IT-аудит здорового человека: почему «поверхностный осмотр» бесполезен и как мы находим скрытые угрозы на уровне железа и конфигов

Когда бизнес заказывает ИТ-аудит, он часто ожидает увидеть стандартный отчет-чеклист: «Антивирус установлен, резервное копирование настроено, серверы работают». Но дьявол всегда кроется в деталях. Поверхностный аудит дает ложное чувство безопасности, в то время как внутри инфраструктуры тикают бомбы замедленного действия.

Настоящий профессиональный аудит — это не просто сканирование сети. Это глубокое (low-level) погружение: от высокоуровневой логики бизнес-сервисов до конкретных моделей жестких дисков, версий прошивок, конфигурационных файлов и даже температуры в серверной.

На примере одного из наших реальных аудитов для компании со штатом около 130 сотрудников мы покажем, как скрупулезный подход к деталям спасает бизнес от простоев, утечек данных и финансовых потерь.

Проблема: чем рискует бизнес при поверхностном аудите

Представьте инфраструктуру, где внешне все функционирует нормально: почта ходит, файлы открываются, базы данных крутятся. Но если не заглянуть «под капот», ИТ-директор и собственник бизнеса никогда не узнают, что:

• ●Резервное копирование существует только номинально. Оно может пропускать измененные файлы и храниться в незашифрованном виде на дисках без RAID.
• ●Контроллер домена работает без резервирования. Его падение парализует работу всей компании на дни или недели.
• ●Коммерческая тайна лежит в открытом доступе. Из-за ошибок в конфигах Samba или правах доступа любой гость в Wi-Fi сети может скопировать пароли от тендерных площадок.

Как мы проводим аудит: от физического диска до бизнес-логики

Наш подход строится на сквозном анализе четырех уровней: Hardware (железо) → OS & Security (системный уровень) → Configs & Permissions (настройки и права) → Infrastructure (сеть, размещение и сервисы).

1. Уровень Hardware: заглядываем внутрь каждого сервера

Мы не просто фиксируем наличие серверов, мы проверяем пригодность компонентов к нагрузкам 24/7 и их физическое состояние.

• →Что мы обнаружили: Под видом «серверов» в компании использовались обычные рабочие станции и даже мини-компьютеры. На критически важных узлах (интернет-шлюз, контроллер домена, файловые серверы) были установлены дешевые потребительские диски (Toshiba HDWD110, WD Green, Toshiba P300), не предназначенные для круглосуточной работы.
• →Глубина анализа: Мы проверили показатели SMART накопителей. На одном из ключевых файловых серверов (на базе Slackware) диски Toshiba P300 работали в программном RAID1, но уже имели 192 и 1 переразмеченных сектора соответственно. Это явный маркер скорого отказа дисков и безвозвратной потери данных.
• →Бизнес-риск: Отсутствие аппаратных RAID-массивов и использование «домашнего» железа на критических серверах означало, что выход из строя одного копеечного диска полностью остановил бы работу компании.

2. Уровень OS и кибербезопасности: анализ уязвимостей (CVE)

Мы оцениваем актуальность ПО и ищем конкретные бреши в защите.

• →Что мы обнаружили: На интернет-маршрутизаторе использовалась ОС Debian, которая не обновлялась с октября 2018 года. Мы не ограничились фразой «ПО устарело», а собрали детальный перечень критических уязвимостей по международной классификации CVE для каждого активного сервиса:

• •Почтовый агент Postfix (v3.1.12)— 35 уязвимостей;
• •Почтовый сервер Dovecot (v2.2.27)— 24 уязвимости;
• •Фаервол iptables (v1.6.0)— 23 уязвимости;
• •Сервис удалённого доступа OpenSSH (v7.4p1)— 16 уязвимостей.

• →Бизнес-риск: Контроллер домена и ключевые файловые серверы работали на Windows Server 2008 R2, поддержка которой давно прекращена Microsoft. Обновления безопасности не устанавливались с июля 2019 года. В качестве защиты использовался бесплатный антивирус 360 Total Security без централизованного управления. Инфраструктура была полностью беззащитна перед современными вирусами-шифровальщиками.

3. Уровень конфигураций и прав доступа: ищем скрытые утечки

Мы детально анализируем настройки сетевых служб и разграничение прав.

• →Что мы обнаружили: На файловом сервере Slackware самые наполненные и основные каталоги имели полный доступ (чтение/запись/удаление) для неавторизованных пользователей.
• →Глубина анализа: Изучив структуру каталогов, мы обнаружили критическую брешь. В открытом доступе находилась папка системного администратора, через которую мы получили доступ к серверу с коммерческой тайной. Там в незашифрованном виде хранились пароли от тендерных площадок и транспортных компаний. Более того, на сервере с коммерческой тайной служба Samba была настроена с ошибками, из-за чего один из критичных каталогов был открыт для всех без авторизации.
• →Анализ бэкапов: Резервное копирование выполнялось утилитой rsync без создания моментальных снимков (снапшотов). Если файл был открыт сотрудником в момент копирования, он просто не попадал в бэкап. Сами копии не сжимались и не шифровались — любой злоумышленник, получив доступ к бэкап-серверу, получал всю базу данных компании в открытом виде.

4. Уровень физической и сетевой инфраструктуры

• →Хаос в коммутации: Огромное количество промежуточных неуправляемых коммутаторов, соединённых хаотично (кабельная «лапша»). Любой скачок напряжения мог вызвать широковещательный шторм, парализовав сеть на часы.
• →Нарушение климатических норм: Часть серверов стояла в кабинете администратора без кондиционера, а два сервера были заперты в душной кладовой с критически высокой температурой, что ускоряло деградацию электронных компонентов материнских плат и жестких дисков.