В информационной безопасности есть одна неприятная асимметрия, с которой невозможно спорить.
Атакующему достаточно одного успешного шага. Одной забытой админки, одного непропатченного сервера, одного письма, по которому кто-то кликнет в конце тяжёлого дня. Одного раза достаточно, чтобы ситуация вышла из-под контроля.
Защитнику, наоборот, нужно не ошибаться всегда. Круглосуточно, во всех компонентах системы, во всех конфигурациях и процессах. Ошибка в любом месте обнуляет месяцы работы.
С точки зрения математики это заведомо неравная игра. Если рассматривать безопасность исключительно как задачу предотвращения, проигрыш в ней неизбежен. Не потому что команда плохая, а потому что сложные системы не бывают безошибочными.
Долгое время ИБ строилась по логике периметра. Чем выше стены и толще замки, тем надёжнее система. Предполагалось, что если достаточно вложиться в защиту, то внутрь просто никто не попадёт.
Эта логика больше не работает.
Современные инфраструктуры не имеют чёткого периметра. Они распределены, динамичны и постоянно меняются. В таких условиях вопрос уже не в том, попадёт ли злоумышленник внутрь, а в том, что произойдёт после этого.
Зрелость системы сегодня измеряется не отсутствием инцидентов, а способностью их переживать без катастрофических последствий. Это сдвиг мышления от попытки «не допустить любой ценой» к способности выдерживать удары и быстро восстанавливаться.
Разница принципиальная:
- В одном случае мы пытаемся построить систему, которую невозможно сломать.
- В другом — систему, которая не ломается целиком из-за одной ошибки.
Мысль о том, что взлом возможен, многим кажется пораженческой. На практике она, наоборот, освобождает. Она позволяет перестать тратить ресурсы на иллюзию абсолютной защиты и начать задавать более полезные вопросы.
Например:
что произойдёт с бизнесом, если завтра у злоумышленника окажется полный доступ к одному из серверов?
Сможем ли мы изолировать инцидент?
Поймём ли мы, что произошло?
Сможем ли восстановиться за разумное время?
Если честный ответ — «нет», то проблема, скорее всего, не в конкретном средстве защиты. Проблема в архитектуре и подходе к проектированию системы.
Живучие системы строятся с допущением ошибок. Они сегментированы, ограничивают распространение ущерба, имеют резервные копии и отработанные сценарии восстановления. Как в сложной технике: выход из строя одного узла не должен приводить к отказу всей системы.
В этом смысле взлом — не конец света, а один из рабочих сценариев, к которому стоит быть готовым. Как к плохой погоде. Мы не можем её отменить, но можем подготовиться так, чтобы она не стала катастрофой.
Добавить комментарий