Журнал "Information Security/ Информационная безопасность" #1, 2026

l формирование рекомендаций по при- ведению системы к эталону. В результате организация переходит от управления политиками безопасности к контролируемому состоянию безопас- ности, которое подтверждается реаль- ными фактами. Может показаться, что такой подход, основанный на непрерывном контроле конфигураций, является слишком слож- ным, и на его внедрение можно потра- тить годы. Но на практике сложность возникает как раз из-за отсутствия конт- роля. Когда изменения накапливаются стихийно, а расследование инцидента превращается в ручной анализ истории всех правок в конфигурационных фай- лах, что действительно сложно и долго. Контроль конфигураций фиксирует теку- щее состояние системы и делает изме- нения управляемыми. Сложность не исчезает, но становится локализованной и предсказуемой. Многие изменения в конфигурациях происходят с помощью средств автома- тизации, которая, конечно же, ускоряет изменения, но не гарантирует их кор- ректность. Если в используемых инстру- ментах нет встроенного механизма для проверки соответствия конечного состоя- ния системы заданной архитектуре и политикам, то дрейф возникает быстрее, чем при ручных настройках. Контроль конфигураций помогает замкнуть цикл: изменение – проверка – подтверждение соответствия. Какие выгоды дает контроль конфигураций? На операционном уровне контроль конфигураций снижает количество инци- дентов, вызванных накопленными нега- тивными изменениями. Инженеры быстрее понимают текущее состояние среды, сокращается время расследова- ния, снижается зависимость от челове- ческого фактора, который связан с нали- чием в штате сотрудников, владеющими "тайными знаниями" о ключевых настройках оборудования, общесистем- ного ПО и прикладных систем. Таким образом, безопасность становится частью повседневной эксплуатации. На управленческом уровне CISO полу- чает регулируемость и предсказуемость изменений. Появляется возможность на основе фактов подтверждать соответ- ствие политики безопасности реальному состоянию инфраструктуры, оценивать риски до внедрения изменений и аргу- ментированно обосновывать решения перед руководством. На стратегическом уровне контроль конфигураций повышает зрелость архи- тектуры безопасности. Он создает осно- ву для Zero Trust, автоматизированного реагирования и зрелого риск-менедж- мента. Организация перестает бороться с последствиями и начинает управлять состоянием среды, мас- штабируя инфраструктуру без пропорционального роста рисков. Configuration Drift – не техническая мелочь и не вопрос аккуратности адми- нистраторов. Это систем- ное явление, которое неизбежно происходит в развивающейся ИТ- инфраструктуре. Игнори- ровать его – значит согла- шаться с тем, что архитек- тура безопасности посте- пенно разрушается под давлением изменений. В практической плоско- сти описанный подход реализуется через соче- тание контроля сетевой архитектуры и контроля состояния узлов. В составе платформы Efros DefOps 1 эти задачи решаются модулями Network Assurance и Integrity Check Compliance, которые охватывают сетевой и хостовый уровни и позволяют выстроить непрерывный контроль конфигураций как процесс, а не как разовую проверку. Network Assurance (NA) фокусируется на сетевой инфраструктуре – той части ИТ-ландшафта, где дрейф особенно опа- сен, потому что напрямую влияет на маршруты трафика и границы сегмента- ции. Решение формирует защищенную и актуальную базу конфигураций актив- ного сетевого оборудования, анализирует их на соответствие стандартам и лучшим практикам, выявляет известные уязви- мости (в соответствии с БДУ ФСТЭК, CVE, OVAL и др.). NA отображает топо- логию сети на интерактивной карте, моде- лирует маршруты прохождения заданного типа трафика и позволяет оценить, как изменится картина безопасности при вне- сении тех или иных изменений. Это прин- ципиально важно, так как организация получает возможность увидеть потенци- альный дрейф конфигураций до того, как он станет реальностью. Отдельную ценность представляет контроль целостности конфигураций сетевого оборудования и возможность оперативного восстановления. В усло- виях, когда изменения вносятся часто, например в рамках проектов, инциден- тов или модернизации, наличие эта- лонного состояния и механизма отсле- живания отклонений позволяет удер- живать конфигурации в управляемых границах. Таким образом, с помощью NA закрывается именно та часть про- блемы, которая остается слепой зоной для классических VM и SIEM: соответ- ствие реальной топологии сети той модели, которая изна- чально была задумана. Если NA отвечает на вопрос "как устроена и работает сеть на самом деле", то Integrity Check Compliance (ICC) дает ответ на вопрос "в каком состоянии находятся системы и приложения". ICC обеспечи- вает контроль целостности файлов в раз- личных операционных системах и средах виртуализации, отслеживает изменения конфигураций ОС и прикладного ПО, включая СУБД, системы виртуализации и другие критически важные компонен- ты. Это позволяет фиксировать и ана- лизировать отклонения не только на уровне параметров, но и на уровне кон- кретных объектов защиты. Важной частью ICC является осу- ществление проверок соответствия (Compliance) объектов защиты требова- ниям регуляторов, корпоративным стан- дартам безопасности. Таким образом, контроль конфигураций перестает быть исключительно технической задачей и становится инструментом управляе- мости и доказуемости соответствия. При выявлении отклонений система форми- рует рекомендации по внесению изме- нений для соответствия стандартам без- опасности, что переводит процесс из режима обнаружения проблемы в прак- тическую плоскость ее устранения. В связке Efros DefOps NA и Efros DefOps ICC реализуется именно та кон- цепция, о которой шла речь в статье, то есть переход от декларативного управ- ления политиками к подтвержденному состоянию безопасности. NA обеспечи- вает прозрачность и управляемость сете- вой архитектуры, а ICC – контроль состояния операционных систем и при- ложений. Вместе они позволяют не про- сто фиксировать последствия измене- ний, а системно удерживать инфра- структуру в заданных границах, пред- отвращая накопление дрейфа конфигу- раций и снижая вероятность возникно- вения инцидентов. l • 51 ТЕХНОЛОГИИ www.itsec.ru Рис. 1. Схема работы Efros DefOps в рамках конт- роля целостности АДРЕСА И ТЕЛЕФОНЫ ГАЗИНФОРМСЕРВИС см. стр. 74 NM Реклама 1 https://www.gaz-is.ru/produkty/zashchita-it-infrastrukturi/efros-do