Лекция 1.

4: Defense in Depth (Многоуровневая защита)

Зачем это нужно?

Defense in Depth (DiD) — это подход, при котором ты не полагаешься на один
единственный барьер защиты. Ты выстраиваешь несколько слоёв, чтобы
атака, проскочив через первый рубеж, встречала следующий, затем ещё один,
и так далее. Это как в крепости: рвы, стены, башни и защитники.
Для абсолютного новичка, который умеет лишь запускать приложения на ПК,
суть в том, что ты не закрываешь только один порт или не ставишь лишь один
антивирус — ты делаешь так, чтобы взломщик сталкивался с чередой
препятствий и не мог быстро захватить контроль.

Идея: не полагаться на один замок, а строить вокруг «системы» несколько

поясов обороны. Если злоумышленник прорвётся через первый, он столкнётся
со вторым, третьим и так далее.

1. Основные уровни защиты

Уровень Что защищаем Пример
Доступ к Замки, видеонаблюдение,
1. Физический
оборудованию вход по пропускам
Firewall, сегментация VLAN,
2. Сетевая Сетевой трафик
VPN
Патчи, минимальные права,
3. Системная ОС и сервисы
антивирус
WAF, шифрование, контроль
4. Прикладная Приложения и данные
целостности файлов
Люди, политики, Пароли, 2FA, тренинги по
5. Пользовательская
обучение фишингу
6. Мониторинг и Обнаружение и SIEM, EDR, аудит, правила
реагирование реакция на инциденты оповещений

2. Детальный разбор каждого слоя

2.1 Физический уровень
Цель: запретить физический доступ к серверу или рабочей станции.
• Двери и замки: серверная комната под ключ.
• Видеонаблюдение и картридеры: вход по пропуску или биометрии.
• Защита от кражи: кабели питания с замками, крепления для ноутбуков.
Новичку: представь, что твой компьютер — это сейф в банке: доступ только
по ключу и только авторизованным лицам.

2.2 Сетевой уровень

Цель: контролировать, какие пакеты входят и выходят из сети.
Инструменты и команды
• Firewall (iptables/UFW)

Bash
# Разрешить только SSH (22) и HTTP (80)
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw enable

Сегментация сети (VLAN)

Разбить сеть на участки: публичный Wi‑Fi, внутренний офис, серверная.

VPN
Шифрует трафик для удалённой работы.

Bash
sudo openvpn --config myvpn.ovpn
Новичку: думай о сети как о дороге с КПП: только нужным машинам и
водителям можно проехать.

2.3 Системный уровень

Цель: сделать ОС и базовые сервисы крепкой стеной.
Действия и команды
• Патчинг
Bash
# Linux (Debian/Ubuntu)
sudo apt update && sudo apt upgrade -y

# Windows Update
# Через Settings → Update & Security → Check for updates

Минимальные права
Не работай под root/Administrator.
Bash
# Используй sudo для команд, когда нужно
sudo systemctl restart nginx

• Антивирус / EDR
– ClamAV на Linux: sudo apt install clamav
– Windows Defender: встроен в Windows
Новичку: обновляй систему и не работай постоянно с правами
администратора — это фундамент безопасности.

2.4 Прикладной уровень

Цель: защитить конкретные приложения и данные.
Инструменты и примеры
• WAF (Web Application Firewall)
– ModSecurity с Nginx/Apache.
• Шифрование данных
– БД: Transparent Data Encryption (TDE) в MS SQL.
– Файлы: GPG, LUKS (см. CIA).
• Контроль целостности
– Tripwire, AIDE:
Bash
sudo apt install aide
sudo aideinit
sudo aide --check

Новичку: даже если к серверу проберутся, приложение само проверит, что в

нём нет чужого кода.

2.5 Пользовательский уровень

Цель: обучить и контролировать людей — самый ненадёжный элемент.
• Политики паролей
– Длина ≥ 12 символов, сочетание букв, цифр, символов.
• Двухфакторная аутентификация (2FA)
– Google Authenticator, аппаратные ключи.
• Тренинги по фишингу
– Рассылай фейковые письма и смотри, кто кликает.
• Правила поведения
– Не открывать вложения с неизвестных адресов.
Новичку: представь, что пароль — это ключ, а фишинг — это обман, когда
тебя заставляют отдать ключ под видом того, что это безопасно.
2.6 Мониторинг и реагирование
Цель: быстро обнаружить и устранить пробои в защите.
Инструменты и примеры
• SIEM (Splunk, ELK/Wazuh)
Собирает логи со всех слоёв, ищет аномалии.
• EDR (CrowdStrike, SentinelOne)
Детектирует малварь на endpoint’ах.
• Аудит и оповещения
– Linux: auditd
Bash
sudo apt install auditd
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

• – Windows: включить Audit Policy → события 4624, 4720 и т.д.

Новичку: это как камеры слежения и полиция: если кто-то нарушил —
система сразу об этом скажет.

3. Итоговая схема Defense in Depth

[Пользовательский уровень]
↑
[Прикладной уровень]
↑
[Системный уровень]
↑
[Сетевой уровень]
↑
[Физический уровень]
↑
[Мониторинг и реагирование] → анализирует всё сверху вниз

Каждый слой компенсирует слабости других. Если злоумышленник пробьёт

один слой, он встретит следующий.

4. Задание для новичка

1. Настрой базовый UFW:
– Оставь открытым только SSH (22) и HTTP (80).
2. Обнови систему:
– Выполни sudo apt update && sudo apt upgrade -y.
3. Установи Tripwire или AIDE:
– Выполни sudo apt install aide && sudo aideinit.
 4. Настрой 2FA для своего GitHub-аккаунта или любого онлайн-сервиса.
5. Включи аудит изменения файла /etc/passwd:
Bash
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
sudo ausearch -k passwd_changes