Привет, Хабр! Новогодние праздники — период повышенной активности злоумышленников и пиковых нагрузок на IT-системы. В это время риски успешных атак возрастают, а сокращенный состав команд не всегда может быстро на них отреагировать. Как правильно подготовить IT-инфраструктуру к надежной работе в праздники и обеспечить спокойный отдых для бизнеса — рассказываем в статье.

Почему праздники — время повышенной опасности для IT-систем

По данным МВД России, за первые семь месяцев 2025 года ущерб от IT-преступлений вырос на 16% и составил 119,6 млрд рублей. Несмотря на то что количество киберпреступлений сократилось на 2,3%, их финансовый эффект только усиливается.

Особую опасность представляют инциденты, приводящие к простоям IT-инфраструктуры. Согласно исследованию EMA Research 2024 года, стоимость простоя варьируется в зависимости от масштаба и сферы бизнеса: крупные корпорации теряют свыше $16 000 за минуту простоя, средний бизнес — от $1 000 до $8 000, а финансовые организации — более $50 000 за каждую минуту недоступности систем. 

Эти цифры включают не только прямые убытки от остановки операционной деятельности, но и затраты на экстренное восстановление систем. Кроме того, каждый инцидент кибербезопасности наносит ущерб репутации компании, что впоследствии приводит к снижению лояльности клиентов и долгосрочным финансовым потерям.

Существует несколько ключевых факторов, которые делают праздничный период особенно уязвимым для IT-инфраструктуры.

Ограниченное присутствие IT-персонала компаний. В отличие от провайдеров, которые обеспечивают круглосуточную поддержку IT-инфраструктуры, внутренние специалисты в период праздников обычно переходят на режим дежурств. Вместо полноценных команд мониторинга и реагирования на смене часто остается один дежурный, который может решать только неотложные задачи. При этом даже для критических инцидентов целевое время реакции нередко увеличивается с 15–30 минут до четырех часов, чтобы дежурный смог добраться до рабочего места или подключиться удаленно. 

Работник может подумать, что с его компьютером и правда что-то случилось, и нажать кнопку «Восстановить компьютер». Это и приведет к заражению компьютера. Источник.
Работник может подумать, что с его компьютером и правда что-то случилось, и нажать кнопку «Восстановить компьютер». Это и приведет к заражению компьютера. Источник.

Снижение бдительности. В праздничной суете сотрудники компании обрабатывают повышенный объем писем от контрагентов, запросы от клиентов и уведомления от служб доставки. В информационном шуме снижается способность персонала выявлять фишинговые атаки. 

Злоумышленники используют это: рассылают поддельные коммерческие предложения, счета на оплату с вложенными вирусами-шифровальщиками и фальшивые уведомления от деловых партнеров. Один успешный фишинг может дать атакующим доступ к CRM-системе с данными клиентов, финансовым документам или платежной информации.

Повышенная нагрузка на ecommerce-платформы. В период новогодних распродаж интернет-магазины работают на пике возможностей, так как часто не хватает ресурсов. DDoS-атаки в этот момент особенно эффективны — когда защитные меры ослаблены, а трафик и без того высокий, отличить атаку от легитимной нагрузки становится сложнее. 

Исполняем желания на Новый год 🎄

Напишите письмо Тирексу и получите инфраструктурную поддержку для проекта.

Подробнее →

Как защитить инфраструктуру от внешних угроз

Для надежной работы IT-систем на праздниках необходимо выстроить многоуровневую защиту, при которой каждый следующий рубеж останавливает злоумышленников, которые преодолели предыдущий. Стоит обратить внимание на следующие методы и системы защиты от внешних угроз.

Борьба с DDoS-атаками

Злоумышленник отправляет на сервер огромное количество запросов, канал забивается, сервис не в состоянии обработать такое число запросов, и легитимные пользователи не могут попасть на сайт. Защита работает как фильтр: весь входящий трафик проходит через центр очистки, где каждый пакет анализируется. Система смотрит на IP-адрес отправителя, частоту запросов, поведение — и отсекает то, что похоже на атаку. Легитимный трафик идет дальше, вредоносный отбрасывается. 

