security

by Administrator ·2026-07-01 18:48:27 ·1 replies ·5 views
#29
1. 🧱 ТРИ КИТА DEFENSIVE SECURITY
Компонент Описание Пример
Профилактика (Prevention) Меры, которые не дают атаке начаться Firewall, антивирус, сложные пароли, обновления
Обнаружение (Detection) Системы, которые замечают аномалии и подозрительную активность IDS, SIEM, EDR, анализ логов
Реагирование (Response) Действия после обнаружения атаки для минимизации ущерба Отключение систем, изоляция, восстановление, расследование
2. 🏛️ ФУНДАМЕНТАЛЬНЫЕ ПРИНЦИПЫ ЗАЩИТЫ
1. Принцип наименьших привилегий (Least Privilege)

Суть: Субъекту (пользователю, процессу, сервису) предоставляется ровно тот набор прав, который необходим для выполнения его функций.
Нарушение: Дать пользователю права администратора "на всякий случай" или запускать веб-сервер от root.

2. Защита в глубину (Defense in Depth)

Суть: Создание многоуровневой защиты, где компрометация одного уровня не означает взлом всей системы.
Пример: Firewall на периметре + IDS в сети + антивирус на хосте + шифрование данных + контроль доступа к приложениям.

3. Разделение обязанностей (Separation of Duties)

Суть: Критическая функция распределяется между несколькими субъектами, чтобы предотвратить злоупотребления.
Пример: Один человек выдаёт доступ, другой его подтверждает. Никто не должен иметь полный контроль в одиночку.

4. Предполагаемый взлом (Assume Breach)

Суть: Проектирование системы строится на допущении, что атакующий уже находится внутри сети.
Следствие: Микросервисная архитектура, сегментация сети, шифрование трафика между сервисами, строгая аутентификация внутри.

3. 🔭 УРОВНИ ЗАЩИТЫ (ПО OSI / АРХИТЕКТУРЕ)
1. Периметр (Network Perimeter)

Цель: Отсечь внешние угрозы до того, как они достигнут внутренней сети.

Средства:

Firewall (NGFW): Контроль доступа, DPI, IPS.

DMZ: Изоляция публичных сервисов (веб, почта).

VPN: Безопасный удалённый доступ.

DDoS Protection: Защита от отказных атак.

2. Сеть (Network Layer)

Цель: Контролировать движение внутри сети и предотвращать латеральное перемещение.

Средства:

NAC (Network Access Control): Контроль подключения устройств (802.1X).

VLAN / Сегментация: Разделение сети на логические зоны.

IDS/IPS: Обнаружение/предотвращение вторжений на уровне сети.

3. Хост (Host/Endpoint Layer)

Цель: Защита конечных устройств (серверы, рабочие станции, ноутбуки).

Средства:

AV/EDR/XDR: Сигнатурное и поведенческое обнаружение угроз.

HIDS: Мониторинг системных вызовов, файлов, реестра.

Application Whitelisting: Разрешение запуска только доверенных программ.

SELinux/AppArmor: Ограничение привилегий процессов (MAC).

4. Приложение (Application Layer)

Цель: Защита веб-приложений и API от атак уровня L7.

Средства:

WAF (Web Application Firewall): Фильтрация вредоносных запросов (SQLi, XSS).

RASP (Runtime Application Self-Protection): Защита приложения изнутри.

SAST/DAST: Сканирование кода на уязвимости на этапе разработки.

5. Данные (Data Layer)

Цель: Обеспечение конфиденциальности и целостности хранимых и передаваемых данных.

Средства:

Шифрование на диске: BitLocker, LUKS, FileVault.

Шифрование в транзите: TLS/SSL, SSH, IPsec.

DLP (Data Loss Prevention): Контроль утечек данных.

KMS (Key Management System): Централизованное управление ключами.

4. 🔎 ОБНАРУЖЕНИЕ И МОНИТОРИНГ (Detection)
Инструмент Что делает На что обращать внимание
SIEM Собирает и коррелирует логи со всех систем Аномалии входа, массовые сбои, подозрительные сетевые соединения
EDR Мониторинг конечных точек (процессы, память, реестр) Выполнение шелл-кода, инъекции, нестандартные PowerShell/Bash
NDR Анализ сетевого трафика Латеральное перемещение, DNS-туннелирование, нестандартные протоколы
UEBA Анализ поведения пользователей Нестандартное время работы, скачивание большого объёма данных
Honeypot Ловушки для атакующих Любое взаимодействие с ложным ресурсом — сигнал
5. 🚨 РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ (Response)

Жизненный цикл реагирования (по SANS / NIST):

Подготовка (Preparation): Разработка планов, обучение команды, настройка инструментов.

Обнаружение и анализ (Detection & Analysis): Идентификация инцидента, оценка масштаба.

Локализация (Containment): Изоляция заражённых систем, блокировка трафика.

Устранение (Eradication): Удаление вредоносного ПО, закрытие уязвимостей.

Восстановление (Recovery): Восстановление систем из бэкапов, мониторинг.

Уроки (Lessons Learned): Анализ причин, обновление политик и защит.

6. 🔧 УПРАВЛЕНИЕ УЯЗВИМОСТЯМИ (Patch Management)

Цикл управления:

Обнаружение: Сканирование систем на наличие уязвимостей (Nessus, Qualys).

Оценка риска: Приоритизация критических уязвимостей (CVSS, Exploitability).

Исправление: Установка обновлений, применение компенсирующих мер.

Проверка: Повторное сканирование для подтверждения.

Важно: Не все уязвимости нужно исправлять немедленно. Приоритет — CVE с публичным эксплойтом, доступным в Metasploit.
7. 🧑‍💻 ЧЕЛОВЕЧЕСКИЙ ФАКТОР
Угроза Решение
Фишинг Регулярное обучение, симуляция фишинга, MFA
Слабые пароли Политика сложности, использование менеджеров паролей
Социальная инженерия Процедуры верификации, ограничение раскрытия информации
Инсайдеры Мониторинг, контроль доступа, разделение обязанностей
8. 📊 СОВРЕМЕННЫЕ ПАРАДИГМЫ
Zero Trust Architecture (ZTA)

Принцип: "Никогда не доверяй, всегда проверяй." Каждый запрос аутентифицируется и авторизуется вне зависимости от источника.
Реализация: Микросервисная архитектура, взаимная TLS-аутентификация (mTLS), строгая политика доступа.

DevSecOps

Принцип: Безопасность интегрируется на всех этапах CI/CD пайплайна.
Реализация: SAST/DAST в пайплайне, сканирование зависимостей (SCA), автоматизированные политики безопасности в Kubernetes (OPA).

SOAR (Security Orchestration, Automation and Response)

Принцип: Автоматизация рутинных операций реагирования на инциденты.
Реализация: Автоматическая блокировка IP, сбор артефактов, уведомления, интеграция с SIEM и EDR.

9. 🧾 ВЫВОДЫ

Защитная безопасность — это не статичный набор инструментов, а непрерывный циклический процесс:

Профилактика: Строим барьеры (Firewall, WAF, шифрование, обновления).

Мониторинг: Смотрим, что происходит (SIEM, EDR, логи).

Реагирование: Быстро действуем при обнаружении угрозы.

Обучение: Анализируем инциденты и улучшаем защиту.

Ключевая мысль: Безопасность — это не проект, а процесс. Она требует постоянного внимания, адаптации и инвестиций. Современная защита строится не на доверии, а на проверке (Zero Trust). Лучший способ защититься — признать, что атака возможна, и быть к ней готовым.

Login to reply.