Журнал "Information Security/ Информационная безопасность" #3, 2025

щих – свое понимание SLA, своя внутрен- няя этика, свои правила поведения на территории клиента. Иногда даже пред- лагают скидку за оперативную оплату. И вот что важно: мы имеем дело не с хищниками, а с системами, в которых все заточено на то, чтобы находить сла- бость и зарабатывать. Эти системы не импровизируют, они действуют по про- цессу, и именно это делает их особенно опасными. Против спонтанного вреда можно выстроить защиту. Против системного – требуется зрелость. Потому что если зло стало бизнесом, то и безопасность должна перестать быть суммой мер и превратиться в устойчивую страте- гию – не реактивную, а опережающую. Выстоять, а не отразить Возникает вопрос: "А можно ли защи- титься?" И по-прежнему многие ждут утвердительного ответа, надеются на средство, на платформу, на железо, которое, наконец, обеспечит то самое желаемое состояние недоступности и недосягаемости. Но практика послед- них лет все убедительнее говорит об обратном: не существует полной защиты, и никогда не существовало. Любая систе- ма может быть взломана. Вопрос лишь в том, насколько тяжело это сделать – и что произойдет после. Истинная безопасность – не в броне, а в гибкости. Не в исключении инциден- та, а в способности выжить в его усло- виях. На первый взгляд кажется, что это смиренческая позиция, но на деле она куда реалистичнее и, в конечном счете, надежнее. Потому что отказ от иллюзии непробиваемости – первый шаг к зрелой архитектуре. Можно настроить лучший NGFW, но если не выстроен процесс обновлений, если никто не следит за зонами ответ- ственности, если нет культуры работы с уязвимостями – все это становится деко- рацией. Даже не злонамеренный акт, а банальное забытое обновление может обернуться катастрофой. Не потому что кто-то просчитался, а потому что про- цессы не доведены до автоматизма. В одной компании, как-то участвовав- шей в учениях, выяснилось, что попытки перебора паролей никто не отслеживает. Не потому что не умеют – просто не настроили. А когда выяснилось, что учетные записи слабо защищены, стало очевидно: если кто-то захочет, он попадет внутрь. И тогда уже не будет иметь значения, сколько было инвести- ровано в защиту периметра. Безопасность – это не заслон, а стра- ховочная сетка, которая ловит падение. Важно не только то, чтобы не пустить зло, но и то, чтобы иметь возможность сохранить управление, изолировать повреждение, восстановить работу и понять, что именно пошло не так. Именно это отличает зрелую инфра- структуру от начальной. Гордыня как главная уязвимость Есть организации, которые уверенно говорят: "Нас не взломают". Есть те, кто категорично заявляет: "Мы не платим выкуп". Есть и такие, кто считают, что внутренние учения – это пустая фор- мальность, поскольку реальная атака все равно будет другой. И, надо сказать, все они чем-то похожи: они еще не были по-настоящему атакованы – или просто не узнали об этом. В кибербезопасности гордыня легко маскируется под уверенность, а уверен- ность – под зрелость. Но на самом деле именно уверенность в собственной защи- щенности чаще всего становится самой большой уязвимостью. Потому что защи- та, основанная на самоуспокоении, пере- стает быть динамичной. Она не разви- вается, не уточняется, не ставит под сомнение саму себя. Я видел, как компании, уверенные в своей технической крепости, пропуска- ли простейшие фишинговые атаки. Видел, как отказ платить выкуп превра- щался в полный коллапс, потому что резервное копирование вроде бы рабо- тало, но процесс восстановления давно не проверялся. Видел, как учения вызы- вали раздражение – пока реальный инцидент не показал, что никто не знает, кому первому звонить. Беда не в том, что люди ошибаются – ошибаются все. Беда в том, что некото- рые считают себя выше вероятности ошибки. А между тем, зрелая организа- ция – это не та, которую не взломали, а та, которая осознанно живет с мыслью, что это возможно, и строит свою работу, исходя именно из этой установки. Признание уязвимости – это не сла- бость, а дисциплина. Это не отказ от защиты, а форма более глубокой ответ- ственности. Признать, что точка входа найдется, что люди ошибаются, что рег- ламенты ломаются, – значит подгото- виться не только к нападению, но и к поражению. А значит, подготовиться к восстановлению. И в заключение Мы привыкли рассматривать атаку как враждебное действие. Как будто кто-то с той стороны заставляет нас страдать. Но если присмотреться вни- мательнее, становится очевидно, что атака – это, в сущности, не столько воз- действие, сколько проявление. Она, как зеркало, не изобретает нового, а лишь показывает то, что уже было в нас – скрыто, недосмотрено, вытеснено из поля внимания. Злоумышленник, попадая внутрь, редко делает нечто принципиально невозможное. Он находит то, что было оставлено без присмотра. Он пробует пароли, потому что знает – кто-то обя- зательно использует "123456". Он ска- нирует сеть, потому что уверен: найдется сервер, который забыли выключить. Он эксплуатирует трендовую уязвимость, которой никто не касался, потому что были дела поважнее. Все, что он дела- ет, – это проверка нашей архитектуры на искренность. И если он заходит, если берет конт- роль, если шифрует – это не столько акт агрессии, сколько диагноз. Непри- ятный, жестокий, но честный. В нем нет метафизического зла – есть точное, иногда даже равнодушное указание: здесь не выстроено, тут не прописано, а вот здесь вы просто закрыли глаза. Мы боимся атакующих. Но, возможно, бояться стоит не их, а того, что они могут показать. Потому что в их дей- ствиях – вся правда о наших процессах, о нашей дисциплине, о нашей реальной готовности. Иногда они знают нас лучше, чем мы сами: видят связи между узлами, уязвимости конфигураций, повторяю- щиеся ошибки в поведении пользовате- лей. Поэтому, когда инцидент случается, важно не только закрыть брешь. Важно посмотреть в зеркало, которое оставили после себя те, кто вошел. Если повезет – это зеркало будет треснуто, но не раз- бито. И в нем мы увидим не только уязвимости, но и путь к зрелости. Потому что атакующий уходит. А отра- жение – остается. l • 71 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru