Почему Defense in Depth часто создаёт иллюзию контроля, а не реальную защиту

от

"Принцип «защиты в глубину» давно стал догмой, но его слепое применение часто имитирует контроль, не справляясь с реальными атаками. Вместо наслоения устаревших средств нужно думать как нарушитель и выстраивать защиту от конкретных угроз."

Действительно ли «защита в глубину» работает или это иллюзия контроля?

Концепция «защиты в глубину» (Defense in Depth, DiD) преподносится как фундаментальный принцип информационной безопасности. Суть проста: если один рубеж защиты падёт, его подстрахует следующий. Кажется логичным. Но на практике эта идея часто вырождается в механическое нагромождение технологических барьеров — межсетевых экранов, систем обнаружения вторжений, антивирусов. Всё это создаёт у менеджмента и аудиторов ощущение «полного контроля», в то время как реальная безопасность системы остаётся иллюзией.

Проблема не в самой идее слоёв, а в её догматическом и бессистемном применении. Защита ради галочки, а не для нейтрализации конкретных угроз.

От стратегии к ритуализму: почему слои перестают работать

Изначально Defense in Depth была военной доктриной, где каждая линия обороны имела тактическое значение и замедляла противника, позволяя подготовить контрудар. В IT-безопасности эту метафору перенесли буквально, но упустили ключевой элемент: понимание тактики и целей «противника».

Современный нарушитель редко идёт в лобовую атаку. Он ищет слабейшее звено в цепочке, которое часто находится вовсе не на периметре. Классическая многослойная защита, сфокусированная на границе сети, может пропустить атаку через фишинг, приводящий к компрометации учётной записи рядового сотрудника. Все последующие слои, настроенные на анализ сетевого трафика, окажутся бесполезны, если атакующий уже внутри и действует с легитимных учётных данных.

Основные ловушки ритуализма:

  • Фетишизация периметра. Инвестиции концентрируются на «крепостной стене» (Next-Gen Firewall, WAF), в то время как внутренняя сеть остаётся «мягкой» и плохо сегментированной.
  • Несвязанные слои. Системы не обмениваются контекстом. Межсетевой экран не знает об аномалиях, обнаруженных SIEM, а EDR на рабочей станции не может дать команду на блокировку IP на маршрутизаторе.
  • Иллюзия проверки. Отдел безопасности отчитывается количеством развёрнутых средств защиты (у нас есть 7 слоёв!), а не их эффективностью против актуальных угроз. Это соответствует формальным требованиям регуляторов, но не закрывает реальных уязвимостей.

    Тактика нарушителя против статичной защиты

Чтобы понять уязвимость стандартного подхода, нужно сменить перспективу. Атакующий видит не слои, а поверхность атаки — совокупность всех векторов, от человеческого фактора до уязвимостей в облачных API.

  1. Разведка. Нарушитель изучает не только технологический стек, но и организационную структуру компании через LinkedIn, определяя потенциальных жертв для фишинга или инсайдерских угроз. Ни один технический слой защиты на этом этапе не работает.
  2. Первичный доступ. Чаще всего это не взлом, а обман: фишинговое письмо, компрометация учётных данных через утекшие пароли. Защита на этом этапе, это не столько firewall, сколько обучение пользователей и система MFA.
  3. Горизонтальное перемещение. Получив доступ к одной системе, атакующий исследует внутреннюю сеть. Здесь решающую роль играет не количество слоёв, а их качество: строгая сегментация (микросетевое разграничение), управление привилегированными доступами (PAM) и анализ поведения.
  4. Достижение цели. Завершающая стадия — exfiltration данных или разрушение. На этом этапе могут сработать системы DLP или аномалий в исходящем трафике, но если предыдущие шаги прошли незамеченными, часто бывает уже поздно.

Типичный сценарий, обходящий классическую DiD:

  1. Через фишинг получаются учётные данные сотрудника в O365.
  2. Через веб-интерфейс Outlook читается переписка, находятся данные для доступа к тестовому окружению.
  3. Из тестового окружения, благодаря слабой сегментации, находится путь к продакшен-базе данных.
  4. Данные выгружаются через тот же легитимный канал O365 (OneDrive, SharePoint), который редко блокируется DLP.

Все «слои» периметральной защиты остались нетронутыми.

«Умная» глубина: от наслоения к интеграции и тестированию

Эффективная защита в глубину, это не набор изолированных продуктов, а связанная система, построенная вокруг гипотез о возможных атаках.

