Принципы: защита в глубину … →

Что такое сетевая безопасность и зачем модель угроз

Урок объясняет, что защищает сетевой безопасник и как описать угрозы, прежде чем что-то настраивать.

Сетевая безопасность — это набор практик, защищающих данные и сервисы при их передаче и хранении в сети от перехвата, подмены и отказа в обслуживании.

Зачем это нужно

Сеть — это кровеносная система любого сервиса. Через неё проходят пароли, платежи, личные данные. Если злоумышленник может прочитать или изменить этот поток, никакая «надёжность приложения» не спасёт. Поэтому защита начинается не с покупки firewall, а с вопроса: что именно мы защищаем и от кого.

Триада CIA

Классическая основа — три свойства информации, которые мы оберегаем:

СвойствоЧто значитПример нарушения
Confidentiality (конфиденциальность)данные видят только те, кому положеноперехват открытого трафика в Wi-Fi
Integrity (целостность)данные не изменены по путиподмена ответа DNS
Availability (доступность)сервис отвечает на запросыDDoS-атака

Любую угрозу удобно классифицировать через CIA: она бьёт по конфиденциальности, целостности или доступности. Это сразу подсказывает класс защиты — шифрование, подписи или фильтрацию.

Что такое модель угроз

Модель угроз — это структурированный ответ на четыре вопроса:

  1. Активы. Что ценного у нас есть? (база клиентов, платёжный шлюз, внутренний портал.)
  2. Нарушители. Кто может атаковать? (случайный сканер из интернета, обиженный сотрудник, целевая группа.)
  3. Поверхность атаки. Через какие точки до нас можно дотянуться? (открытые порты, Wi-Fi, VPN-шлюз.)
  4. Меры. Чем закрываем каждую угрозу?

Как работает под капотом

Поверхность атаки — это сумма всех «входов». Чем их больше и чем они проще, тем дешевле атака. Защитник systematically уменьшает поверхность: закрывает лишние порты, сегментирует сеть, шифрует каналы. Простая ASCII-модель показывает, как нарушитель и защитник смотрят на одну сеть:

[ Интернет ]
     |
  [ Firewall ]  <- граница доверия
     |
  +--+----------+
  |             |
[ Веб ]     [ База данных ]
  открыта      должна быть
  наружу       скрыта внутри

Нарушитель ищет путь от интернета к базе. Защитник делает так, чтобы прямого пути не было: база доступна только веб-серверу, а не из интернета.

Правовые рамки

Сканировать и перехватывать трафик можно только в своей сети или с письменного разрешения. В России несанкционированный доступ к компьютерной информации — статья 272 УК РФ, а нарушение работы средств хранения и передачи — статья 274. Учиться нужно на легальных полигонах: своя лаборатория, CTF, TryHackMe, HackTheBox.

Частые ошибки

  • Защищать «всё подряд» без приоритетов — ресурсы кончатся раньше, чем самые ценные активы будут закрыты.
  • Считать, что внутренняя сеть безопасна по определению. Угроза часто уже внутри.
  • Путать модель угроз с чек-листом. Модель — про ваши активы и вашего нарушителя.

Итоги

  • Защита начинается с модели угроз: активы, нарушители, поверхность атаки, меры.
  • Триада CIA классифицирует угрозы и подсказывает класс защиты.
  • Применять инструменты разведки и перехвата можно только легально — к своей сети.
Проверьте себя
1. DDoS-атака в первую очередь нарушает какое свойство триады CIA?
AConfidentiality
BIntegrity
CAvailability
DAuthenticity
2. С чего корректно начинать построение защиты сети?
AС покупки самого дорогого firewall
BС модели угроз: что защищаем и от кого
CС установки антивируса на все машины
DСо смены всех паролей
3. Где допустимо легально практиковать сканирование портов?
AВ любой публичной сети
BВ сети соседа, если она не запаролена
CВ своей лаборатории, на CTF или с письменного разрешения
DНа сайтах банков для проверки