Введение. Самозванец в центре обработки данных

В современной цифровой среде угроза безопасности больше не похожа на грубую атаку на периметр сети. Сегодня это изощренный противник, который уже проник внутрь, зачастую скомпрометировал доверенную учетную запись. Подобно популярной игре «Among Us», «самозванец» уже находится среди нас, внутри контура безопасности.В современной цифровой экономике данные являются главным активом. 

Соответственно, вектор атак сместился с простого нарушения работы систем на захват данных в заложники с помощью шифрования и эксфильтрации. Эта новая реальность, в которой внутреннее доверие становится уязвимостью, напрямую подводит нас к центральному тезису: внедрение архитектуры нулевого доверия (Zero Trust) — это уже не опция, а стратегический императив. Эта философия исходит из предположения, что «самозванец» уже в сети, и выстраивает защиту соответствующим образом.

Более того, развитие Агентного ИИ делает таких самозванцев невероятно сильными противниками, в сотни раз более опасными, чем недобросовестные люди.

1. Новая формула угроз. Растущая ценность данных и эскалация рисков

2024 год ознаменовался значительной эскалацией кризиса, связанного с программами-вымогателями. Анализ данных от нескольких компаний, занимающихся анализом угроз, показывает неуклонный рост объема и изощренности атак. По данным Cyberint, в 2024 году было зафиксировано 5414 публично раскрытых атак, что на 11% больше, чем в 2023 году, с резким всплеском в четвертом квартале.1 Rapid7 подтверждает этот высокий объем, отслеживая

5939 постов на сайтах утечек.2

Финансовые ставки взлетели до небес. Хотя медианный размер выкупа колеблется в районе $200,000 2, средние требования гораздо выше. Некоторые отчеты указывают на среднюю сумму в

$2.73 млн, а отдельные требования превышают $5.2 млн.3 Даже при консервативной доле выплат в 32%, прямой финансовый ущерб оценивается более чем в

$380 млн в год, и эта цифра, вероятно, является значительной недооценкой.2

Экосистема злоумышленников диверсифицируется и индустриализируется. Число активных групп-вымогателей выросло до 75–95 1, чему способствует модель «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS), которая снижает порог входа.4 Это привело к фрагментации и ребрендингу крупных групп, таких как LockBit, что затрудняет их отслеживание, в то время как новые доминирующие игроки, например, RansomHub, быстро набирают обороты.1

Тактика вышла за рамки простого шифрования. Двойное и тройное вымогательство стало стандартной практикой: злоумышленники не только шифруют данные, но и угрожают их публичной утечкой, а также проводят DDoS-атаки или напрямую связываются с клиентами и партнерами жертвы, усиливая давление с целью получения выкупа.2

Отчет Verizon Data Breach Investigations Report (DBIR) за 2024 год (анализирующий данные до октября 2023 года) подчеркивает критический сдвиг в способах первоначального доступа: использование уязвимостей программного обеспечения (таких как MOVEit) выросло на 180%, став основным путем для атак программ-вымогателей.6 Это свидетельствует о переходе к более масштабируемым и повторяемым методам атак.10

Такое сочетание растущего объема атак и потенциального снижения общего дохода злоумышленников указывает на зрелость рынка. Распространение RaaS-групп создало интенсивную конкуренцию, вынуждая злоумышленников переходить на модель с большим объемом и меньшей маржой. Им приходится совершать больше атак для достижения того же финансового результата, что, в свою очередь, увеличивает общий риск для каждой организации. Этот сдвиг превращает программы-вымогатели из «охоты на крупную дичь» в индустриализированный, массовый бизнес, что означает, что даже небольшие организации теперь становятся привлекательными целями для этих массовых кампаний.

Таблица 1: Ландшафт программ-вымогателей в 2024 году: краткий обзор

1.2. Противник, вооруженный ИИ. Искусственный интеллект как оружие

Ландшафт угроз коренным образом меняется из-за использования искусственного интеллекта в качестве оружия. Отчеты от Accenture, Всемирного экономического форума и Deloitte сходятся в одном: ИИ является «мультипликатором угроз».11

Генеративный ИИ используется для создания в больших масштабах высокоубедительных, персонализированных фишинговых и социально-инженерных атак, эффективно обходящих традиционные тренинги по безопасности, которые основаны на выявлении грамматических ошибок или необычных формулировок.12 Это делает «человеческий фактор», который и так является причиной

68% взломов, еще более значительной уязвимостью.8 Помимо фишинга, ИИ используется для ускорения разработки вредоносных программ, проведения сложной разведки и более эффективного анализа похищенных данных.15

Это создает опасную асимметрию: злоумышленники могут использовать ИИ для проведения атак со скоростью и в масштабах, которые превосходят возможности команд безопасности, возглавляемых людьми. По данным Accenture, 90% организаций не обладают достаточной зрелостью, чтобы противостоять этим угрозам с использованием ИИ, и только 36% технологических лидеров признают, что ИИ опережает их защитные возможности.11

Наиболее непосредственное и опасное применение ИИ злоумышленниками — это не создание экзотических новых вредоносных программ, а совершенствование искусства обмана.12 Поскольку человеческий фактор является причиной 68% утечек, часто через фишинг или украденные учетные данные 8, а ИИ может генерировать безупречный, контекстно-зависимый и очень убедительный контент для социальной инженерии 13, это нейтрализует эффективность обучения пользователей, направленного на распознавание «плохих» писем. Вероятность успешного фишинга пользователя резко возрастает. Это напрямую подтверждает принцип «никогда не доверяй, всегда проверяй» концепции Zero Trust. Если больше нельзя доверять тому, что пользователь не был скомпрометирован, нельзя доверять и любому запросу от этого пользователя без явной и постоянной проверки. ИИ делает человека самой уязвимой частью сети, вынуждая переходить к модели безопасности, ориентированной на данные.

2. Zero Trust.  Смена парадигмы в защите данных

2.1. Принципы фреймворка NIST SP 800-207

Нулевое доверие (Zero Trust, ZT) — это не продукт, а стратегия кибербезопасности, построенная на ключевом принципе «никогда не доверяй, всегда проверяй».16 Она переносит защиту со статических, сетевых периметров на пользователей, активы и ресурсы.17

Основополагающим документом для этой стратегии является Специальная публикация NIST 800-207 «Архитектура нулевого доверия».17 Она разрушает устаревшую концепцию доверенной внутренней сети в противовес недоверенной внешней сети.

Основные принципы Zero Trust:

• Предположение о взломе (Assume Breach). Архитектура проектируется с учетом того, что злоумышленник уже присутствует в сети. Это исключает понятие «безопасной» внутренней зоны.16
• Явная проверка (Verify Explicitly). Все запросы на доступ должны проходить динамическую аутентификацию и авторизацию на основе всех доступных данных, включая личность пользователя, состояние устройства, местоположение и запрашиваемый ресурс. Доверие не предоставляется на основе местоположения в сети.17
• Реализация доступа с минимальными привилегиями (Least Privilege Access). Пользователям, устройствам и приложениям предоставляется минимальный уровень доступа, необходимый для выполнения их конкретной функции, на минимально необходимое время. Этот принцип критически важен для ограничения бокового перемещения злоумышленника в случае компрометации системы.16

Микросегментация (Micro-segmentation). Сеть разбивается на небольшие изолированные зоны безопасности. Это ограничивает «радиус поражения» атаки, не позволяя злоумышленнику, скомпрометировавшему один сегмент, легко получить доступ к другим.5

2.2. От архитектуры к действию: Устойчивость данных на принципах нулевого доверия (ZTDR)

В то время как архитектура нулевого доверия (ZTA) представляет собой высокоуровневую концепцию, отрасль теперь применяет эти принципы непосредственно к последнему рубежу обороны: резервному копированию и восстановлению данных. Это специализированное применение известно как Устойчивость данных на принципах нулевого доверия (Zero Trust Data Resilience, ZTDR) — модель, которую продвигают такие компании, как Numberline Security, и вендоры, такие как Veeam и ObjectFirst.23

ZTDR расширяет модель зрелости Zero Trust от CISA на системы резервного копирования, признавая, что инфраструктура резервного копирования является основной целью для программ-вымогателей.23

Ключевые принципы ZTDR:

• Сегментация программного обеспечения и хранилища резервных копий. Это краеугольный камень ZTDR. Система управления резервным копированием (плоскость управления) должна находиться в отдельной «зоне устойчивости» от хранилища резервных копий (плоскость данных). Программное обеспечение для резервного копирования не должно иметь административных или корневых учетных данных для доступа к базовому оборудованию хранилища. Это предотвращает использование скомпрометированного сервера резервного копирования для удаления или шифрования самих резервных копий.24
• Неизменяемое хранилище резервных копий (Immutable Backup Storage). Резервные копии должны храниться в верифицируемо неизменяемом формате, что означает, что они не могут быть изменены, зашифрованы или удалены, даже привилегированным администратором, в течение определенного периода.23 Это достигается с помощью таких технологий, как S3 Object Lock, или проприетарных, специально разработанных файловых систем.
• Проактивная проверка (Proactive Validation). ZTDR требует постоянной проверки восстанавливаемости данных и состояния безопасности. Это включает автоматическое сканирование резервных копий на наличие вредоносных программ и аномалий до попытки восстановления, чтобы предотвратить повторное заражение.24

