«Полная видимость, это удобный маркетинговый слоган для продажи SIEM и NDR. Реальность же такова: чем больше данных вы собираетесь в погоне за этим идеалом, тем больше ресурсов уходит на обслуживание этой громоздкой системы, а не на анализ реальных угроз. Тотальный мониторинг создаёт иллюзию безопасности, но парадоксальным образом её ослабляет.»
Достижима ли полная видимость в сети?
Требование «обеспечить непрерывный контроль всех событий» — краеугольный камень многих российских стандартов, таких как Приказ ФСТЭК № 239. Оно транслируется в проекты по развёртыванию тысяч агентов и датчиков. Но если копнуть глубже, становится ясно: задача не в установке оборудования, а в получении осмысленных сигналов. Полная visibility в её буквальном понимании, это утопия для любой сложной инфраструктуры, будь то распределённая сеть филиалов или гибридное облако.
Три фундаментальных ограничения тотального мониторинга
Попытка осветить каждый уголок сети сталкивается с непреодолимыми техническими и практическими барьерами.
Шум и потеря сигнала
Современные системы генерируют терабайты логов ежедневно: служебные протоколы, проверки работоспособности, фоновый трафик контейнеров. Основной объём данных — информационный шум. Создание фильтров, отсекающих этот шум,, это искусство компромисса. Слишком агрессивные правила могут отбросить тонкую аномалию, маскирующуюся под легитимный процесс. В итоге, чем больше сырых данных, тем сложнее разглядеть в них реальную угрозу.
Слепые зоны, которые невозможно ликвидировать
Даже при неограниченном бюджете останутся области, недоступные для классических средств мониторинга.
- Шифрование. Анализ метаданных TLS-сессий (куда, когда, сколько), это лишь бледная тень понимания происходящего. Для дешифрации трафика на лету требуется внедрение MITM-прокси, что влечёт проблемы с производительностью, совместимостью и, в некоторых случаях, с юридическими аспектами обработки персональных данных по 152-ФЗ.
- Внутрихостовая коммуникация. Трафик между микросервисами в рамках одного Kubernetes-нода или взаимодействие через shared memory часто не попадает в классические сетевые интерфейсы. Для его перехвата нужны специализированные агенты на основе eBPF или sidecar-контейнеры в каждом поде, что радикально усложняет инфраструктуру.
- Выделенные и служебные каналы. Трафик в управляющих VLAN (например, для IPMI, iDRAC, сетей хранения) часто сегментирован и физически изолирован. Установка датчиков в этих сегментах может быть невозможна или нежелательна с точки зрения стабильности работы самих систем.
Эволюция атак под существующий мониторинг
Современные целевые атаки строятся на предположении, что у жертвы есть SIEM и NDR. Поэтому используются техники Living-off-the-Land: эксплуатация встроенных в ОС утилит (PowerShell, WMI, PsExec), легитимных средств удалённого администрирования и подписанных драйверов. Действия злоумышленника в таком случае неотличимы от работы системного администратора в рамках его должностных обязанностей. Никакой объём пассивных логов не выявит такую активность без глубокого поведенческого анализа и понимания контекста.
Регуляторика: требование не «видеть всё», а «контролировать риски»
Ключевое непонимание возникает при чтении таких документов, как Приказ ФСТЭК № 239. Регулятор не требует технической возможности записать каждый бит, прошедший через сеть. Требуется реализовать систему обнаружения вторжений (СОВ), способную выявлять инциденты информационной безопасности, соответствующие утверждённой модели угроз.
Это смещает акцент:
- От тотального сбора — к приоритизации. Сначала определяется, что является критическим информационным ресурсом (КИР) согласно 152-ФЗ и внутренним регламентам.
- От сырых данных — к корреляционным правилам. Ценность представляет не лог сам по себе, а сработавшее правило корреляции в SIEM/СОВ, которое свидетельствует о потенциальном инциденте. Например, «неуспешная аутентификация учётной записи привилегированного пользователя с последующей успешной аутентификацией с нового IP-адреса в нерабочее время».
