В практике ИБ часто встречается эта ситуация: инфраструктура обновлена, критичные вендорские уязвимости закрыты, средства защиты развёрнуты, а атака всё равно развивается. Злоумышленник спокойно перемещается внутри сети, эксплуатируя небезопасные настройки, — тип уязвимостей, который часто недооценивают даже опытные специалисты ИБ. О том, почему управление уязвимостями конфигураций остается слепой зоной в кибербезопасности и к чему это приводит на практике, специально для Кибер Медиа рассказывает Кирилл Евтушенко, генеральный директор компании Кауч.
Для специалистов по тестированию на проникновение давно не новость, что ИТ-инфраструктура может быть полностью обновлённой и при этом уязвимой. Если просканировать сеть сразу после установки свежих версий ОС и прикладного ПО, можно выявить сотни специфических уязвимостей. Речь идёт об уязвимых конфигурациях систем — некорректных настройках, связанных с парольной политикой, правами доступа, механизмами шифрования и контролем привилегий. Простые примеры подобных небезопасных настроек — минимальные требования к длине и сложности паролей или отсутствие ограничений на повышение прав в системе.
В отличие от «распиаренных» вендорских уязвимостей, у проблемных конфигураций нет идентификаторов, централизованных баз и понятного жизненного цикла. Про них редко говорят вне узкого профессионального круга, потому что нет элемента новизны: настройки в большинстве систем существуют давно и меняются очень редко — например, только в мажорных релизах.
Это формирует перекос в восприятии рисков. Когда специалисты ИБ говорят «уязвимость», почти всегда имеют в виду конкретный идентификатор CVE. Небезопасные настройки в эту модель не попадают — хотя по уровню риска многие из них сопоставимы с критическими уязвимостями.
Классический пример: установка ОС или какого-либо прикладного ПО. После установки система, как правило, загружает последние обновления, и это может вызвать ощущение, что всё безопасно и дальнейшие действия не требуются. На деле для Windows, Linux и большинства прикладных систем базовая установка по умолчанию формирует небезопасный профиль настроек, что подтвердится при первом же сканировании на уязвимости. Без дополнительной работы с конфигурациями здесь закладывается значительная часть будущих рисков — вне зависимости от того, сколько обновлений было установлено.
Так мы приходим к ситуации, когда внимание специалистов концентрируется на одном типе угроз, а другой, менее заметный, но не менее опасный — остаётся в тени.
Небезопасные настройки чаще всего становятся связующим элементом всей цепочки кибератаки. Типичный сценарий начинается на периметре — с веб-приложения или другого публичного сервиса. Через него злоумышленник получает первоначальный доступ к ИТ-инфраструктуре. Если задача ограничивается, например, кражей данных из пресловутого публичного сервиса, атака может на этом закончиться. В более сложных сценариях это лишь первый шаг для развития атаки внутри корпоративной сети.
Для дальнейшего продвижения злоумышленнику нужно закрепиться, повысить привилегии и начать сканирование внутренней сети, чтобы развивать атаку дальше. Здесь небезопасные настройки — избыточные права, слабые политики доступа, отключённые ограничения — позволяют двигаться дальше за пределы одного сервера к целевой системе.
Есть атаки, которые развиваются постепенно и незаметно. Злоумышленник может сидеть внутри сети несколько недель, медленно меняя параметры систем под свои задачи. В таких случаях даже регулярный контроль отклонений в настройках за несколько дней мог бы стать сигналом проблемы, но этот уровень защиты часто отсутствует.
Если упростить, у любой ИТ-системы есть два базовых элемента защиты — обновления и настройки. Это справедливо и для корпоративной инфраструктуры, и для обычных пользовательских устройств.
При этом в современной базовой ИБ наиболее распространены инструменты, которые срабатывают уже в ходе атаки, а не предотвращают её изначально. Антивирусы, WAF, NGFW, DLP — все они вступают в работу, когда атака уже началась или данные уже покидают периметр.
Настройки работают иначе. Они не ловят злоумышленника «по дороге», а изначально ограничивают его возможности. Без этого фундамента даже самый обширный арсенал защитных средств оказывается бесполезным.
Можно провести аналогию и представить себе компанию без процесса управления безопасностью настроек в виде дома. У нас есть хорошо укреплённый периметр: стены, охрана, сигнализация. Однако оконные проёмы почему-то остались без окон, а дверные — без дверей. Формально защита есть, но войти в дом, перебравшись через забор, будет легко. При этом в большинстве случаев, чтобы закрыть эти проёмы, не требуется покупать новые средства защиты — достаточно корректно настроить существующие механизмы.
Трудность в том, что даже при наличии сканеров и стандартов объём работы оказывается несоразмерным с ресурсами команд. Количество настроек безопасности в современных системах исчисляется сотнями. В рекомендациях CIS для Windows Server — около 500 параметров, для Linux — 300–350. Базы данных, веб-серверы и прикладные системы добавляют ещё сотни. Даже если сосредоточиться только на критичных настройках, на одном хосте набирается 200–300 параметров, требующих внимания; так, 1000 хостов — это примерно 300 тысяч настроек, а в инфраструктуре из нескольких тысяч хостов эта цифра легко перевалит за миллион.
