Полная видимость в сети: иллюзия или достижимая цель?

от

“Полная visibility в сети, это не цель, а иллюзия. Мы стремимся к ней, но на пути встают фундаментальные ограничения: от шифрования и масштаба до человеческого фактора. Реальная задача — не увидеть всё, а построить такую модель наблюдаемости, которая даёт достаточный контекст для принятия решений в условиях неопределённости.”

Что такое visibility и почему её хотят

В контексте информационной безопасности под visibility понимают способность видеть, что происходит в информационной системе или сети. Это не просто сбор логов, а получение осмысленного, контекстного представления о событиях, связях между ними и их влиянии на бизнес-процессы.

Без visibility безопасность превращается в реактивную игру в «whack-a-mole» — вы реагируете на инциденты постфактум, не понимая их первопричин и взаимосвязей. Полная visibility теоретически позволила бы предсказывать атаки, мгновенно выявлять аномалии и точно оценивать ущерб. Именно эта перспектива делает её такой привлекательной целью для регуляторов, требовательных стандартов вроде 152-ФЗ и внутренних политик компаний.

Фундаментальные барьеры на пути к «полноте»

Стремление к тотальному контролю сталкивается с непреодолимыми на сегодня препятствиями.

Шифрование. Это краеугольный камень современного интернета и защиты данных. TLS, VPN, мессенджеры с end-to-end шифрованием — всё это создаёт «слепые зоны». Анализировать можно только метаданные (кто, когда, с кем соединился), но не содержание трафика. Попытки внедрить MITM-прокси для инспекции трафика нарушают целостность шифрования, создают единую точку отказа и часто противоречат законодательству о тайне связи.

Масштаб и сложность. Современная корпоративная среда, это гибрид из локальных серверов, виртуальных машин, контейнеров, облачных сервисов и удалённых рабочих мест. Трафик может идти в обход корпоративных шлюзов через прямые облачные подключения или личные устройства сотрудников. Получить единую картину из этого разнородного ландшафта технически крайне сложно и дорого.

Человеческий фактор и «тень».

  • Shadow IT: Сотрудники используют неутверждённые облачные сервисы для работы.
  • BYOD (Bring Your Own Device): Личные ноутбуки и телефоны с доступом к корпоративным данным.
  • Социальные инженеры: Атаки, нацеленные на людей, часто не оставляют цифровых следов в системных логах до момента успешного взлома.

Эти каналы по своей природе ускользают от традиционных систем мониторинга.

Технические и регуляторные ограничения

Даже если отбросить фундаментальные барьеры, на пути встают практические и правовые рамки.

Ограничения средств защиты информации (СЗИ). Даже самые продвинутые DLP-системы, SIEM-платформы и NTA-решения имеют пределы. Они оперируют правилами, сигнатурами и базами известных угроз. Атака zero-day или высококвалифицированная целевая атака (APT), использующая легитимные инструменты, может долго оставаться незамеченной.

Регуляторные противоречия. Требования к безопасности часто конфликтуют с другими законами.

  • 152-ФЗ «О персональных данных»: Требует защиты ПДн, но также ограничивает их сбор и обработку без согласия субъекта. Избыточный сбор данных для visibility может нарушить этот закон.
  • Тайна связи (ст. 63 ФЗ «О связи»): Жёстко ограничивает возможности оператора по просмотру содержимого трафика.
  • Трудовое законодательство: Мониторинг действий сотрудников должен быть регламентирован и не должен превращаться в тотальную слежку.

Таким образом, полная visibility не только технически недостижима, но и может быть незаконна.

Прагматичный подход: от «полноты» к «достаточности»

Вместо погони за химерой полной видимости эффективнее строить модель достаточной наблюдаемости. Её принципы:

  1. Контекст важнее объёма. Собранные терабайты логов бесполезны без корреляции и понимания бизнес-контекста. Важнее знать, что «пользователь из отдела бухгалтерии в нерабочее время запускает Powershell-скрипт и устанавливает соединение с внешним IP в нехарактерной для компании подсети», чем просто фиксировать миллионы успешных логинов.
  2. Фокус на критических активах. Нельзя одинаково плотно мониторить всё. Необходимо выделить критические активы (серверы с ПДн, узлы управления технологическими процессами, доменные контроллеры) и выстроить вокруг них максимально детализированную observability.
  3. Многослойность (Defense in Depth). Видимость должна быть распределённой:
    • Уровень сети (NTA/NDR): Анализ потоков трафика, выявление аномалий в коммуникациях.
    • Уровень хоста (EDR/XDR): Мониторинг процессов, автозагрузки, активности на конечных точках.
    • Уровень приложения (APM, AppSec): Контроль за поведением веб-приложений и API.
    • Уровень идентификации (IAM): Анализ событий входа, смены прав, использования привилегированных учётных записей.
  4. Проактивность через моделирование угроз (Threat Modeling). Заранее определите, от каких угроз вы защищаетесь и какие индикаторы компрометации (IoC) для них характерны. Настройте поиск именно под эти индикаторы, а не пытайтесь ловить «вообще всё подозрительное».

Практические шаги для российского IT-специалиста

Как внедрить этот подход в условиях действия 152-ФЗ и требований ФСТЭК?

  1. Инвентаризация и классификация. Составьте реестр информационных активов. Классифицируйте их по критичности (например, по влиянию на непрерывность бизнеса и в соответствии с уровнями защищённости ПДн по 152-ФЗ).
  2. Определение границ наблюдаемости. Чётко зафиксируйте, что и на каком уровне вы мониторите. Это должно быть отражено в организационно-распорядительных документах (приказах, политиках безопасности). Для мониторинга действий пользователей получите согласие в соответствии с ТК РФ.
  3. Внедрение SIEM как центра корреляции. Выберите SIEM-платформу, сертифицированную ФСТЭК (если это требуется). Настройте сбор ключевых логов с критических систем. Не гонитесь за 100% покрытием на старте.
  4. Настройка сценариев реагирования. Определите нормальное (базовое) поведение для критичных систем. Настройте алерты на значимые отклонения. Создайте playbook — инструкции для SOC-аналитика на случай срабатывания таких алертов.
  5. Регулярные упражнения и пересмотр. Проводите учения по реагированию на инциденты. Анализируйте ложные срабатывания и пропущенные угрозы. На основе этого анализа корректируйте правила мониторинга и границы наблюдаемости.

    Заключение: visibility как процесс, а не состояние

Полная visibility в сети — недостижимый идеал. Шифрование, масштабируемость, человеческий фактор и правовые рамки создают принципиальные ограничения.

Однако это не повод для фатализма. Отказавшись от утопичной цели «увидеть всё», можно сфокусироваться на построении адекватной, контекстной и достаточной модели наблюдаемости. Эта модель должна быть привязана к бизнес-рискам, соответствовать российскому законодательству и строиться по принципу «глубокой эшелонированной обороны».

Ключевой вывод: visibility, это не статичное состояние, которое можно однажды достичь и поставить галочку. Это непрерывный адаптивный процесс настройки инструментов, правил и анализа в условиях меняющихся угроз, технологий и бизнес-процессов. Эффективность измеряется не процентом «просматриваемого» трафика, а скоростью обнаружения реальных инцидентов и снижением ущерба от них.

Оставьте комментарий