КиберОценка

PR.AC-5: Защита целостности сети

Целостность сети защищена с использованием сегментации

Подробное описание

Контроль PR.AC-5 требует логического разделения сети на изолированные сегменты для предотвращения латерального перемещения злоумышленников и ограничения зоны поражения при компрометации. Сегментация реализуется через VLAN, демилитаризованные зоны (DMZ), микросегментацию на основе идентичности (zero trust network architecture) и правила межсетевых экранов. Это критический барьер между публичными сервисами, внутренними системами, промышленными сетями и критичными данными, минимизирующий возможность горизонтального распространения атак.

Практические шаги внедрения

  1. 1

    Провести инвентаризацию сетевых активов и составить карту информационных потоков между сегментами

  2. 2

    Разработать политику сегментации с выделением зон доверия: DMZ для публичных сервисов, внутренняя сеть для корпоративных систем, изолированные сегменты для критичных данных и OT/ICS

  3. 3

    Внедрить VLAN или программно-определяемые сети (SDN) для логического разделения трафика на уровне L2/L3

  4. 4

    Настроить межсетевые экраны нового поколения (NGFW) с правилами deny-by-default между сегментами, разрешая только необходимый трафик по принципу наименьших привилегий

  5. 5

    Реализовать микросегментацию для критичных рабочих нагрузок с применением zero trust принципов и динамической аутентификации потоков (согласно NIST SP 800-207)

  6. 6

    Развернуть системы обнаружения вторжений (IDS/IPS) на границах сегментов для мониторинга аномальных межсегментных переходов

  7. 7

    Регулярно пересматривать правила фильтрации, проводить тестирование изоляции сегментов и аудит эффективности сегментации (NIST SP 800-41)

Типичные нарушения

  • Flat-сети без сегментации, где все узлы находятся в одном broadcast-домене и могут свободно взаимодействовать

  • Отсутствие изоляции между production-средой и средами разработки/тестирования, позволяющее атакам распространяться из менее защищённых зон

  • Слишком широкие firewall-правила типа "any-any-permit", нивелирующие эффект сегментации

  • Прямой доступ пользовательских устройств к критичным серверам БД и промышленным системам без промежуточных контрольных точек

  • Использование устаревших методов сегментации (только IP-based ACL) без учёта идентичности пользователей и устройств в современных мобильных/облачных средах

Почему это важно

Сегментация сети — первая линия защиты от распространения атак типа ransomware, APT и insider threats. Без неё компрометация одной рабочей станции может за минуты привести к доступу ко всем критичным данным и системам управления. Согласно отчётам Verizon DBIR, 82% успешных атак использовали латеральное перемещение по плоским сетям для достижения целевых активов.

Проверяемые категории

DNSOpen PortsSubdomain Takeover

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности