Кибербезопасность в крупных компаниях: процессы, роли и практики

Курс о том, как устроена кибербезопасность в больших организациях: от структуры команд и корпоративных процессов до ключевых технологий и реагирования на инциденты. Вы разберёте типовые требования комплаенса, подходы к управлению рисками и практику взаимодействия с ИТ, бизнесом и подрядчиками.

1. Как устроена кибербезопасность в корпорации: роли, команды и ответственность

Как устроена кибербезопасность в корпорации: роли, команды и ответственность

Кибербезопасность в крупной компании — это не «одна команда, которая всё закрывает», а система ролей, процессов и зон ответственности, встроенная в бизнес. Чем больше организация, тем важнее разделение обязанностей: кто принимает риск, кто строит защиту, кто эксплуатирует, кто контролирует.

Эта статья даст карту корпоративной ИБ: какие команды существуют, как они взаимодействуют, где проходит граница ответственности и почему конфликты «безопасники мешают» почти всегда вызваны неверной моделью взаимодействия.

Зачем корпорации нужна формальная структура ИБ

В небольшой компании один специалист может одновременно настраивать защиту, расследовать инциденты и писать политики. В корпорации так нельзя по трём причинам:

  • Масштаб: тысячи сотрудников, сотни систем, много подрядчиков и облаков.
  • Риски: простои, утечки, штрафы, требования клиентов и регуляторов.
  • Разделение полномочий: тот, кто делает, не должен единолично подтверждать, что всё сделано правильно.

    • На практике ИБ в корпорации — это сочетание:

  • Управления (governance): правила, цели, метрики, принятие рисков.
  • Инженерии: проектирование и внедрение защитных мер.
  • Операций: ежедневная эксплуатация и реагирование.
  • Контроля: проверки, аудит, соответствие требованиям.

    • Базовые понятия, без которых сложно ориентироваться

  • Актив: то, что имеет ценность для компании (данные, сервис, сервер, учетные записи, репутация).
  • Риск: вероятность и ущерб от нежелательного события (например, утечки данных).
  • Контроль (мера защиты): способ снизить риск (MFA, сегментация сети, резервное копирование, обучение).
  • Инцидент: событие, которое нарушает конфиденциальность, целостность или доступность.
  • Владелец актива: бизнес-роль, которая отвечает за то, зачем нужен актив и какой риск допустим.

    • Чтобы не спорить на уровне ощущений, корпорации часто опираются на общие рамки:

  • NIST Cybersecurity Framework — модель функций Identify/Protect/Detect/Respond/Recover.
  • ISO/IEC 27001 — стандарт системы управления информационной безопасностью.
  • NIST SP 800-53 — каталог контролей безопасности.

    • Где «живет» кибербезопасность в структуре компании

    Организационно ИБ может подчиняться разным руководителям — у каждого варианта есть плюсы и минусы:

  • CISO → CEO/Board: сильная независимость, проще «продавать» риск на уровне бизнеса.
  • CISO → CIO/CTO: ближе к ИТ и инженерии, проще внедрять изменения, но выше риск конфликта интересов.
  • Гибрид: часть функций в ИТ (например, SOC), а governance и риск — отдельно.

    • Важно не столько «кому подчиняется», сколько:

  • Есть ли у ИБ право эскалации риска до руководства.
  • Зафиксированы ли роли и ответственность (иначе безопасность превращается в бесконечные согласования).
  • Есть ли измеримые цели (например, снижение времени реакции на инцидент, покрытие MFA).

    • !Карта команд ИБ и их связь с бизнесом и ИТ

    Ключевые роли: кто за что отвечает

    CISO (Chief Information Security Officer)

    CISO — руководитель функции ИБ, отвечает за стратегию, приоритизацию и коммуникацию риска.

    Типичные обязанности:

  • Формировать программу ИБ и бюджет.
  • Договариваться с бизнесом о допустимом уровне риска.
  • Обеспечивать готовность к инцидентам и отчетность руководству.
  • Запускать ключевые инициативы: IAM, Zero Trust, безопасная разработка.

    • Владелец риска и владелец актива

    Важнейший принцип корпорации: кибербезопасность снижает риск, но не может принять его за бизнес.

  • Владелец актива обычно в бизнесе или ИТ (руководитель продукта/сервиса).
  • Владелец риска — тот, кто имеет полномочия принять последствия (часто руководитель направления).

    • ИБ может рекомендовать и требовать контролей, но решение «работаем так» или «останавливаем запуск» должно быть оформлено через принятый процесс (например, исключение/waiver с подписью владельца риска).

    CIO/CTO и ИТ/инженерия

  • CIO (ИТ) и CTO (технологии/разработка) часто отвечают за платформы, эксплуатацию, надежность.
  • Они критичны для ИБ, потому что большинство контролей внедряется через ИТ-изменения.

    • DPO/Privacy и юридическая функция

  • DPO (если назначается) и юристы помогают выполнять требования по персональным данным и договорным обязательствам.
  • При инцидентах они определяют, что и кому нужно уведомлять, и как формулировать коммуникации.

    • Типовые команды в корпоративной ИБ

    Ниже — «конструктор» функции ИБ. В разных компаниях названия отличаются, но смысл похож.

    GRC: Governance, Risk, Compliance

    Команда, которая превращает безопасность в управляемую систему.

    Задачи:

  • Политики, стандарты и требования (что обязательно, что рекомендовано).
  • Оценка рисков и реестр рисков.
  • Соответствие требованиям (регуляторы, клиенты, сертификации).
  • Исключения (waivers) и контроль сроков их действия.

    • Security Architecture / Security Engineering

    Команда, которая проектирует и внедряет технические меры защиты.

    Задачи:

  • Референс-архитектуры (например, сегментация, шифрование, Zero Trust).
  • Выбор и внедрение инструментов (EDR, SIEM, DLP и т.д.).
  • Требования к системам и интеграциям (логирование, управление секретами).

    • SOC: Security Operations Center

    Команда ежедневной защиты и мониторинга.

    Задачи:

  • Мониторинг событий безопасности (SIEM, EDR, облачные логи).
  • Триаж алертов и расследование подозрительных активностей.
  • Охота за угрозами (threat hunting) и улучшение детектов.

    • Ориентиром по тактикам атак часто служит база знаний MITRE ATT&CK.

    Incident Response (IR) и форензика

    Команда, которая управляет инцидентами «от обнаружения до закрытия».

    Задачи:

  • План реагирования, роли дежурств, учения.
  • Координация ИТ, разработки, бизнеса, юристов, PR.
  • Сбор доказательств и анализ первопричин.
  • Пост-инцидентные меры: что меняем в процессах и архитектуре.

    • AppSec / Product Security

    Команда безопасности разработки и продуктов.

    Задачи:

  • Правила безопасной разработки (secure SDLC).
  • Анализ уязвимостей (SAST/DAST/SCA), threat modeling.
  • Пентесты и работа с найденными проблемами.
  • Обучение разработчиков и программа security champions.

    • Полезная база по типовым ошибкам веб-приложений: OWASP Top 10.

    IAM: Identity and Access Management

    Одна из самых критичных областей.

    Задачи:

  • Управление учетными записями и жизненным циклом доступов.
  • MFA, SSO, привилегированный доступ (PAM).
  • Ролевые модели и регулярные ревью доступов.

    • Vulnerability Management

    Команда, которая управляет уязвимостями как потоком работ.

    Задачи:

  • Сканирование инфраструктуры и приложений.
  • Приоритизация (что чинить первым и почему).
  • Контроль сроков исправления и исключения.

    • Security Awareness (обучение сотрудников)

    Задачи:

  • Обучение фишингу, работе с данными, правилам удаленной работы.
  • Коммуникации о новых угрозах и изменениях в правилах.

