В ИБ до сих пор живёт очень удобная иллюзия: можно купить правильную коробку, поставить её на периметр, настроить несколько правил — и дальше сеть как будто сама становится защищённой. Коробка мигает лампочками, рисует графики, пишет красивые отчёты, и всем вокруг становится чуть спокойнее. Проблема в том, что атакующему на это спокойствие обычно всё равно.
Безопасность действительно не живёт в одной коробке. Ни в межсетевом экране, ни в антивирусе, ни в EDR, ни в почтовом шлюзе, ни даже в SIEM. Любое отдельное средство защиты — это только один рубеж. Иногда сильный. Иногда полезный. Иногда дорогой и очень самоуверенный. Но всё равно только один.
Нормальная защита начинается там, где заканчивается вера в единственную точку спасения.
Периметр важен. Хороший межсетевой экран, IPS, VPN, WAF, почтовая фильтрация — всё это нужно. Это первая линия, которая должна отсеивать очевидный мусор, резать ненужные соединения, закрывать лишние сервисы и усложнять жизнь тем, кто пытается зайти снаружи. Но сам по себе периметр давно не гарантирует безопасность. Потому что атака не всегда приходит через “лобовую” попытку пробить внешний сервис. Она может приехать в письме, зайти через украденную учётную запись, через доверенный канал, через подрядчика, через удалённый доступ, через заражённый ноутбук, который кто-то спокойно принёс внутрь.
Вот тут и начинается взрослая архитектура. Не та, где все надежды положили на одну железку, а та, где после первого рубежа у атакующего не открывается весь остальной ландшафт.
Если злоумышленник прошёл периметр, он не должен автоматически оказаться “дома”. Его должна встретить сегментация. Отдельные сети, отдельные зоны, ограничения между VLAN, фильтрация трафика, разделение пользовательского, серверного, технологического и административного контуров. Не для красоты схемы в Visio, а чтобы компрометация одного участка не означала свободную прогулку по всей инфраструктуре. Смысл очень простой: взлом одного узла не должен равняться взлому всего сразу.
Следующий уровень — доступ. Даже внутри сети пользователь, сервис или администратор не должны иметь больше, чем им реально нужно. Минимальные привилегии звучат банально ровно до первого инцидента, после которого выясняется, что одна скомпрометированная учётная запись видела слишком много, могла слишком много и вообще жила лучше, чем должна была. Там, где права раздаются “на всякий случай”, атакующий обычно получает готовый эскалатор.
Дальше — сами хосты. Серверы и конечные АРМ не должны существовать в режиме “лишь бы работало”. Антивирус, EDR, контроль запуска, ограничения макросов и скриптов, защита от несанкционированного ПО, контроль устройств, отключение лишних служб, запрет локального администрирования там, где оно не нужно, — всё это не выглядит таким эффектным, как коробка на периметре, но именно здесь часто ломается реальная атака. Потому что даже, если вредоносный файл дошёл до пользователя, это ещё не значит, что он должен спокойно выполниться, закрепиться, получить права и побежать дальше по сети.
И даже на этом история не заканчивается. Потому что защита — это не только блокирование, но и обнаружение. Если на каком-то этапе атакующий всё же прошёл, его действия должны оставить след. Логи, корреляция, контроль аутентификации, события запуска процессов, сетевые аномалии, обращения к критичным системам, подозрительная активность учётных записей. Без мониторинга любая эшелонированная защита превращается в набор молчащих стен, через которые можно ползти достаточно долго, если никто не смотрит.
И ещё один слой, про который вспоминают слишком поздно: восстановление. Резервные копии, проверка восстановления, изоляция бэкапов, понимание RPO и RTO, отработанный порядок действий. Потому что идеальной защиты не существует. Иногда задача безопасности — не сделать “невозможным” инцидент, а не дать ему стать катастрофой. Это тоже часть эшелонирования. Когда один рубеж не выдержал, второй не остановил, третий заметил слишком поздно, но четвёртый хотя бы позволяет подняться без многонедельного хаоса.
Если упростить, нормальная защита выглядит так: периметр режет лишнее, почта отсекает часть угроз, сегментация не даёт свободно ходить по сети, политики доступа ограничивают возможности, защита хоста мешает запуску и закреплению, мониторинг помогает заметить атаку, а резервное копирование не даёт бизнесу умереть окончательно. Вот это уже похоже на систему. Не на магию. Не на рекламный буклет. На систему.
Хороший способ проверить зрелость архитектуры — задать себе неприятный вопрос: что будет, если один слой не сработает? Не в презентации, а в реальности. Если письмо дошло. Если пользователь кликнул. Если пароль украден. Если внешний сервис всё-таки уязвим. Если подрядчик скомпрометирован. Если ноутбук администратора уже заражён. Если ответ на каждый такой вопрос звучит как “ну тогда всё плохо”, значит никакой эшелонированной защиты пока нет. Есть просто надежда, разложенная по стойкам.
Атакующий вообще очень хорошо чувствует разницу между защитой “для галочки” и защитой, которую реально строили с пониманием. В первом случае после одного успешного шага ему открывается вся инфраструктура. Во втором каждый следующий шаг требует времени, шума, дополнительных инструментов и новых ошибок. И вот именно это и есть цель. Не создать миф о неприступности, а сделать атаку дорогой, долгой, заметной и нестабильной.
Потому что безопасность — это не одна коробка на входе. Это цепочка рубежей, на каждом из которых атака должна либо умереть, либо хотя бы споткнуться, засветиться и потерять темп.
И если вся ваша защита сегодня держится на одной “умной” железке, одном продукте или одной надежде, то это не эшелонированная защита. Это просто очень дорогой способ успокаивать себя до первого серьёзного инцидента.
Добавить комментарий