- От процента покрытия — к обоснованию выбора точек контроля. При проверке от вас потребуют не отчёт о 100% охвате сетевых интерфейсов, а документально зафиксированное обоснование: почему датчики стоят здесь, а не там, и как эта конфигурация позволяет обнаруживать угрозы из модели.
Практическая стратегия: управляемая и достаточная видимость
Вместо недостижимого идеала следует внедрять прагматичную модель, построенную вокруг критических активов.
1. От карты рисков — к карте мониторинга
Начните не с выбора вендора, а с моделирования. Ответьте на вопросы: где хранятся персональные данные (ПДн) по 152-ФЗ? Где обрабатывается финансовая отчётность? Как движется конфиденциальная документация? Карта критических потоков данных станет основой для размещения средств контроля. Мониторинг периферийного Wi-Fi для гостей может быть минимальным, в то время как сегмент с базами данных ПДн должен быть оснащён максимально детальным аудитом.
2. Многослойная телеметрия: сеть, хост, приложение, пользователь
Компенсировать слепые зоны на одном уровне можно за счёт данных с другого. Если сетевой датчик видит только факт TLS-соединения с внешним ресурсом, то EDR-агент на хосте может показать, какой процесс установил это соединение и что он перед этим делал в памяти.
| Уровень сбора | Что фиксирует | Как это помогает при слепых зонах |
|---|---|---|
| Сетевой (NTA/NDR) | Метаданные потоков, аномальные порты/DNS-запросы. | Выявляет связь с известными C&C-серверами, даже если трафик зашифрован. |
| Хостовой (EDR, eBPF) | Запуск процессов, внедрение в память, обращения к реестру. | Обнаруживает LotL-активность и малварь, которая не проявляется в сетевом трафике. |
| Прикладной (логи ПО) | Действия пользователя внутри бизнес-приложения. | Показывает аномальные бизнес-операции (например, массовый вывод данных), невидимые на других уровнях. |
| Аутентификация (AD, IAM) | Входы под учётными записями, эскалация привилегий. | Даёт контекст для сетевых и хостовых событий, отделяя действия администратора от злоумышленника. |
3. Акцент на предварительной агрегации и метриках
Прямой сбор всех логов в SIEM экономически и технически неэффективен. Гораздо рациональнее обрабатывать данные на периферии. Например, агент на файловом сервере может не слать каждое событие доступа к файлу, а вычислять и отправлять метрику: «число обращений к каталогу с финансовыми отчётами вне рабочего времени». Это снижает нагрузку на центральную систему и фокусирует внимание на потенциально опасном поведении.
4. Постоянная валидация через Purple Team
Видимость, это не статичная конфигурация, а процесс. Регулярные упражнения, где Red Team моделирует атаки, а Blue Team пытается их обнаружить по данным мониторинга, — единственный способ проверить эффективность. Особенно важны сценарии, эксплуатирующие слепые зоны: использование только легитимных инструментов, работа внутри зашифрованных туннелей. Каждый незамеченный инцидент — не провал, а точное указание, куда направить ресурсы на улучшение.
От количества к качеству: вывод
Полная видимость — мираж, который отвлекает ресурсы и создаёт ложное чувство защищённости. Целью должна быть достаточная и управляемая видимость, сфокусированная на защите критических активов от актуальных угроз.
Соответствие требованиям ФСТЭК и 152-ФЗ доказывается не объёмом собранных логов, а эффективностью процессов. Работоспособная система обнаружения, документированное обоснование архитектуры мониторинга, результаты расследований реальных инцидентов и положительные заключения тестов на проникновение — вот что по-настоящему ценно для регулятора и для безопасности бизнеса. Перестаньте гоняться за каждым байтом в сети. Начните целенаправленно наблюдать за тем, что действительно важно.