    • Модель «трех линий защиты» и почему она важна

    Во многих корпорациях используют модель разделения ответственности:

  • Первая линия: бизнес и ИТ, которые владеют процессами и активами и выполняют обязательные требования.
  • Вторая линия: функция риска/комплаенса/ИБ (GRC), которая задает правила и контролирует выполнение на уровне управления.
  • Третья линия: внутренний аудит, который независимо проверяет, насколько система контроля работает.

    • Это снижает риск ситуации, когда «мы сами сделали — мы сами проверили — мы сами признали, что всё хорошо».

    Как договориться о границах ответственности: RACI

    Чтобы команды не спорили «кто должен», в корпорациях фиксируют ответственность через RACI:

  • R (Responsible): исполняет работу.
  • A (Accountable): несет итоговую ответственность и принимает решение.
  • C (Consulted): консультирует.
  • I (Informed): уведомляется.

    • Пример упрощенной матрицы для типовых задач:

    | Активность | Владелец сервиса (бизнес/ИТ) | ИТ-эксплуатация | ИБ (GRC) | SOC/IR | AppSec | |---|---|---|---|---|---| | Включить MFA для сервиса | A | R | C | I | I | | Настроить логирование в SIEM | A | R | C | R | I | | Принять исключение из политики | A | C | R | I | I | | Устранить уязвимость в коде | A | I | C | I | R | | Реагировать на инцидент | C | R | I | A | C |

    Важно: в реальной компании RACI детализируют по типам систем (облако/он-прем), по критичности данных и по стадиям жизненного цикла.

    Как выглядят взаимодействия ИБ с другими функциями

  • С разработкой: безопасность встраивается в CI/CD, а не приходит «в конце релиза».
  • С ИТ: изменения проходят через change management, а аварийные изменения — через отдельный процесс.
  • С закупками: требования к поставщикам (оценка рисков третьих сторон, условия договоров, SLA по инцидентам).
  • С HR: офбординг, дисциплинарные меры, обучение, расследования (в рамках политики и закона).
  • С PR и руководством: коммуникации при инцидентах.

    • Типичные ошибки корпоративной модели ИБ

  • ИБ как «служба запретов» без альтернатив: политика есть, как сделать безопасно — нет.
  • Отсутствие владельцев активов: «все отвечают» = «не отвечает никто».
  • Операции без обратной связи: SOC видит атаки, но инженерия не улучшает архитектуру, поэтому алерты повторяются.
  • Исключения навсегда: waivers без сроков превращают требования в формальность.

    • Что важно запомнить

  • Корпоративная ИБ — это система ролей: управление, инженерия, операции и контроль.
  • ИБ снижает риск, но бизнес принимает риск через владельцев активов и владельцев риска.
  • Четкие границы ответственности (например, через RACI) экономят время и уменьшают конфликты.
  • Самые «прикладные» точки контакта: IAM, мониторинг, реагирование, безопасная разработка и управление уязвимостями.

    • В следующих материалах курса эту карту мы будем «приземлять» на процессы: как строятся политики, как работает жизненный цикл уязвимостей, как организуется SOC и реагирование, и как измеряют зрелость ИБ в крупной компании.

    2. Корпоративные политики и управление рисками: GRC, комплаенс и аудит

    Корпоративные политики и управление рисками: GRC, комплаенс и аудит

    В предыдущей статье мы разобрали, кто делает кибербезопасность в корпорации: роли, команды и границы ответственности (включая модель трех линий защиты и RACI). Теперь «приземлим» эту карту на управленческий слой: как компания формулирует требования, как измеряет и принимает риск и как проверяет, что требования реально выполняются.

    В крупных организациях эти темы объединяют понятием GRCGovernance, Risk, Compliance.

    Что такое GRC и почему без него безопасность не масштабируется

    GRC — это набор процессов и артефактов, которые делают безопасность управляемой:

  • Governance: правила, цели, метрики, распределение ответственности.
  • Risk: выявление, оценка, обработка и принятие рисков.
  • Compliance: соблюдение требований регуляторов, клиентов и внутренних политик.

    • Без GRC безопасность превращается в «проектную активность»: что-то внедрили, что-то настроили, но невозможно ответить руководству на базовые вопросы:

  • Какие риски для бизнеса сейчас самые большие и почему?
  • Какие контролі обязательны для всех и кто проверяет их выполнение?
  • Где у нас есть исключения и кто их подписал?

    • Практически во всех компаниях GRC опирается на известные рамки и стандарты:

  • NIST Cybersecurity Framework как язык функций Identify/Protect/Detect/Respond/Recover.
  • ISO/IEC 27001 как модель системы управления ИБ (ISMS).
  • ISO/IEC 27002 как набор практик и примеров контролей.

    • Политики, стандарты, процедуры: как устроена «иерархия требований»

    В корпоративной среде важно разделять уровни документов, иначе сотрудники получают либо слишком общие лозунги, либо слишком детальные инструкции без смысла.

    Обычно используют такую структуру:

  • Политика (policy): что и почему обязательно (уровень принципов и обязательств).
  • Стандарт (standard): какой минимум должен быть реализован (конкретные обязательные требования).
  • Процедура (procedure / process): как именно выполняется стандарт (шаги, роли, входы/выходы).
  • Руководство (guideline): хорошие практики и рекомендации (необязательные).

    • !Иерархия документов: от принципов к конкретным шагам

    Что такое «контроль» и чем он отличается от политики

    Контроль (security control) — это мера, которая снижает риск. Примеры:

  • MFA для привилегированных учетных записей.
  • Шифрование данных на ноутбуках.
  • Централизованное логирование в SIEM.
  • Резервное копирование с тестированием восстановления.

    • Политика и стандарт описывают ожидание («MFA обязателен»), а контроль — реализация (конкретная настройка, процесс или инструмент).

    Жизненный цикл политики в корпорации

    Чтобы политики не были «мертвыми документами», в зрелых организациях для них есть понятный цикл:

  • Инициирование: почему появилась потребность (инцидент, аудит, регулятор, изменение бизнеса).
  • Разработка: владелец документа, область действия, определения терминов.
  • Согласование: ИТ, разработка, юридический блок, privacy, иногда HR.
  • Утверждение: уровень утверждения зависит от критичности (часто CISO/комитет, иногда совет директоров).
  • Внедрение: коммуникации, обучение, изменения в процессах и инструментах.
  • Контроль выполнения: метрики, проверки, аудит.
  • Пересмотр: по расписанию или при значимых изменениях.

    • Ключевой принцип: политика должна быть проверяемой. Формулировка «обеспечивать высокий уровень защиты» непроверяема. Формулировка «все корпоративные учетные записи должны использовать MFA» проверяема.

    Управление рисками: от разговоров к решениям

    Риск в корпоративной ИБ — это не «страшилка», а инструмент выбора приоритетов.

    Базовые термины управления рисками

  • Риск: сочетание вероятности события и ущерба для бизнеса.
  • Угроза: кто/что может реализовать нежелательное событие (злоумышленник, ошибка сотрудника, сбой).
  • Уязвимость: слабое место, которое позволяет угрозе сработать.
  • Контроль: мера, уменьшающая вероятность и/или ущерб.
  • Остаточный риск: риск, который остается после внедрения контролей.

    • Для практики полезно помнить: команда ИБ обычно предлагает контролі и оценивает риск, но решение о принятии риска должно быть оформлено владельцем риска (это перекликается с принципом из предыдущей статьи: «ИБ снижает риск, бизнес принимает риск»).

    Как выглядит процесс risk management в корпорации

    Чаще всего он строится как повторяемый цикл:

  • Идентификация: какие активы критичны, какие сценарии угроз актуальны.
  • Оценка: насколько вероятно и каков ущерб.
  • Обработка: что делаем с риском.
  • Фиксация и контроль: реестр рисков, сроки, владельцы, статус.
  • Пересмотр: по времени и по событиям (инциденты, изменения архитектуры, новые требования).

