Бюджет есть, защиты нет: почему архитектура важнее арсенала

Немного о философии ИБ

В 2025 году число атак на российские компании выросло более чем вдвое. Целью становятся все — от крупных корпораций до салонов свадебного декора. Почему происходят взломы и утечки? Дело не в недостатке инструментов защиты — их хватает.

Многие компании годами усиливают защиту по принципу «чем больше, тем лучше»: добавляют новые средства мониторинга, ужесточают регламенты, расширяют набор превентивных мер. Система становится сложнее и дороже, но не обязательно устойчивее. Такой подход позволяет закрывать отдельные уязвимости и выполнять требования регуляторов. В то же время он не отвечает на главный вопрос: какую именно ценность защищает компания и зачем?

Речь о том, как организация понимает важность информации, ответственность за неё и место человека в этом процессе. Именно это определяет, какие меры защиты будут приоритетными, каким образом распределяются ресурсы, как строится взаимодействие между техническими и управленческими отделами и т. д. Чтобы ИБ-система работала, ей нужна индивидуальная стратегия, основанная на принципах и парадигмах, которые учитывают размер и специфику организации, зрелость процессов и реальные риски.

Философия ИБ — это не набор готовых правил и решений, а способ мышления, где безопасность — не цель, а инструмент для развития организации. Такой подход помогает объединить ценности, стратегию и технологические решения в единую систему. Безопасность перестаёт быть отдельной функцией «для айтишников», а становится частью того, как живёт и работает вся организация, она влияет на решения руководства, на процессы, на культуру и поведение сотрудников.

Какие принципы и подходы стоит пересмотреть

Защита по периметру: границы размыты. Брандмауэры, системы предотвращения вторжений, антивирусы на шлюзах — классический набор «стены вокруг замка». Такой подход работал в эпоху локальных сетей, когда всё ценное было внутри, а угрозы — снаружи. Сегодня этого уже недостаточно. В числе причин:

1. Изменение периметра
   В эпоху облачных вычислений, мобильных технологий и IoT границы сети становятся всё более размытыми. Персонал работает удалённо, используя личные устройства для доступа к корпоративным ресурсам. Это создаёт новые точки входа, которые сложно контролировать с помощью периметрической защиты.
2. Внутренние угрозы
   Значительная часть инцидентов связана со слабыми паролями от учётных записей, недостатками контроля доступа, использованием уязвимостей в известном ПО. Принцип защиты по периметру не учитывает такие угрозы и не способен как следует им противостоять.
3. APT (Продвинутые постоянные угрозы)
   APT могут оставаться незамеченными в течение длительного времени, медленно распространяясь внутри сети и собирая конфиденциальную информацию. Периметрическая защита часто не в состоянии их обнаружить, так как они используют легитимные каналы для проникновения и действия внутри сети.
4. Ложное чувство безопасности
   Рассчитывая на периметрическую защиту, организации могут заблуждаться относительно своей уязвимости. Это может привести к недооценке необходимости внедрения дополнительных мер безопасности, таких как шифрование данных, управление доступом и обучение персонала.
5. Сложность управления и масштабирования
   По мере роста организации и усложнения её инфраструктуры, управление становится всё более трудоёмким. Добавление новых элементов защиты может привести к увеличению сложности сети и, как следствие, к появлению новых уязвимостей.

Игнорирование человеческого фактора. Некоторые компании строят защиту так, словно сотрудники никогда не открывают подозрительные письма, всегда ставят сложные пароли, регулярно их меняют и, разумеется, точно следуют инструкциям безопасников. Но реальность сурова. Опытный администратор может ошибиться при настройке прав доступа, а бухгалтер — ввести пароль на фишинговом сайте. Такое случается даже в крупных высокотехнологичных организациях. Например, в прошлом году сотрудник xAI выложил на GitHub приватный ключ, который открывал доступ к внутренним данным компаний Tesla, SpaceX и X. Два месяца он был у всех на виду. Архитектура ИБ должна предусматривать такие ошибки (например, создавать ключи с коротким сроком жизни, строго сегментировать доступ) и оперативно блокировать последствия.

Как проявляется недооценка человеческого фактора:

• Считается, что сотрудники будут соблюдать правила и процедуры ИБ без системного обучения и мотивации.
• Системы ИБ проектируются преимущественно как технические решения, без учёта вовлечённости и ответственности пользователей.
• Формированию корпоративной культуры безопасности не уделяется должного внимания, а осведомлённость о рисках и личная ответственность сотрудников не являются приоритетом.

«Неуловимый Джо». Некоторые специалисты ИБ и руководители всё ещё убеждены, что их компания вряд ли привлечёт внимание хакеров: «Наши данные никому не интересны, у нас нечего взять, мы маленькие». Однако нередко взлом происходит не из-за особого интереса к конкретному бизнесу, а из-за наличия уязвимостей.

