Технические средства защиты
Сетевая безопасность: фаерволы, IDS/IPS, VPN:
🔥 Межсетевые экраны (Firewall/NGFW)
📋 Базовые функции:
• Фильтрация трафика по правилам (5-tuple: src/dst IP, port, protocol)
• Stateful inspection: отслеживание состояния сессий
• NAT: трансляция адресов
🚀 Функции NGFW (Next-Generation):
• Deep Packet Inspection (DPI): анализ содержимого пакетов
• IPS: предотвращение вторжений в реальном времени
• Application Control: блокировка/разрешение по приложениям
• SSL/TLS Inspection: расшифровка зашифрованного трафика для анализа
🛡️ IDS/IPS (Intrusion Detection/Prevention Systems)
Характеристика | IDS (Обнаружение) | IPS (Предотвращение) |
Режим работы | Пассивный мониторинг | Активное вмешательство |
Действие при атаке | Генерация алерта | Блокировка трафика + алерт |
Риск ложных срабатываний | Низкий (не влияет на трафик) | Высокий (может блокировать легитимный трафик) |
Рекомендуемое размещение | Зеркалирование трафика (SPAN) | В разрыв (inline) на критичных сегментах |
🔐 VPN (Virtual Private Network)
🔹 Типы VPN:
• Site-to-Site: соединение сетей (офис-ЦОД, филиалы)
• Remote Access: доступ удалённых пользователей
• Clientless VPN: доступ через браузер (для гостевых сценариев)
🔹 Протоколы:
• IPsec: стандарт для site-to-site, высокая безопасность
• SSL/TLS VPN: удобство для remote access, работает через прокси
• WireGuard: современный протокол, высокая производительность
⚠️ Требования ФСБ: для защиты гостайны и ПДн 1-го уровня — только сертифицированные СКЗИ (Приказ ФСБ №117) [[11]]
Защита конечных точек (Endpoint Security)
Ключевые компоненты:
Компонент | Назначение | Примеры решений |
NGAV | Обнаружение вредоносной программы (malware) без сигнатур (машинное обучение) | CrowdStrike Falcon, Kaspersky EDR |
EDR | Запись активности, расследование, реагирование | Microsoft Defender for Endpoint, SentinelOne |
Application Control | Запрет запуска неразрешённого ПО | встроенные в ОС, сторонние решения |
Device Control | Управление внешними носителями | политики группы, DLP-модули |
Безопасность веб-приложений (OWASP Top 10)
https://owasp.org/www-project-top-ten/
🔴 OWASP Top 10:2025 — Ключевые изменения
№ | Уязвимость | Описание | Меры защиты |
A01:2025 | Broken Access Control | Недостаточный контроль прав доступа | RBAC, проверка прав на бэкенде, тестирование |
A02:2025 | Security Misconfiguration | Ошибки в настройке серверов/фреймворков | Hardening guides, автоматизированное сканирование |
A03:2025 | Software Supply Chain Failures | Уязвимости в сторонних компонентах | SBOM, SCA-инструменты, верификация зависимостей |
A04:2025 | Cryptographic Failures | Слабое или отсутствующее шифрование | TLS 1.3+, актуальные алгоритмы, управление ключами |
A05:2025 | Authentication Flaws | Уязвимости в механизмах аутентификации | MFA, защита от brute-force, безопасное хранение паролей |
Инструменты для разработчиков:
Статический анализ (SAST)
• SonarQube, Checkmarx, Semgrep
Динамический анализ (DAST)
• OWASP ZAP, Burp Suite, Nikto
Анализ зависимостей (SCA)
• Snyk, Dependency-Check, Trivy
Контейнерная безопасность
• Trivy, Clair, Docker Bench Security
Криптография: шифрование, хэши, цифровые подписи
🔐 Основные криптографические примитивы
Тип | Назначение | Алгоритмы (рекомендованные) | Применение |
Симметричное шифрование | Конфиденциальность данных | AES-256 , ГОСТ 34.12-2018 (Кузнечик), ГОСТ 34.13-2018 | Шифрование дисков, баз данных, каналов |
Асимметричное шифрование | Обмен ключами, ЭЦП | RSA-3072+, ECC (secp384r1), ГОСТ 34.10-2012 | TLS, цифровые подписи, аутентификация |
Хэш-функции | Контроль целостности | SHA-256 /384, ГОСТ 34.11-2012 (Стрибог) | Пароли, цифровые подписи, блокчейн |
ЭЦП | Аутентификация + целостность | ECDSA, ГОСТ 34.10-2012 | Документооборот, транзакции, обновления ПО |
⚠️ Требования к использованию криптографии в РФ:
🇷🇺 Регулирование:
• Приказ ФСБ №117 от 18.03.2025: требования к СКЗИ в ГИС [[11]]
• Положение ПКЗ-2005: порядок разработки и эксплуатации шифровальных средств
• Обязательное использование сертифицированных СКЗИ для:
- Гостайны
- ПДн 1-го уровня защищённости
- Систем КИИ высокой категории
✅ Практические рекомендации:
• Всегда использовать актуальные версии протоколов (TLS 1.3, не SSL/TLS 1.0-1.1)
• Реализовать правильное управление ключами (генерация, хранение, ротация, уничтожение)
• Не разрабатывать собственные криптоалгоритмы — использовать проверенные стандарты
SIEM-системы и мониторинг инцидентов
🎯 Архитектура SIEM-решения:
[Источники логов] → [Сбор и нормализация] → [Хранилище] → [Корреляция и аналитика] → [Визуализация и алерты]
↑ ↑ ↑ ↑ ↑
• ОС, приложения • Парсинг, обогащение • Горячее/холодное • Правила корреляции • Дашборды
• Сетевые устройства • Time sync (NTP) • Архивирование • Машинное обучение • Уведомления
• СЗИ, EDR • Геолокация, threat intel • Compliance-отчёты • UEBA • SOAR-интеграция
Ключевые сценарии детектирования:
-- Пример правила корреляции (псевдокод):
IF
(failed_logins > 10 FROM same_ip IN 5min)
AND
(successful_login FROM same_user AFTER failures)
AND
(user_privileges = 'admin'
THEN
RAISE ALERT 'Возможная атака brute-force с последующим доступом привилегированного пользователя'
SEVERITY: HIGH
ACTION: Блокировать IP, уведомить SOC, создать тикетПопулярные SIEM-платформы:
Решение | Особенности | Соответствие требованиям РФ |
RuSIEM | Российская разработка, интеграция с отечественными СЗИ | ✅ Сертифицировано ФСТЭК |
MaxPatrol SIEM | Глубокая аналитика, встроенные сценарии для КИИ | ✅ Сертифицировано ФСТЭК |
ELK Stack (Open Source) | Гибкость, низкая стоимость владения | ⚠️ Требует дополнительной сертификации компонентов |
Splunk | Мощная аналитика, экосистема приложений | ❌ Не сертифицировано для госсектора РФ |
💡 Важно: Для систем, обрабатывающих ПДн и КИИ, необходимо использовать сертифицированные ФСТЭК средства мониторинга или обеспечивать изоляцию несертифицированных компонентов [^1]
https://base.garant.ru/12148567/?roistat_visit=143060 ]
[^идентификатор]:
Это содержание сноски.