    • !Цикл управления рисками и место реестра рисков

    Реестр рисков: главный артефакт GRC

    Реестр рисков — это список рисков с атрибутами, который позволяет управлять ими как портфелем работ. Типичные поля:

  • Описание риска понятным бизнес-языком.
  • Актив/процесс, которого касается риск.
  • Владелец риска и владелец актива.
  • Текущие контролі и пробелы.
  • Оценка критичности (качественная или полуколичественная).
  • План обработки (mitigation plan), сроки и ответственные.
  • Статус и дата пересмотра.

    • Зрелость начинается там, где риск описан не как «у нас нет DLP», а как «возможна утечка коммерческой тайны через неконтролируемые каналы передачи данных, что приведет к финансовому ущербу и нарушению обязательств перед клиентами».

    Что можно сделать с риском: четыре стратегии

    Обычно выделяют четыре варианта обработки риска:

  • Снизить (mitigate): внедрить контролі.
  • Избежать (avoid): отказаться от активности (например, не запускать функциональность).
  • Передать (transfer): страхование, договорные условия, аутсорсинг (важно: ответственность все равно остается у компании).
  • Принять (accept): осознанно оставить остаточный риск.

    • Принятие риска в корпорации почти всегда оформляется как исключение (exception/waiver).

    Исключения (waivers): как сделать их управляемыми

    Исключение — это разрешение временно не выполнять конкретное требование, если есть обоснование и компенсационные меры.

    Хорошая практика для исключений:

  • Ограниченный срок действия (например, 90–180 дней) и дата пересмотра.
  • Компенсационные контролі (например, временно усиливаем мониторинг в SOC).
  • Подпись владельца риска и согласование ИБ (по правилам компании).
  • Публичность для заинтересованных команд (чтобы не было «тихих» исключений).

    • Плохая практика — «исключение навсегда». Оно размывает стандарты и делает аудит бессмысленным.

    Комплаенс: соответствие требованиям без превращения в бюрократию

    Комплаенс в кибербезопасности бывает трех основных типов:

  • Регуляторный: требования закона и регуляторов (например, по персональным данным, отраслевые нормы).
  • Договорной: требования клиентов и партнеров (например, необходимость иметь отчет SOC 2 или выполнять требования по уведомлению об инцидентах).
  • Внутренний: корпоративные политики и стандарты.

    • Важно понимать отличие:

  • Комплаенс отвечает на вопрос: «что мы обязаны выполнить?»
  • Управление рисками отвечает на вопрос: «что нам выгоднее сделать в первую очередь, чтобы снизить ущерб?»

    • В зрелой модели эти вещи соединяются: требования комплаенса попадают в стандарты, а выполнение становится измеримым контролями и аудитами.

    Типовой путь комплаенс-требования до реального контроля

  • Требование появляется (закон, контракт, запрос крупного клиента).
  • Юристы/GRC интерпретируют его и переводят на язык компании.
  • Появляется или обновляется стандарт (что именно нужно сделать).
  • Инженерия/ИТ/разработка внедряют контролі.
  • Появляются доказательства выполнения (логи, конфигурации, отчеты, записи обучения).
  • Аудит проверяет, что выполнение устойчиво.

    • Аудит: как проверяют безопасность и почему это не «карательная функция»

    Аудит — это независимая проверка того, что система контроля работает так, как заявлено.

    В контексте модели трех линий защиты:

  • Первая линия (бизнес/ИТ) выполняет контролі.
  • Вторая линия (GRC/ИБ) задает требования и контролирует на уровне управления.
  • Третья линия (внутренний аудит) независимо проверяет.

    • Виды аудита, с которыми чаще всего сталкиваются

  • Внутренний аудит: проверяет эффективность контролей и соответствие внутренним требованиям.
  • Внешний аудит: может проводиться для сертификации или по запросу клиентов.
  • Аудит поставщиков (third-party assessments): когда вы оцениваете безопасность подрядчиков.

    • Для ориентира по распространенным формам внешних подтверждений часто встречаются:

  • SOC 2 (AICPA) как формат отчета о контролях (чаще для сервисных компаний).
  • ISO/IEC 27001 как сертификация системы управления ИБ.

    • Как проходит аудит: практическая механика

    Независимо от формата, логика похожа:

  • Скоуп: какие системы/процессы проверяют и за какой период.
  • Критерии: по чему проверяют (политики, стандарты, ISO-контроли, контрактные требования).
  • Сбор доказательств: документы, выгрузки из систем, скриншоты конфигураций, интервью.
  • Выборка: аудит часто проверяет не всё, а репрезентативные примеры (например, несколько систем или пользователей).
  • Наблюдения и находки: что не соответствует требованиям.
  • План корректирующих действий: кто исправляет, до какого срока, как подтверждаем.

    • Важная практическая мысль: аудит почти всегда проверяет не «наличие документа», а работоспособность контроля. Например, не «есть политика доступа», а «как реально выдаются права, есть ли ревью, есть ли доказательства выполнения».

    Как готовиться к аудитам без «пожарного режима»

  • Хранить доказательства выполнения контролей в понятном месте (GRC-система, корпоративное хранилище с контролем доступа).
  • Делать контролі измеримыми (например, покрытие MFA, процент критических уязвимостей старше SLA).
  • Встраивать требования в процессы (onboarding/offboarding, change management, SDLC), а не решать вручную.
  • Регулярно пересматривать исключения и закрывать просроченные.

    • Связь GRC с техническими командами: как не сломать скорость бизнеса

    Частая причина конфликтов — GRC формулирует требования, но не учитывает реальность инженерии и эксплуатации.

    Рабочая модель взаимодействия:

  • GRC формулирует что должно быть достигнуто и как это проверяется.
  • Архитектура/инженерия предлагает референс-реализации (паттерны, шаблоны, «золотые конфигурации»).
  • ИТ/разработка внедряют в рамках стандартных процессов (изменения, релизы).
  • SOC/IR используют результаты (логи, детекты) и дают обратную связь о реальных атаках.

    • Эта связка превращает безопасность из «согласований» в управляемую систему: требования → контролі → доказательства → проверка → улучшение.

    Что важно запомнить

  • GRC — управленческий слой кибербезопасности: governance, риск, комплаенс.
  • Политика отвечает на что и почему, стандарт — на какой минимум, процедура — на как делать.
  • Реестр рисков — главный инструмент, который связывает бизнес-ущерб, контролі и приоритеты.
  • Исключения должны быть временными, с владельцем риска и компенсационными мерами.
  • Аудит проверяет работоспособность контролей и устойчивость процессов, а не «наличие документов».

    • В следующих материалах курса логично перейти от управленческих механизмов к операционным: как требования GRC превращаются в конкретные процессы (например, управление уязвимостями, контроль доступов, мониторинг и реагирование), и какие метрики действительно отражают зрелость безопасности.

    3. Архитектура защиты: сети, облака, IAM и безопасность конечных устройств

    Архитектура защиты: сети, облака, IAM и безопасность конечных устройств

    После того как мы разобрали структуру ИБ в корпорации (роли, команды, ответственность) и управленческий слой GRC (политики, риск, комплаенс, аудит), логично перейти к тому, как требования превращаются в техническую архитектуру защиты.

    Архитектура защиты в крупной компании почти никогда не выглядит как «поставили один продукт — и безопасно». Обычно это набор согласованных решений на четырех уровнях:

  • сеть и периметр
  • облака и платформы
  • идентификация и доступ (IAM)
  • конечные устройства (endpoint)

    • Цель статьи — дать практическую карту: какие принципы считаются нормой в корпорациях, как это связано с рисками и аудитом, и какие типовые ошибки ломают безопасность при росте.

    Базовые принципы архитектуры защиты в корпорации

    Защита строится от рисков и активов

    Из статьи про GRC важно перенести одну мысль: технические меры имеют смысл только как ответ на риск, связанный с активом.

  • актив: данные клиентов, платежи, интеллектуальная собственность, доступ администратора
  • риск: утечка, простой, подмена данных, несанкционированный доступ
  • контроль: сегментация сети, MFA, шифрование диска, журналирование

    • Если связь риск → контроль → доказательство не формализована, аудит превращается в спор, а не в проверку.