Наиболее глубоким сдвигом, который вносит ZTDR, является преднамеренное недоверие к самому серверу резервного копирования. Исторически архитектура резервного копирования была монолитной. Сервер резервного копирования был «королем» и имел полный административный контроль над своими дисковыми или ленточными целевыми устройствами. Это было эффективно для восстановления после сбоя оборудования. Современные злоумышленники это знают. Они получают административный доступ к серверу резервного копирования (например, Veeam, Commvault) и используют его собственные учетные данные для очистки репозиториев хранения.27 Принцип ZTDR о сегментации плоскости управления (программное обеспечение) от плоскости данных (хранилище) является прямым ответом на этот вектор атаки.24 Это означает, что идеальное целевое хранилище ZTDR — это защищенное устройство, которое не предоставляет доступ на уровне ОС или root-доступа серверу резервного копирования. Сервер резервного копирования может только отправлять данные через ограниченный API (например, S3) и устанавливать флаги неизменяемости, но не может выполнять деструктивные команды, такие как

delete или format. Это не постепенное улучшение; это полная перестройка отношений между программным обеспечением для резервного копирования и хранилищем. Это заставляет организации оценивать не только функции своего программного обеспечения для резервного копирования, но и фундаментальную модель безопасности своего целевого хранилища резервных копий. В этом заключается основное ценностное предложение таких вендоров, как ObjectFirst.28

3 Угрозы от Агентского ИИ. Автономные системы как новый противник

В современной архитектуре безопасности, основанной на принципах Zero Trust, система хранения данных (СХД) является последним и наиболее важным рубежом обороны. Однако появление агентского искусственного интеллекта (Agentic AI) представляет собой фундаментальный сдвиг в парадигме киберугроз, который требует переосмысления традиционных подходов к защите. Угроза больше не исходит от злоумышленника, использующего продвинутые инструменты; угрозой становится сам инструмент — автономная, самообучающаяся система, способная действовать со скоростью, масштабом и изощренностью, недоступными для человека.

Этот раздел детально анализирует природу агентского ИИ, моделирует его векторы атак, оценивает специфические риски для СХД, подобных BAUM MDS, и предлагает усовершенствованные контрмеры в рамках архитектуры Zero Trust. Центральный тезис заключается в том, что противодействие противнику, действующему на машинной скорости, требует создания динамичной, самозащищающейся системы, где принципы Zero Trust реализуются не просто как набор статических правил, а как автоматизированный, адаптивный механизм реагирования.

3.1 Введение: за рамками генеративного ИИ — определение автономной угрозы

Для разработки эффективных стратегий защиты крайне важно провести четкое различие между широко обсуждаемым генеративным ИИ и новой, более опасной формой — агентским ИИ. Непонимание этой разницы приводит к недооценке уровня угрозы. Генеративный ИИ является мощным инструментом для создания контента, тогда как агентский ИИ — это автономный актор, способный к самостоятельному планированию и действию.

Критическое различие: Инструмент против Актора

Генеративный ИИ (GenAI) — это технология, предназначенная для создания нового контента (текста, изображений, кода) на основе полученных от человека пошаговых инструкций.76 В руках злоумышленника это мощный

инструмент, способный, например, сгенерировать убедительное фишинговое письмо или вредоносный скрипт. Однако он остается пассивным и требует постоянного человеческого управления.

Агентский ИИ (Agentic AI), напротив, является актором. Ему ставится высокоуровневая цель (например, «проникнуть в сеть компании X и похитить финансовые данные»), и он самостоятельно разрабатывает и выполняет многошаговый план для ее достижения с минимальным вмешательством человека или вовсе без него.77 Как метко выразился один из аналитиков: «Генеративный ИИ может описать замок. Агентский ИИ может его взломать, сломать и войти в дверь». Именно эта способность к автономному действию является источником угрозы нового порядка.

Ключевые характеристики агентской системы

Способность к автономным действиям обеспечивается совокупностью технологических компонентов, которые отличают агентский ИИ от его предшественников 76:

• Автономность и целеполагание: Агенты созданы для автономного преследования заданных целей. Они способны декомпозировать сложные задачи на последовательность выполнимых подзадач и самостоятельно управлять процессом их выполнения.78
• Восприятие окружения: Агенты могут «ощущать» и обрабатывать информацию из своей цифровой среды, включая топологию сети, конфигурации систем, наличие средств защиты (например, EDR), что позволяет им адаптировать свое поведение в режиме реального времени.79
• Использование инструментов: Это краеугольный камень агентских систем. Агенты могут взаимодействовать с внешними инструментами и системами — API, веб-клиентами, командной строкой, корпоративными приложениями — для выполнения своих планов.78 Именно через этот механизм агент будет взаимодействовать с плоскостью управления BAUM MDS.
• Рассуждение и многошаговое планирование: Агенты используют продвинутые модели рассуждений, такие как «Цепочка мыслей» (Chain-of-Thought) или «Дерево мыслей» (Tree-of-Thought), для создания, оценки и корректировки сложных многошаговых планов действий.

Память и непрерывное обучение: Агенты обладают как краткосрочной памятью для сохранения контекста во время выполнения задачи, так и долгосрочной памятью, которая позволяет им учиться на результатах своих действий (метод обучения с подкреплением) и со временем совершенствовать свои стратегии.

Рыночная зрелость и неотложность угрозы

Угроза агентского ИИ не является теоретической или отдаленной. Анализ рынка и опросы экспертов показывают, что 2025 год станет годом массового внедрения агентских систем. Уже сейчас 59% организаций заявляют, что внедрение таких систем находится у них в стадии «работы в процессе». Прогнозируется, что мировой рынок агентского ИИ в сфере кибербезопасности вырастет с 738.2 млн долларов в 2024 году до 173.47 млрд долларов к 2034 году. Это подчеркивает крайнюю срочность разработки превентивных мер защиты.

Эта новая реальность требует пересмотра фундаментальных основ оборонительных стратегий. Традиционный цикл принятия решений человеком, известный как цикл OODA (Observe, Orient, Decide, Act — Наблюдение, Ориентация, Решение, Действие), становится нерелевантным. Человеку-оператору требуются минуты, часы или даже дни, чтобы пройти этот цикл. В то же время агентский ИИ автоматизирует и сжимает его до миллисекунд. Он автономно наблюдает за средой, ориентируется, сопоставляя данные со своими целями, решает, какой следующий шаг является оптимальным, и немедленно действует, используя свои инструменты. Любая защитная система, требующая участия человека для принятия критически важных по времени решений, по определению оказывается слишком медленной. Это формирует главный аргумент в пользу глубокой автоматизации защитных механизмов, заложенных в BAUM MDS Security.

Таблица 2: Сравнение генеративного и агентского ИИ в контексте кибербезопасности

3.2 Агентская «цепочка поражения» (Kill Chain): переосмысление жизненного цикла атаки на машинной скорости

Чтобы в полной мере оценить угрозу, необходимо деконструировать классическую модель кибератаки и проанализировать, как автономный агент способен выполнять каждый ее этап с непревзойденной скоростью, скрытностью и адаптивностью. Традиционная модель Cyber Kill Chain, состоящая из семи последовательных этапов, служит удобной отправной точкой для такого анализа. Однако в исполнении агентского ИИ эта цепочка преобразуется из линейной последовательности в динамический, самокорректирующийся процесс.

Агентская цепочка атаки

Исследователи в области безопасности, в частности из Unit 42, предлагают усовершенствованную модель, адаптированную под возможности агентского ИИ.9

• 1. Разведка (Reconnaissance). Агент выполняет непрерывную и широкомасштабную разведку, пассивно сканируя огромное количество общедоступных источников: социальные сети, вакансии, утечки данных, репозитории кода. Он способен делать выводы о технологическом стеке цели, выявлять ключевых сотрудников и находить потенциальные уязвимости, ни разу не вступая в прямой контакт с сетью организации и оставаясь невидимым для систем защиты периметра.9
• 2. Первоначальный доступ (Initial Access). На этом этапе агент переходит от общих фишинговых атак к гиперперсонализированным, многоканальным кампаниям. Используя данные, собранные на этапе разведки, он автономно создает и реализует сложные сценарии социального инжиниринга. Это может включать генерацию дипфейковых голосовых сообщений для подкрепления фишинговых писем и адаптацию тактики в реальном времени в зависимости от реакции цели.
• 3. Исполнение и закрепление (Execution & Installation). Получив точку опоры в системе, агент демонстрирует интеллектуальное поведение. Он не запускает полезную нагрузку вслепую. Сначала он «осматривается»: определяет наличие средств защиты (EDR), анализирует права доступа текущего пользователя и конфигурацию системы. Только после этого он выбирает наиболее эффективный и скрытный путь для исполнения своего кода, чтобы избежать немедленного обнаружения. Это прямое противодействие оборонительной стратегии «Assume Breach» (предположение о взломе).
• 4. Обеспечение персистентности (Persistence) Агент способен создавать множественные, разнообразные и избыточные механизмы для сохранения своего присутствия в скомпрометированной системе. Если один из бэкдоров (например, запланированная задача) обнаруживается и удаляется, агент может автономно «самовосстановиться», создав альтернативный механизм, например, обфусцированную запись в реестре. Это обеспечивает его долгосрочное выживание в сети.
• 5. Уклонение от защиты и управление (Defense Evasion & Command and Control). Агент активно работает над тем, чтобы оставаться незамеченным. Он может изучать паттерны нормального сетевого трафика и поведения пользователей, маскируя под них свои действия. Он активно использует легитимные системные утилиты для своих операций («living off the land»). Его каналы связи с управляющим сервером (C2) могут быть динамическими, переключаясь между различными протоколами и портами, чтобы избежать внесения в черные списки.5
• 6. Разведка внутри сети, распространение и достижение цели (Discovery, Exfiltration, and Impact). Закрепившись в сети, агент автономно составляет карту внутренней инфраструктуры, идентифицирует критически важные активы (такие как primary СХД) и определяет приоритетные данные для кражи («crown jewels»). Он может тестировать несколько путей для эксфильтрации данных, регулируя скорость трафика и используя зашифрованные, разрешенные протоколы, чтобы не вызывать подозрений. Эксперимент Unit 42, в ходе которого полноценная атака программы-вымогателя — от первоначального взлома до эксфильтрации данных — была осуществлена за 25 минут, служит ярким примером новой скорости атак.

