Skip to content

Общие вопросы

🔹 1. Что такое КЦД триада в ИБ (Три главных принципа)?

КЦД-триада (конфиденциальность, целостность, доступность) – это три основных принципа информационной безопасности:

  1. Конфиденциальность (Confidentiality) – защита данных от несанкционированного доступа. Это означает, что только авторизованные пользователи или системы могут получать доступ к информации.

  2. Целостность (Integrity) – обеспечение точности и полноты данных. Данный принцип гарантирует, что информация не может быть изменена или уничтожена неавторизованными пользователями или в результате сбоев.

  3. Доступность (Availability) – обеспечение доступа к информации для авторизованных пользователей в нужное время. Это подразумевает защиту от атак типа DDoS, отказов оборудования и других проблем, которые могут сделать систему недоступной.

Эти принципы помогают обеспечить надежную защиту информации и минимизировать риски, связанные с утечкой, подделкой или недоступностью данных. Нарушение любого из них может привести к серьезным последствиям, таким как утечки данных, их подделка или невозможность использования критически важных сервисов.

🔹2. Что такое defense-in-depth?

Defense-in-Depth (глубокоэшелонированная защита) — это стратегический подход к информационной безопасности, основанный на применении многослойной защиты для минимизации рисков. Он предполагает использование нескольких уровней безопасности, которые перекрывают друг друга и создают барьеры для потенциальных атак.

Основные принципы Defense-in-Depth:

  1. Многоуровневая защита – используется комбинация различных мер безопасности, таких как аутентификация, шифрование, мониторинг и антивирусная защита.
  2. Избыточность – если одно средство защиты будет взломано или отключено, другие уровни продолжат обеспечивать безопасность.
  3. Разделение зон и принцип минимального привилегирования – ограничение доступа пользователей и систем только к тем данным и ресурсам, которые необходимы для работы.
  4. Мониторинг и обнаружение угроз – системы IDS/IPS, SIEM и журналирование помогают выявлять атаки и реагировать на них.
  5. Резервное копирование и аварийное восстановление – позволяет защититься от потери данных и атак типа ransomware.

Защита корпоративной сети может включать:

  • Брандмауэры и VPN для фильтрации трафика.
  • Антивирусное ПО и EDR для обнаружения угроз.
  • Политику управления доступом (ACL) и многофакторную аутентификацию (MFA).
  • Шифрование данных в хранилищах и при передаче.
  • Мониторинг логов и реагирование на инциденты.

🔹3. Что означает Layered (многоуровневый подход)

Многоуровневый (layered) подход к безопасности означает использование нескольких уровней защиты для предотвращения атак и минимизации рисков. Он основан на концепции Defense-in-Depth (глубокоэшелонированной защиты) и предполагает, что если один уровень обороны будет взломан, другие продолжат защищать систему.

По сути, defense in depth - это про то, что система имеет несколько уровней защиты, а layered подход - что каждый уровень защиты имеет несколько инструментов защиты.

🔹4. Разница между хешированием, кодированием и шифрованием

Хеширование → для проверки целостности данных (пароли, файлы).

Кодирование → для удобства хранения и передачи (Base64, UTF-8).

Шифрование → для защиты конфиденциальности данных (AES, RSA).

Если цель – защита информации, то используется только шифрование, а не хеширование или кодирование!

🔹5. Расскажи про концепцию zero trust

Zero Trust – это модель кибербезопасности, основанная на принципе «Никому не доверяй, всегда проверяй». Она подразумевает, что любая попытка доступа к системе должна быть аутентифицирована, авторизована и проверена, независимо от того, находится ли пользователь внутри сети или за её пределами.

Основные принципы Zero Trust:

  1. Нет доверия по умолчанию
    – Система не доверяет никому, даже если пользователь или устройство находятся внутри корпоративной сети.
    – Каждый запрос на доступ требует повторной проверки.

  2. Многофакторная аутентификация (MFA)
    – Пароли недостаточны. Необходимо использовать дополнительные факторы аутентификации (например, OTP-коды, биометрию).