Количество настроек — не единственная проблема, с которой приходится иметь дело, основная сложность кроется в необходимости вовлекать в решение задачи подразделения, приоритеты и экспертиза которого далеки от вопросов кибербезопасности.
Выявлением проблем с конфигурациями обычно занимается отдел информационной безопасности. Именно у ИБ есть сканеры, необходимые знания и ответственность перед руководством за защищенность компании. Саму настройку в традиционном ИТ обычно выполняют администраторы — специалисты по Linux, Windows, базам данных, сетевому оборудованию. Их зона ответственности — стабильность и работоспособность систем, непрерывность и устойчивость бизнес-процессов. Безопасность в приоритеты ИТ в крупных компаниях при этом объективно не входит, а без вовлечения ИТ-администраторов ИБ не может просто «поправить» конфигурации самостоятельно.
Для исправления настроек ИТ-администраторам приходится разбираться в сотнях параметров, по каждому из которых нужно понять риск, влияние на конкретную систему и на ИТ-инфраструктуру в целом, а также способ корректной настройки. Далеко не все конфигурации безопасности могут быть знакомы и понятны даже очень опытному ИТ-администратору, поэтому приходится тратить время на их изучение, а также тестировать работоспособность систем после внесения изменений. Времени на всё это часто нет, поэтому запросы от ИБ накапливаются и откладываются как менее приоритетные, а сами настройки так и остаются неизменными. Причина здесь не в мотивации специалистов, а в объёме и сложности конфигурационных требований, где ручная обработка практически невыполнима.
Инструментарий зависит от масштаба и типа организации. В совсем небольших компаниях проблему иногда решают вручную: ИТ-администраторы (которые часто по совместительству отвечают и за безопасность из-за отсутствия выделенного подразделения ИБ) используют админ-гайды и рекомендации по безопасной настройке. Для малого бизнеса это рабочий и вполне разумный подход.
В сегменте среднего и крупного бизнеса основным инструментом становятся сканеры безопасности, которые выявляют небезопасные конфигурации, опираясь на отраслевые бенчмарки. Они дают хорошее понимание текущего уровня защищенности и масштаба проблем с настройками, но не решают вопрос исполнения.
Также для крупных организаций, особенно в финансовом секторе, в котором существуют жёсткие требования регуляторов к управлению конфигурациями, ключевым становится выстраивание процесса: приоритизация задач, четкое распределение ответственности, постоянный контроль изменений и автоматизация работы с настройками. Часть этих задач закрывают специализированные системы управления конфигурациями. Они снижают количество ложных срабатываний за счёт более точного понимания особенностей ИТ-инфраструктуры и связывают настройки с конкретными требованиями регуляторов или внутренними политиками. Некоторые решения позволяют также автоматизировать сам процесс настройки и снизить трудозатраты вовлечённых ИТ-администраторов.
Особняком стоят высокотехнологичные компании, которые изначально «выросли» вокруг разработки. Там процессами чаще всего управляют специалисты по DevOps и для работы с конфигурациями используются специфические инструменты, не всегда подходящие для нужд и особенностей обычных крупных организаций.
Когда компания принимает решение начинать работать с небезопасными настройками, команды чаще всего спотыкаются о попытку охватить сразу всё. Начать стоит с небольших шагов в сторону процесса, в котором задачи ИБ не сводятся к простому перебрасыванию отчетов от сканера и сфокусированы вокруг совместной работы с ИТ.
Три главных принципа:
Этот подход не решает проблему за один день, но позволяет перевести управление настройками из вечной «слепой зоны» в управляемый и предсказуемый процесс.
Атаки на системы искусственного интеллекта смещаются с уровня кода на уровень данных.
Бурное внедрение нейросетей в бизнес-процессы породило не только новые возможности, но и специфические угрозы: от галлюцинаций и утечек обучающих выборок до жестких требований EU AI Act.
47% экспертов, представляющих руководство средних и крупных компаний, считают атаки с целью вымогательства главным риском своей информационной безопасности в 2025 году.
Корпоративные VPN перестают быть технической «данностью» и переходят в категорию регулируемых сетевых сервисов.
Вельц Сергей Владимирович - технический директор, соучредитель ООО "КБ ТехноСкор" специально для читателей Кибер Медиа рассказывает, как банку автоматизировать комплаенс-контроль, отказаться от рутины и превратить управление рисками из угадывания в точный расчет с помощью AI-агентов.
В 2026 году ландшафт цифровых коммуникаций претерпевает серьезные изменения: на фоне локальных сбоев связи, инфраструктурных ограничений и растущей потребности в автономности пользователи массово переходят на альтернативные способы общения.
Количество кибератак растет, а вместе с ними — и бюджеты на информационную безопасность.
Принцип security by obscurity знаком каждому, кто хоть немного погружен в кибербезопасность.
Категорирование объектов критической информационной инфраструктуры в 2026 году обрело новые контуры.
Современная атака может не оставить ни одного файла на диске — и при этом полностью скомпрометировать инфраструктуру.