    Defense-in-depth и отказ от «единственной стены»

    Defense-in-depth — подход, в котором атака должна пройти несколько независимых барьеров.

  • даже если фишинг украл пароль, MFA и условный доступ должны остановить вход
  • даже если устройство заражено, EDR и ограничение прав должны снизить ущерб
  • даже если атакующий в сети, сегментация должна ограничить перемещение

    • Zero Trust как направление, а не продукт

    Zero Trust — это модель, где доверие не дается «по факту нахождения в корпоративной сети», а каждый запрос проверяется по контексту: кто, откуда, с какого устройства, к чему обращается.

    Официальное описание подхода: NIST SP 800-207 Zero Trust Architecture.

    !Диаграмма ключевых компонентов Zero Trust и потока проверки доступа

    Сетевая архитектура защиты: сегментация, периметр, удаленный доступ

    Сегментация и зоны доверия

    Сегментация — разделение сети на зоны, между которыми контролируется трафик.

    Типовая корпоративная модель:

  • пользовательские сети (рабочие места)
  • серверные сегменты (приложения, базы данных)
  • сегмент администрирования (jump-host, bastion)
  • DMZ (публичные компоненты)
  • отдельные сегменты для критичных систем

    • Ключевая практическая цель сегментации — снизить латеральное перемещение (когда злоумышленник, получив доступ к одной машине, «шагает» дальше).

    Периметр не исчез, но перестал быть единственным рубежом

    Даже в облачной и удаленной реальности периметр все еще нужен:

  • защита публичных сервисов через WAF и ограничения на уровне L7
  • защита от DDoS
  • контроль входящих соединений и публикации сервисов

    • При этом архитектурно важно считать, что «внутри сети» тоже может быть злоумышленник, и поэтому нужны контроль доступа и детекты внутри.

    Удаленный доступ: VPN, ZTNA и администрирование

    Три частые категории удаленного доступа:

  • доступ сотрудников к корпоративным приложениям
  • доступ подрядчиков
  • административный доступ к инфраструктуре

    • Типовой переход крупных компаний: от «всем VPN во внутреннюю сеть» к более ограниченным моделям:

  • ZTNA (доступ к конкретным приложениям, а не ко всей сети)
  • отдельные каналы и устройства для администрирования
  • обязательные условия доступа: MFA, управляемое устройство, гео и риск-сигналы

    • Что обычно проверяет аудит в сети

    Аудит редко «оценивает красоту схемы». Он проверяет устойчивость контролей:

  • формализована ли сегментация (стандарты, архитектурные принципы)
  • есть ли инвентаризация сетевых устройств и правил
  • управляются ли изменения через change management
  • есть ли журналирование сетевых событий и разбор инцидентов

    • Безопасность в облаках: модель ответственности и базовая платформа

    Shared Responsibility Model

    В облаке безопасность делится между провайдером и клиентом. Это называют моделью разделенной ответственности.

  • провайдер отвечает за безопасность самой облачной платформы
  • клиент отвечает за конфигурацию, доступы, данные, сетевые правила, ключи и учетные записи

    • Примеры официальных описаний:

  • AWS Shared Responsibility Model
  • Microsoft Shared Responsibility Model
  • Google Cloud Shared Responsibility Model

    • Главная ошибка в корпорациях — перенос ожиданий из on-prem: «провайдер же защищает». На практике большинство облачных инцидентов происходит из-за ошибок конфигурации и IAM.

    Landing Zone как фундамент

    Landing Zone — это заранее подготовленная «базовая среда» в облаке, куда потом подключают команды и рабочие нагрузки.

    Обычно в нее входят:

  • структура аккаунтов/подписок/проектов и изоляция окружений
  • централизованное логирование и хранение логов
  • базовые сетевые правила и шаблоны сегментации
  • политики на уровне организации (например, запрет публичных бакетов)
  • управление ключами и секретами

    • Практический эффект: снижает вероятность того, что каждая команда «соберет облако по-своему» и часть контролей выпадет.

    !Схема базовой облачной платформы с guardrails и централизованным логированием

    Guardrails: обязательные ограничения вместо ручных проверок

    Guardrails — «ограждения», которые технически не дают нарушить критичные требования.

    Типовые примеры guardrails:

  • запрет на публичный доступ к хранилищам по умолчанию
  • обязательное шифрование данных на дисках и в хранилищах
  • запрет на создание IAM-ключей без обоснования
  • обязательная отправка логов в центральное хранилище

    • С точки зрения GRC это сильный инструмент: он превращает часть требований из «процедуры» в «технически обеспечиваемый стандарт», который проще доказать аудитору.

    Облачная телеметрия и мониторинг

    Облачная безопасность без журналов обычно не работает. Минимальный набор сигналов:

  • логи действий в control plane (кто что менял в облаке)
  • сетевые логи (flow logs)
  • события IAM (неудачные входы, выдача прав)
  • события сервисов хранения данных (доступ к объектам)

    • Дальше эти события либо попадают в SIEM, либо в платформу для облачного мониторинга с корреляцией.

    IAM: идентификация, доступ, привилегии

    Почему IAM — «центр гравитации» архитектуры

    В крупных компаниях большинство успешных атак связано с доступом:

  • украденные учетные данные
  • чрезмерные права
  • слабый контроль привилегий
  • отсутствие ревью доступов

    • Поэтому IAM связывает сети, облака и endpoints в единую систему.

    Основные термины IAM

  • IdP (Identity Provider): система, которая подтверждает личность пользователя и выпускает токены для доступа
  • SSO (Single Sign-On): единая точка входа в разные приложения
  • MFA (Multi-Factor Authentication): второй фактор (приложение, токен, ключ)
  • RBAC (Role-Based Access Control): доступ по ролям
  • PAM (Privileged Access Management): управление привилегированными учетными записями и сессиями

    • Принципы корпоративного доступа

  • least privilege: права должны быть минимально необходимыми
  • separation of duties: критичные операции разделяются между ролями
  • just-in-time: привилегии выдаются на время и по запросу
  • условный доступ: решение зависит от контекста (устройство, география, риск)

    • Практика: как обычно выглядит доступ сотрудника

    Типовая цепочка:

  • сотрудник проходит аутентификацию в IdP
  • IdP требует MFA
  • проверяется состояние устройства (управляемое ли, обновления, шифрование)
  • выдаются права по ролям (RBAC) и группам
  • действия журналируются и доступны для расследований

    • Привилегированный доступ и отдельный контур администрирования

    Админ-доступ в корпорации чаще всего выделяют как отдельную тему, потому что ущерб от компрометации максимален.

    Нормальные практики PAM:

  • отдельные админ-аккаунты (не «повышение прав» на обычном)
  • запрет постоянных привилегий, переход к just-in-time
  • запись админ-сессий для расследований
  • отдельные jump-host/bastion для критичных систем

    • С точки зрения GRC это обычно закрепляется стандартом и проверяется через выборки: «покажите несколько админов, их права, процесс выдачи и отзыв прав».

    IAM и облако: два ключевых правила

  • избегать долгоживущих ключей, где возможно, и использовать временные токены и роли
  • строить доступ через группы и роли, а не через индивидуальные исключения

    • Безопасность конечных устройств: EDR, MDM, шифрование, конфигурации

    Что такое endpoint в корпоративной реальности

    Конечные устройства — это не только ноутбуки. Обычно сюда относят:

  • рабочие станции сотрудников
  • мобильные устройства
  • серверы и виртуальные машины
  • иногда специальные устройства (киоски, терминалы)

    • Но главный источник массовых рисков — пользовательские устройства, потому что именно там фишинг, браузер и почта.

    Три базовых слоя защиты endpoint

  • управление устройствами (MDM/UEM): политики, инвентаризация, соответствие требованиям
  • защита и обнаружение (AV/EDR): предотвращение и детектирование атак
  • базовое усиление (hardening): настройки ОС, запрет опасных опций, обновления

    • Практически полезная опора для минимального набора контролей: CIS Critical Security Controls v8.