  3. Минимальные привилегии (Least Privilege Access)
    – Пользователи и устройства получают только минимально необходимый доступ для выполнения своих задач.
    – Исключает возможность ненужного перемещения по сети при взломе.

  4. Сегментация сети (Microsegmentation)
    – Разделение сети на изолированные сегменты.
    – Даже если хакер получает доступ к одной части сети, он не может легко перемещаться дальше.

  5. Постоянный мониторинг и анализ поведения
    – Система отслеживает поведение пользователей и устройств в реальном времени.
    – Подозрительная активность (например, вход с необычного IP) автоматически блокируется.

  6. Шифрование данных повсюду
    – Данные защищены как в покое (на серверах и устройствах), так и при передаче (по сети).

🔹6. Разница между уязвимостью (Vulnerability), риском (Risk) и угрозой (Threat)

1) Уязвимость (Vulnerability) – слабое место

Это дыра в безопасности, которая может быть использована для атаки.
Уязвимость сама по себе не является угрозой, но делает систему потенциально уязвимой для атак.

Примеры - устаревшее ПО, слабые пароли, недостатки в коде (sql инъекции)

2) Угроза (Threat) – потенциальная опасность

Угроза – это то, что может навредить системе, если воспользуется уязвимостью.
Угрозы могут быть естественными (стихийные бедствия), случайными (ошибки пользователей) или преднамеренными (хакерские атаки).

Примеры - хакеры, пожары, инсайдеры.

3) Риск (Risk) – вероятность ущерба

Риск – это сочетание уязвимости и угрозы. Если уязвимость существует, и есть угроза, способная её использовать, появляется риск.

🔹7. Расскажи про концепцию неправильной настройки безопасности (Security Misconfiguration)

Security Misconfiguration – это ошибки в конфигурации системы, которые создают уязвимости и делают её уязвимой для атак. Они возникают, когда системы, приложения или устройства настроены неправильно или оставлены с настройками по умолчанию, что позволяет злоумышленникам их эксплуатировать.

Причины - использование настроек по умолчанию, избыточные и сложные решения, отсутствие обновлений.

🔹8. Что такое Compliance (Соответствие)?

Compliance – это процесс соблюдения законов, стандартов и внутренних правил, которые регулируют деятельность организации. В контексте информационной безопасности compliance означает, что компания выполняет требования по защите данных и управлению рисками.

Основные аспекты compliance:

  1. Юридические требования
    – Законы и нормативные акты (например, ФЗ-152 в России).

  2. Отраслевые стандарты
    – PCI DSS (для финансовых организаций).
    – ISO 27001 (международный стандарт информационной безопасности).

  3. Внутренние политики безопасности
    – Политика контроля доступа.
    – Регламент обработки персональных данных.

🔹9. Разница между хешированием (Hashing) и шифрованием (Encryption)

1) Хеширование (Hashing) – проверка целостности

Преобразует данные в фиксированную строку (хеш). Даже небольшое изменение входных данных кардинально меняет результат (эффект лавины). Используется для хранения паролей, проверки целостности файлов, цифровых подписей.

2) Шифрование (Encryption) – защита данных от несанкционированного доступа

Преобразует данные в зашифрованный текст, который можно расшифровать при наличии ключа. Используется для защиты данных в сети (TLS, VPN, диски, файлы, переписка).

🔹10. Разница между хешированием (Hashing) и шифрованием (Encryption)

Симметричное шифрование (Symmetric Encryption)

Один и тот же секретный ключ используется и для шифрования, и для расшифровки.

Например: AES, ChaCha20, DES, Blowfish.

Проблема: если злоумышленник перехватит ключ, он сможет расшифровать данные.

Асимметричное шифрование (Asymmetric Encryption)

Использует пару ключей: Открытый ключ (для шифрования). Закрытый ключ (для расшифровки).

Например: RSA, ECC, Diffie-Hellman, ElGamal.

Лучший подход – использовать их вместе:

Асимметричное шифрование применяется для передачи ключа (например, в TLS).

Симметричное шифрование используется для быстрой работы с большими объёмами данных.

🔹11. Что такое SOC?

