Что такое системная безопасность и почему даже безопасники потом не помогут?

Что такое системная безопасность?

Это не просто пачка лицензий на антивирусы или группа суровых людей из отдела ИБ, запертых в серверной. Это фундаментальное архитектурное свойство системы, её врождённая способность сопротивляться угрозам на всех этапах жизненного цикла: от первой строчки кода до вывода из эксплуатации. Проще говоря, если вы изначально строите дом из песка, то даже лучшая в мире охрана на входе не спасёт ваш домик от рассыпания. Безопасность нельзя «прикрутить» сверху в последний момент — она должна быть вшита в саму логику и структуру проекта, чтобы он оставался устойчивым даже при прямом воздействии.

Поэтому если проект реализуется на коленке с использованием дырявых библиотек и устаревшего инструментария без учёта логики разделения доступа, то ни один безопасник не поможет. Почему? А вот основные причины:

1. Безопасность нельзя просто так взять и навесить сверху. Если архитектура позволяет инъекции в базу данных или разработчик-умничка хранит пароли в открытом виде, то никакой файервол не перекроет все лазейки. Это исключительно системный брак, который лечится только переписыванием кода. Невозможно построить броневик на шасси от самоката.
2. Срок годности технологий. Уязвимости находят каждый день. Порой по несколько штук за сутки, а то и целыми списками. Поэтому если стек устарел (End of Life, или EoL), то для этого инструмента больше не выпускают патчи. Важно понимать: списки CVE публикуются открыто. Не нужно быть хакером из кино, чтобы найти все дыры по конкретной технологии — они доступны любому встречному в два клика. Использовать EoL — это как жить в доме с дверями, к которым ключи есть у всей улицы.
3. Человеческий и процессный фактор. Безопасность — это не результат, а непрерывный процесс. Если разработчики привыкли срезать углы, а менеджмент экономит на обновлении стека, то любой аудит превращается в список невыполнимых рекомендаций. В такой среде ИБ-отдел превращается в декорацию, которая просто фиксирует смерть пациента, пока бизнес надеется на авось.

Поэтому нужно понимать, что системная безопасность — это задача не только отдела ИБ. Это скорее плотная связка в формате «трио»: разработка, ИБ и бизнес. Без этого треугольника конструкция не устоит.

Если разработчик не предпринимает никаких действий по устранению уязвимостей и пропускает мимо ушей рекомендации отдела ИБ — это повод серьезно задуматься о его профпригодности. То же касается и бизнеса: игнорирование технических долгов в угоду скорости фич всегда выходит боком.

И да, важный момент: обновляясь своевременно, вы фактически бесплатно получаете защиту, над которой работали лучшие представители индустрии со всего мира. Весь опыт сообщества по латанию дыр прилетает вам вместе со свежим патчем. Игнорировать это — значит добровольно оставлять ключи под ковриком.

WannaCry — как самый яркий пример

Если нравятся подробности, то вот статья на Википедии

WannaCry — как самый яркий пример того, что бывает, когда на системную безопасность забивают болт. В 2017 году этот вирус-шифровальщик за считанные дни парализовал работу сотен организаций по всему миру: от больниц Великобритании, где отменяли операции, до заводов и железных дорог.

В чём был основной провал? Вирус использовал дыру в протоколе обмена файлами Windows. Самое смешное и грустное одновременно: Microsoft выпустила критическое обновление, закрывающее эту лазейку, ещё за два месяца до начала эпидемии. Но огромная куча компаний либо сидела на древних системах вроде Windows XP, которые уже давно перешли в статус End of Life, либо просто годами не устанавливала патчи, считая, что «и так работает».

В итоге злоумышленники воспользовались открытыми списками уязвимостей и устроили цифровой апокалипсис. Это классический случай, когда отсутствие своевременных обновлений и использование устаревшего стека превратили инфраструктуру в карточный домик...