Фокусируясь на защите оконечных устройств, ПК и серверов, нельзя забывать про сетевое оборудование, связывающее части корпоративной инфраструктуры в единое целое. Его защита складывается из 4-х основных составляющих: 📌 Предотвращение, то есть правильная настройка механизмов собственной защиты коммутатора, маршрутизатора, точки доступа и т.п., достигаемая за счет настройки аутентификации админа, контроля доступа к интерфейсам управления и т.п. Спросите у своего вендора руководства по hardening'у его продукции (например, вот инструкции моего бывшего работодателя). 📌 Обнаружение, то есть мониторинг в реальном времени всех попыток вывести оборудование из строя или нарушить его функционирование (например, подменить таблицы маршрутизации или завалить интерфейсы паразитным трафиком). При этом не стоит ограничиваться только ретроспективным анализом происходящего - пялиться с разных ракурсов на то, как "падает" сетевое устройство, конечно, можно, но с последствиями придется разгребаться. 📌 Реагирование, то есть своевременная реакция на первые признаки происходящих плохих событий. Для этого нужно было заранее настроить регистрацию нужных событий на самом устройстве (загрузка ЦПУ, рост задержек в обработке трафика, рост объема трафика на управляющие интерфейсы, рост числа попыток аутентификации и т.п.). 📌 Восстановление, то есть возврат сетевого устройства в предъатакованное состояние, для чего нужно иметь резервную копию конфига, проверенную прошивку и т.п. Отдельно стоит упомянуть встроенную систему защиты сетевого оборудования от вредоносной активности, которая проходит через него и которая может нарушить работу всей сетевой инфраструктуры. Это и атаки на канальном уровне, связанные с STP, ARP и т.п., и DDoS, и атаки более высокого, прикладного уровня. Не всегда сетевое оборудование обладает такой защитой (хотя базовая должна быть реализована), но тогда ее надо выстраивать на подступах к нему.