Открыть сервис

Assume Breach

Assume Breach (с англ. — «предполагай, что взлом уже произошёл») — это парадигма информационной безопасности, при которой система или сеть изначально рассматривается как скомпрометированная, а защита строится на принципе минимизации ущерба от уже произошедшего или неизбежного вторжения. В отличие от традиционной модели perimeter-based security (защита периметра), где усилия направлены на предотвращение проникновения, Assume Breach предполагает, что злоумышленник уже находится внутри сети, и фокусируется на обнаружении его активности, ограничении его перемещений и защите критических данных.

История возникновения

Концепция Assume Breach начала формироваться в середине 2010-х годов на фоне серии громких утечек данных, которые показали неэффективность традиционных подходов к защите. Крупные инциденты, такие как взломы Target (2013), Sony Pictures (2014) и Office of Personnel Management (2015), продемонстрировали, что даже при наличии современных средств защиты периметра (файрволы, системы обнаружения вторжений) злоумышленники способны длительное время оставаться незамеченными внутри сети.

Термин был популяризирован в 2016 году аналитиками Gartner, которые включили его в концепцию «адаптивной архитектуры безопасности» (CARTA — Continuous Adaptive Risk and Trust Assessment). Крупные технологические компании, такие как Google (с проектом BeyondCorp) и Microsoft (с моделью Zero Trust), начали внедрять элементы этой парадигмы в свои продукты. В России концепция также получила распространение, особенно в секторах, связанных с критической информационной инфраструктурой (КИИ) и государственными информационными системами.

Основные принципы

Парадигма Assume Breach базируется на нескольких ключевых принципах, которые отличают её от классической модели безопасности:

Минимизация доверия

Вместо того чтобы доверять пользователям, устройствам или приложениям на основе их принадлежности к корпоративной сети, Assume Breach требует проверки каждого запроса на доступ, независимо от его источника. Это перекликается с концепцией Zero Trust, где доверие считается уязвимостью.

Сегментация сети

Сеть делится на изолированные сегменты (микросегменты), доступ между которыми строго контролируется. Даже если злоумышленник получает доступ к одному сегменту, он не может автоматически переместиться в другие. Для этого используются политики на основе сети (network segmentation) и изоляция на уровне приложений.

Мониторинг и анализ поведения

Вместо простого анализа сигнатур атак (как в традиционных системах обнаружения вторжений) применяется поведенческий анализ (UEBA — User and Entity Behavior Analytics). Система выявляет аномалии в действиях пользователей, устройств и процессов, что позволяет обнаружить злоумышленника, даже если он использует легитимные учётные данные.

Принцип наименьших привилегий

Каждому пользователю, сервису или устройству предоставляется минимально необходимый набор прав для выполнения его задач. Это ограничивает возможности злоумышленника по эскалации привилегий и доступу к критическим данным.

Устойчивость к компрометации

Системы проектируются так, чтобы даже при компрометации одного компонента (например, сервера аутентификации) злоумышленник не мог получить доступ ко всей инфраструктуре. Используются механизмы изоляции, шифрования и многофакторной аутентификации (MFA).

Отличие от других подходов

Assume Breach часто путают с моделью Zero Trust, однако между ними есть различия. Zero Trust — это более широкая архитектура безопасности, которая включает в себя Assume Breach как один из своих принципов. Если Zero Trust фокусируется на том, чтобы «никогда не доверять, всегда проверять», то Assume Breach добавляет к этому предположение, что проверка уже могла быть пройдена злоумышленником.

В отличие от модели «защита периметра» (perimeter security), где все ресурсы внутри сети считаются доверенными, Assume Breach рассматривает внутреннюю сеть как враждебную среду. Это требует принципиально иного подхода к проектированию систем, включая отказ от концепции «внутреннего» и «внешнего» периметра.

Применение

Корпоративная безопасность

Крупные компании, особенно в финансовом и технологическом секторах, внедряют Assume Breach для защиты критических данных. Например, банки используют микросегментацию для изоляции систем обработки платежей от корпоративной сети, а также внедряют системы непрерывного мониторинга для выявления аномалий.