Защита от DDoS-атак Selectel автоматически фильтрует UDP-флуды, TCP SYN-флуды и другие типовые атаки на уровнях L3/L4 без участия администратора. Для ecommerce-площадок доступна усиленная защита L7 с WAF, которая блокирует сложных ботов, имитирующих поведение реальных покупателей.

Мобильный фишинг — не менее популярная угроза, нежели DDoS-атаки. Источник.
Мобильный фишинг — не менее популярная угроза, нежели DDoS-атаки. Источник.

Межсетевой экран

Работает по принципу «Запрещено все, что не разрешено». Нужно настроить правила: какие порты открыты, с каких IP можно подключаться, что блокировать. Современные межсетевые экраны нового поколения (NGFW) умеют больше: они анализируют не только адреса и порты, но и содержимое пакетов, блокируют опасные команды и интегрируются с антивирусами. 

Для облачной инфраструктуры удобной альтернативой традиционному файрволу может стать облачный межсетевой экран — подробнее о его возможностях и настройке читайте в статье «Облачный файрвол Selectel: как защитить сеть за пару кликов» в Академии Selectel.

Системы обнаружения вторжений (IDPS)

Отслеживают подозрительную активность в сети и бьют тревогу при обнаружении проблем. Сетевые IDS смотрят за всем трафиком, хостовые — за конкретными серверами. IDS работают двумя способами: либо ищут известные сигнатуры атак в базе данных (как антивирус), либо выявляют аномалии — когда поведение системы отличается от нормы. Продвинутые системы (IPS) не только обнаруживают атаку, но и автоматически блокируют ее — сбрасывают соединение или меняют правила экрана.

Защита веб-приложений (WAF)

Это специальный межсетевой экран для веб-приложений и API-сервисов, который анализирует HTTP-запросы и вылавливает потенциально опасные. WAF защищает от SQL-инъекций, межсайтового скриптинга XSS, подбора паролей и других атак из списка OWASP Top 10. WAF фильтрует запросы по сигнатурам известных атак и по поведению — если запрос выглядит подозрительно, он блокируется или пользователю показывается капча.

Перед каникулами настройки безопасности нужно пересмотреть. За две недели стоит проверить, нет ли открытых портов, которые никто не использует, обновлена ли прошивка на роутерах и межсетевых экранах, заведены ли учетные записи для дежурных администраторов с корректными правами. 

Важно настроить автоматический мониторинг — системы должны сами отслеживать нагрузку на серверы, свободное место на дисках и доступность сервисов. Если что-то пойдет не так, система отправит уведомление дежурному. Еще один момент — ограничение доступа подрядчиков. Если подрядчики не работают в праздники, их VPN-подключения лучше временно отключить — это закрывает потенциальный вектор атаки.

Что делать, если что-то пошло не так: быстрое восстановление

Никакая защита не дает стопроцентной гарантии. Даже самые мощные экраны и фильтры могут пропустить новый тип атаки, сервер может сломаться, а администратор — случайно удалить нужный файл. Именно поэтому к худшему сценарию нужно готовиться заранее. Скорость восстановления после сбоя часто важнее самой защиты.

Существует несколько методов быстрого восстановления: резервные копии, аварийное восстановление в резервной среде, откат к предыдущим стабильным версиям, изоляция и очистка скомпрометированных систем. Рассмотрим каждый подробнее.

Резервные копии 

Есть три типа бэкапов. Полная копия сохраняет все данные целиком, но занимает много места и времени. Инкрементальная копия сохраняет только изменения, произошедшие с момента предыдущего бэкапа любого типа, — это самый быстрый и экономный способ копирования, но при восстановлении потребуется последовательно применить все инкременты по цепочке.

