Журнал "Information Security/ Информационная безопасность" #1, 2026

PAM и средств контроля конфигураций. Так, любые изменения в сети или гипер- визорах будут привязаны к сессии кон- кретного пользователя, а значит, про- зрачны. На практике ЦОД становится слепой зоной из-за разрывов на разных слоях и уровнях мониторинга: часть событий остается вне SOC из-за непра- вильной интеграции, изолированных кон- туров или банального отсутствия про- цессов передачи таких данных в мони- торинг. Без событий об изменениях кон- фигурации, действиях в виртуализации и работе с привилегиями теряется при- чинно-следственная связь, что сильно бьет по качеству расследований – в лучшем случае, видны только послед- ствия. Владислав Шелепов, "Газинформсервис" Инфраструктура ЦОДа становится сле- пой зоной для SOC, потому что события с сетевого оборудования и гипервизоров либо не интегрированы в SIEM, либо интегрированы частично и без должной нормализации. Для расследования кри- тически важны события изменения кон- фигураций сетевых устройств. На гипер- визорах ключевыми являются события создания, удаления и миграции вирту- альных машин, а также изменения прав доступа к хранилищам и сетям. Без этих данных SOC видит только верхний уровень атак, но не может отследить перемещение злоумышленника внутри инфраструктуры после первоначального взлома. Алексей Карабась Чаще всего проблема в отсутствии взаимодействия и диалога между ИБ и эксплуатацией. Искусственный анта- гонизм между безопасниками, которые, естественно, всему хорошему только мешают, и айтишной эксплуатацией, полной безответственных вредителей. Там, где между департаментами нала- жен диалог и взаимодействие, этой про- блемы нет. Но есть понимание, что одни дополняют других, а не мешают. Как показывает практика, первый катастро- фически серьезный инцидент меняет картину принципиально. Владислав Шелепов, "Газинформсервис" В реальной среде зависимости между сервисами часто сложнее, чем в схемах на бумаге. Команды обычно проектируют DR на уровне отдельных систем, но при восстановлении выясняется, что один сервис не может работать без другого, а некоторые компоненты требуют опре- деленного порядка включения. Инструк- ции по восстановлению устаревают, спе- циалисты не помнят последовательность действий, а доступы к резервной пло- щадке могут быть заблокированы. А еще тесты в изолированной среде могут не учитывать нагрузку при массовом пере- ключении всех сервисов одновременно. Иван Барановский, "АйТи Бастион" Это типичная история и для крупных ЦОДов, и для компаний средних раз- меров. Причина почти всегда не в злом умысле, а в накопившихся процессных ошибках. Доступы могут выдаваться под конкретные задачи или срочные работы – но не отзываются. Регулярный пересмотр прав отсутствует, как и при- вязка к ролям и разграничение ответ- ственности. Еще одна из причин – отсутствие про- зрачности. Без управления привилегия- ми простой вопрос: "Кто куда имеет доступ прямо сейчас?" остается безот- ветным. Формально права могут быть оформлены корректно в разных систе- мах, но их совокупный эффект избыто- чен, и это не очевидно без сквозного контроля. В нашей практике подобные истории вскрываются регулярно: после централизации доступов обнаруживают- ся пользователи с правами, которые исторически наслоились и давно не соответствуют текущей роли. Владислав Шелепов, "Газинформсервис" Избыточные привилегированные доступы существуют месяцами незамет- но, потому что процессы управления доступом в инфраструктуре ЦОД часто построены на ролевых моделях и не включают регулярные ревью. Админи- стратору один раз выдали права на выполнение конкретной задачи, а потом доступ остался, потому что никто не запустил процесс отзыва. Лишние при- вилегии живут месяцами там, где сеть, виртуализация и подрядные доступы стоят в стороне от общего контроля. Такие УЗ часто кажутся технической рутиной, поэтому их не пересматривают вовремя и не связывают с конкретными владельцами. Алексей Карабась Раньше причины были в легаси. Сей- час они исключительно в отсутствии проработанной структуры ИБ и бизнес- процессов. Уже достаточно давно пред- ставлены и обкатаны практики и инстру- менты, надежно закрывающие этот вопрос. Иван Барановский, "АйТи Бастион" В современных ЦОДах сложно фик- сировать норму поведения сервисов из- за постоянной динамики инфраструкту- ры. Виртуальные машины, контейнеры и микросервисы постоянно создаются, перемещаются и меняют зависимости. Однако с использованием PAM-системы можно контролировать: кто, когда и с какими правами инициировал измене- ния, вызывающие новые потенциально опасные East-West-соединения. Сам тра- фик сложно отслеживать в деталях, но PAM сможет дать прозрачность действий администраторов и сервисных учетных записей, фиксируя любые привилегиро- ванные операции – для быстрого выявле- ния аномалий, ограничения несанкцио- нированного взаимодействия и привязки сетевой активности к конкретным поль- зователям или процессам. Владислав Шелепов, "Газинформсервис" Да, причиной этому становится высо- кая динамика инфраструктуры. То, что было нормальным поведением неделю назад, сегодня может быть аномалией, а аномалия может оказаться легитимным событием. Контроль East-West-трафика ломают слабая карта зависимостей, нехватка сенсоров внутри среды, раз- розненная телеметрия и постоянные изменения в виртуализации. Алексей Карабась При наличии достаточных средств и сил при использовании современных продуктов возможно понимать и конт- ролировать все. ИБ – как броня на корабле. Оббей его полностью, и корабль ляжет на дно моря памятником человеческой глупости. Найти необхо- димый баланс целесообразности и достаточности желаемого уровня без- опасности для работы компании – как раз фундаментальная задача ИБ. l Компания внедрила резерв- ную площадку и регулярно делает резервные копии. Но во время теста восстановле- ния оказалось, что восста- новление сервисов занима- ет гораздо больше времени, чем предполагалось. Во время планового аудита выясняется, что один из администраторов имел доступ к нескольким сег- ментам инфраструктуры ЦОДа, хотя формально не должен был. Доступ суще- ствовал несколько месяцев. В инфраструктуре ЦОДа обнаружена аномальная активность: несколько серверов активно обмени- ваются трафиком между собой, хотя обычно они не взаимодействуют. • 45 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДЛЯ ЦОД www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru