Нередко можно встретить мнение, что неистово защищать инфраструктуру внутри сетевого периметра не стоит. Мол, мы достаточно потратили на межсетевые экраны ( firewalls ), системы предотвращения вторжений ( NIPS ) и прочие секси феньки. Пусть теперь стоят себе, мигают красивыми лампочками и защищают нас от злых хакеров.Мысль не здоровая и противоречит как минимум следующим фактам.
- Надежность логического (читай: сетевого) периметра обычно с лихвой компенсируется прозрачностью периметра физического. Проникновение на территорию компании и подключение к "внутренней" сети редко является недостижимой целью.
- Установленные на периметре средства защиты редко настроены по принципу безопасного отказа (fail safe). То есть, если NIPS или firewall сдохнет - трафик продолжит неконтролируемо пересекать периметр. С точки зрения продолжения бизнес процессов это очень правильно, а с точки зрения безопасности - бред. В этом случае неподготовленные к внешним угрозам внутренние системы становятся более чем уязвимы.
- Атака извне периметра - это всего лишь один из возможных векторов. Наряду с ней существуют социальная инженерия, вдохновляющая инсайдера атаковать системы изнутри. Не исключаем также разнообразный клиент-сайд, использующий уязвимое клиентское ПО в качестве отправной точки. В обоих случаях периметр бесполезен.
- Периметр имеет свойство быть менее прочным на границах с т.н. экстрасетями (extranets) - точками интеграции с заказчиками, вендорами, аутсорсерами и прочими уважаемыми, но как правило бестолковыми спутниками жизни. Атака подрядчика с целью проникновения в инфраструктуру основной жертвы - намного более мудрая тактика, чем биться головой об ваш железобетонный периметр.
