Изнутри и снаружи
Принципиальное отличие защиты от внутренних и от внешних угроз - количество потенциальных злоумышленников, против которых мы строим свою систему. Внутри их обычно десятки или сотни. А снаружи - весь остальной мир.
Когда мы противостоим считанным злоинсайдерам внутри нашей сети, мы можем себе позволить рассчитывать на среднего из них. 50% поймаем, другая половина прорвётся - в итоге защита уже окупила себя. Можно её и дальше совершенствовать, но не очень далеко, потому что цена растёт нелинейно. DLP, которая ловит 90% злоинсайдеров, будет ещё рентабельна. А та, которая ловит 99% - уже слишком дорога.
Качественно иная ситуация при защите от внешних опасностей. Антивирус с эффективностью 50% - это неприемлемо. Потому что вирусов в Сети миллиарды. Даже 0,1% от них - это слишком много для защищаемой системы.
Таким образом, внешняя защита должна строиться в расчёте на самого лучшего противника - самый новый вирус, самого умелого злохакера, самый изощрённый спам. Внутренняя же защита имеет в виду среднего инсайдера. Если пытаться противостоять самому умелому, то обойдётся неоправданно дорого. Дорого не только в деньгах, но также в ресурсах, которые тратятся на обслуживание системы защиты или съедаются процедурами безопасности.
Когда мы противостоим считанным злоинсайдерам внутри нашей сети, мы можем себе позволить рассчитывать на среднего из них. 50% поймаем, другая половина прорвётся - в итоге защита уже окупила себя. Можно её и дальше совершенствовать, но не очень далеко, потому что цена растёт нелинейно. DLP, которая ловит 90% злоинсайдеров, будет ещё рентабельна. А та, которая ловит 99% - уже слишком дорога.
Качественно иная ситуация при защите от внешних опасностей. Антивирус с эффективностью 50% - это неприемлемо. Потому что вирусов в Сети миллиарды. Даже 0,1% от них - это слишком много для защищаемой системы.
Таким образом, внешняя защита должна строиться в расчёте на самого лучшего противника - самый новый вирус, самого умелого злохакера, самый изощрённый спам. Внутренняя же защита имеет в виду среднего инсайдера. Если пытаться противостоять самому умелому, то обойдётся неоправданно дорого. Дорого не только в деньгах, но также в ресурсах, которые тратятся на обслуживание системы защиты или съедаются процедурами безопасности.