Государственные информационные системы

В России концепция активно применяется в системах, подпадающих под требования Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры». Для объектов КИИ рекомендуется внедрение принципов Assume Breach, включая обязательную сегментацию сетей и многофакторную аутентификацию.

Облачные среды

В облачных вычислениях (IaaS, PaaS, SaaS) Assume Breach реализуется через модели «shared responsibility» (разделение ответственности), где провайдер отвечает за безопасность облака, а клиент — за безопасность в облаке. Это включает в себя шифрование данных, управление ключами и мониторинг доступа.

Инцидент-менеджмент

Парадигма меняет подход к реагированию на инциденты. Вместо того чтобы ждать подтверждения взлома, команды безопасности (SOC — Security Operations Center) действуют исходя из предположения, что инцидент уже произошёл. Это ускоряет время реакции и позволяет быстрее локализовать угрозу.

Примеры реализации

Google BeyondCorp

Проект Google, запущенный в 2016 году, является одним из самых известных примеров реализации Assume Breach. Вместо использования VPN для доступа к корпоративным ресурсам, BeyondCorp предоставляет доступ на основе контекстной информации: статуса устройства, местоположения пользователя, уровня риска. Все запросы проверяются в реальном времени, а сеть считается недоверенной.

Microsoft Zero Trust

Microsoft внедрила элементы Assume Breach в свою платформу Azure Active Directory и продукты Microsoft 365. Используется непрерывная оценка рисков, многофакторная аутентификация и политики условного доступа. Например, если система обнаруживает попытку входа с необычного устройства или из необычного места, доступ блокируется или требует дополнительной проверки.

Российские решения

В России ряд компаний, таких как «Лаборатория Касперского» и Positive Technologies, предлагают решения, основанные на принципах Assume Breach. Например, платформа PT NAD (Network Attack Discovery) использует поведенческий анализ для выявления аномалий в сети, а Kaspersky Endpoint Security включает функции микросегментации и контроля приложений.

Критика и ограничения

Несмотря на свою эффективность, парадигма Assume Breach имеет ряд недостатков:

  • Высокая стоимость внедрения. Реализация микросегментации, поведенческого анализа и непрерывного мониторинга требует значительных финансовых и кадровых ресурсов. Для малых и средних предприятий это может быть непозволительно дорого.
  • Сложность управления. Постоянная проверка каждого запроса и сегментация сети создают дополнительную нагрузку на IT-инфраструктуру и могут приводить к задержкам в работе легитимных пользователей.
  • Ложные срабатывания. Поведенческий анализ часто генерирует большое количество ложных тревог, что требует от команд SOC высокой квалификации для их фильтрации.
  • Психологический аспект. Постоянное предположение о том, что система уже скомпрометирована, может создавать излишнюю паранойю среди сотрудников и снижать доверие к IT-инфраструктуре.

Будущее концепции

С развитием технологий искусственного интеллекта и машинного обучения Assume Breach, вероятно, будет эволюционировать в сторону более автоматизированных систем обнаружения и реагирования. Ожидается, что появятся решения, способные не только выявлять аномалии, но и автоматически изолировать скомпрометированные сегменты без участия человека. В России концепция также будет развиваться в рамках требований по импортозамещению, с акцентом на отечественные средства защиты, такие как СЗИ (системы защиты информации) от компаний «ИнфоТеКС» и «Код Безопасности».

Источники

  • Gartner. «CARTA: Continuous Adaptive Risk and Trust Assessment». 2016.
  • Google. «BeyondCorp: A New Approach to Enterprise Security». 2016.
  • Microsoft. «Zero Trust Architecture». 2020.
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». 2017.
  • Positive Technologies. «Методология Assume Breach в корпоративной безопасности». 2021.
  • «Лаборатория Касперского». «Принципы построения защищённой сети». 2022.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →