Вхід і реєстрація
Блоги · 23 жовтня, 15:00 1237
Roman Trukhin, VP of Engineering в UnderDefense

Тріади та тетраедри кібербезпеки

Привіт. Мене звати Роман Трухін, і я допомагаю директорам кібербезпеки компаній із переліку Fortune 500 автоматизувати моніторинг і комплаєнс без надмірного збільшення бюджетів.

Коли Михайло Федоров казав, що «роль кібербезпеки трохи перебільшена», то він як гештальт «кота Шредінгера» — одночасно і помилявся, і мав рацію (не та, що баофенг).

Як так? Та просто: у більшості випадків знайомство з кібербезпекою починається з інструментів. Поставили «правильні» антивіруси, фаєрволи, іксдіари, зіротрасти та інші модні штуки — і зі старту вони справді закривають найбільші дірки, величезні, як пробоїна нижче ватерлінії «Титаніка». Але після першого зачарування всесильністю інструментів неминуче приходять «сірі будні» — усвідомлення того, що, незважаючи на найкращі встановлені інструменти, найслабшою ланкою залишається людина з її нездоланним прагненням нагнути систему та обійти процеси.

І так ми підійшли до першої важливої концепції кібербезпеки — People-Process-Tools (PPT triad).

  • People/Люди — їх потрібно безкінечно навчати, мотивувати й контролювати. Саме люди натискають «дозволити», вигадують «тимчасові» обхідні рішення, пишуть паролі «на стікері, бо завтра забуду», і знижують доступи «щоб нічого не заважало роботі».
  • Process/Процеси — їх потрібно постійно налаштовувати, спрощувати й тестувати. Формальні процеси призводять до стану «на словах — Іван Франко, а у справі — тупанько». З іншого боку, процеси, викручені до рівня «цифрового гулагу», призводять до появи внутрішніх хактивістів, що за будь-якої нагоди намагаються знайти спосіб обійти систему.
  • Tools/Інструменти — їх можна купити, встановити, налаштувати політики, підкрутити правила й інтеграції. Це важливо, але це лише база.

І якщо більшість дій з інструментами надаються до гіпер-автоматизації, то автоматизувати бажану поведінку людей вкрай важко (нобелівський лауреат з економіки Деніел Канеман вам у допомогу). Тому ми змушені звертатися до застарілих методів «морквинка попереду, морквинка позаду», щоб будь-яким способом змусити людину витирати дупу дотримуватися елементарних правил цифрової гігієни, що описані в процесах компанії.

Для простішої візуалізації можна мислити про PPT-тіаду в категоріях іншого відомого концепту кібербезпеки — Swiss cheese model (або Defence-in-Depth концепт). Якщо у вас є тільки одна скибка швейцарського сиру з дірками, то рано чи пізно в одну з дірок щось таки провалиться. Тому краще додати ще 1–2 скибки, щоб усі дірки взаємно перекрилися й нічого нікуди не провалювалося. PPT-тіада — це про те, в яких секторах вашого логічного периметра кібербезпеки шукати приховані прогалини.

Ну добре, ці всі ваші «інструменти-люди-процеси» — це про «як». А як щодо «що» і «чому»?

«Що» — це важливі цифрові дані, від яких залежить життєздатність компанії. Найпростіше їх виявити запитанням: «А скільки грошей ви втратите, якщо ось ця табличка/файл/база буде недоступна 5 днів? А якщо назавжди?» Колись давно цими даними була таємна формулочка на листочку А4 у течці зі шворочками в залізному сейфику в кімнатці з охороною. Але сьогодні — це зашифрований файличок у похешованій базочці, розташованій на хмаринці з апаратним ключиком доступу і резервною копією в іншому регіончику.

