"Он сделал круглые глаза и удивился: а что, так, оказывается, можно было?"
- про харденинг из выступления на форуме "Evo.industry 2025"
Настоящая защита обеспечивается только превентивными мерами, делающими сам вектор атаки нереализуемым (например, запрет на запуск посторонних программных файлов) Вместо этого, инфопространство заполнено понятиями инфобезопасности исключительно через мониторинг и реагирование, что крайне затратно для компании (потому и выгодно рынку, пиарится им), а защищает постольку поскольку. Надо же выстраивать проактивную инфобезопасность преимущественно через настройки уже имеющейся инфраструктуры – это вообще беззатратно.
Что если я скажу вам, что ИБ может быть бесплатной, при этом защищаться будет проще, чем нападать?
Галочка, настройка - это бесплатно. Превентивная защита, основанная на перекрытии возможных векторов атак теми самыми бесплатными настройками, делает эти самые атаки крайне трудным и вообще бесперспективным занятием. Обычно же считается как: защищающие должны соревноваться в скорости реагирования с атакующим, а изобретение средств защиты всегда отстает от средств нападения, поэтому бла-бла-бла. Но так происходит в неправильном мире с проплаченными знаниями в головах, где напрочь отсутствует понятие о превентивной защите, харденинге. На самом деле, у эксплуатации 0-day уязвимостей и даже неизвестных ранее техник атак есть общие принципы действия с уже известными приемами атакующих, например - для начала жертве нужно запустить вредносную программу. И не важно что там нового злоумышленник предложил запустить, запрещен запуск - атака проваливается даже не начавшись! Ещё дело в том, что атаковать вот лично тебя будут не сразу, а с каким-то лагом после распространения новой техники и есть хороший запас времени, чтобы перекрыть этот вектор атаки. Когда есть харденинг, превентивная ИБ - атаковать становится неимоверно сложнее, чем защищаться.
Прогоним стереотипный ход мыслей под отладчиком. Всегда, когда мысль заходит про про построение инфобезопасности всё сводится к "нанять" (CISO, построить SOC) и "купить" (SIEM, EDR итп) - тупое, бесхитростное, квадратно-гнездовое мышление. Хакеры же, которые нападают - это, наоборт, про хитрость. Как можно защищаться от хитрости бездумностью? Вот в стиле: "надо выделить на безопасность 15% от ИТ-бюджета"? Ведь бизнес, готовый платить заранее непонятно за что, непонятно при каких бесплатных альтернативах встроенных и базовых средств безопасности - это выстраивание порочной вертикали чудовищной бесхитростности, пронизывающей всё ИТ и ИБ и идущей от головы, как в известном выражении про рыбу. От такого положения дел в мире деградируют даже сами хакерские группировки, наивно полагаясь, что жертва успешно запустит их поделие школьного уровня из говна и палок архиватора и ярлыка. Payload при эксплуатации грузят тупо в temp и запускают, используют готовые тяжелые фреймворки ВПО - на тёмной стороне обленились и покупают SaaS, как на светлой, прошли те времена, когда гении писали вирусы на ассемблере. Но сомнительное поделие всё равно запускается, потому что безопасность у защищающихся это "мониторинг" и "реагирование": запускать любую пакость - пожалуйста, мы будем только это дело мониторить и реагировать. Кругом наблюдается упорное, прямо вот напрочь невнимание к тому, что слева от атаки и работа с тем, что справа - мониторинг, препятствование уже идущему шифрованию, даже такой детский сад как ложные приманки для хакеров :) Всё что угодно, когда злоумышленник уже внутри сети, но лишь бы не слева от этого события! Потому что слева - это дешево или вообще бесплатно универсальными запретами перекрывать любые будущие атаки, а справа - это большие расходы, и рынок хочет выдоить их из вас. А ещё справа - это история с неопределенным концом, потому что можно успеть быстрее атакующего, а можно и не успеть. И вот чтобы успеть, эту историю заливают деньгами ещё больше. Поэтому рынок топит за правую часть ещё больше, как будто только она в мире ИБ и есть.