    Обязательные технические требования, которые легко проверяются

  • шифрование диска на ноутбуках
  • авто-блокировка экрана
  • обновления ОС и браузера в пределах SLA
  • запрет локального админа для обычных пользователей
  • EDR установлен и передает телеметрию

    • Эти требования ценны тем, что их можно превратить в измеримые метрики и автоматические отчеты для GRC.

    EDR и SOC: как это связано с операциями

    EDR имеет смысл только если:

  • события реально просматриваются (SOC)
  • есть процедуры реакции (изоляция хоста, сбор артефактов)
  • есть обратная связь в инженерные команды (какие политики усилить)

    • Иначе это превращается в «галочку» без эффекта.

    BYOD и подрядчики

    Две реальности, где архитектура часто ломается:

  • личные устройства сотрудников
  • устройства подрядчиков

    • Типовые варианты контроля:

  • запрет доступа к критичным системам без управляемого устройства
  • изолированный доступ через VDI или браузерную публикацию
  • отдельные роли и ограничения для подрядчиков

    • Как связать сеть, облако, IAM и endpoints в единую архитектуру

    Сквозные контролі, которые «склеивают» систему

    Ниже — типовая карта «что должно быть единым», иначе защита распадается на островки.

    | Область | Единый принцип | Типовой механизм | Что пойдет в доказательства для аудита | |---|---|---|---| | Идентификация | один источник истины пользователей | IdP, SSO | настройки SSO, отчеты по MFA | | Доступ | минимальные права и учет ролей | RBAC, процессы выдачи | заявки, ревью доступов | | Привилегии | контроль админов | PAM, bastion | логи сессий, список админов | | Мониторинг | централизованные логи | SIEM, облачные логи, EDR | подтверждение поступления событий | | Изменения | управляемость конфигураций | change management, IaC | записи изменений, pull requests | | Устройства | только управляемые endpoints для критичного доступа | MDM/UEM, conditional access | отчеты соответствия устройств |

    Архитектура как набор стандартов и референсных реализаций

    Чтобы это работало в масштабе, корпорации обычно фиксируют два слоя:

  • стандарты (обязательный минимум, из GRC)
  • референсные реализации (как именно делать: шаблоны, golden configs, IaC-модули)

    • Так уменьшается конфликт «политика требует, но непонятно как внедрять», и ускоряется доставка изменений.

    Типовые ошибки архитектуры защиты в крупных компаниях

  • «Внутренняя сеть = доверенная зона», отсутствие сегментации и контроля east-west трафика
  • MFA включен «для части», а критичные исключения живут годами
  • отсутствие централизованного логирования, особенно в облаках
  • локальные админы на рабочих станциях как норма
  • облака без landing zone и guardrails, каждая команда настраивает по-своему
  • EDR есть, но нет процесса реагирования и изоляции

    • Что важно запомнить

  • Архитектура защиты в корпорации — это не отдельный продукт, а согласованная система сетевых, облачных, IAM и endpoint-контролей.
  • Zero Trust — полезная цель: проверять доступ по контексту, а не по «месту в сети».
  • В облаке большинство рисков — это конфигурация и доступы; landing zone и guardrails дают масштабируемый базовый уровень.
  • IAM и привилегии — центральная тема: least privilege, PAM, just-in-time и ревью доступов.
  • Endpoint-безопасность должна быть управляемой и измеримой: шифрование, обновления, EDR, запрет локального админа.

    • В следующих материалах курса эту архитектуру стоит «приземлить» на операционные процессы: управление уязвимостями, управление изменениями, мониторинг и реагирование, а также метрики зрелости, которые связывают технические контролі с управлением рисками.

    4. SOC и реагирование на инциденты: мониторинг, расследование и восстановление

    SOC и реагирование на инциденты: мониторинг, расследование и восстановление

    В предыдущих статьях курса мы разобрали как распределяется ответственность в ИБ (роли, команды, RACI) и как управляются требования и риски (GRC, политики, аудит), а также как эти требования превращаются в архитектуру защиты (сети, облака, IAM, endpoints). Теперь логичный следующий слой — операции безопасности: как в корпорации обнаруживают атаки, расследуют их и возвращают бизнес к нормальной работе.

    Этим обычно занимаются:

  • SOC (Security Operations Center): мониторинг, триаж, расследование, эскалации, улучшение детектов
  • IR (Incident Response): управление инцидентом как процессом, координация людей и действий, containment/eradication/recovery
  • смежные команды: IAM, SecEng, IT Ops/SRE, AppSec, GRC, юридический блок, PR

    • SOC и IR часто организационно разделены, но процессно обязаны быть одной цепочкой.

    !Общая схема того, как события превращаются в расследование и действия

    Зачем SOC и IR формализуют, даже если есть сильные инженеры

    В корпорации инциденты неизбежны: фишинг, компрометация учеток, ошибки конфигурации облака, уязвимости в периметре, инсайдерские действия. Формализация нужна не ради бюрократии, а чтобы:

  • быстро отличать шум от реальной атаки
  • действовать предсказуемо в стрессовой ситуации
  • обеспечивать доказуемость для аудита и юридических требований
  • не повторять одни и те же инциденты, а улучшать защиту системно

    • Полезный ориентир по структуре процесса реагирования: NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide).

    Термины, которые важно различать

  • Событие (event): единичный факт в логах или телеметрии (например, вход в IdP, запуск процесса, создание ключа в облаке).
  • Алерт (alert): сигнал от правила/модели, что набор событий может быть подозрительным.
  • Инцидент (incident): подтвержденное нарушение или высокая вероятность нарушения конфиденциальности, целостности или доступности, требующая управляемых действий.
  • Триаж (triage): быстрый разбор алерта, чтобы решить: закрыть как ложный, запросить контекст, эскалировать в расследование.
  • Сдерживание (containment): остановить развитие атаки (изолировать хост, отключить учетку, закрыть доступ).
  • Искоренение (eradication): убрать первопричину (удалить вредоносное ПО, закрыть уязвимость, исправить конфигурацию).
  • Восстановление (recovery): вернуть сервис/пользователей в нормальный режим и убедиться, что атака не продолжается.

    • Эта терминология помогает избежать типовой ошибки: «мы поменяли пароль — значит инцидент закрыт» (это часто containment, но не eradication и не recovery).

    Как устроен SOC в крупной компании

    Модель уровней (Tier 1/2/3) и роли

    Названия варьируются, но логика часто такая:

  • Tier 1 (аналитики мониторинга): первичный триаж, обогащение контекстом, базовые действия по инструкциям
  • Tier 2 (аналитики расследований): углубленная проверка гипотез, корреляция по источникам, инициирование containment
  • Tier 3 (старшие аналитики/охота за угрозами): сложные кейсы, threat hunting, улучшение детектов, консультации по архитектуре детектирования

    • Отдельно могут существовать:

  • Detection Engineering: разработка и сопровождение правил, контента SIEM, тестирование детектов
  • SOAR/Automation Engineer: автоматизация рутинных действий и интеграций
  • Incident Commander (в IR): руководитель инцидента, который управляет людьми и решениями

    • Важная организационная мысль из первой статьи курса: SOC обычно не владеет системами, а действует через заранее согласованные полномочия и RACI, иначе в момент атаки начинается спор «кто имеет право отключать пользователя».

    Инструменты SOC: что за что отвечает

  • SIEM: сбор, нормализация и корреляция логов, правила детектирования, поиск по событиям
  • EDR: телеметрия и реакция на endpoints (изоляция хоста, сбор артефактов)
  • SOAR: автоматизация триажа и реакций (тикеты, обогащение, блокировки), оркестрация действий
  • Case Management: ведение расследований и фиксация доказательств (часто встроено в SIEM/SOAR или отдельно)

    • MITRE ATT&CK помогает описывать что делает атакующий и строить покрытие детектов: MITRE ATT&CK.

