"Он сделал круглые глаза и удивился: а что, так, оказывается, можно было?"
- про харденинг из выступления на форуме "Evo.industry 2025"

Настоящая защита обеспечивается только превентивными мерами, делающими сам вектор атаки нереализуемым (например, запрет на запуск посторонних программных файлов) Вместо этого, инфопространство заполнено понятиями инфобезопасности исключительно через мониторинг и реагирование, что крайне затратно для компании (потому и выгодно рынку, пиарится им), а защищает постольку поскольку. Надо же выстраивать проактивную инфобезопасность преимущественно через настройки уже имеющейся инфраструктуры – это вообще беззатратно.

Что если я скажу вам, что ИБ может быть бесплатной, при этом защищаться будет проще, чем нападать?

Галочка, настройка — это бесплатно. Превентивная защита, основанная на перекрытии возможных векторов атак теми самыми бесплатными настройками, делает эти самые атаки крайне трудным и вообще бесперспективным занятием. Обычно же считается как: защищающие должны соревноваться в скорости реагирования с атакующим, а изобретение средств защиты всегда отстает от средств нападения, поэтому бла‑бла‑бла. Но так происходит в неправильном мире с проплаченными знаниями в головах, где напрочь отсутствует понятие о превентивной защите, харденинге. На самом деле, у эксплуатации 0-day уязвимостей и даже неизвестных ранее техник атак есть общие принципы действия с уже известными приемами атакующих, например — для начала жертве нужно запустить вредносную программу. И не важно что там нового злоумышленник предложил запустить, запрещен запуск — атака проваливается даже не начавшись! Ещё дело в том, что атаковать вот лично тебя будут не сразу, а с каким‑то лагом после распространения новой техники и есть хороший запас времени, чтобы перекрыть этот вектор атаки. Когда есть харденинг, превентивная ИБ — атаковать становится неимоверно сложнее, чем защищаться.

Прогоним стереотипный ход мыслей под отладчиком. Всегда, когда мысль заходит про про построение инфобезопасности всё сводится к «нанять» (CISO, построить SOC) и «купить» (SIEM, EDR итп) — тупое, бесхитростное, квадратно‑гнездовое мышление. Хакеры же, которые нападают — это, наоборт, про хитрость. Как можно защищаться от хитрости бездумностью? Вот в стиле: «надо выделить на безопасность 15% от ИТ‑бюджета»? Ведь бизнес, готовый платить заранее непонятно за что, непонятно при каких бесплатных альтернативах встроенных и базовых средств безопасности — это выстраивание порочной вертикали чудовищной бесхитростности, пронизывающей всё ИТ и ИБ и идущей от головы, как в известном выражении про рыбу. От такого положения дел в мире деградируют даже сами хакерские группировки, наивно полагаясь, что жертва успешно запустит их поделие школьного уровня из говна и палок архиватора и ярлыка. Payload при эксплуатации грузят тупо в temp и запускают, используют готовые тяжелые фреймворки ВПО — на тёмной стороне обленились и покупают SaaS, как на светлой, прошли те времена, когда гении писали вирусы на ассемблере. Но сомнительное поделие всё равно запускается, потому что безопасность у защищающихся это «мониторинг» и «реагирование»: запускать любую пакость — пожалуйста, мы будем только это дело мониторить и реагировать. Кругом наблюдается упорное, прямо вот напрочь невнимание к тому, что слева от атаки и работа с тем, что справа — мониторинг, препятствование уже идущему шифрованию, даже такой детский сад как ложные приманки для хакеров:) Всё что угодно, когда злоумышленник уже внутри сети, но лишь бы не слева от этого события! Потому что слева — это дешево или вообще бесплатно универсальными запретами перекрывать любые будущие атаки, а справа — это большие расходы, и рынок хочет выдоить их из вас. А ещё справа — это история с неопределенным концом, потому что можно успеть быстрее атакующего, а можно и не успеть. И вот чтобы успеть, эту историю заливают деньгами ещё больше. Поэтому рынок топит за правую часть ещё больше, как будто только она в мире ИБ и есть.

Hardening first

Даже если для защиты данных от утечек кому‑то большому и нужно «строить сок», то на первом месте всё равно должна быть превентивная ИБ. и только над тем, что смогло преодолеть левую часть работает правая, затраты на которую, если она не первая линия обороны, будут закономерно меньше, а защищенность при такой ИБ‑стратегии выше. Стратегия: сначала выстроить превентивную ИБ, а потом всё остальное. Hardening first. Кто сделает наоборот — тех закономерно зашифруют,. Закон джунглей.