Дифференциальная копия работает иначе: она сохраняет все изменения, произошедшие с момента последнего полного бэкапа, поэтому ее размер со временем растет, но для восстановления нужны только два файла — последняя полная копия и последняя дифференциальная. Оптимальная схема: раз в неделю делать полный бэкап, каждый день — инкрементальный.

Резервное копирование в облаке от Selectel автоматизирует процесс: вы настраиваете план бэкапов в панели управления, а система самостоятельно создает снимки, хранит их на изолированной инфраструктуре с тройной репликацией и удаляет устаревшие копии. Восстановление выполняется в несколько кликов — это защита на случай аппаратного сбоя, ошибки администратора или атаки шифровальщика.

Популярная стратегия резервного копирования — «3-2-1-1-0». Подробнее о ней рассказали здесь. 

Популярная стратегия резервного копирования — «3-2-1-1-0». Подробнее о ней рассказали здесь. 

Аварийное восстановление в резервной среде

Это когда у компании есть вторая площадка, куда в случае проблем автоматически переключаются все сервисы. Такая схема работает через репликацию: данные постоянно копируются на резервный сервер в реальном времени. Если основной сервер падает, резервный подхватывает его работу за считаные минуты или даже секунды. Есть два варианта: либо держать «горячий» резерв, который работает постоянно (дорого, но быстро), либо «холодный», который запускается только при аварии (дешевле, но нужно время на старт).

Откат к предыдущим стабильным версиям

Снапшоты виртуальных машин сохраняют состояние системы на конкретный момент. Перед обновлением сделали снимок, обновление сломало систему — откатили снапшот, и все снова работает. Это быстро, но есть важный недостаток: снапшоты хранятся на том же физическом диске, что и основные данные, а значит, если диск выйдет из строя, вы потеряете и оригинал, и все снапшоты. Именно поэтому они не заменяют полноценное резервное копирование на отдельные носители.

Изоляция и очистка скомпрометированных систем

Если сервер заразился вирусом или его взломали, первое действие — изолировать его от сети, чтобы проблема не распространилась дальше. Потом — выгрузить логи и разобраться, что случилось. Очистку можно провести двумя путями: либо удалить вредоносные файлы и закрыть уязвимость, либо полностью переустановить систему из чистого образа и восстановить только данные из бэкапа.

Комплексный подход к проектированию безопасной инфраструктуры описан в материале «Проектирование безопасной инфраструктуры: от теории к практике» — он поможет заложить правильные принципы защиты на этапе планирования.

Перед новогодними каникулами обязательно все проверьте: разворачивается ли последний бэкап, есть ли в нем все нужные данные, знают ли дежурные администраторы, как запустить восстановление. В целом важно регулярно тестировать восстановление из резервных копий. Для критичных систем тестировать нужно раз в две недели, для некритичных — хотя бы раз в квартал. 

Security Center

Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве.

Исследовать →

Готовимся к праздникам: чек-лист и практические советы

Чтобы обеспечить спокойный отдых и для бизнеса, и для IT-специалистов, стоит выполнить следующие шаги за две недели до праздников.

Аудит безопасности

Начните с тщательной проверки всех систем на наличие уязвимостей. Обнаруженные проблемы нужно устранять немедленно — именно эти «дыры» будут первоочередной целью злоумышленников в праздники. В рамках аудита выполните следующие действия.

  1. Просканируйте серверы на уязвимости.

  2. Проверьте открытые порты.

  3. Проведите инвентаризацию ПО, выявите устаревшие версии.

  4. Уделите особое внимание ОС, VPN, файрволам, критичным приложениям.

  5. Исправьте обнаруженные уязвимости немедленно.

Для отслеживания всех изменений в инфраструктуре и действий пользователей рекомендуем настроить сбор аудит-логов — подробнее об этом в материале «Контроль действий без паранойи: как использовать аудит-логи» в Академии Selectel.

Обновление систем

Установка обновлений — критически важный шаг, но не планируйте их на последние дни перед каникулами. Если что-то пойдет не так, нужно иметь запас времени на исправление. Вот что необходимо сделать.