    Телеметрия: без чего мониторинг не взлетает

    Техническая архитектура из предыдущей статьи (сеть, облака, IAM, endpoints) превращается в мониторинг только тогда, когда есть источники событий и договоренность, что логирование — обязательный контроль.

    Минимальный набор источников для корпорации

  • IAM/IdP: входы, MFA, изменения групп, выдача прав
  • Endpoints/EDR: процессы, сетевые соединения, изменения реестра/служб, подозрительные цепочки
  • Сеть: DNS, proxy, firewall, flow logs, VPN/ZTNA события
  • Почта и коллаборация: фишинг-события, правила переадресации, доступ к почтовым ящикам
  • Облако: логи control plane (кто и что менял), события хранения данных, сетевые логи
  • Критичные приложения: аудит-логи действий пользователей и админов

    • Качество логирования как часть контроля

    SOC страдает не только от отсутствия логов, но и от их непригодности:

  • нет идентификатора пользователя или он не совпадает с IdP
  • нет временной синхронизации (сложно выстроить таймлайн)
  • логи не централизованы или быстро удаляются
  • нет событий изменений (а именно они важны при компрометации)

    • Связь с GRC прямая: требования к логированию должны быть оформлены стандартом, а доказательства — проверяемы аудитом.

    Детектирование: как алерты становятся полезными

    Use case-driven detection

    В зрелых SOC правила строят не «потому что вендор так сказал», а от сценариев угроз.

    Примеры понятных use cases:

  • невозможная география входа в IdP + успешный вход + отключение MFA
  • массовые попытки доступа к секретам/ключам в облаке
  • запуск powershell с подозрительными параметрами на рабочей станции + сетевое соединение к редкому домену
  • создание нового API-ключа в облаке + добавление широких прав

    • Ложные срабатывания и политика эскалации

    В корпорации важно заранее определить:

  • какие алерты закрываются на Tier 1 по чек-листу
  • какие требуют эскалации в Tier 2
  • какие считаются критическими и запускают IR немедленно

    • Иначе SOC либо тонет в шуме, либо пропускает важное, потому что «все алерты одинаковые».

    Реагирование на инциденты как управляемый процесс

    NIST описывает классическую схему: подготовка → обнаружение и анализ → сдерживание/искоренение/восстановление → разбор и улучшения. Источник: NIST SP 800-61 Rev. 2.

    !Жизненный цикл IR и то, как он улучшает защиту

    Подготовка

    Подготовка — это то, что определяет успех в первые часы инцидента.

    Ключевые элементы подготовки:

  • классификация инцидентов (уровни критичности, затронутые активы, триггеры эскалации)
  • контакты и дежурства (SOC, IT Ops, IAM, облачная платформа, юридический блок)
  • плейбуки для типовых сценариев (фишинг, компрометация учетной записи, ransomware, утечка)
  • инструменты доступа (как безопасно получить логи, дампы, артефакты)
  • учения (tabletop exercises), чтобы проверить, что процесс живой

    • Связь с первой статьей курса: подготовка невозможна без понятного распределения ответственности и права на эскалацию.

    Обнаружение и анализ

    Задача этапа — быстро ответить на вопросы:

  • что именно произошло и насколько уверенность высокая
  • какие активы затронуты (данные, сервисы, учетные записи)
  • продолжается ли атака сейчас
  • каков потенциальный ущерб для бизнеса

    • Практика расследования обычно включает:

  • сбор таймлайна событий из SIEM/EDR/облака/IdP
  • проверку смежных сигналов (например, вход в IdP + изменения ролей + доступ к данным)
  • выделение начальной точки (initial access) и пути развития (lateral movement)

    • Если компания использует ATT&CK как модель, то результат анализа часто формулируют как цепочку техник, а не как разрозненные события: MITRE ATT&CK.

    Сдерживание

    Цель — остановить ущерб прямо сейчас.

    Типовые действия сдерживания:

  • сброс сессий и принудительная смена пароля, временная блокировка пользователя
  • включение или ужесточение MFA/условного доступа
  • изоляция endpoint через EDR
  • закрытие внешнего доступа (WAF/Firewall), временная блокировка IOC (домены/IP)
  • отключение ключей/токенов в облаке

    • Ключевой баланс:

  • слишком агрессивное сдерживание может остановить бизнес
  • слишком мягкое — позволит атаке продолжаться

    • Поэтому в крупных компаниях решение о крупных отключениях часто принимает Incident Commander вместе с владельцем сервиса, а SOC предоставляет техническую картину.

    Искоренение

    На этом этапе важно убрать не только симптомы, но и первопричину.

    Примеры искоренения:

  • удаление persistence-механизма на хосте
  • закрытие уязвимости, через которую вошли
  • исправление ошибочной облачной конфигурации
  • ревизия прав в IAM (сокращение избыточных ролей)

    • Если этого не сделать, инцидент часто повторяется через дни или недели.

    Восстановление

    Восстановление — это возвращение к нормальной работе с контролем, что атака не продолжается.

    Частые практики:

  • восстановление систем из чистых бэкапов
  • выпуск новых ключей/сертификатов и отзыв старых
  • усиленный мониторинг на период после инцидента
  • контрольные проверки доступа к данным и целостности

    • Здесь особенно важна связка с архитектурой из предыдущей статьи: бэкапы, сегментация, IAM и управляемые endpoints сильно определяют, можно ли восстановиться быстро.

    Разбор инцидента и улучшения

    Пост-инцидентная работа обычно включает:

  • RCA (root cause analysis): первопричина и условия, которые позволили атаке развиться
  • план улучшений: изменения в контролях, архитектуре, детектах, обучении
  • обновление GRC-артефактов: риск, исключения, стандарты, доказательства

    • В зрелой модели метрика успеха — не «закрыть тикет», а снизить вероятность повторения и уменьшить возможный ущерб.

    Взаимодействие SOC/IR с GRC, юридическими и коммуникационными функциями

    Инцидент часто запускает обязательства, которые не являются чисто техническими:

  • требования по уведомлению клиентов и регуляторов (зависит от юрисдикции и договоров)
  • сохранение доказательств для возможных разбирательств
  • ограничения на раскрытие информации сотрудникам и внешним сторонам

    • Поэтому рядом с IR почти всегда работают:

  • юристы: оценка обязательств, формулировки, legal privilege (в рамках применимого права)
  • privacy/DPO: оценка затрагивания персональных данных
  • PR/Comms: согласованные коммуникации
  • GRC: фиксация инцидента в системе управления, связь с рисками и аудит-трейлом

    • Важно: SOC не должен самостоятельно обещать сроки и причины внешним сторонам до завершения анализа.

    RACI для инцидента: кто принимает решения

    Ниже упрощенная схема, которую обычно детализируют под типы инцидентов и системы.

    | Активность | SOC | IR / Incident Commander | IT Ops / SRE | Владелец сервиса | GRC / Legal / Privacy | |---|---|---|---|---|---| | Триаж алерта | R | I | I | I | I | | Подтверждение инцидента и критичности | R | A | C | C | C | | Изоляция хоста / блокировка учетной записи | R | A | R | C | I | | Временное отключение бизнес-функции | C | A | R | A | I | | Устранение первопричины (патч/конфиг/права) | C | A | R | A | C | | Восстановление сервиса | I | A | R | A | I | | Внешние уведомления и юридические шаги | I | C | I | C | A | | Post-incident review и план улучшений | R | A | R | A | C |

    Обозначения: R делает, A принимает итоговое решение и отвечает, C консультирует, I уведомляется.

    Метрики SOC и IR: что реально отражает зрелость

    Метрики нужны не для отчета «все хорошо», а чтобы управлять инвестициями и приоритетами.