Ключевое отличие агентской атаки заключается в том, что ее жизненный цикл больше не является жесткой линейной последовательностью. Для традиционного злоумышленника срыв одного из этапов, например, доставки полезной нагрузки, часто означает провал всей операции. Агентский ИИ, обладая способностью к рассуждению и обучению, не связан такой линейностью. Если его попытка эксфильтрации данных блокируется, он может автономно вернуться к этапу внутренней разведки, чтобы найти новый путь. Если его механизм персистентности удален, он может попытаться использовать новый вектор для первоначального доступа. Это превращает цепочку атаки в динамический и устойчивый граф, где агент может гибко перемещаться между этапами, переоценивая обстановку и перестраивая свой план в реальном времени. Такая устойчивость к точечным защитным мерам означает, что оборона больше не может быть разовым действием. Она должна быть непрерывной, постоянной и комплексной, способной обнаруживать и реагировать на адаптивное поведение агента на любом этапе его жизненного цикла. Это требование напрямую подкрепляет необходимость в многоуровневом мониторинге, заложенном в BAUM MDS Security.

Таблица 4: Сравнение традиционной и агентской цепочек поражения (Kill Chain)

3.3 Продвинутые тактики противника: рои мультиагентных систем и автономный взлом

Помимо усовершенствования отдельных этапов атаки, агентский ИИ открывает возможности для принципиально новых, более сложных и опасных тактик. Эти тактики действуют как мультипликаторы силы, превращая действия отдельных агентов в скоординированную системную угрозу.

Мультиагентные роевые атаки (Swarm Attacks)

Наиболее сложной формой угрозы является атака, осуществляемая «роем» (swarm) — децентрализованной системой из нескольких специализированных ИИ-агентов, которые совместно работают над достижением общей цели, подобно коллективному интеллекту в природе.

• Архитектура и координация. В отличие от иерархических систем, агенты в рое действуют без центрального управляющего узла. Они координируют свои действия через общие хранилища данных или системы обмена сообщениями. Такая децентрализация делает рой чрезвычайно устойчивым: для его нейтрализации недостаточно вывести из строя один или несколько компонентов.19
• Сценарий атаки. Представим гипотетическую атаку роя на корпоративную сеть с целью компрометации СХД.

1. Агент-разведчик специализируется на социальной инженерии и получении первоначальных учетных данных.
2. Агент-сканер использует эти данные для скрытного зондирования внутренней сети и поиска уязвимостей.
3. Агент-эксплуататор специализируется на использовании найденных уязвимостей для получения привилегированного доступа.
4. Агент-аналитик проникает на плоскость управления СХД и анализирует метаданные для выявления наиболее ценных томов.
5. Агент-экзекутор выполняет финальное действие: шифрование или эксфильтрацию данных.

• Проблема эмерджентных угроз. Действия каждого агента в отдельности могут выглядеть как низкоприоритетные, не связанные между собой события. Истинный злонамеренный умысел становится виден только при анализе их коллективного, скоординированного поведения. Это явление, называемое
  эмерджентной угрозой, представляет серьезную проблему для систем обнаружения, откалиброванных на поиск угроз из одного источника. Опасность возникает не из-за действий одного агента, а из-за сложных взаимодействий между ними. 

Демократизация наступления: автономный пентестинг как услуга

Второй фактор, кардинально меняющий ландшафт угроз, — это коммерциализация и «демократизация» наступательных технологий. Сложные атакующие возможности перестают быть прерогативой элитных государственных групп.

• Новая реальность. На рынке появляются коммерческие платформы для автономного тестирования на проникновение (пентестинга), основанные на агентском ИИ.
• Возможности. Эти платформы способны автономно выполнять весь цикл пентеста: от обнаружения активов и сканирования уязвимостей до их валидации и симуляции многоэтапных атак. Задачи, на которые у команды людей уходили недели, теперь выполняются за часы.
• Последствия. Такая «демократизация наступления» резко снижает порог входа для проведения сложных автономных атак. Менее квалифицированные злоумышленники теперь могут использовать эти инструменты для достижения результатов, ранее доступных только элитным хакерским группам. Это приводит к экспоненциальному росту количества высокотехнологичных угроз, с которыми столкнется каждая организация.

Сочетание архитектуры роевого интеллекта и коммерциализации автономных наступательных инструментов создает новую базовую среду угроз. Исторически существовал компромисс: массовые атаки (например, простой фишинг) были низкотехнологичными, а высокотехнологичные атаки (APT) были редкими и нацеленными. Теперь же автономные инструменты делают

сложность общедоступной, а роевые архитектуры и модели Ransomware-as-a-Service (RaaS) делают

координацию и масштаб легкодостижимыми. В результате злоумышленник может проводить атаку с технической изощренностью и координацией государственного уровня, но с гораздо большей частотой и меньшими ресурсами. Это заставляет фундаментально пересмотреть модель угроз для всех предприятий. Системы безопасности больше не могут быть рассчитаны на отражение «среднестатистической» угрозы; они должны быть спроектированы так, чтобы противостоять постоянным, продвинутым и автономным атакам, которые становятся новой нормой.

3.4 Система хранения данных как основная цель. Угрозы агентского ИИ для целостности и доступности данных

Любая серьезная кибератака в конечном счете нацелена на данные. Поэтому система хранения данных, как их центральное хранилище, становится главной мишенью для агентского ИИ. В этом контексте необходимо проанализировать конкретные векторы атак, которые агент может применить против СХД. Эти угрозы реализуются на последнем этапе «цепочки поражения» — «Действие по цели».

• Угроза 1. Высокоскоростное интеллектуальное шифрование данных. Получив доступ к сети хранения данных, агент не будет шифровать данные случайным образом. Сначала он использует свои возможности разведки для идентификации наиболее критичных томов — тех, на которых размещены производственные базы данных, виртуальные машины или файловые ресурсы с высокой интенсивностью ввода-вывода (I/O). Это позволяет максимизировать немедленный ущерб для бизнес-процессов. Затем агент может модулировать свои операции шифрования, имитируя легитимную тяжелую нагрузку (например, переиндексацию базы данных), что затрудняет его обнаружение простыми системами анализа аномалий I/O
• Угроза 2. Стратегический саботаж средств восстановления (Атака на плоскость управления). Это наиболее серьезная угроза для современной, отказоустойчивой СХД. Основной целью изощренного агента будет не просто шифрование данных, а уничтожение самой возможности их восстановления. Для этого он выполнит спланированную, многоэтапную кампанию против плоскости управления СХД:

1. Компрометация учетных данных: Первоочередная задача агента — получить административные права доступа к интерфейсу управления СХД.
2. Демонтаж защиты: Используя полученные права, агент начнет систематически отключать защитные политики системы. Он попытается деактивировать политику WORM Snapshot или сократить срок хранения неизменяемых снимков, чтобы они были автоматически удалены системой. Он также попытается удалить партнеров по репликации и соответствующие задания.
3. Уничтожение резервных копий Только после успешного отключения защитных механизмов агент приступит к удалению самих мгновенных снимков и реплик. Этот целенаправленный, логический подход гораздо опаснее, чем простая атака на данные «в лоб».

• Угроза 3. Скрытная интеллектуальная эксфильтрация данных. Агент может длительное время находиться на плоскости управления СХД, анализируя данные на месте. Получив доступ к метаданным снимков или используя встроенные аналитические инструменты, он может идентифицировать конфиденциальную информацию (персональные данные, финансовые отчеты, интеллектуальную собственность), не вызывая алертов, связанных с массовым перемещением данных. Затем он может медленно эксфильтровать эти приоритетные данные, маскируя свой трафик под легитимный административный или репликационный трафик, чтобы избежать обнаружения сетевыми средствами.
• Угроза 4. Демонтаж архитектуры Zero Trust. Конечной целью персистентного агента является обращение защитных механизмов системы против нее самой. Он будет методично разрушать архитектуру Zero Trust изнутри:

• Компрометация идентичности. Изменение политик RBAC для эскалации собственных привилегий или создания скрытых «теневых» административных учетных записей.
• Уклонение от обнаружения. Отключение или повреждение механизмов аудита для сокрытия своих следов.
• Нарушение изоляции. Получив контроль над плоскостью управления, агент потенциально может изменить сетевые настройки, чтобы преодолеть логические Воздушные зазоры (Air Gaps) между сетями данных, управления и репликации, тем самым разрушив фундаментальный принцип сегментации системы.

В эпоху агентского ИИ основной целью атаки становятся не столько сами данные, сколько плоскость управления, которая обеспечивает их безопасность и восстанавливаемость. Традиционная программа-вымогатель рассматривает том хранения как «черный ящик» с блоками данных, которые нужно зашифровать. Агентский ИИ, способный рассуждать и использовать инструменты , воспринимает CLI, GUI и REST API системы хранения как богатый набор инструментов для достижения своей цели. Он понимает, что атаковать данные напрямую неэффективно, если они защищены мощными механизмами, такими как неизменяемость. Самый логичный и эффективный путь атаки — сначала скомпрометировать и отключить

механизмы защиты: политики WORM, блокировки сроков хранения, правила RBAC и учетные записи администраторов, которые их применяют. Следовательно, безопасность административной плоскости и плоскости управления BAUM MDS становится наиболее критичной поверхностью атаки. Такие функции, как «Анализ аномалий действий администратора» и требование подтверждения критических изменений несколькими лицами, перестают быть просто «лучшими практиками» — они становятся центральными и незаменимыми контрмерами против интеллектуального, автономного противника.

