«Жить в иллюзии, что можно создать абсолютно безопасную систему, — значит заведомо проиграть. Настоящая безопасность — это не состояние, а процесс управления рисками, которые нельзя устранить, а можно только грамотно локализовать и контролировать. И главный парадокс в том, что интернет, будучи источником угроз, становится и ключевым инструментом для их парирования.»
Векторы атаки, которые не увидит формальная проверка
Подход к выполнению требований 152-ФЗ часто скатывается к механическому набору действий: установили сертифицированный межсетевой экран, раз в квартал провели сканирование уязвимостей, настроили сбор журналов. Формально всё сделано, но реальная защищенность системы при этом может оставаться низкой. Проблема в том, что цифровая среда не статична, а её угрозы эволюционируют быстрее, чем обновляются регламенты.
Возьмём шифрованный трафик. Массовый переход на HTTPS — безусловное благо для конфиденциальности, но для средств защиты информации (СЗИ) это создаёт серьёзную проблему. Без расшифровки TLS-сессий системы обнаружения вторжений (СОВ) слепы к тому, что внутри туннеля. Злоумышленник может спокойно выносить данные или управлять вредоносным ПО, маскируя всё под легальный зашифрованный обмен. Решение — внедрение систем глубокого анализа трафика (DPI) — упирается не только в производительность, но и в юридические сложности с сертификатами и приватностью.
Ещё один канал — WebSocket. Этот протокол, используемый для интерактивности веб-приложений, часто проходит сквозь стандартные правила межсетевых экранов, разрешающие порты 80 и 443. Для атакующего это готовый канал для скрытого управления, который почти неотличим от обычного веб-трафика. Заблокировать WebSocket — значит сломать функциональность многих сервисов, а разрешить — оставить брешь.
Но самая сложная проблема — это человек. Современный фишинг использует легитимные облачные платформы для документов и заметок. Сотрудник получает ссылку, ведущую на внешне настоящий сервис, где его просят авторизоваться. Утечка учётных данных происходит через полностью доверенный домен. Запретить все внешние ресурсы невозможно, а отделить такую атаку от нормальной работы по формальным признакам — крайне сложно.
[ИЗОБРАЖЕНИЕ: Диаграмма, показывающая, как различные векторы атак (шифрованный трафик, WebSocket, фишинг через облачные сервисы) обходят классические средства защиты, сфокусированные на периметре.]
Экономика защиты: почему гонку за панацеей выиграть нельзя
Затраты на защиту и атаку несопоставимы. Организация должна закрыть все возможные векторы, постоянно обновлять сигнатуры, обучать сотрудников и обслуживать сложные СЗИ. Атакующему же достаточно найти одну ошибку в конфигурации, одну неисправленную уязвимость или одного невнимательного пользователя. Его инвестиции в прорыв обороны на порядок ниже.
Эта диспропорция усугубляется крахом модели чёткого сетевого периметра. Сотрудники работают из дома и коворкингов, сервисы мигрируют в облака, данные хранятся у сторонних провайдеров. Понятие «внутренняя, доверенная сеть» теряет смысл, а средства защиты, рассчитанные на её границы, становятся малоэффективными.
Индустрия безопасности по определению запаздывает. Правила для СОВ, антивирусные сигнатуры, патчи — всё это реакция на уже совершённые атаки. Пока в одной организации расследуют инцидент и разрабатывают контрмеры, злоумышленники уже используют новые техники. Соответствие формальным требованиям ФСТЭК даёт базовый уровень, но не гарантирует защиты от целевой атаки, использующей неизвестные или цепочки легитимных действий.
Логическая изоляция: суть вместо гиперболы
Идея «отключить интернет» из мема трансформируется в практический архитектурный принцип: если нельзя защитить всё, нужно максимально изолировать самое ценное. Это не про физическое отключение кабеля, а про проектирование системы, где критически важные компоненты логически отделены от шумной и опасной внешней среды.
