Defense-In-Depth

Ну что, дорогие читатели, настало время познакомиться, разобрать или просто вспомнить очередной кибербезопасный термин. Об этом регулярно спрашивают на собеседованиях, это повсеместно применяется на практике, с этой концепцией многие знакомы, но просто не знают, как она называется. Собственно, сегодня у нас на очереди красивое словосочетание Defense-In-Depth.

Термин эшелонированная защита (defense-in-depth) – позаимствован изначально из военной лексики, где обозначает рассредоточение войск на несколько линий обороны. Эшелоны, то есть подразделения, располагаются в глубину друг за другом на выбранной дистанции. Они не зависят друг от друга, и цель каждой группы — задержать противника.

В информационной безопасности цель эшелонированной защиты — выявить и отфильтровать любую вредоносную информацию или активность. Идея проста: если атакующие смогли преодолеть один уровень защиты, они задержатся на следующем. А пока они пробираются через эти барьеры, мы уже узнаем об их присутствии и успеем среагировать.

Представьте защиту дома: вы ставите крепкие замки, устанавливаете сигнализацию, сажаете собак на цепь, роете ров с крокодилами нанимаете охрану и заводите соседей, которые следят за порядком. Даже если вор взломает дверь, его остановят другие барьеры.

При этом нет единого мнения, что считать ступенями защиты в кибербезопасности и сколько их вообще. Обычно концепция defense-in-depth включает в себя три ключевые части защиты: физическую, техническую и административную.

С физической защитой достаточно просто и понятно. Необходимо отслеживать все физические устройства (флешки, роутеры, гаджеты), которые подключаются к вашей инфраструктуре. А также обеспечить защиту от посторонних, в том числе и своих сотрудников, которые не обладают достаточными правами доступа.

Уровень технической защиты может разделяться по слоям OSI и включать в себя различные фаерволы, NGFW, WAF, отдельные решения для защиты почты, антивирусные ПО, системы управления доступом, регулярные обновления, резервные копирования, мониторинг, песочницы, ханипоты и т. д. 

Даже самая продвинутая система бесполезна, если работник перешлёт пароли мошеннику. Поэтому эшелонированная защита включает не только технические решения, но и организационные меры. Например, обучение сотрудников, регулярная смена паролей, процедуры реагирования на инциденты и аудиты также становятся «слоями» защиты (как бы все не осуждали папирсеков).

Кибератаки редко бывают «одноразовыми» — злоумышленники комбинируют методы, ища слабые места. Defense in Depth превращает взлом в серию сложных этапов, повышая шансы, что атака будет обнаружена и остановлена. Например, ransomware-атака может быть заблокирована на этапе проникновения через email-фильтр, но если вредонос всё же попадёт в систему, его распространение ограничит сегментация сети, а последствия смягчат свежие бэкапы.

Глубинная защита не гарантирует 100% безопасности, но делает атаки экономически невыгодными. Как говорил Эндрю Гроув, который возглавлял Intel в самые сложные моменты ее истории: "выживают только параноики". В контексте ИБ это означает готовность к худшему на каждом этапе. Ах да, главное не профдеформироваться во всей этой паранойе 👍 ⚡ Пакет Безопасности | 💬 Чат 🛍 Другие каналы