Злоумышленники не всегда выбирают цель вручную — они запускают ботов, которые 24/7 прочёсывают интернет в поиске устаревших плагинов в WordPress, открытых портов удалённого доступа, паролей из серии «12345». Нашли уязвимость — автоматически внедрили код. На вас напали не потому, что «вы важны», а потому, что доступны.

Порой достаточно всего нескольких минут, чтобы скомпрометировать «защищённую» сеть. При этом хакеры могут оставаться незамеченными в системе годами. Например, самое длительное время присутствия злоумышленников в системе — более 8 лет.

Что можно взять на вооружение

Assume Breach: всегда готов. Атака прошла успешно, хакер уже в системе, компания скомпрометирована, ваши действия? Такова логика парадигмы Assume Breach («Предположение о проникновении»). Суть стратегии — признание того, что нарушение безопасности системы — это не вопрос «если», а вопрос «когда». Основная задача — минимизировать последствия потенциальных инцидентов, а не только стремление предотвратить проникновение угроз.

Четыре ключевых принципа Assume Breach:

1. Признать неизбежность компрометации. Это позволяет быстрее выявлять вторжения, поскольку команды активно ищут угрозы, а не просто ждут срабатывания оповещений.

2. Сфокусироваться на обнаружении и реагировании. Если злоумышленники уже находятся внутри сети, именно способность быстро их выявить и устранить определяет масштаб последствий инцидента. Это означает перераспределение ресурсов безопасности в сторону систем мониторинга, проактивного поиска угроз и разработки сценариев реагирования на инциденты.

3. Сегментировать и локализовывать. Архитектура сети должна ограничивать возможности перемещения атакующих внутри неё. Это предполагает сегментацию, внутренние границы и механизмы контроля. Сеть воспринимается как совокупность защищённых зон, а не единый периметр.

4. Постоянно тестировать. Регулярные учения и моделирование атак формируют у команд ИБ опыт и необходимые реакции для действий в реальных инцидентах. Такое тестирование включает:

• Red Teaming («Красная команда»). Команда специалистов, которая проводит симуляции атак на ИТ-инфраструктуру компании, имитируя действия хакеров. Цель упражнений — не только обнаружить слабые места, но и проверить эффективность существующих защитных механизмов и процедур реагирования на инциденты.
• Purple Teaming («Фиолетовая команда»). Формат «совместных учений», где действиям Red Teaming противостоит Blue Team («Синяя команда») — группа специалистов по защите. Они отвечают за обнаружение атак и реагирование на них в режиме реального времени. Такой метод позволяет не только выявлять уязвимости, но и совершенствовать навыки и процедуры по обеспечению защиты.
• Киберучения. Комплексные тренировки технического персонала, руководства, а также сотрудников, не связанных напрямую с ИТ-сферой. Цель — проверить готовность всей организации к инцидентам ИБ. Учения могут включать в себя не только симуляцию кибератак, но и реакцию на утечку данных, обработку запросов от прессы и клиентов, а также восстановление после инцидентов.

Zero trust: тотальное недоверие. Концепцию «нулевого доверия» предложил в 2010 году специалист по кибербезопасности консалтинговой компании Forrester Research Джон Киндерваг. В традиционной модели защиты есть «свои внутри» и «чужие снаружи». В парадигме Zero Trust этого разделения нет: угроза может быть везде — в облаке, на ноутбуке сотрудника, в учётной записи подрядчика. Поэтому система автоматически не доверяет никому.

Принципы Zero Trust:

1. Непрерывный мониторинг и валидация. По умолчанию ни один ресурс сети не считается доступным. Пользователи, устройства и рабочие нагрузки обязаны проходить проверку для доступа к любым ресурсам. Такие проверки выполняются каждый раз при установлении соединения. Соединения находятся под постоянным наблюдением и требуют периодической повторной аутентификации для продолжения сессии.

2. Предположение о компрометации. Команды ИБ исходят из того, что злоумышленник уже мог получить доступ к сетевым ресурсам. Но если в Assume Breach задача «как минимизировать ущерб?», то в Zero Trust — «как не дать хакеру увидеть всё?». Даже получив учётные данные, злоумышленник упрётся в микросегментацию: база клиентов, биллинг и СКУД живут в изолированных зонах. Каждая требует отдельной авторизации. Взлом превращается из катастрофы в локализованный инцидент, устранение которого займёт часы, а не месяцы. также подход предполагает постоянный мониторинг всех активов, пользователей, устройств и процессов и оперативную реакцию на аномальное поведение в реальном времени.

Что требует применение Zero Trust на практике:

• Проведение аудита всех активов и потоков данных.
• Классификация данных и ресурсов по степени конфиденциальности.
• Разработка и реализация политик на основе микросегментации.
• Внедрение средств многофакторной аутентификации.
• Обеспечение мониторинга и аналитики безопасности.
• Обучение персонала принципам и практикам Zero Trust.