3.5 Противодействие автономной угрозе. Переоценка принципов Zero Trust для эры агентов

Для эффективного противодействия автономным угрозам необходимо не отказываться от фундаментальных принципов Zero Trust, а переосмыслить и радикально усилить их реализацию. Основные постулаты — «Явная проверка» (Verify Explicitly), «Использование наименьших привилегий» (Use Least Privilege) и «Предположение о взломе» (Assume Breach) — остаются верными, но их применение должно быть автоматизировано для борьбы с противником, действующим на машинной скорости.

Усиление принципа «Явная проверка» (Verify Explicitly)

• Проблема. Простой однократной аутентификации недостаточно для противодействия агенту, который может похитить учетные данные или действовать в рамках уже установленной доверенной сессии.
• Рекомендация. Проверка должна быть непрерывной, контекстуальной и интеллектуальной. Платформа BAUM MDS Security MLOps, о которой мы расскажем далее,  должна выйти за рамки простого обнаружения аномалий на основе правил. Требуется внедрение полноценного движка анализа поведения пользователей и сущностей (User and Entity Behavior Analytics, UEBA). Этот движок будет профилировать не просто отдельные команды администратора, а
  последовательности и корреляции действий в разных подсистемах (например, изменение конфигурации, за которым следует необычный паттерн I/O). Он должен быть способен обнаруживать слабые сигналы скоординированной роевой атаки

Радикализация принципа «Использование наименьших привилегий» (Use Least Privilege Access)

• Проблема. Агент, скомпрометировавший учетную запись с постоянными привилегиями, получает широкое окно возможностей для атаки.
• Рекомендация. BAUM MDS будет архитектурно поддерживать и принудительно применять концепции Just-in-Time (JIT) и Just-Enough-Access (JEA) для всех административных функций. Ни одна учетная запись пользователя или сервиса не должна иметь постоянных привилегий. Для выполнения чувствительного действия (например, изменения политики WORM) администратор должен запросить временные, ограниченные по времени и одноразовые права, которые предоставляются через рабочий процесс утверждения. Этот процесс обязательно должен реализовывать «принцип четырех глаз» (dual control), как это делают ведущие вендоры. Это радикально сокращает поверхность атаки и ограничивает радиус поражения в случае компрометации учетной записи.

Автоматизация принципа «Предположение о взломе» (Assume Breach)

• Проблема. «Предположение о взломе» часто остается лишь философией проектирования. В борьбе с агентом этот принцип должен стать операционной, автоматизированной реальностью.
• Рекомендация 1 (Сдерживание). Усилить важность строгой, принудительной сегментации. Заложенная способность платформы создавать Виртуальные СХД и поддерживать логические/физические Воздушные зазоры (Air Gaps) между сетями имеет первостепенное значение. Это не просто функции для мультитенантности; это критически важные барьеры безопасности для сдерживания горизонтального перемещения агента.
• Рекомендация 2 (Автоматизированное реагирование. Реакция на угрозу с высокой степенью достоверности не может ждать человека. Платформа BAUM MDS должна будет настраиваемые, автоматизированные сценарии реагирования (playbooks). Например, при обнаружении подсистемой анализа аномалий паттернов IO сигнатуры программы-вымогателя с высокой степенью уверенности, система будет иметь возможность автоматически инициировать создание
  BAUM WORM Snapshot для затронутых томов и, опционально, разрывать сетевое соединение с клиентами для карантина угрозы и предотвращения дальнейшего шифрования. Это создает замкнутый контур, в котором обнаружение напрямую запускает защитные действия.

Атаки агентского ИИ разворачиваются за минуты, если не за секунды. Время реакции человека на алерт в системе безопасности в лучшем случае измеряется многими минутами или часами. Этот фундаментальный разрыв в скорости означает, что любая стратегия защиты, основанная на том, что аналитик-человек просматривает алерт в SIEM, а затем вручную выполняет ответные действия, обречена на провал. Единственной жизнеспособной парадигмой защиты является та, в которой сама система может автономно Обнаруживать, Решать и Действовать. Чтобы победить машину, нужна машина.

Таблица 4: Сопоставление угроз агентского ИИ и контролей Zero Trust на СХД

4. Последний рубеж обороны. Как вендоры СХД и систем резервного копирования принимают Zero Trust

4.1. Эволюция рынка. Перспектива Gartner

Четким сигналом этого рыночного сдвига является решение ведущей аналитической компании Gartner. В 2024 году она официально переименовала свой влиятельный отчет с «Magic Quadrant for Enterprise Backup and Recovery Software Solutions» на «Magic Quadrant for Backup and Data Protection Platforms».29

Это больше, чем семантическое изменение. Оно отражает фундаментальное расширение мандата рынка. Резервное копирование больше не является изолированной ИТ-функцией, ориентированной на операционное восстановление. Теперь это неотъемлемый компонент стратегии кибербезопасности и защиты данных организации.29

Анализ Gartner теперь в значительной степени учитывает такие возможности, как восстановление после атак программ-вымогателей, обнаружение угроз в реальном времени, неизменяемые хранилища и защита SaaS-приложений (таких как Microsoft 365) как обязательные требования.29

Gartner также подчеркивает растущую важность генеративного ИИ в этих платформах, прогнозируя, что 90% платформ резервного копирования будут оснащены GenAI к 2029 году (по сравнению с менее чем 25% в 2025 году) для упрощения администрирования и обнаружения угроз.29 Аналогичным образом, Magic Quadrant for Primary Storage от Gartner теперь оценивает вендоров по их встроенным функциям киберустойчивости, стирая границы между первичными данными и их защитой.31

4.2. Архитектурные  киберустойчивости

На основе предложений вендоров и отчетов аналитиков появился новый набор «обязательных» технологий для любого решения по защите данных, претендующего на киберустойчивость и соответствие принципам Zero Trust.

• Неизменяемое хранилище (Immutable Storage). Это основа. Будь то через S3 Object Lock, проприетарные файловые системы (как у Rubrik) или функции на уровне оборудования (как SafeMode у Pure Storage или Safeguarded Copy у IBM), возможность создавать неизменяемые, неудаляемые копии данных является обязательным условием.30
• Логическая изоляция (Air Gaps) и изолированные хранилища (Vaults). Поскольку физическая изоляция (например, офлайн-ленты) слишком медленна для современных целевых показателей времени восстановления (RTO), вендоры разработали логическую изоляцию. Это включает в себя создание изолированной среды восстановления («хранилища»), которая отключена от производственной сети и имеет отдельный домен безопасности. Данные реплицируются в хранилище, но прямого сетевого пути из производственной среды не существует, что предотвращает боковое перемещение вредоносных программ.41 Dell Cyber Recovery Vault является ярким примером.45
• Обнаружение аномалий с помощью ИИ. Используя ИИ/МО, платформы теперь непрерывно сканируют резервные копии на наличие признаков компрометации. Это включает анализ энтропии данных для обнаружения шифрования, выявление необычных изменений типов файлов и идентификацию аномальных паттернов ввода-вывода. Это позволяет заблаговременно предупреждать
• Оркестрованное восстановление в «чистой комнате» (Clean-Room Recovery). Современные платформы автоматизируют процесс восстановления. Это включает развертывание изолированной «чистой комнаты», восстановление данных в нее и запуск сканирования безопасности для проверки отсутствия вредоносных программ перед возвращением данных в производственную сеть. Это предотвращает повторное заражение и подтверждает целостность восстановления.41

Интеграция функций безопасности в платформы хранения и резервного копирования разрушает традиционные ИТ-силосы. Переименование отчета Gartner 29 и тот факт, что вендоры первичных СХД продают хранилища для кибервосстановления 45, а вендоры резервного копирования — движки для обнаружения угроз 39, указывают на глубокую конвергенцию. Процесс принятия решений о покупке инфраструктуры данных больше не является исключительной прерогативой вице-президента по инфраструктуре. Директор по информационной безопасности (CISO) теперь является ключевым заинтересованным лицом, поскольку система резервного копирования стала центральной частью плана реагирования на инциденты. Эта конвергенция требует нового уровня сотрудничества между командами ITOps и SecOps. Они должны вместе проектировать, внедрять и тестировать стратегию устойчивости данных. Отсутствие такого сотрудничества создает опасные пробелы, как показал отчет Cohesity, свидетельствующий о том, что слабое взаимодействие между этими командами подвергает организации большему риску.50 Технологии форсируют организационные изменения.