  1. Установите критические патчи безопасности ОС.

  2. Обновите сетевое оборудование.

  3. Обновите веб-серверы, почтовые шлюзы, VPN.

  4. Протестируйте работоспособность после обновлений.

  5. Подготовьте план отката в случае проблем.

Проверка резервного копирования

Резервные копии — это ваша страховка. Недостаточно просто настроить их автоматическое создание, нужно убедиться, что восстановление действительно работает. Проведите следующие проверки.

  1. Восстановите тестово базу данных.

  2. Восстановите тестово виртуальную машину.

  3. Замерьте время восстановления.

  4. Проверьте целостность данных.

  5. Задокументируйте процедуру восстановления для дежурных.

Настройка систем мониторинга

Когда штатных IT-специалистов нет на месте, системы мониторинга становятся вашими «глазами», позволяя вовремя заметить потенциальные проблемы. Убедитесь, что отслеживаются следующие параметры:

  • загрузка CPU и RAM,

  • свободное место на дисках,

  • доступность сервисов,

  • время отклика приложений,

  • состояние сети и каналов связи.

О построении эффективной системы мониторинга IT-инфраструктуры рассказали в инструкции «Мониторинг в K8s с помощью Prometheus».

Настройка оповещений

Правильно настроенные оповещения позволяют быстро реагировать на критические проблемы, не тревожа дежурных по пустякам. Настройте систему уведомлений следующим образом.

  1. Отправляйте критические алерты через СМС и мессенджеры.

  2. Направляйте некритичные уведомления через email.

  3. Формируйте дайджесты для менее важных событий.

  4. Проверьте получение оповещений дежурными.

  5. Организуйте ротацию дежурных администраторов на праздники.

  6. События безопасности ОС и сервисов.

Обеспечение бесперебойной работы

Физическая инфраструктура также требует внимания. Перебои в электропитании — одна из самых распространенных проблем в праздники, когда электросети испытывают повышенную нагрузку. Проверьте следующие аспекты:

  • состояние ИБП и генераторов,

  • работу автоматического переключения на резервное питание,

  • время работы оборудования от ИБП,

  • температурный режим в серверных помещениях,

  • резервные каналы связи и интернета.

Документирование

Даже если вы все настроили идеально, необходимо убедиться, что дежурный персонал знает, что делать в случае проблем. Подготовьте документацию.

  1. Обновите контакты ответственных лиц.

  2. Составьте инструкции для дежурных.

  3. Сформируйте список критичных систем.

  4. Задокументируйте процедуры аварийного восстановления.

  5. Создайте чат для оперативной связи в праздники.

Своевременное выполнение этого чек-листа поможет минимизировать риски IT-инцидентов и обеспечит спокойный отдых как для бизнеса, так и для IT-персонала. Начните подготовку заранее и помните: час, вложенный в профилактику сейчас, может сэкономить дни работы по восстановлению систем после праздников.

Чем Selectel может помочь 

Подготовка IT-инфраструктуры к новогодним каникулам — комплексная задача, которая требует не только технических знаний, но и правильно настроенных инструментов защиты. 

Если внутренних ресурсов недостаточно или вы хотите обеспечить круглосуточную профессиональную защиту систем в период праздников, воспользуйтесь нашей информационной защитой. Она позволит закрыть все критические направления.

В рамках единого решения вы получаете доступ к защите на всех уровнях: от сетевой инфраструктуры (межсетевые экраны, системы обнаружения вторжений, защита от DDoS и веб-приложений) до защиты серверов и операционных систем. Все компоненты работают совместно и управляются централизованно, что особенно важно в период ограниченного присутствия IT-персонала.

Для консультации по выбору решений под ваши задачи свяжитесь с нами по телефону 8 800 555-06-75 или по почте sales@selectel.ru. Круглосуточная техническая поддержка работает 365 дней в году, включая праздничные и выходные. Если упал сервер, сайт не отвечает или возникла проблема с инфраструктурой, дежурные инженеры доступны в любое время.