PoLP: меньше да лучше. Principle of least privilege — принцип наименьших привилегий. Эта парадигма возникла как ответ на проблему злоупотребления доступами и человеческих ошибок. Микросегментация, как в случае Zero Trust, — это первый слой обороны. Второй — детализация прав внутри сегмента. PoLP определяет, что именно может пользователь делать в сети и сколько времени ему на это выдать. Например, может ли администратор выгрузить базу данных или ему разрешено только перезагрузить сервер без права менять конфигурацию и читать логи? Когда у него отозвать все права? При таком подходе даже в случае компрометации отдельного компонента системы злоумышленник не сможет получить контроль над всей системой или доступ к конфиденциальным данным.

Следование PoLP помогло бы избежать одной из крупнейших в истории атак на ретейл. Американскую сеть Target взломали в 2013 году, но этот случай вспоминают и анализируют до сих пор. Хакеры проникли через учётную запись подрядчика, обслуживающего кондиционеры. Компания предоставила ему избыточные права — доступ не только к системе климат-контроля, но и к сети магазинов. Результат: утечка данных 40 млн дебетовых и кредитных карт, а также личной информации ещё 70 млн покупателей.

• Практическое применение принципа. В операционных системах это означает создание учётных записей пользователей с ограниченными правами. В сетевой инфраструктуре применение PoLP ведёт к тщательной настройке правил доступа к ресурсам и сегментации сети. В области разработки ПО принцип требует от разработчиков создания приложений, которые работают с минимально возможными правами и ограничивают доступ к системным ресурсам.
• Вызовы и проблемы. Одной из основных является сложность определения оптимального уровня привилегий, особенно для администраторов, инженеров и т. д. Подход требует глубокого понимания бизнес-процессов, а также технических аспектов работы информационных систем. Кроме того, существует риск создания излишних неудобств и возникновения ограничений в доступе к необходимым для работы ресурсам.

Defense in Depth: избыточность как норма. В основе парадигмы «Защита в глубину» — понимание того, что ни один слой защиты не является абсолютно надёжным. Она выросла из военной стратегии и была адаптирована к информационной безопасности как ответ на усложнение кибератак и инфраструктуры.

Например, в 2021 году оператор крупнейшего в США трубопровода Colonial Pipeline вынужден был полностью остановить работу после взлома ИТ-системы: хакеры влезли в сеть через украденный пароль сотрудника. Отсутствие многослойной защиты превратило один скомпрометированный аккаунт в паралич КИИ.

Подход предполагает создание многоуровневой системы защиты, где безопасность информсистем обеспечивается за счёт ряда последовательных барьеров — чем больше, тем лучше. Если злоумышленники преодолеют самый внешний слой защиты, они будут сталкиваться с сопротивлением по мере продвижения внутрь системы. Чем глубже они проникают, тем более уязвимыми становятся. Подход не только затрудняет злоумышленникам доступ к ценной информации и ресурсам, но и обеспечивает возможность обнаружения и реагирования на инциденты ИБ на разных уровнях.

«Защита в глубину» не является статичной концепцией; она требует постоянного анализа угроз, оценки рисков, обновления защитных мер и адаптации к изменениям в сфере ИБ.

Как достичь максимальной эффективности ИБ

Любая парадигма не существует сама по себе — она опирается на конкретные базовые принципы, по которым строится архитектура защиты. Некоторые из них:

• Нулевая терпимость к внутреннему мошенничеству. Этот принцип подразумевает строгую политику в отношении любых действий сотрудников, которые могут быть расценены как мошенничество или злоупотребление полномочиями. Сотрудники должны знать, что любые попытки несанкционированного доступа, использования или раскрытия информации должны быть немедленно расследованы и приведут к дисциплинарным мерам — вплоть до увольнения и юридической ответственности.
• Риск-ориентированный подход. Он предполагает, что меры по ИБ должны основываться на анализе рисков. Ресурсы на защиту информации распределяются не равномерно, а с учётом категории риска — потенциальной угрозы и величины возможного ущерба для организации. Приоритет отдаётся защите наиболее ценных и уязвимых активов.
• Постоянный анализ информационного пространства и трудового процесса. Организациям необходимо регулярно проводить аудит и мониторинг информсистем, чтобы своевременно выявлять новые угрозы и уязвимости. Это включает в себя не только технические аспекты, но и анализ поведения сотрудников, бизнес-процессов и внешнего окружения.
• Персонификация, разделение ролей и ответственности между сотрудниками. Каждый работник должен иметь чётко определённые обязанности и полномочия, соответствующие его роли в организации. Системы управления доступом обеспечивают каждому пользователю доступ только к тем ресурсам, которые необходимы для выполнения его работы.