«Когда защиту строят слоями, часто не считают, сколько этих слоёв пробивает один меткий снаряд.»
Что прячется за Defense in Depth
Defense in Depth – стратегия информационной безопасности, которая использует несколько уровней защиты. Если один слой падает, следующий должен остановить угрозу. Исторически подход восходит к военному делу: чтобы добраться до крепости, нужно пройти ров, взять ворота, пробить стены.
В IT это выглядит как настройка межсетевых экранов, систем обнаружения вторжений, антивирусов, контроля доступа и шифрования. Каждый инструмент решает свою задачу, а вместе они должны создавать неприступный барьер.
Но здесь начинается первая ловушка: слои защиты часто создают не по единой логике угроз, а по принципу «а вот ещё поставим». Вместо системы появляется набор разрозненных продуктов. У каждого – свой интерфейс настройки, свои логи, своя картина мира. Оператору приходится следить за десятком консолей, и связь между событиями в них видна не всегда.
Вторая проблема – иллюзия контроля. Когда в отчёте перечислены десятки защитных мер, создаётся ощущение, что система надёжна. Но многие из этих мер могут быть устаревшими, неправильно настроенными или просто неактуальными для реальных угроз. Слой есть, но он бумажный.
Где Defense in Depth даёт сбой
Практика показывает, что многослойная защита часто проигрывает не массированной атаке, а целенаправленному и умному воздействию. Злоумышленник не ломится в лоб, а ищет слабое звено – тот самый один слой, который окажется тоньше остальных.
Рассмотрим типичные сценарии.
Уязвимость на стыке слоёв
Каждый слой защищает свой периметр, но между ними остаются щели. Например, файрвол фильтрует входящий трафик, но если атака идёт через разрешённый порт или легитимный сервис, он её пропускает. Система обнаружения вторжений может её заметить, но если сигнатура атаки неизвестна или трафик зашифрован, сработает следующий уровень – антивирус на конечной точке. Но если вредоносный файл использует неизвестную уязвимость или легитимный инструмент, антивирус его не увидит. Все слои были на месте, но угроза прошла по швам между ними.
Именно так работают многие современные атаки: они используют не одну уязвимость, а цепочку действий, каждое из которых само по себе может выглядеть нормально.
Человеческий фактор как главный слой
Самый ненадёжный элемент в любой системе – человек. Социальная инженерия, фишинг, банальные ошибки конфигурации сводят на нет работу технических средств. Можно иметь идеально настроенный файрвол, но если сотрудник перешлёт учётные данные в ответ на письмо от «техподдержки», злоумышленник окажется внутри сети, минуя все внешние барьеры.
Defense in Depth часто фокусируется на технологиях, забывая, что первый и последний рубеж – это люди и их подготовленность.
Сравнение с российскими регуляторными подходами
В российском регулировании, особенно в рамках 152-ФЗ и требований ФСТЭК, подход, похожий на Defense in Depth, заложен по умолчанию. Стандарты предписывают комплекс мер: организационных, технических, программных. Нужен и парольная политика, и журналирование, и антивирусная защита, и межсетевые экраны.
Однако формальное выполнение этих требований не равно созданию реальной защиты. Организация может пройти аттестацию, имея на бумаге все необходимые слои, но на практике её инфраструктура останется уязвимой.
- Аттестация по требованиям. Проверяется наличие мер, а не их эффективность и взаимосвязь. Система может считаться защищённой, даже если её слои не взаимодействуют друг с другом.
- Статичность защиты. Требования часто задают статичную картину: должны быть средства обнаружения, анализа, предотвращения. Но они не предписывают, как эти средства должны динамически реагировать на новые типы угроз, которые не были известны на момент разработки стандарта.
- Фокус на периметр. Традиционный регулируемый подход силён в защите периметра сети, но слабее при защите данных и приложений внутри, особенно в эпоху облаков и удалённой работы.
регулирование задаёт многослойный каркас, но не гарантирует, что этот каркас будет живым и отзывчивым.
От Defense in Depth к Zero Trust
Zero Trust предлагает иную философию: «никому не верь, проверяй всегда». Вместо построения концентрических колец защиты вокруг «доверенной» внутренней сети, Zero Trust предполагает, что угроза может быть где угодно, в том числе внутри.
Каждый запрос к ресурсу – будь то извне или из локальной сети – проходит проверку на аутентификацию, авторизацию и соответствие контексту. Доступ предоставляется минимально необходимый и только на время выполнения задачи.
| Параметр | Defense in Depth | Zero Trust |
|---|---|---|
| Основной принцип | Много слоёв защиты вокруг периметра | Никакого доверия по умолчанию, проверка каждого запроса |
| Фокус | Граница сети, точка входа | Отдельные ресурсы (данные, приложения), идентичность пользователя |
| Реакция на угрозу | Остановить на одном из внешних рубежей | Не дать доступ к ресурсу, даже если злоумышленник уже внутри сети |
| Роль внутренней сети | Считается условно доверенной после прохождения периметра | Считается такой же опасной, как и интернет |
Zero Trust не отменяет Defense in Depth, но меняет его архитектуру. Слои защиты теперь строятся не вокруг сети, а вокруг каждого критичного актива. Шифрование, строгая аутентификация, микросетевое сегментирование становятся теми самыми новыми, более интеллектуальными слоями.
Как сделать Defense in Depth эффективным
Чтобы многослойная защита не превратилась в коллекцию бесполезных барьеров, её нужно проектировать иначе.
- От угроз к слоям. Не начинать с выбора продуктов. Сначала определить, от каких конкретных угроз нужно защищаться, какие активы наиболее ценны, какие пути атаки наиболее вероятны. Только потом подбирать контрмеры, которые перекрывают эти пути, создавая настоящие, а не бутафорские слои.
- Интеграция вместо изоляции. Разрозненные системы должны обмениваться данными. Триггер от системы обнаружения вторжений должен автоматически ужесточать правила на файрволе или блокировать учётную запись в системе контроля доступа. Один слабый сигнал из трёх разных систем вместе может дать чёткую картину атаки.
- Регулярная проверка на прочность. Единственный способ узнать, работают ли слои – постоянно их тестировать. Penetration testing, red teaming, моделирование атак позволяют увидеть, какие слои пробиваются в первую очередь, и усилить именно их.
- Смещение фокуса на данные и идентичность. Самый ценный актив – данные. Защита должна строиться вокруг них: шифрование, контроль доступа на уровне записей, мониторинг аномальных действий с данными. Идентичность пользователя или системы становится новым периметром.
Заключение: иллюзия или реальность?
Defense in Depth – не иллюзия, но она легко становится ею при формальном подходе. Сама по себе стратегия логична и физически обоснована. Проблема в её реализации.
Эффективность Defense in Depth определяется не количеством слоёв, а их качеством, актуальностью и, главное, взаимосвязью. Один интегрированный и правильно настроенный комплекс, реагирующий на угрозы как единое целое, надёжнее десятка разрозненных продуктов, купленных для галочки в чек-листе регулятора.
Современная эволюция подхода – это переход от защиты периметра к защите каждого ресурса и каждой транзакции, что и воплощает в себе Zero Trust. В этом смысле Defense in Depth не умирает, а трансформируется, становясь более умной, адаптивной и сфокусированной на главном.