Hardening first
Даже если для защиты данных от утечек кому-то большому и нужно "строить сок", то на первом месте всё равно должна быть превентивная ИБ. и только над тем, что смогло преодолеть левую часть работает правая, затраты на которую, если она не первая линия обороны, будут закономерно меньше, а защищенность при такой ИБ-стратегии выше. Стратегия: сначала выстроить превентивную ИБ, а потом всё остальное. Hardening first. Кто сделает наоборот - тех закономерно зашифруют,. Закон джунглей.
Комментарии (4)
AlexUl
25.11.2025 07:09Три кита: технологии - люди - процессы. И не спорю что процессы не редко отстают, а технологии превалируют, но происходит это не от хорошей жизни.
На каждую "превентивную галочку" найдется бизнес-процесс который она сломает и бюджетодержатель встанет перед выбором: потратить ресурсы на то чтобы перестроить работающий процесс (а там может понадобится закупить новые системы, нанять аутсорс на доработку, переобучить сотрудников, изменить взаимодействие с контрагентами и т.д., и т.п.) который приносит компании деньги или принять риск обойтись мониторингом и реагированием.
Еще есть спорт между ИТ и ИБ, когда первые доминируют над вторыми и устанавливают правила игры по типу "делайте свое безопасно так чтобы нам ничего не надо было менять и не мешало".
Когда безопасность достигнет сопоставимой получению прибыли значимости для владельцев бизнеса, тогда мы сможем увидеть рост развития процессов и, в частности, харденинга как одного из основ.
retab
25.11.2025 07:09Наглядный пример эффекта Даннинга-Крюгера в действии.
ИБ не может быть бесплатной. Чем больше мы экономим на софте, тем больше нужно вкладывать в персонал, который работает с этим софтом. Его настройку. Поддержание работоспособности. А для этого нужны как соответствующие навыки, так и умения. Купить и настроить коммерческий продукт это одно. После его обслуживать сможет даже студент. Поставить что-то open-source с нуля, правильно его настроить, поддерживать в работоспособном состоянии, постоянно обновлять и исправлять баги - тут даже сисадмин с десятилетним опытом может не справится.
Утверждение, что "запрет на запуск посторонних программных файлов" решает все проблемы в корне неверно. А как же использование легитимных системных утилит таких как PowerShell, WMI, certutil и т.п.? А как же безфайловые вирусы? А как же уязвимости в разрешенных exe файлах? Тот же блокнот, калькулятор и word? А как же в целом компрометация легитимного софта? А как же атаки банальными макросами в тоже же word? "Запрет на запуск посторонних программных файлов" в корне рушит всю логику ведения бизнеса. ИБ существует для защиты бизнеса, а не для его удушения.
Также хочу заметить, что ни одна превентивная мера не даёт 100% защиты. Всегда нужен комплексный подход. Превентивные меры + Детектирование + Реагирование + Восстановление.
А теперь вспомним Аэрофлот. Зачастую их специализированное ПО даже под характеристику legacy не подходит. Скорее это что-то мумифицированное и плохо дышащее нечто. Но оно работает и аналог такому софту просто нет. И как вот такой софт "подружить" с современными механизмами харденинга?
И самое главное, что было упущено. Намеренно или нет я не знаю. Человеческий фактор вот главный источник всех инцидентов. Большая их часть связана с ошибками людей. Если человек слаб в ИБ, но в своей сфере он ценный кадр, то проблема ИБ это не его проблема. Это проблема безопасников. Если топ приносит милионную прибыль организации, но он не может запомнить, что нельзя запускать exe файлы из почты. То это не его проблемы, это проблемы безопасников. И руководитель будет именно на это давить.
В целом это статья несет больше вреда, чем пользы. Она дезинформирует о реальной стоимости ИБ. Она упрощает сложные проблемы до каких-то примитивных решений. Создаёт ложную уверенность в достаточности одного подхода, который с точки зрения автора является единственно правильным решением. Статья игнорирует регуляторные требования и реальные кейсы. И в целом она демонстрирует непонимание современного ландшафта угроз
Zalechi
25.11.2025 07:09Автор говорит, что малый и средний бизнес не тратит деньги даже на примитивную безопасность.
Zalechi
Очень хорошо, что на Хабре за последние годы появляется много таких критических статей/мыслей.
По сабжу согласен может не на все 100%, но ну 95% — точно!
Строится внешний контур защиты , внутренний. Строится культурный код поведения сотрудников. В какой момент все это сломалось и на каком уровне — не знаю, уже давно не в теме.