    Операционные метрики

  • MTTD (mean time to detect): среднее время до обнаружения (от начала активности до детекта)
  • MTTR (mean time to respond): среднее время до реакции/сдерживания (в зависимости от определения)
  • доля алертов, закрытых как ложные (и причины)
  • время на эскалацию между уровнями

    • Качественные метрики

  • покрытие ключевых сценариев угроз (по активам и ATT&CK-техникам)
  • доля критичных систем с полноценным логированием и попаданием в SIEM
  • доля инцидентов, у которых устранена первопричина (а не только симптомы)

    • Важно заранее договориться о точных определениях. Например, что считать «detected» и «responded», иначе сравнение по времени будет бессмысленным.

    Типовые ошибки SOC и IR в больших компаниях

  • SOC работает как «колл-центр алертов» без полномочий и без обратной связи в инженерию
  • много инструментов, но нет устойчивых источников логов и нормализации
  • плейбуки существуют в документах, но не проверены учениями
  • инциденты закрываются после containment без eradication и recovery
  • исключения из требований (например, без MFA) не компенсируются мониторингом и живут годами

    • Что важно запомнить

  • SOC превращает телеметрию (IAM/EDR/сеть/облако/приложения) в управляемые действия: триаж → расследование → сдерживание → эскалация.
  • IR — это не «техническая магия», а управляемый процесс координации: containment, eradication, recovery и последующие улучшения.
  • Качество логирования и архитектурные решения напрямую определяют, что SOC сможет увидеть и как быстро компания восстановится.
  • Связка SOC/IR с GRC, юридическими и коммуникационными функциями обязательна для доказуемости, комплаенса и правильных внешних коммуникаций.

    • Далее по логике курса полезно углубиться в операционные процессы, которые питают SOC и IR: управление уязвимостями, управление изменениями и практики безопасной эксплуатации, потому что именно они чаще всего становятся первопричинами инцидентов и источником данных для детектирования.

    5. Безопасная разработка и управление уязвимостями: SDLC, DevSecOps, pentest

    Безопасная разработка и управление уязвимостями: SDLC, DevSecOps, pentest

    В предыдущих статьях курса мы разобрали, как устроена ИБ в корпорации (роли и ответственность), как управляют требованиями и рисками (GRC, комплаенс, аудит), как строят техническую архитектуру защиты (сети, облака, IAM, endpoints) и как работают SOC и реагирование на инциденты. Теперь закрываем один из самых «дорогих» источников инцидентов в больших компаниях: уязвимости в коде, зависимостях и конфигурациях.

    Эта статья про то, как в корпорациях:

  • строят безопасную разработку как процесс (SDLC)
  • внедряют DevSecOps так, чтобы не убить скорость релизов
  • организуют управление уязвимостями как поток работ с SLA
  • используют pentest как проверку гипотез, а не «раз в год для галочки»

    • Термины и границы понятий

    Чтобы дальше не путаться, зафиксируем определения.

  • SDLC (Software Development Life Cycle): жизненный цикл разработки ПО от требований до поддержки в продакшене.
  • Secure SDLC: SDLC с обязательными практиками безопасности на каждом этапе.
  • DevSecOps: способ встроить безопасность в DevOps-процессы через автоматизацию, «guardrails», измеримость и совместную ответственность.
  • Уязвимость: слабое место в коде, зависимости или конфигурации, которое может быть использовано для нарушения конфиденциальности, целостности или доступности.
  • Пентест (penetration testing): ограниченная по времени проверка, где специалисты пытаются найти и подтвердить возможность эксплуатации уязвимостей в заданном скоупе.

    • Полезные ориентиры по «официальной» стороне вопроса:

  • NIST Secure Software Development Framework (SSDF) SP 800-218
  • OWASP SAMM
  • OWASP Application Security Verification Standard (ASVS)
  • OWASP Top 10

    • Как безопасная разработка стыкуется с GRC, архитектурой и SOC

    В зрелой корпорации безопасная разработка не живет отдельно. Она «подключена» к трем ранее разобранным слоям.

  • GRC задает требования, которые должны быть проверяемыми.
    • - Пример: не «в приложениях должна быть безопасность», а «для публичных веб-приложений обязателен threat modeling перед запуском и устранение критических уязвимостей до релиза».
  • Архитектура защиты дает референсные решения.
    • - Пример: стандартный модуль аутентификации через корпоративный IdP, стандарт хранения секретов, шаблоны логирования.
  • SOC/IR потребляет то, что дает разработка и платформа.
    • - Пример: аудит-логи, корреляционные идентификаторы, события безопасности (изменение прав, попытки входа, подозрительные запросы).

    Практическое правило: если приложение нельзя мониторить и расследовать, оно часто будет «слепой зоной» даже при хороших сетевых и endpoint-контролях.

    Secure SDLC: что именно внедряют в корпорациях

    Secure SDLC можно представить как набор обязательных практик на этапах.

    !Схема показывает, что безопасность встраивается на каждом этапе и дает обратную связь

    Требования и классификация данных

    На этом этапе важно понять, что защищаем и какие обязательства есть у бизнеса.

  • классификация данных (персональные данные, коммерческая тайна, публичные данные)
  • требования к доступу (MFA, роли, админ-доступ)
  • требования к логированию и аудиту действий
  • требования к хранению и срокам жизни данных

    • Здесь безопасность должна говорить на языке риска и комплаенса из статьи про GRC: какой ущерб возможен и какие контролі обязательны.

    Дизайн: threat modeling и архитектурные проверки

    Threat modeling помогает еще до кода ответить на вопросы:

  • какие активы есть в системе (данные, токены, админ-функции)
  • какие входные точки (API, веб, интеграции)
  • как атакующий может попасть внутрь и что сделать дальше
  • какие меры защиты нужны и кто их реализует

    • Часто используют простые модели, например STRIDE как чек-лист классов угроз (без обязательной формализации до «идеала»).

    Результаты threat modeling должны превращаться в конкретные задачи:

  • где нужен rate limiting
  • где нужна дополнительная авторизация
  • какие события логировать
  • где требуется шифрование

    • Разработка: код, зависимости и секреты

    На этапе написания кода важны три больших пласта.

  • Качество кода и ошибки безопасности
    • - код-ревью с чек-листом - безопасные библиотеки и фреймворки - запрет опасных паттернов
  • Зависимости и supply chain
    • - контроль версий библиотек - запрет «непонятных» пакетов - обновления при появлении уязвимостей
  • Секреты
    • - запрет хранения ключей в репозитории - использование менеджера секретов и ротации

    Полезные базы знаний:

  • MITRE CWE как каталог типовых классов ошибок
  • OWASP Cheat Sheet Series как практические рекомендации

    • CI/CD: автоматизация проверок как «качество по умолчанию»

    DevSecOps в реальности держится на том, что проверки максимально автоматизированы и запускаются в пайплайне.

    Типовые виды проверок:

  • SAST: статический анализ кода (ищет паттерны уязвимостей)
  • SCA: анализ зависимостей и уязвимостей в библиотеках
  • Secrets scanning: поиск утекших ключей
  • IaC scanning: проверка Terraform/CloudFormation/Kubernetes-манифестов на небезопасные конфигурации

    • Чтобы не превратить проверки в «шум», корпорации вводят:

  • базовую настройку правил (что считаем блокирующим)
  • процесс обработки ложных срабатываний
  • согласованные исключения с сроком действия (как и в GRC-статье про waivers)

    • Отдельная тема — цепочка поставки артефактов.

  • сборка должна быть воспроизводимой
  • артефакты подписываются
  • известно, кто и что релизит

    • Один из ориентиров для зрелости supply chain:

  • SLSA (Supply-chain Levels for Software Artifacts)

    • Тестирование: DAST, IAST и проверка логики

    Автоматические тесты хорошо ловят часть проблем, но есть зоны, где они слабее.

  • DAST тестирует приложение «снаружи», имитируя атаки на веб/API.
  • IAST работает внутри приложения во время тестов и может точнее находить причины.
  • бизнес-логика (например, обход оплаты) часто требует сценарного тестирования.

    • Важно: DAST не заменяет threat modeling. Он найдет симптомы, но не всегда подскажет, какие сценарии вообще нужно тестировать.

    Релиз и эксплуатация: безопасные настройки и наблюдаемость

    После релиза безопасность не заканчивается.

  • конфигурации окружений должны быть стандартизованы
  • логи и события безопасности должны попадать в мониторинг
  • уязвимости должны исправляться в рамках SLA
  • инциденты должны давать обратную связь в SDLC

    • Это связывает разработку с тем, что было в статье про SOC: чтобы SOC мог работать, ему нужны сигналы и единые идентификаторы.

    DevSecOps в большой компании: как внедряют без войны с разработкой

    DevSecOps проваливается, когда выглядит как «мы поставили сканер и запретили релизы». Рабочая модель обычно сочетает требования, платформу и поддержку команд.

    Принцип shift left без иллюзий

    Shift left означает находить проблемы раньше, когда они дешевле.

    Но в корпорации важно не превратить shift left в перекладывание ответственности.

  • AppSec помогает с инструментами, правилами и разбором сложных случаев
  • команды разработки устраняют проблемы в своем коде
  • платформа (DevOps/SRE) поддерживает пайплайны и базовые шаблоны

    • Security champions

    Частая практика в крупных организациях — security champions.

  • в каждой продуктовой команде есть человек, который понимает базовые требования безопасности
  • он помогает команде общаться с AppSec, разбирать findings и внедрять паттерны
  • это снижает очередь в AppSec и ускоряет принятие изменений

    • Guardrails вместо ручных согласований

    Часть требований выгоднее сделать технически обязательными.

  • шаблоны репозиториев с включенными сканерами
  • обязательные политики для Kubernetes/облака
  • запрет публикации публичных бакетов и открытых security groups

    • Это напрямую продолжает идею guardrails из статьи про облака и архитектуру защиты.

    Управление уязвимостями: поток работ, а не «таблица на квартал»

    Уязвимости будут всегда. Зрелость определяется тем, насколько управляемо компания их обрабатывает.

    !Цикл показывает, что уязвимости — это непрерывный процесс

    Источники уязвимостей

  • результаты SAST/DAST/SCA и сканирования инфраструктуры
  • находки пентеста
  • отчеты из багбаунти (если есть программа)
  • инциденты и расследования (SOC/IR)
  • уведомления вендоров и CERT

    • Триаж: отделить важное от шума

    Триаж отвечает на вопросы:

  • это реальная уязвимость или ложное срабатывание
  • где она находится и кто владелец компонента
  • эксплуатируемо ли это в наших условиях
  • есть ли компенсационные меры

    • Здесь критична инвентаризация активов и владельцев из первой статьи курса: без владельца «чинить некому».

    Приоритизация: CVSS полезен, но недостаточен

    Часто используют CVSS как входной сигнал, но добавляют бизнес-контекст.

  • доступность с интернета
  • наличие эксплойта в открытом доступе
  • критичность данных/сервиса
  • наличие обходных путей

    • Официальная спецификация:

  • FIRST CVSS

    • Практический вывод для корпорации: приоритет задает не только «балл», а риск для конкретного актива.

    SLA на исправление и исключения

    В крупных компаниях почти всегда есть SLA по исправлению.

    Пример логики (конкретные сроки зависят от бизнеса):

  • критические: исправить до релиза или в очень короткий срок
  • высокие: исправить в рамках согласованного окна
  • средние и низкие: по плану, но с контролем просрочек

    • Если исправить в срок нельзя, включается процесс исключения.

  • исключение ограничено по сроку
  • есть компенсационные меры (например, усиленный мониторинг)
  • подписывает владелец риска

    • Это напрямую продолжает практики waivers из статьи про GRC.

    Верификация: «закрыто» означает проверено

    Уязвимость считается закрытой, когда:

  • исправление внедрено
  • проверка подтверждает, что проблема исчезла
  • нет регрессии (не сломали функциональность)

    • Верификация может быть автоматической (перескан) или ручной (повторная попытка эксплуатации для критичных кейсов).

    Метрики, которые реально помогают управлять

  • доля критичных уязвимостей старше SLA
  • среднее время устранения по критичности
  • доля находок, выявленных до продакшена (через пайплайн), а не после
  • повторяемость классов ошибок (какие CWE чаще всего)

    • Важно: метрики должны приводить к решениям (инвестиции в платформу, обучение, изменение стандартов), а не быть «красивым отчетом».

    Pentest в корпорации: зачем, когда и как не получить бесполезный отчет

    Пентест не заменяет SDLC и сканеры. Он закрывает другие задачи.

  • проверяет цепочки атак и реальную эксплуатируемость
  • находит логические ошибки и проблемы интеграций
  • проверяет эффективность контролей (например, rate limiting, авторизация)

    • Практические методологии:

  • OWASP Web Security Testing Guide (WSTG)

    • Виды пентеста

  • black box: минимум знаний о системе
  • gray box: есть учетные данные/частичный доступ
  • white box: доступ к коду и архитектуре

    • В корпорации gray box и white box часто дают больше пользы, потому что экономят время на разведку и позволяют глубже проверить бизнес-логику.

    Скоуп и правила: без них пентест либо опасен, либо бесполезен

    Перед стартом обычно фиксируют:

  • что именно тестируем (приложения, API, мобильное, облачная конфигурация)
  • какие окружения (прод или стейдж)
  • какие учетные записи и роли выдаются
  • ограничения (социальная инженерия разрешена или нет)
  • правила безопасного тестирования и каналы связи при критических находках

    • Как «приземлить» отчет пентеста в процесс

    Отчет ценен, когда он превращается в управляемые изменения.

  • findings попадают в трекер уязвимостей
  • у каждого finding есть владелец и срок
  • для системных проблем создаются инициативы (паттерны, библиотеки, архитектурные изменения)
  • проверяется устранение (retest)

    • Если пентест заканчивается PDF и не меняет архитектуру и SDLC, он не снижает риск.

    Типовые роли и RACI вокруг AppSec и уязвимостей

    Роли могут называться по-разному, но разделение ответственности обычно такое.

    | Активность | Разработка | AppSec / Product Security | DevOps / SRE | GRC | SOC | |---|---|---|---|---|---| | Требования безопасности к приложению | R | C | C | A | I | | Threat modeling | R | A | C | I | I | | Включение SAST/SCA/Secrets в CI | R | A | R | I | I | | Триаж findings | R | A | C | I | I | | Исправление уязвимостей | A | C | C | I | I | | Исключения (waiver) | C | R | I | A | I | | Пентест и retest | C | A | I | I | I | | Улучшение детектов по итогам инцидента | I | C | C | I | A |

    Обозначения: R делает, A несет итоговую ответственность и принимает решения, C консультирует, I уведомляется.

    Частые ошибки и как их предотвращают

  • Сканеры включили, но процесс не построили
    • - лечится триажом, SLA, владельцами и метриками
  • Тонны findings без приоритизации
    • - лечится риск-ориентированной моделью и «quality gates» только для действительно блокирующих проблем
  • AppSec как «финальный контролер релиза»
    • - лечится shift left, референсными паттернами и champions
  • Пентест как ежегодная формальность
    • - лечится интеграцией findings в backlog и обязательным retest
  • Отсутствие наблюдаемости
    • - лечится стандартами логирования, корреляцией идентификаторов и совместной работой с SOC

    Что важно запомнить

  • Secure SDLC и DevSecOps в корпорации — это процесс и автоматизация, а не один инструмент.
  • GRC задает проверяемые требования, архитектура дает шаблоны, SOC потребляет телеметрию, а разработка и AppSec делают безопасность устойчивой.
  • Управление уязвимостями — непрерывный поток: обнаружение → триаж → приоритизация → исправление → верификация → улучшения.
  • Pentest полезен, когда проверяет реальные цепочки атак и его результаты превращаются в задачи и архитектурные изменения.

    • Дальше по логике курса эти практики стоит связать с эксплуатацией: управление изменениями, патч-менеджмент, конфигурационное соответствие и то, как зрелая компания предотвращает повторение инцидентов через изменения в стандартах и платформе.