.

Все действия полностью документируются: от хронологии восстановления до списка изменённых настроек и рекомендаций по дальнейшей эксплуатации. Это необходимо не только для внутреннего аудита, но и для подтверждения соответствия требованиям регуляторов при необходимости.

Результат — не просто «всё работает как раньше», а инфраструктура, устойчивая к тем же уязвимостям в будущем. Мы не заклеиваем дыры — мы перестраиваем здание на новом, надёжном фундаменте.