Ключевые принципы переосмысления:

  • Угроза как дизайн-спецификация. Проектирование защиты начинается с моделирования конкретных атакующих методик (например, по框架 MITRE ATT&CK). Для каждого этапа атаки определяется, какой контроль его обнаружит или предотвратит, и как эти контроли будут обмениваться информацией.
  • Сегментация как главный внутренний слой. Внутренняя сеть должна быть разделена на изолированные сегменты (например, по принципу нулевого доверия). Падение одного сегмента не должно означать компрометации всей сети. Это реализуется не только VLAN, но и strict access control lists (ACL) на уровне хостов, например, через хост-файрволлы.
  • Единый контекст и оркестрация. Системы должны работать совместно. Событие от EDR на рабочей станции должно автоматически обогащаться данными из SIEM, порождать инцидент и, при подтверждении угрозы, автоматически давать команду сетевому оборудованию на изоляцию заражённого сегмента.
  • Регулярное доказательство работоспособности. Единственный способ проверить эффективность слоёв — регулярные упражнения по проникновению (penetration tests, red teaming) и симуляции атак (purple teaming). Это стресс-тест для всей системы защиты.

    Пример: защита корпоративного web-приложения

Рассмотрим не абстрактные слои, а прикладную реализацию для защиты финансового приложения.

Угроза / Этап атаки Наивная DiD (иллюзия контроля) Интегрированная DiD (рабочая защита)
Разведка (Reconnaissance) Не рассматривается как техническая угроза. Мониторинг публичных ресурсов (Git, соцсети) на утечку служебной информации; использование WAF в режиме «невидимости» для скрытия истинной структуры бэкенда.
Доступ к управлению (Initial Access) Периметральный фаервол, пропускающий HTTPS-трафик на порт 443. WAF с правилами защиты от известных уязвимостей (OWASP Top 10), обязательная MFA для всех административных интерфейсов, система управления сессиями.
Поиск уязвимостей (Discovery) Система предотвращения вторжений (IPS) с generic-правилами. Агент EDR на сервере приложения, отслеживающий аномальные процессы (например, запуск сканеров); honeytoken-базы данных внутри среды для обнаружения несанкционированного доступа.
Углубление (Lateral Movement) Доверенная внутренняя сеть. Строгая микросетевая сегментация. Доступ с сервера приложений к базе данных разрешён только по специфичному порту и с конкретного IP. Все соединения логируются и анализируются на предмет аномалий.
Кража данных (Exfiltration) DLP на границе, проверяющий исходящий HTTP-трафик. Политика DLP, интегрированная с EDR и SIEM. Любая попытка массового копирования данных с сервера триггерит автоматическое оповещение и приостановку сессии. Плюс шифрование данных в rest, делающее кражу бесполезной без ключей.

Практические шаги: как перестать имитировать и начать защищать

  1. Проведи инвентаризацию текущих средств. Составьте не просто список технологий, а карту их взаимодействия. Какие данные и события передаются между WAF, NGFW, EDR, SIEM? Если их интеграция ограничена ручным просмотром логов в разных консолях, это не связанная защита.
  2. Примените подход, основанный на угрозах. Выберите 2-3 наиболее вероятных и критичных сценария атаки на ваш бизнес (например, компрометация бухгалтерии через фишинг с целью мошеннических платежей). Постройте защиту именно под эти сценарии, убедившись, что на каждом этапе есть работающий контроль.
  3. Внедряйте сегментацию постепенно. Начните не с глобальной перестройки сети, а с выделения и усиленной защиты наиболее ценных активов (платёжные системы, базы персональных данных). Изолируйте их в отдельный сегмент с максимально жёсткими правилами доступа.
  4. Автоматизируйте реагирование. Настройте хотя бы несколько простых playbooks в SOAR или SIEM. Например: «Если EDR на 3 разных рабочих станциях в одном отделе зафиксировал запуск подозрительного PowerShell-скрипта — автоматически повысить уровень угрозы в SIEM, изолировать эти станции от критичных сегментов сети и отправить оповещение аналитику».
  5. Тестируйте постоянно. Планируйте не разовые пентесты, а регулярные упражнения по киберзащите. Синие команды (защитники) должны оттачивать навыки обнаружения и реагирования на действия красных команд (атакующих). Это единственный способ понять, какие из ваших «слоёв» реально работают.

Defense in Depth не умерла — она просто выросла из детских штанишек механического наслоения. Её эффективность определяется не количеством закупленных решений, а глубиной понимания угроз, связанностью контрмер и постоянной проверкой их на прочность. В условиях российского регуляторного поля, где формальное соответствие 152-ФЗ и требованиям ФСТЭК иногда становится самоцелью, особенно важно не подменять реальную безопасность её симулякром. Иллюзия контроля опаснее, чем признание своей уязвимости, потому что первое лишает мотивации что-то менять.

Оставьте комментарий