«Мы автоматически ставим злоумышленника в позицию ‘маленького парня’, потому что это удобно для моделирования угроз. Но эта модель перестаёт работать, когда на кону — геополитика, финансовые схемы или целые государства. Защитная архитектура, построенная на устаревшей предпосылке, рушится при первом же столкновении с реальным противником, который может позволить себе роскошь действовать вне рамок закона и бюджета.»
В российской практике информационной безопасности, особенно в свете требований регуляторов, распространена базовая модель: атакующий обладает ограниченными ресурсами по сравнению с обороняющейся организацией. Эта модель заложена во многие методики оценки угроз и выбора защитных мер. Она интуитивно понятна: казалось бы, крупная компания или госорган с бюджетом на безопасность всегда сильнее одиночного хакера. Однако эта предпосылка всё чаще не соответствует реальности, создавая ложное чувство защищённости.
Откуда взялось это предположение?
Корни этой модели уходят в классическую теорию безопасности и ранние дни интернета. Тогда угрозами чаще были любопытные энтузиасты или небольшие группы, чьи возможности действительно уступали возможностям целевых организаций. Эта парадигма была удобна для формализации:
- Упрощение моделирования: Легче прогнозировать действия противника с ограниченными ресурсами.
- Экономическое обоснование: Защита строится по принципу «достаточной прочности». Зачем строить стену в десять метров, если противник может подкопаться лишь на два?
- Нормативная база: Многие требования регуляторов, включая ФСТЭК и 152-ФЗ, исторически формировались вокруг защиты от утечек и несанкционированного доступа, а не от целевых атак с неограниченным финансированием.
Эта логика проникла в ядро процессов: оценка ущерба, выбор средств защиты, планирование инцидентов — всё отталкивается от неявного допущения о ресурсном превосходстве защиты.
Сценарии, где атакующий оказывается сильнее
Современный ландшафт угроз опровергает старую модель. Есть несколько категорий противников, чьи ресурсы могут превосходить ресурсы конкретной организации-защитника.
Государственно поддерживаемые группы (APT)
Это самый очевидный пример. Такие группы имеют доступ к инструментам, экспертизе и вычислительным мощностям, сопоставимым или превосходящим возможности даже крупных корпораций. Их операции могут длиться годами, а бюджет часто не является ограничивающим фактором. Их цель — не быстрое обогащение, а долгосрочный доступ к информации или критическим процессам.
В российском контекте защита от таких угроз формально заложена в требования к государственным информационным системам и системам критической информационной инфраструктуры (КИИ). Но на практике методики оценки для коммерческих организаций редко учитывают подобный уровень угрозы в полной мере.
Крупные организованные киберпреступные синдикаты
Современная киберпреступность, это высокодоходный бизнес с чёткой специализацией: одни группы разрабатывают вредоносное ПО, другие обеспечивают доступ к инфраструктуре, третьи занимаются отмыванием средств. Их совокупный оборот позволяет инвестировать в исследования уязвимостей (нулевые дни), покупать доступ к скомпрометированным сетям и нанимать высококлассных специалистов. Для многих средних и даже крупных компаний бюджет на безопасность может оказаться скромнее, чем операционный бюджет такой преступной группы.
Конкурентная разведка и корпоративный шпионаж
Здесь атакующим может выступать компания-конкурент, чьи ресурсы сопоставимы или больше. Мотивация — не разрушение, а получение экономического преимущества. Такие атаки точечны, хорошо профинансированы и используют методы, которые сложно отличить от легитимной активности.
Особенность в том, что защита строится не против абстрактного «хакера», а против организации с похожей или превосходящей структурой и возможностями.
Инсайдеры с привилегированным доступом
Это внутренний, а не внешний противник, но он прекрасно иллюстрирует несостоятельность модели «ресурсного превосходства защиты». Инсайдер, особенно из числа администраторов или топ-менеджмента, изначально обладает всеми легитимными правами и знаниями об архитектуре защиты. Его «ресурс», это сама система. На его нейтрализацию могут уйти колоссальные ресурсы, а ущерб бывает катастрофическим.
Почему опасна устаревшая модель?
Опора на предположение о слабом противнике приводит к системным ошибкам в архитектуре защиты.
- Неадекватное распределение ресурсов: Средства вкладываются в защиту периметра от «грубой силы», в то время как целевая атака часто начинается с фишинга или использования легитимных учётных данных, минуя эти барьеры.
- Слабая глубина защиты: Если считается, что прорыв одного рубежа маловероятен, то внутренние сегменты сети и критичные системы могут оставаться слабо защищёнными. Противник же, преодолев периметр, получает практически беспрепятственный доступ.
- Неготовность к длительным инцидентам: Планы реагирования рассчитаны на быстрое сдерживание и восстановление. Атака APT-группы, растянутая во времени, может истощить команду ИБ морально и физически, а бюджет на расследование окажется исчерпан раньше, чем угроза будет полностью устранена.
- Переоценка криптографии: Уверенность, что «достаточно стойкий» алгоритм шифрования защитит данные, игнорирует риск компрометации ключей или использование квантовых компьютеров в будущем противниками государственного уровня.
Как строить защиту без ложных предпосылок?
Отказ от упрощённой модели не означает необходимости защищаться «от всего и всеми силами». Это означает принципиально иной подход к оценке рисков и архитектуре.
Принять принцип «нарушенного периметра»
Исходить из того, что противник уже находится внутри сети. Это смещает фокус с предотвращения проникновения на обнаружение аномальной активности, сегментацию сети и защиту критичных активов по принципу «наименьших привилегий». Технологии User and Entity Behavior Analytics (UEBA) и расширенное управление доступом становятся критически важными.
Оценивать угрозы не по вероятности, а по последствиям
Вместо вопроса «Насколько вероятна атака государственной группы на наш завод?» следует задать вопрос: «Каков будет ущерб, если такая атака всё же произойдёт, и что нужно сделать, чтобы его минимизировать?» Это позволяет выделить ресурсы на защиту именно тех систем, отказ или компрометация которых приведёт к катастрофическим последствиям.
Инвестировать в обнаружение и реагирование
Поскольку предотвратить целевую атаку высокого уровня сложности, бюджет на безопасность должен распределяться не только на средства защиты (фаерволы, антивирусы), но и на систему мониторинга безопасности (SIEM), средства расследования инцидентов (DFIR) и регулярные тренировки команды. Скорость обнаружения и качество реакции становятся ключевыми метриками.
Учитывать человеческий фактор как самый уязвимый ресурс
Даже самый технологичный противник часто ищет путь через человека. Инвестиции в культуру безопасности, регулярное обучение сотрудников и моделирование целевых фишинговых атак, это не трата на «слабое звено», а защита от противника, который точно знает, как это звено использовать.
Предположение о слабом атакующем было удобной точкой отсчёта, но сегодня оно стало опасным анахронизмом. Реальная безопасность начинается с честного ответа на вопрос: «А если противник будет умнее, настойчивее и богаче нас?» Архитектура, построенная с учётом этого сценария, оказывается устойчивее не только к целевым атакам, но и к более простым угрозам, создавая тот самый запас прочности, которого так часто не хватает в моменты кризиса.