Зашифровали филиал через забытый RDP подрядчика, разбираю как так вышло

[heckman]

Расскажу свой провал, может кого убережёт. В пятницу вечером у нас зашифровали филиал, узнали об этом в понедельник утром когда там никто не смог войти в 1С. Точка входа банальная: у подрядчика которого подключали полгода назад остался проброшенный RDP наружу, без MFA, пароль так себе. EDR в том сегменте не было, мониторинг туда не доставал, мы про этот доступ вообще забыли. Пока разбирались, выяснилось что бэкапы филиала лежали в той же сети и часть тоже поймала шифрование. Восстанавливались почти неделю, часть данных потеряли. Разбор полётов: нет инвентаризации доступов, не было сегментации, бэкапы не вынесены оффлайн, EDR не покрывал всё. Вроде всё очевидные вещи, а собралось в один большой факап.

[react_fan]

Соболезную, проходили похожее. У нас тоже подрядчик оставил себе jump-host и про него все забыли. Самое обидное что технически всё знали как надо, просто руки не дошли закрыть. После того случая ведём реестр всех внешних доступов с датой окончания, и раз в квартал ревизия. Скучно, но работает.

[roman2026]

RDP голым в интернет в 2026 это конечно сильно. Тут даже не про EDR и SIEM разговор, это базовая гигиена. Любой доступ снаружи только через VPN с MFA, и то под вопросом. Не в обиду, но это не невезение а закономерность.

[barbs]

Главный урок тут про бэкапы. 3-2-1 не просто так придумали: три копии, два носителя, одна оффлайн или immutable. Если копии в той же сети с боевыми машинами, при шифровании вы теряете и то и другое. У нас Veeam с immutable репозиторием плюс выгрузка на ленту раз в неделю, ленты в сейфе. И обязательно тестовое восстановление хотя бы раз в квартал, иначе узнаете что бэкап битый в самый неподходящий момент.

[nixossmith]

Вопрос не праздный: вы инцидент в НКЦКИ заявляли? Если вы субъект КИИ, там сроки на уведомление жёсткие. Многие про это забывают, а потом ещё и штраф сверху к шифрованию. Даже если не КИИ, зафиксировать всё по уму стоит, особенно если перс данные утекли, тогда и в РКН прилетит.

[Bowden]

@barbs, Тот самый случай когда сгубило не отсутствие крутого инструмента, а слепые зоны. Можно иметь дорогой EDR и всё равно проспать, если он не на всех машинах. Раз в месяц прогоняйте обнаружение активов по подсетям и сверяйте с тем что должно быть, любой левый хост повод разобраться. Забытый доступ это классика, у всех такое есть, вопрос только найдёте вы его или злоумышленник.