5. Обзор технологий вендоров. Анализ возможностей в контексте Zero Trust

5.1. Платформы резервного копирования и восстановления

Veeam

• Стратегия. Veeam открыто приняла модель Zero Trust Data Resilience (ZTDR) в сотрудничестве с Numberline Security.23 Их стратегия сосредоточена на многоуровневой защите в рамках Veeam Data Platform.
• Технологии:

• Сегментацияю. Veeam продвигает архитектурное разделение сервера резервного копирования и хранилища резервных копий, что соответствует основному принципу ZTDR. Именно здесь такие партнеры, как ObjectFirst, становятся критически важными для их стратегии.24
• Неизменяемость. Поддерживает несколько вариантов неизменяемости, включая защищенные репозитории на базе Linux, S3 Object Lock локально или в облаке, а также ленточные накопители.37 Они также предлагают
  Veeam Vault, предварительно настроенный и безопасный облачный сервис хранения.52
• Обнаружение и реагирование. Включает встроенный движок обнаружения вредоносных программ, который сканирует резервные копии на энтропию и известные сигнатуры вредоносного ПО.46
  Veeam Threat Center предоставляет панель мониторинга безопасности, а I/O Anomaly Visualizer помогает обнаруживать необычную активность.46 Интегрируется с инструментами SIEM и позволяет инструментам безопасности использовать Veeam Incident API для пометки точек восстановления как зараженных.46
• Восстановление. Предлагает Secure Restore, который сканирует резервную копию антивирусным движком перед восстановлением для предотвращения повторного заражения. Анализ контента с помощью YARA помогает идентифицировать конкретные штаммы программ-вымогателей.46 Программа Veeam Cyber Secure предоставляет поддержку в реагировании на инциденты и гарантию восстановления после атак программ-вымогателей на сумму до $5 млн.52

ObjectFirst

• Стратегия. Специально разработан как идеальное целевое хранилище ZTDR для сред Veeam. Вся их философия основана на создании простого, безопасного и мощного устройства, которое реализует принцип архитектурной сегментации ZTDR.27
• Технологии:

• Сегментация и неизменяемост. Ootbi («Out-of-the-Box Immutability») — это защищенное устройство, которое предоставляет неизменяемое объектное хранилище на базе S3.28 Критически важно, что оно спроектировано с
  нулевым доступом к root-пользователю или базовой ОС, что означает, что даже скомпрометированный сервер Veeam с правами администратора не может выполнять деструктивные действия на устройстве. Это физическое воплощение зоны устойчивости ZTDR.26
• Простота. Разработано для развертывания за считанные минуты без необходимости глубоких знаний в области безопасности, что решает проблему нехватки квалифицированных кадров, с которой сталкиваются многие организации.12
• Производительность. Оптимизировано для производительности резервного копирования и мгновенного восстановления Veeam, используя Smart Object Storage API (SOSAPI), разработанный совместно с Veeam для эффективной обработки данных.27

Rubrik

• Стратегия. Построена с нуля на архитектуре «Zero Trust By Design». Вместо того чтобы полагаться на стороннее оборудование или стандартные протоколы, Rubrik использует проприетарный, интегрированный платформенный подход.39
• Технологии:

• Сегментация и неизменяемость. Ядром Rubrik Security Cloud является специально разработанная файловая система с дозаписью (append-only). Резервные копии никогда не доступны через стандартные сетевые протоколы, такие как NFS или SMB. Весь доступ осуществляется через API-интерфейс, что по своей сути создает логическую изоляцию.55 Это предотвращает прямой доступ программ-вымогателей к резервным копиям и их шифрование.
• Контроль доступа. Применяет строгий ролевой контроль доступа (RBAC), многофакторную аутентификацию (MFA) и требует авторизации кворумом (несколько утверждающих) для чувствительных действий, таких как изменение политик хранения через SLA Retention Lock.39
• Обнаружение и реагирование. Предлагает Ransomware Investigation для определения начальной точки атаки и оценки радиуса поражения. Sensitive Data Discovery помогает определить, какие типы данных были скомпрометированы. Интегрируется с Microsoft Sentinel для объединения усилий SecOps и ITOps.42

Commvault

• Стратегия. Commvault Cloud позиционируется как платформа для «настоящей облачной киберустойчивости», построенная на принципах безопасного проектирования и нулевого доверия.41
• Технологии:

• Сегментация и неизменяемость. Использует многоуровневую архитектуру, в которой копии резервных данных хранятся в виртуально изолированном (air-gapped) месте, отделенном от исходных сред.41 Поддерживает опции неизменяемого хранения.
• Обнаружение и реагирование.  Использует обнаружение аномалий на основе ИИ для раннего предупреждения о подозрительной активности файлов.41 Предлагает
  Cleanroom Recovery, изолированную облачную среду для безопасного форензического анализа и тестирования восстановления, гарантируя, что вредоносное ПО не будет повторно внесено в производственную среду.41
• Контроль доступа. Платформа построена на принципах нулевого доверия, включая строгий контроль доступа, MFA и шифрование данных в состоянии покоя и при передаче.59

Cohesity

• Стратегия. Cohesity Data Cloud предлагает многоуровневую стратегию защиты, ориентированную на защиту, обнаружение и быстрое восстановление.48
• Технологии:

• Сегментация и неизменяемость. Использует неизменяемые снимки резервных копий и DataLock (WORM) для защиты данных от изменений.43 Предлагает
  Cohesity FortKnox, SaaS-решение для изолированного облачного хранилища, которое обеспечивает виртуальную изоляцию для критически важных данных.43
• Обнаружение и реагирование. Сервис безопасности DataHawk использует обнаружение аномалий на основе ИИ/МО, потоки данных об угрозах и сканирование на наличие вредоносных программ для выявления рисков.48 Интегрируется с платформами SIEM/SOAR, такими как ServiceNow и Microsoft Sentinel, для автоматизированного реагирования на инциденты.50
• Контроль доступа. Реализует принципы Zero Trust через MFA, RBAC и утверждение кворумом для критически важных административных изменений.48

Таблица 5: Сравнительный анализ функций Zero Trust у лидеров рынка резервного копирования и восстановления

5.2. Платформы первичного хранения данных (СХД)

Dell Technologies

• Стратегия. Фокусируется на создании защищенной, изолированной среды восстановления с помощью решения PowerProtect Cyber Recovery.64
• Технологии. Ядром является Cyber Recovery vault — операционно изолированная среда, отделенная от производственной сети. Данные реплицируются в хранилище, после чего сетевое соединение разрывается. Решение интегрировано с CyberSense (от Index Engines), которое использует полноконтентный анализ и машинное обучение для сканирования данных внутри хранилища, проверки их целостности, обнаружения признаков повреждения или атаки программы-вымогателя и определения последней известной чистой копии для восстановления.64

HPE

• Стратегия. Использует приобретение компании Zerto и платформу HPE GreenLake для предоставления интегрированного решения по киберустойчивости.44
• Технологии. Платформа HPE Alletra Storage MP интегрируется с Zerto Cyber Resilience Vault. Это решение создает изолированную, неизменяемую копию данных в локальном хранилище, построенном на архитектуре Zero-Trust. Оно использует технологию непрерывной защиты данных (CDP) и журналирования Zerto для гранулярного восстановления на определенный момент времени.44 Само оборудование Alletra спроектировано с учетом принципов безопасности Zero Trust, начиная с аппаратного корня доверия (silicon root of trust).68

Pure Storage

• Стратегия. Обеспечивает киберустойчивость непосредственно на первичном массиве хранения данных за счет сочетания неизменяемых снимков и строгих административных контролей.70
• Технологии. Ключевой особенностью являются SafeMode™ Snapshots. Это неизменяемые снимки, которые не могут быть удалены, изменены или иметь сокращенный срок хранения даже злонамеренным администратором с полными правами. Любая попытка выполнить эти действия требует многоступенчатого процесса проверки, включающего как минимум двух авторизованных контактных лиц клиента и прямое взаимодействие со службой поддержки Pure Storage.38 Это создает мощную процессуальную и человеческую изоляцию, защищающую как от внешних атак, так и от внутренних угроз.

NetApp

• Стратегия. Встраивает защиту от программ-вымогателей непосредственно в свою операционную систему ONTAP, используя ИИ и проверенные функции неизменяемости.73
• Технологии. Включает Autonomous Ransomware Protection (ARP), которая использует машинное обучение на самом устройстве для анализа энтропии файлов и поведения рабочих нагрузок с целью обнаружения потенциальной активности программ-вымогателей в реальном времени. При обнаружении она автоматически создает заблокированную копию Snapshot для предоставления чистой точки восстановления.47 Это дополняется технологией
  SnapLock, давно существующей технологией WORM от NetApp для создания неизменяемых копий данных, соответствующих нормативным требованиям.74

IBM

• Стратегия. Предлагает комплексное программно-аппаратное решение с IBM Storage Defender и Safeguarded Copy.40
• Технологии. Storage Defender — это программный уровень, обеспечивающий комплексную устойчивость данных, включая обнаружение угроз на основе ИИ и оркестрованное восстановление.40 Аппаратной основой является Safeguarded Copy — функция, доступная на массивах IBM FlashSystem и других. Она создает частые, неизменяемые снимки на аппаратном уровне, которые логически изолированы и недоступны для хостов или приложений, что защищает их от компрометации или удаления.35

Таблица 6: Сравнительный анализ функций Zero Trust у лидеров рынка первичных СХД

5.3. BAUM MDS: Комплексный подход к киберустойчивости на основе Zero Trust

BAUM представляет собой  единственного отечественного вендора, который активно развивает свою платформу хранения данных MDS, интегрируя в нее многоуровневую стратегию безопасности, полностью соответствующую принципам Zero Trust и готовность к угрозам, которые будут осуществляться мультиагентными системами. Вместо отдельных разрозненных продуктов, BAUM разрабатывает комплексное решение, которое охватывает все аспекты защиты данных — от неизменяемости и контроля доступа до проактивного интеллектуального анализа угроз.