В контексте 152-ФЗ это напрямую связано с выделением информационных систем персональных данных (ИСПДн) и применением к ним сертифицированных СЗИ. Однако суть не в галочке о выделении, а в реализации принципов, известных как Zero Trust:
- Микросегментация. Внутренняя сеть дробится на мелкие, изолированные сегменты. Доступ между сегментами, даже внутри одного дата-центра, запрещён по умолчанию и разрешается только по явным правилам для конкретных служб.
- Принцип наименьших привилегий. Каждая учётная запись, служба или процесс получают ровно столько прав, сколько нужно для работы, и не более. Учётная запись для мониторинга не должна иметь права на изменение конфигураций.
- Явный контроль всех сессий. Отсутствие правил вида «разрешить любой трафик внутри сегмента А». Каждое сетевое соединение должно быть явно описано политикой безопасности. Это резко сужает пространство для манёвра злоумышленника, даже если ему удастся попасть внутрь.
Таким образом, для ядра критических систем интернет оказывается «отключён»: они общаются с внешним миром только через специально выделенные и строго контролируемые шлюзы в демилитаризованной зоне (ДМЗ), где весь трафик подвергается глубокой проверке.
[ИЗОБРАЖЕНИЕ: Схема архитектуры с ядром (ИСПДн), окружённым микросегментированной внутренней сетью, ДМЗ и внешним интернетом. На стрелках указаны типы политик: «Запрещено по умолчанию», «Разрешено только на порт 8443 с инспекцией TLS», «Доступ только после аутентификации по сертификату».]
Упреждающий мониторинг: интернет как источник данных для защиты
Поскольку полная изоляция не всегда возможна, стратегия для систем, которым нужен внешний доступ, смещается с тотального предотвращения на гарантированное обнаружение и реагирование. Здесь интернет из врага превращается в союзника — в источник данных об угрозах.
Речь идёт о работе с актуальными данными об угрозах. IP-адреса ботнетов, хэши вредоносных файлов, сигнатуры атак на веб-приложения — эти сведения постоянно обновляются. Их можно автоматически получать и применять для превентивной блокировки подозрительного трафика или поиска его следов уже внутри сети.
Второй, более глубокий слой — анализ поведения. Системы, отслеживающие действия пользователей и сущностей, строят эталонный профиль нормальной активности для каждого сотрудника и устройства. Резкое отклонение от этого профиля — например, доступ к бухгалтерской системе из необычной страны в три часа ноти — становится сигналом для расследования. Такой подход позволяет выявлять последствия успешных фишинговых атак на ранних стадиях, до нанесения реального ущерба.
Безопасность перестаёт быть статичным барьером. Она становится непрерывным циклом наблюдения, анализа корреляционных событий и адаптации политик. Гарантировать, что атаки не будет, нельзя. Но можно гарантировать, что её быстро обнаружат, а её воздействие будет ограничено заранее спроектированной архитектурой изоляции.
От соответствия к управлению рисками
Мем про отключение интернета обнажает тупик подхода, где безопасность воспринимается как набор закупленных продуктов. Невозможно купить достаточно СЗИ, чтобы компенсировать фундаментальные риски, присущие глобальной сети.
Выход — в изменении мышления. Критически важные активы должны проектироваться изначально с учётом логической изоляции, применяя микросегментацию и принцип наименьших привилегий как основу архитектуры, а не как дополнение. Для остальных систем фокус смещается с иллюзорной цели «предотвратить всё» на реалистичную — «быстро обнаружить и локализовать».
Интернет не отключают. Его принимают как данность — агрессивную, сложную и небезопасную среду. Защита строится не на попытках сделать эту среду безопасной, а на чётком понимании границ защищаемого и создании таких условий, где даже успешное проникновение не приводит к катастрофическим последствиям. Именно этот подход и демонстрирует зрелость, выходящую за рамки формального соответствия 152-ФЗ.