«Чому» — це про відповідь на класичне запитання «та кому я, нафіг, потрібен?» І чесна, але депресивна відповідь: конкретно ви — здебільшого нікому. Але от ваші пристрої, хмарні акаунти, переписки, геолокації, мікрофони, контакти, опції оплати та авторизації — дуже навіть потрібні. Злочинці різного рівня «рівнорукості» і «хитрозробленості» у більшості випадків не полюють на вас як на «ціль», а просто використовують вашу пихату зарозумілість щодо кібергігієни як легкий спосіб вкрасти корисні дані. Це як залишити цінні речі в незамкненому авто в нетрях Детройту — «пришелепкуватість і відвага».

І це я тільки про викрадення даних розповів (патужні хакери), а крім викрадення є ще варіант дані непомітно підмінити (розумні хакери) або пошифрувати/видалити (тупенькі, але хитрозроблені хакери). І, власне, ці варіанти описує інша відома тріада кібербезпеки — CIA triad, — яка показує, що поганого можна зробити з вашими даними.

Отож, CIA triad:

  • Confidentiality/Конфіденційність: крадіжка банківських паролів, CVV, документів, приватних переписок призводять до втрати конфіденційності даних.
  • Integrity/Цілісність: непомітна підміна однієї цифри у звіті, одного рядка у конфігу призводить до порушення цілісності ваших даних.
  • Availability/Доступність: зрештою, знищення або унедоступнення даних призводить до того, що дані є, але користуватися ними неможливо.

Якщо вже зовсім коротко: всю практичну кібербезпеку можна уявити тетраедром, сформованим ребрами PPT та CIA-тріад з цифровими даними всередині. Тетраедр може бути неправильним — з ребрами різної довжини та гранями різної площі, але вони точно не повинні бути розірваними чи відсутніми, бо достатньо однієї невеликої тріщинки, щоб порушити герметичність вашого логічного периметра безпеки.

Як не потрапити в пастку «піку зарозумілості» гіпотетичної кривої Данінга—Крюгера?

  1. Думайте сценаріями, а не продуктами. Не «ми купили EDR», а «ми маємо виявляти, реагувати та відновлюватися за N хвилин/годин».
  2. Формулюйте короткі політики простою мовою. Короткі речення, зрозумілі винятки, чіткі ролі.
  3. Мінімізуйте тертя з користувачами. Безпека, яка заважає працювати, буде обійдена.
  4. Плануйте перевірки та навчання як безперервний процес, а не як «разову кампанію».
  5. Вимірюйте. Без метрик немає прогресу: час до виявлення (MTTD), час до реагування (MTTR), відсоток користувачів із увімкненим MFA, відсоток покриття бекапами, частка пройдених тренінгів, результати фішинг-симуляцій.

Практичний чекліст для команди та компанії

People (люди):

  • MFA за замовчуванням усюди, де можливо.
  • Менеджер паролів для всіх, заборона «повторного» використання.
  • Регулярні фішинг-симуляції з коротким мікронавчанням.
  • Чітка ескалація: хто і як діє при інциденті. Практикуйте tabletop-навчання щокварталу.

Process (процеси):

  • Оновлення та патчі за графіком, з відстеженням винятків.
  • Backup 3-2-1: три копії, два різні носії, одна — офлайн/інший регіон. Регулярні відновлення «як вправа».
  • Життєвий цикл доступів: створення, перегляд, видалення. Мінімально необхідні права.
  • Впроваджуйте «дві людини на ризикову операцію» (four-eyes principle) у фінансах та адмін-діях.

Tools (інструменти):

  • EDR/XDR з нормальним SOC//моніторингом: без людей на останній ланці інструмент — просто витрати.
  • Email security та anti-phishing фільтри: тюнінг під ваші шаблони й домени.
  • DLP там, де це має сенс: крайні точки, хмара, пошта. Не робіть «стіну» без винятків — зробіть «поручні».
  • Secrets management: не ENV з ключами в коді, а сховище з ротацією і аудитом.
  • Візуальна панель поточного стану кібербезпеки з 5–7 метрик, які бачить керівництво щотижня.

Що саме ми захищаємо (конкретика замість абстракцій):

  • Дані співробітників: персональні, зарплатні, медичні (якщо обробляєте).
  • Дані клієнтів: контракти, переписки, доступи.
  • Бізнес-операції: фінансові транзакції, інвойси, внутрішні сховища документів.
  • Інтелектуальна власність: код, моделі, дизайн, дослідження.
  • Інфраструктура: домени, хмари, CI/CD, секрети, ключі доступу.

Типові атаки (і прості способи не ловити їх щотижня):

  • Фішинг/спуфінг: навчання + фільтри + DMARC/SPF/DKIM.
  • Витік через помилки конфігурації: регулярні перевірки хмар, IaC-політики.
  • «Тупий» рансомвар: сегментація мережі, бекапи, базова гігієна (патчі, права).
  • «Розумні» підміни: контроль змін (change management), журналювання, цілісність конфігів (integrity checks).
  • Соціальна інженерія: процедури верифікації запитів на доступ/платіж, «дзвінок другові» через інший канал.

Комунікація з бізнесом: без міфів і ультиматумів:

  • Безпека — це не «витрати проти швидкості». Це «зниження ризиків проти ймовірних втрат і штрафів».
  • Good enough > perfect. Краще 80% впровадженого зараз, ніж 100% на папері через рік.
  • Пояснюйте мовою сценаріїв: «Ось що станеться, якщо ми не маємо MFA», «Ось як ми швидко відновимося, якщо пошифрують ось це».
  • Показуйте метрики у динаміці: прогрес важливіший за абсолютні значення.

Чому фраза «роль кібербезпеки трохи перебільшена» одночасно має і не має сенсу? Має сенс, бо якщо безпеку перетворити на страхітливого триголового Цербера, то організація, яку захищаємо, перестане подавати ознаки життя.

Не має сенсу, бо якщо у вас прохідний двір, а не організація, то ви наражаєте на ризик не тільки себе, але й усіх, до кого маєте доступ через «пʼять рукостискань». Кібербезпека — це завжди, завжди хиткий компроміс між зручністю і безпекою. Пасок безпеки в авто — капець який незручний, але він — механічний засіб останньої надії, який не дасть вашому тілу вилетіти крізь лобове скло. Бо яким би ви не були талановитим ферстапеном на районі, завжди є шанс хиби систем автомобіля або помилки в ДНК бухого бидла на трасі.

Підсумовуючи

  • Є PPT triad (People, Process, Tools), яка описує, хто/що може стати слабкою ланкою в захисті цифрових даних.
  • Є CIA triad (Confidentiality, Integrity, Availability), яка описує властивості ваших даних, які треба за будь-яку ціну зберегти.
  • І є модель Swiss cheese, яка дуже допомагає візуально уявити мандрівку ваших даних за «рускімваєннимкарабльом», якщо у вас у CIA і PPT-тріадах роз’єднані або, недайбог, взагалі відсутні вершини чи ребра.

Якщо вже зовсім коротко, то всю концепцію кібербезпеки можна зобразити тетраедром двох тріад і вашими цифровими даними, надійно (або нє) захищеними її ребрами. Як то кажуть, ось вам візуальний мікрокурс із кібербезпеки за 5 хв. Не дякуйте.

Теми: Security, кібербезпека
👍ПодобаєтьсяСподобалось14
До обраногоВ обраному6
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Pavlo Trepytion Technical Community Manager в DOU.ua 25.10.2025 01:31

Класна стаття, дякую! Читається на одному диханні. Пишіть ще, у Вас дуже класно виходить!

Відповісти
Підтримати
Oleksandr Suvorov Sr. Soldier under NDA :) в AFU 25.10.2025 00:15

Було цікаво, дякую. Але мало! :)

Відповісти
Підтримати

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.