• Стратегия. Стратегия BAUM сосредоточена на создании единой, интеллектуальной и защищенной экосистемы хранения. Ключевым элементом этой стратегии является будущая функция BAUM MDS Security, который станет частью платформы BAUM MIOps. Этот подход направлен на проактивную защиту данных от внутренних и внешних угроз, минимизацию рисков, связанных с человеческим фактором, и автоматизацию анализа безопасности и автоматические реакции на комплексные угрозы.
• Технологии:

• • BAUM MDS Security (ожидаемый релиз MDS 2.0). Этот модуль представляет собой ядро интеллектуальной защиты и включает несколько подсистем:
    • Постоянный анализ конфигурации и аудит. Автоматически сканирует СХД на предмет уязвимостей, таких как слабые пароли, некорректные политики безопасности, отсутствие шифрования или репликации, и предоставляет отчеты с рекомендациями по устранению либо автоматически применяет одну из предопределенных политик. В режиме реального времени реагирует на попытки некорректных настроек. 
    • Анализ аномалий действий администратора. Используя профилирование поведения (UEBA) и машинное обучение, система выявляет подозрительные действия администраторов, такие как вход в нерабочее время, массовое удаление данных или изменение настроек безопасности. При обнаружении критических аномалий возможна автоматическая блокировка пользователя или другие предопределенные реакции. 
    • Анализ аномалий паттернов ввода-вывода (IO). Система строит базовую линию «нормальной» нагрузки для каждого тома и в реальном времени отслеживает отклонения. Это позволяет с высокой точностью (до 99.99%) обнаруживать паттерны, характерные для программ-вымогателей (например, резкий всплеск операций записи с высокой энтропией), и автоматически инициировать защитные действия, такие как создание защищенного мгновенного снимка.
    • Анализ мгновенных снимков. Подсистема сканирует содержимое снимков для обнаружения признаков шифрования (анализ энтропии) или наличия вредоносного ПО (поиск сигнатур, текстов с требованиями выкупа). Это позволяет идентифицировать последний «чистый» снимок для быстрого и безопасного восстановления.
    • Многомерный анализ всех подсистем. Предполагается, что Baum MDS Security будет выполнять многомерный анализ поведения различных подсистем для того чтобы определить и изолировать попытку атаки роем агентов, каждый из которых сам по себе может не вызвать подозрения.
  • BAUM WORM Snapshot (ожидаемый релиз MDS 1.1). Это реализация неизменяемых мгновенных снимков. Ключевой особенностью является строгий контроль над политиками хранения: любое изменение, например, сокращение срока хранения снимка, требует одновременного подтверждения от двух лиц — суперадминистратора и инженера по информационной безопасности (принцип «четырех глаз»). Это обеспечивает защиту от удаления или изменения снимков даже со стороны скомпрометированного администратора. Кроме того любые изменения, связанные с изменением политик или настроек этой функциональности будут выполняться на основе выданных на короткий срок привилегий.
  • Дополнительные архитектурные компоненты. Платформа BAUM MDS включает и другие функции, поддерживающие архитектуру Zero Trust, такие как репликация на основе снимков для создания копий в изолированной среде (MDS 2.0), гранулярный контроль доступа на основе ролей (RBAC) (MDS 1.1), создание виртуальных СХД для микросегментации (MDS 2.0), шифрование данных (в пути и в покое) и физические/логические воздушные зазоры (Air Gaps) для изоляции сетей управления, данных и межкластерного взаимодействия.

Таблица 7: Анализ функций Zero Trust у BAUM MDS

Как выжить в реальности «Among Us»

Современный ландшафт кибербезопасности — это среда, где мы должны исходить из того, что противник уже внутри. Возвращаясь к метафоре «Among Us», необходимо признать, что доверять никому нельзя.

Zero Trust — это стратегическое путешествие, а не конечный пункт или отдельный продукт. Достижение киберустойчивости требует многоуровневого подхода к защите, сочетающего технологии как от вендоров СХД, так и от поставщиков решений для резервного копирования.

Практические рекомендации для ИТ-руководителей

• Отдавайте приоритет верифицируемой неизменяемости Не принимайте на веру заявления вендора о «неизменяемости». Изучайте архитектуру. Может ли скомпрометированный администратор резервного копирования удалить резервные копии? Существует ли реальное разделение плоскостей управления и данных?
• Преодолейте разрыв между ИТ и службой безопасности  Покупка и управление инфраструктурой защиты данных должны быть совместными усилиями команд ITOps и SecOps. Мнение CISO является критически важным.
• Предполагайте взлом, планируйте восстановление Фокус должен сместиться с одной лишь профилактики на быстрое и уверенное восстановление. Это означает регулярное тестирование планов восстановления в изолированных средах («чистых комнатах»), чтобы убедиться, что они работают и не приводят к повторному заражению.
• Примите модель, ориентированную на данные Периметра больше нет. Безопасность должна строиться вокруг самих данных, с постоянной проверкой каждого пользователя, устройства и приложения, пытающегося получить к ним доступ. В мире «Among Us» современной ИТ-инфраструктуры единственный путь к выживанию — не доверять ничему и проверять все.
• Используйте передовые средства автоматизации обнаружения угроз и реакции. 