SOC (Security Operations Center) – это центр мониторинга и управления кибербезопасностью, который занимается обнаружением, анализом и реагированием на кибератаки в режиме реального времени.

Функции SOC: Отслеживание событий и активности в сети, обнаружение подозрительных действий. Анализ логов, трафика, действий пользователей с помощью SIEM-систем. Оперативное устранение атак и минимизация их последствий. Анализ атак, выявление уязвимостей, составление отчётов. Поиск и устранение слабых мест в инфраструктуре. Использование данных о кибератаках для предсказания будущих атак.

Технологии в SOC:

SIEM (Security Information and Event Management) – сбор и анализ логов (Splunk, ELK, QRadar).
EDR (Endpoint Detection and Response) – защита рабочих станций (CrowdStrike, SentinelOne).
IDS/IPS (Intrusion Detection/Prevention Systems) – выявление атак в сети.
Threat Intelligence – базы данных известных угроз.
SOAR (Security Orchestration, Automation, and Response) – автоматизация реагирования на инциденты.

🔹12. Что такое MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) – это база знаний, содержащая описание тактик, техник и процедур (TTPs), используемых хакерами и киберпреступниками на разных этапах атак.

Эта база помогает организациям понимать, выявлять и предотвращать кибератаки, анализируя методы, которые применяют злоумышленники.

Основные компоненты MITRE ATT&CK:

Тактики (Tactics)что хочет сделать атакующий? Общие цели атак, такие как начальное проникновение, эскалация привилегий, уход от обнаружения.

Техники (Techniques)как он это делает? Конкретные методы, например, фишинг, эксплуатация уязвимостей, взлом учётных данных.

Подтехники (Sub-techniques)детализация метода. Например, техника «Сбор учетных данных» → подтехника «Keylogging».

Процедуры (Procedures)реальные примеры атак. Как определённая хак-группа (например, APT29) использует конкретную технику.

🔹13. Что такое брандмауэр (Firewall) и его назначение?

Брандмауэр (Firewall) – это система сетевой безопасности, которая контролирует входящий и исходящий трафик на основе заданных правил.

Его основная задача – защищать сеть и устройства от несанкционированного доступа, вредоносных атак и утечек данных.

Как работает брандмауэр?

Он анализирует пакеты данных и решает, пропустить или заблокировать их, основываясь на:
IP-адресе источника и назначения.
Портах и протоколах (TCP, UDP, HTTP, FTP).
Содержимом пакетов (глубокая инспекция).

Виды брандмауэров:

Сетевые (Network Firewalls)
– Защищают всю сеть на уровне маршрутизаторов и шлюзов.
– Примеры: Cisco ASA, Palo Alto, Fortinet.

Хостовые (Host-based Firewalls)
– Устанавливаются на отдельные устройства (Windows Firewall, iptables в Linux).

Аппаратные (Hardware Firewalls)
– Физические устройства, фильтрующие трафик в корпоративных сетях.

Межсетевые экраны нового поколения (NGFW – Next-Generation Firewall)
– Инспектируют не только заголовки пакетов, но и содержимое.
– Используют анализ поведения, AI и машинное обучение (Palo Alto NGFW, Check Point).

🔹14. Классификация хакеров: Black Hat, White Hat и Gray Hat.

Тип хакера Цель Законность действий Мораль
Black Hat (Чёрные хакеры) Взлом систем с целью кражи данных, вредоносных действий, финансовой выгоды. ❌ Незаконные действия. ❌ Игнорируют законы и этику.
White Hat (Белые хакеры) Защита систем, поиск уязвимостей для их устранения. ✅ Легальные действия. ✅ Работают в рамках закона и этики.
Gray Hat (Серые хакеры) Находят уязвимости без злого умысла, но могут нарушать закон. ⚠ Иногда незаконно. ⚠ Этика зависит от ситуации.

🔹15. Роль потоков информации об угрозах (Threat Intelligence Feeds)

Threat Intelligence Feeds – это потоки данных, содержащие актуальную информацию о киберугрозах, вредоносных IP-адресах, доменах, хакерских группах и методах атак. Они помогают организациям обнаруживать, предотвращать и реагировать на кибератаки в режиме реального времени.

