Defense-in-Depth (DiD) - это стратегия кибербезопасности, основанная на реализации множества взаимодополняющих слоёв защиты, чтобы компенсировать потенциальные сбои одного из них. Если один барьер прорван, атакующий встречает следующий уровень обороны.
Ключевая философия
«Не полагайся на одну линию защиты. Строй эшелонированную оборону, усложняя жизнь злоумышленнику на каждом шаге».
Как работает Defense-in-Depth?
Представьте крепость:
- Ров с водой (фильтрация трафика)
- Высокие стены (брандмауэры)
- Караульные башни (WAF, IPS)
- Внутренние укрепления (сегментация сети)
- Охранники с кодами (MFA, RBAC)
- Сейфы (шифрование данных).
Прорыв одного уровня не гарантирует успех атаки.
Ключевые принципы DiD
- Диверсификация: Используй разные технологии от разных вендоров (взлом Check Point ≠ взлом Palo Alto).
- Минимальные привилегии: Даже внутри сети ограничивай доступ по RBAC.
- Глубина: Каждый слой должен требовать от атакующего новых ресурсов и времени.
Основные слои DiD (на примере корпоративной инфраструктуры)
| Уровень | Инструменты/Меры | Цель |
| Физический | Биометрический доступ, камеры, охрана | Защита серверов и устройств |
| Сетевой | Firewall, VPN, сегментация сети (VLAN), IDS/IPS | Контроль входящего/исходящего трафика |
| Периметровый | WAF, DDoS-защита, прокси-серверы | Блокировка атак на веб-приложения |
| Эндпоинты | Антивирусы, EDR, обновления ПО, AppLocker | Защита рабочих станций |
| Идентификация | MFA, SSO, RBAC, PAM, строгая аутентификация | Контроль доступа пользователей |
| Приложения | SAST/DAST-сканирование, безопасный SDLC, DevSecOps | Поиск уязвимостей в коде |
| Данные | Шифрование (at rest/in transit), DLP, резервные копии | Защита конфиденциальной информации |
| Административный | Политики безопасности, обучение сотрудников, аудиты | Управление рисками и людьми |
Зачем нужен Defense-in-Depth?
- Снижает риск успешных атак: Даже если злоумышленник обойдёт WAF, EDR или MFA остановит его.
- Компенсирует человеческий фактор: Если сотрудник откроет фишинговую ссылку, сегментация сети не даст атакующему переместиться.
- Соответствует регуляторным требованиям: Стандарты (NIST, ISO 27001, GDPR) прямо рекомендуют DiD.
- Замедляет атакующего: Увеличивает время на обнаружение и реакцию SOC/SIEM.
Пример сценария DiD в действии:
Атака: Фишинг -> Заражение ПК -> Попытка кражи данных.
Защита:
- Фильтр почты - Блокирует 90% фишинга.
- EDR - Обнаруживает вредонос на ПК.
- Сегментация сети - Препятствует движению к базам данных.
- DLP - Блокирует попытку выгрузки данных.
- SIEM - Анализирует инцидент и оповещает SOC.
Отличие от других стратегий
- Zero Trust («Никому не верь») фокус на постоянной проверке доступа, а не только на слоях. DiD - архитектура, Zero Trust - принцип контроля.
- Оборона по периметру — устаревший подход с одним «замком» на входе (например, только файрвол). DiD - его эволюция.
Ошибки при внедрении DiD
- Имитация: 10 слоёв, но все настраиваются «по умолчанию».
- Игнорирование «слабых» зон: Забытый IoT-принтер в сети - лазейка для атак.
- Отсутствие мониторинга: Слои есть, но SOC не видит их логи.
Defense-in-Depth - это не конкретный инструмент, а стратегия проектирования безопасной инфраструктуры, где слои физической, технической и административной защиты дублируют и усиливают друг друга. Её цель - сделать успешную атаку максимально сложной, дорогой и длительной.