Источники

1. Ransomware Annual Report 2024 — Cyberint, дата последнего обращения: июля 2, 2025, https://cyberint.com/blog/research/ransomware-annual-report-2024/
2. The 2024 Ransomware Landscape: Looking back on another …, дата последнего обращения: июля 2, 2025, https://www.rapid7.com/blog/post/2025/01/27/the-2024-ransomware-landscape-looking-back-on-another-painful-year/
3. Ransomware Statistics, Data, Trends, and Facts [updated 2024] — Varonis, дата последнего обращения: июля 2, 2025, https://www.varonis.com/blog/ransomware-statistics
4. Ransomware in 2024: Latest Trends, Mounting Threats, and the Government Response, дата последнего обращения: июля 2, 2025, https://www.trmlabs.com/resources/blog/ransomware-in-2024-latest-trends-mounting-threats-and-the-government-response
5. Ransomware Attacks in 2024: The Most Devastating Year Yet? — Sygnia, дата последнего обращения: июля 2, 2025, https://www.sygnia.co/blog/ransomware-attacks-2024/
6. 2024 Data Breach Investigations Report — Verizon, дата последнего обращения: июля 2, 2025, https://www.verizon.com/business/resources/T98/infographics/2024-dbir-retail-snapshot.pdf
7. 2024 DBIR Executive Summary | Verizon, дата последнего обращения: июля 2, 2025, https://www.verizon.com/business/resources/reports/2024-dbir-executive-summary.pdf
8. DBIR Report 2024 — Summary of Findings — Verizon, дата последнего обращения: июля 2, 2025, https://www.verizon.com/business/en-nl/resources/reports/dbir/2024/summary-of-findings/
9. Key insights from the Verizon 2024 Data Breach Investigations Report, дата последнего обращения: июля 2, 2025, https://www.verizon.com/business/resources/infographics/2024-dbir-infographic.pdf
10. Q4 2024 Travelers’ Cyber Threat Report: Key Ransomware Statistics — Corvus Insurance, дата последнего обращения: июля 2, 2025, https://www.corvusinsurance.com/blog/q4-2024-travelers-cyber-threat-report
11. State of Cybersecurity Resilience 2025 — Accenture, дата последнего обращения: июля 2, 2025, https://www.accenture.com/us-en/insights/security/state-cybersecurity-2025
12. Global Cybersecurity Outlook 2025 — The World Economic Forum, дата последнего обращения: июля 2, 2025, https://www.weforum.org/publications/global-cybersecurity-outlook-2025/digest/
13. Cybersecurity Report 2025: AI Threats, Email Server Security, and Advanced Threat Actors | Deloitte US, дата последнего обращения: июля 2, 2025, https://www.deloitte.com/us/en/services/consulting/articles/cybersecurity-report-2025.html
14. Global Threat Landscape Report 2025 (Q1) — Cyble, дата последнего обращения: июля 2, 2025, https://cyble.com/resources/research-reports/global-threat-landscape-report-2025/
15. Impact of AI on cyber threat from now to 2027 — NCSC.GOV.UK, дата последнего обращения: июля 2, 2025, https://www.ncsc.gov.uk/report/impact-ai-cyber-threat-now-2027
16. NIST 800-207: Zero Trust Architecture | NextLabs, дата последнего обращения: июля 2, 2025, https://www.nextlabs.com/wp-content/uploads/2024/11/NextLabs-White-Paper-NIST-800-207-Zero-Trust-Architecture.pdf
17. Zero Trust Architecture — NIST Technical Series Publications, дата последнего обращения: июля 2, 2025, https://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf
18. Implement Zero Trust as Defined by NIST 800-207 — C-STEM, дата последнего обращения: июля 2, 2025, https://www.c-stem.co.uk/wp-content/uploads/2023/02/iboss-implement-zero-trust-ebook.pdf
19. A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments — NIST Technical Series Publications, дата последнего обращения: июля 2, 2025, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207A.pdf
20. Deploying a Zero Trust Architecture per NIST SP 800-207 — Carnegie Mellon University, дата последнего обращения: июля 2, 2025, https://insights.sei.cmu.edu/documents/73/2022_500_001_887544.pdf
21. NIST SP 800-207A initial public draft, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-, дата последнего обращения: июля 2, 2025, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207A.ipd.pdf
22. What is Zero Trust Security? Principles & Benefits — Veeam, дата последнего обращения: июля 2, 2025, https://www.veeam.com/blog/zero-trust-security.html
23. Veeam Unveils Zero Trust Data Resilience (ZTDR) Model — NextTech Today, дата последнего обращения: июля 2, 2025, https://nexttechtoday.com/news/veeam-unveils-zero-trust-data-resilience-ztdr-model/
24. Zero Trust Data Resilience (ZTDR) — Veeam, дата последнего обращения: июля 2, 2025, https://www.veeam.com/whitepapers/pragmatic-approach-to-implementing-zero-trust_wp.pdf
25. Zero Trust Data Resilience Strategies — Veeam, дата последнего обращения: июля 2, 2025, https://go.veeam.com/zero-trust-data-resilience-strategies
26. Zero Trust and Enterprise Data Backup — CRN, дата последнего обращения: июля 2, 2025, https://custom.crn.com/learning-center/assets/2025/object-first-en-zero-trust-and-enterprise-data-backup.pdf
27. Ransomware-proof storage by Object First powers Veeam’s security — SiliconANGLE, дата последнего обращения: июля 2, 2025, https://siliconangle.com/2025/07/01/ootbi-object-first-veeam-ransomware-proof-storage-solution-integration-dataprotectionageofai/
28. Object First: Best Storage for Veeam, дата последнего обращения: июля 2, 2025, https://objectfirst.com/
29. Rubrik, Veeam Lead in Changing Backup & Data Protection Market — Virtualization Review, дата последнего обращения: июля 2, 2025, https://virtualizationreview.com/articles/2025/07/01/rubrik-veeam-among-leaders-in-changing-backup-data-protection-market.aspx
30. 2024 Magic Quadrant for Enterprise Backup and Recovery Software Solutions Report, дата последнего обращения: июля 2, 2025, https://www.coolspirit.co.uk/blogs/commvault-recognised-in-2024-magic-quadrant-for-enterprise-backup-and-recovery-software-solutions-report
31. Primary Storage Platform Leader — Gartner® Magic Quadrant™ 2024 | HPE, дата последнего обращения: июля 2, 2025, https://www.hpe.com/us/en/storage/magic-quadrant-primary-storage.html
32. 2024 Gartner® Magic Quadrant™ for Primary Storage, дата последнего обращения: июля 2, 2025, https://www.purestorage.com/resources/gartner-magic-quadrant-primary-storage.html
33. Pure Storage Named a Leader in the 2024 Gartner® Magic Quadrant™ for Primary Storage Platforms — PR Newswire, дата последнего обращения: июля 2, 2025, https://www.prnewswire.com/news-releases/pure-storage-named-a-leader-in-the-2024-gartner-magic-quadrant-for-primary-storage-platforms-302254308.html
34. 2024 Gartner Magic Quadrant Leader: Primary Storage Platforms | NetApp Blog, дата последнего обращения: июля 2, 2025, https://www.netapp.com/blog/2024-gmq-leader-primary-storage-platforms/
35. IBM is 17x a Leader in the 2024 Gartner® Magic Quadrant™ for Primary Storage, дата последнего обращения: июля 2, 2025, https://community.ibm.com/community/user/blogs/sandra-teresa-pelaez-angeles2/2024/09/20/ibm-is-a-leader-in-the-2024-gartner-magic-quadrant
36. HPE named a Leader in the 2024 Gartner® Magic Quadrant™ for Primary Storage Platforms | HPE, дата последнего обращения: июля 2, 2025, https://www.hpe.com/us/en/newsroom/press-release/2024/09/hpe-named-a-leader-in-the-2024-gartner-magic-quadrant-for-primary-storage-platforms.html
37. Protect Your Data From Ransomware with Veeam and Cloudian, дата последнего обращения: июля 2, 2025, https://cloudian.com/solutions/ransomware-solutions/protect-your-data-from-ransomware-with-veeam-and-cloudian/
38. How to Secure Your Data from Ransomware with SafeMode™ Snapshots, дата последнего обращения: июля 2, 2025, https://blog.purestorage.com/products/how-to-protect-your-data-from-ransomware-with-safemode-snapshots/
39. Zero Trust Data Protection | Rubrik, дата последнего обращения: июля 2, 2025, https://www.rubrik.com/products/data-protection
40. IBM Storage Defender, дата последнего обращения: июля 2, 2025, https://www.ibm.com/products/storage-defender
41. Cyber Recovery, Clean and Fast — Commvault, дата последнего обращения: июля 2, 2025, https://www.commvault.com/platform/recovery
42. Rubrik Zero Trust Data Security for Microsoft, дата последнего обращения: июля 2, 2025, https://www.rubrik.com/content/dam/rubrik/en/resources/data-sheet/ds-rubrik-zero-trust-data-security-for-microsoft.pdf
43. Defend Against Ransomware and Insider Threats With Data Isolation — Cohesity, дата последнего обращения: июля 2, 2025, https://www.cohesity.com/resource-assets/solution-brief/defend-against-ransomware-and-insider-threats-with-data-isolation-protection-solution-brief-en.pdf
44. HPE Greenlake: Data Protection — Ingram-Micro, дата последнего обращения: июля 2, 2025, https://im-hybridcloud.com/services/hpe-greenlake-data-protection.html
45. Dell PowerProtect Cyber Recovery Solution Guide, дата последнего обращения: июля 2, 2025, https://www.delltechnologies.com/asset/en-us/products/data-protection/technical-support/h17670-cyber-recovery-sg.pdf
46. Ransomware Backup — Veeam, дата последнего обращения: июля 2, 2025, https://www.veeam.com/solutions/data-security/ransomware-backup.html
47. Protecting data using Autonomous Ransomware Protection on Amazon FSx for NetApp ONTAP | AWS Storage Blog, дата последнего обращения: июля 2, 2025, https://aws.amazon.com/blogs/storage/protecting-data-using-autonomous-ransomware-protection-on-amazon-fsx-for-netapp-ontap/
48. Ransomware Solutions to Protect Your Data — Cohesity, дата последнего обращения: июля 2, 2025, https://www.cohesity.com/solutions/ransomware/
49. HPE’s Zerto Vault integrates with Alletra Storage to block ransomware, дата последнего обращения: июля 2, 2025, https://blocksandfiles.com/2024/05/13/hpes-zerto-vault-is-integrated-with-alletra-storage-to-block-ransomware/
50. Boost Your Cyber Resilience With New Integrated Solution — Cohesity, дата последнего обращения: июля 2, 2025, https://www.cohesity.com/resource-assets/solution-brief/boost-your-cyber-resilience-with-new-integrated-solution-solution-brief-en.pdf
51. Protect against ransomware with Pure & Veeam — SHI, дата последнего обращения: июля 2, 2025, https://www.content.shi.com/SHIcom/ContentAttachmentImages/SharedResources/PDFs/Veeam/Veeam-030220—Protect-with-Pure-Veeam-solution-brief.pdf
52. Veeam Positioned As A Leader In 2024 Gartner Magic Quadrant For Enterprise Backup And Recovery Software Solutions — Security MEA, дата последнего обращения: июля 2, 2025, https://securitymea.com/2024/08/08/veeam-positioned-as-a-leader-in-2024-gartner-magic-quadrant-for-enterprise-backup-and-recovery-software-solutions/
53. Veeam Data Platform: New Features & Cloud Backup Enhancements, дата последнего обращения: июля 2, 2025, https://www.veeam.com/products/veeam-data-platform/latest-release.html
54. Veeam Cyber Secure | Defense Before, During, After Ransomware, дата последнего обращения: июля 2, 2025, https://www.veeam.com/products/veeam-data-platform/cyber-secure.html
55. Zero Trust Data Security with Rubrik, дата последнего обращения: июля 2, 2025, https://www.rubrik.com/content/dam/rubrik/en/resources/white-paper/zero-trust-data-security-with-rubrik.pdf
56. Zero Trust Data Security™ Best Practices, дата последнего обращения: июля 2, 2025, https://www.nysac.org/media/sslljpqx/zero-trust-data-security-best-practices.pdf
57. Ransomware and Cyber Defense | Commvault, дата последнего обращения: июля 2, 2025, https://www.commvault.com/use-cases/ransomware-and-cyber-defense
58. Trust Center | Commvault, дата последнего обращения: июля 2, 2025, https://www.commvault.com/legal/trust-center
59. Commvault Cloud SaaS Security Overview — Metallic.io, дата последнего обращения: июля 2, 2025, https://metallic.io/security-compliance-overview
60. Ransomware Recovery Demo — Commvault, дата последнего обращения: июля 2, 2025, https://www.commvault.com/resources/video/ransomware-recovery-video
61. Zero Trust Security | Knowledge Center — Commvault, дата последнего обращения: июля 2, 2025, https://www.commvault.com/glossary-library/zero-trust-security
62. Anti-ransomware solutions | Data protection and defense — Cohesity, дата последнего обращения: июля 2, 2025, https://www.cohesity.com/glossary/anti-ransomware-solutions/
63. Ransomware Protection and Recovery | Cohesity, дата последнего обращения: июля 2, 2025, https://www.cohesity.com/resource-assets/solution-brief/servicenow-ransomware-protection-and-recovery-solution-brief-en.pdf
64. Dell PowerProtect Cyber Recovery documents | Dell US, дата последнего обращения: июля 2, 2025, https://www.dell.com/support/kbdoc/en-us/000132014/dell-emc-powerprotect-cyber-recovery-documents
65. CyberSense for Dell Cyber Recovery — Index Engines, дата последнего обращения: июля 2, 2025, https://www.indexengines.com/cybersense-for-dell-emc
66. Building resilience with data protection from HPE and Zerto, дата последнего обращения: июля 2, 2025, https://www.hpe.com/h22228/video-gallery/us/en/v100003980/video?jumpId=in_videogallery_1e41f0e9-6b85-4f09-86a7-eaccfb29a0db_gaiw
67. HPE GreenLake for Data Protection — EdgeCloudStore.com, дата последнего обращения: июля 2, 2025, https://www.edgecloudstore.com/Data-Protection-Overview.asp
68. HPE Alletra 4000 Data Storage Servers | HPE, дата последнего обращения: июля 2, 2025, https://www.hpe.com/us/en/storage/alletra-4000.html
69. Evolving the zero trust approach — A23, дата последнего обращения: июля 2, 2025, https://a23.com.au/wp-content/uploads/2024/05/A23-HPE-ZTA-Whitepaper.pdf
70. Ransomware Mitigation with SafeMode™ Snapshots — Pure Storage, дата последнего обращения: июля 2, 2025, https://www.purestorage.com/solutions/cyber-resilience/ransomware/safemode.html
71. How a Zero Trust Architecture Can Help Mitigate Ransomware Risks — Pure Storage Blog, дата последнего обращения: июля 2, 2025, https://blog.purestorage.com/purely-educational/how-a-zero-trust-architecture-can-help-mitigate-ransomware-risks/
72. Ransomware Remediation with FlashArray SafeMode | Pure Storage, дата последнего обращения: июля 2, 2025, https://www.purestorage.com/content/dam/pdf/en/solution-briefs/sb-ransomware-remediation-for-flasharray.pdf
73. What is ransomware and ransomware protection? — NetApp, дата последнего обращения: июля 2, 2025, https://www.netapp.com/cyber-resilience/what-is-ransomware/
74. Stop ransomware attacks—data protection and security solutions | NetApp, дата последнего обращения: июля 2, 2025, https://www.netapp.com/cyber-resilience/ransomware-protection/
75. NetApp ONTAP built-in on-box AI-based detection and response, дата последнего обращения: июля 2, 2025, https://docs.netapp.com/us-en/ontap-technical-reports/ransomware-solutions/ransomware-protection.html
76. Agentic AI vs Generative AI: Key Differences & Use Cases — Writesonic, дата последнего обращения: июля 2, 2025, https://writesonic.com/blog/agentic-ai-vs-generative-ai
77. Agentic AI vs. generative AI: The core differences | Thomson Reuters, дата последнего обращения: июля 2, 2025, https://www.thomsonreuters.com/en/insights/articles/agentic-ai-vs-generative-ai-the-core-differences
78. The Road to Agentic AI: Defining a New Paradigm for Technology …, дата последнего обращения: июля 2, 2025, https://www.trendmicro.com/vinfo/us/security/news/security-technology/the-road-to-agentic-ai-defining-a-new-paradigm-for-technology-and-cybersecurity
79. Autonomous generative AI agents: Under development — Deloitte, дата последнего обращения: июля 2, 2025, https://www.deloitte.com/us/en/insights/industry/technology/technology-media-and-telecom-predictions/2025/autonomous-generative-ai-agents-still-under-development.html
80. Why Decentralized Agentic AI is the Future of Cyber Warfare — All Articles — CISO Platform, дата последнего обращения: июля 2, 2025, https://www.cisoplatform.com/profiles/blogs/why-decentralized-agentic-ai-is-the-future-of-cyber-warfare
81. Generative AI vs. Agentic AI: Why the Real Cybersecurity Threat Is …, дата последнего обращения: июля 2, 2025, https://medium.com/@halalbusinesse123/%EF%B8%8F-generative-ai-vs-agentic-ai-why-the-real-cybersecurity-threat-is-what-comes-next-045cd9fab7ae
82. RedTeamLLM: an Agentic AI framework for offensive security — arXiv, дата последнего обращения: июля 2, 2025, https://arxiv.org/html/2505.06913v1
83. Advancing Cybersecurity Operations with Agentic AI Systems | NVIDIA Technical Blog, дата последнего обращения: июля 2, 2025, https://developer.nvidia.com/blog/advancing-cybersecurity-operations-with-agentic-ai-systems/
84. Unit 42 Develops Agentic AI Attack Framework — Palo Alto Networks, дата последнего обращения: июля 2, 2025, https://www.paloaltonetworks.com/blog/2025/05/unit-42-develops-agentic-ai-attack-framework/
85. AI Agents Are Here. So Are the Threats. — Unit 42, дата последнего обращения: июля 2, 2025, https://unit42.paloaltonetworks.com/agentic-ai-threats/
86. Experts Reveal How Agentic AI Is Shaping Cybersecurity in 2025 — Security Journey, дата последнего обращения: июля 2, 2025, https://www.securityjourney.com/post/experts-reveal-how-agentic-ai-is-shaping-cybersecurity-in-2025
87. The 2025 Reality of Agentic AI in Cybersecurity, дата последнего обращения: июля 2, 2025, https://www.cybersecuritytribe.com/articles/the-2025-reality-of-agentic-ai-in-cybersecurity
88. Agentic AI in Cybersecurity Market Size | CAGR of 39.70%, дата последнего обращения: июля 2, 2025, https://market.us/report/agentic-ai-in-cybersecurity-market/
89. Cyber Kill Chain | Knowledge Center — Commvault, дата последнего обращения: июля 2, 2025, https://www.commvault.com/glossary-library/cyber-kill-chain
90. AI Agents for Offensive Security: Redefining Threat Detection — SecureLayer7, дата последнего обращения: июля 2, 2025, https://blog.securelayer7.net/ai-agents-for-offensive-security/
91. Cybersecurity Report 2025: AI Threats, Email Server Security, and Advanced Threat Actors | Deloitte US, дата последнего обращения: июля 2, 2025, https://www.deloitte.com/us/en/services/consulting/articles/cybersecurity-report-2025.html
92. AI agents: a new cybercrime frontier business must confront | World …, дата последнего обращения: июля 2, 2025, https://www.weforum.org/stories/2025/06/ai-agent-cybercrime-business/
93. Технические требования к обеспечению безопасности данных в СХД Baum MDS в разрезе подхода Zero Trust
94. Data Agent Swarms: A New Paradigm in Agentic AI — Powerdrill, дата последнего обращения: июля 2, 2025, https://powerdrill.ai/blog/data-agent-swarms-a-new-paradigm-in-agentic-ai
95. What is Swarm AI and How Can It Advance Cybersecurity? — Pivot Point Security, дата последнего обращения: июля 2, 2025, https://www.pivotpointsecurity.com/what-is-swarm-ai-and-how-can-it-advance-cybersecurity/
96. Securing the Future: Innovative Cybersecurity for Agentic AI — RSA Conference, дата последнего обращения: июля 2, 2025, https://www.rsaconference.com/library/blog/securing-the-future-innovative-cybersecurity-for-agentic-ai
97. Open Challenges in Multi-Agent Security: Towards Secure Systems of Interacting AI Agents, дата последнего обращения: июля 2, 2025, https://arxiv.org/html/2505.02077v1
98. FireCompass Agentic AI Platform, дата последнего обращения: июля 2, 2025, https://www.firecompass.com/firecompass-agentic-ai-platform/
99. Top 10 Agentic Pen Testing Software Solutions — Terra Security, дата последнего обращения: июля 2, 2025, https://www.terra.security/blog/top-10-agentic-pen-testing-software-solutions
100. Horizon3.ai: Only Pentesting Platform Proven in Production, дата последнего обращения: июля 2, 2025, https://horizon3.ai/
101. Autonomous AI Pen Testing: When Your Security Tools Start Thinking for Themselves, дата последнего обращения: июля 2, 2025, https://www.networkintelligence.ai/blog/autonomous-ai-pen-testing-when-your-security-tools-start-thinking-for-themselves/
102. VulnBot: Autonomous Penetration Testing for A Multi-Agent Collaborative Framework — arXiv, дата последнего обращения: июля 2, 2025, https://arxiv.org/html/2501.13411v1
103. The 2024 Ransomware Landscape: Looking back on another …, дата последнего обращения: июля 2, 2025, https://www.rapid7.com/blog/post/2025/01/27/the-2024-ransomware-landscape-looking-back-on-another-painful-year/
104. Ransomware in 2024: Latest Trends, Mounting Threats, and the Government Response, дата последнего обращения: июля 2, 2025, https://www.trmlabs.com/resources/blog/ransomware-in-2024-latest-trends-mounting-threats-and-the-government-response
105. Zero Trust Data Security™ Best Practices, дата последнего обращения: июля 2, 2025, https://www.nysac.org/media/sslljpqx/zero-trust-data-security-best-practices.pdf
106. Ransomware Mitigation with SafeMode™ Snapshots — Pure Storage, дата последнего обращения: июля 2, 2025, https://www.purestorage.com/solutions/cyber-resilience/ransomware/safemode.html
107. Ransomware Remediation with FlashArray SafeMode | Pure Storage, дата последнего обращения: июля 2, 2025, https://www.purestorage.com/content/dam/pdf/en/solution-briefs/sb-ransomware-remediation-for-flasharray.pdf
108. Zero Trust Architecture — NIST Technical Series Publications, дата последнего обращения: июля 2, 2025, https://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf
109. Deploying a Zero Trust Architecture per NIST SP 800-207 — Carnegie Mellon University, дата последнего обращения: июля 2, 2025, https://insights.sei.cmu.edu/documents/73/2022_500_001_887544.pdf
110. Zero Trust Data Resilience (ZTDR) — Veeam, дата последнего обращения: июля 2, 2025, https://www.veeam.com/whitepapers/pragmatic-approach-to-implementing-zero-trust_wp.pdf
111. Zero Trust Data Protection | Rubrik, дата последнего обращения: июля 2, 2025, https://www.rubrik.com/products/data-protection
112. DBIR Report 2024 — Summary of Findings — Verizon, дата последнего обращения: июля 2, 2025, https://www.verizon.com/business/en-nl/resources/reports/dbir/2024/summary-of-findings/