Эти потоки можно представить как автоматические "системы раннего предупреждения", которые передают данные о:
Вредоносных IP-адресах (ботнеты, хакеры, атакующие сервера).
Фишинговых и вредоносных доменах (сайты, крадущие пароли).
Хэшах вредоносных файлов (идентификаторы вирусов, троянов).
Методах атак хакеров (какие техники используют APT-группы).

🔹16. Концепция автоматизации и оркестрации безопасности SOAR(Security Automation & Orchestration).

Security Automation & Orchestration – это подход к управлению кибербезопасностью, который автоматизирует процессы обнаружения, реагирования и устранения киберугроз.

Этот метод позволяет ускорить и упростить работу SOC-аналитиков, снизить человеческий фактор и повысить эффективность защиты.

Пример:
Если SIEM обнаружил подозрительный вход с неизвестного IP, система автоматически блокирует пользователя и отправляет уведомление в SOC.

Security Orchestration – это объединение разных систем безопасности в единую экосистему для быстрого и согласованного реагирования.

Связывает SIEM, EDR, Threat Intelligence, Firewall и SOC в одну систему. Оптимизирует процессы реагирования – атака выявляется и блокируется по заранее настроенному сценарию. Автоматизирует анализ инцидентов – корреляция событий, создание отчетов.

Пример:
1) SIEM обнаруживает подозрительную активность.
2) Threat Intelligence сравнивает с известными угрозами.
3) EDR автоматически изолирует заражённое устройство.
4) SOC получает уведомление, инцидент регистрируется.
🔒 Результат: атака заблокирована без участия человека.

🔹17. Что такое Индикаторы Компро­метации (Indicators of Compromise, IOCs)?

Indicators of Compromise (IOCs) – это признаки кибератаки или заражения системы, которые позволяют обнаружить факт взлома, вредоносной активности или утечки данных.

IOCs помогают SOC-аналитикам, специалистам по кибербезопасности и SIEM-системам идентифицировать атаки на ранних стадиях и реагировать на них.

Типы: Сетевые (IP адреса, домены, сетевые соединения), Файловые (Хэши, Сигнатуры файлов), Системные (Процессы, Изменения в реестре), Почтовые (Фишинговые письма, поддельные адреса отправителей)

🔹18. Что такое Индикаторы Атаки (Indicators of Attack, IOAs)?

Indicators of Attack (IOAs) – это признаки активной кибератаки, которые позволяют выявить намерения злоумышленника и остановить угрозу до того, как она нанесёт ущерб.

В отличие от Indicators of Compromise (IOCs), которые фиксируют уже произошедший взлом, IOAs помогают обнаружить атаку в процессе её выполнения.

🔹19. Что такое True Positive и False Positive?

В кибербезопасности True Positive (Истинное срабатывание) и False Positive (Ложное срабатывание) – это термины, используемые для оценки точности систем обнаружения угроз, таких как SIEM, IDS/IPS, EDR.

📌 True Positive = реальная угроза, правильно выявленная системой.
📌 False Positive = ложная тревога, система ошибочно приняла безопасную активность за угрозу.
📌 Задача кибербезопасности – минимизировать False Positives, чтобы SOC мог эффективно выявлять и реагировать на реальные угрозы.

🔹20. Что такое AAA, Cyber Kill Chain в кибербезопасности?

AAA (Authentication, Authorization, Accounting) – это модель управления доступом, которая используется для защиты информационных систем.

📌 Authentication (Аутентификация) – проверка личности пользователя (пароль, MFA, биометрия).
📌 Authorization (Авторизация) – определение прав доступа (что разрешено делать).
📌 Accounting (Учёт, аудит) – фиксация действий пользователя (логи, мониторинг).

Cyber Kill Chain – это модель атаки, разработанная Lockheed Martin, которая описывает этапы кибератаки от разведки до эксплуатации и уничтожения данных.

Этапы Cyber Kill Chain:

Этап Описание Пример атаки
1. Reconnaissance (Разведка) Хакер собирает информацию о цели. Сканирование сети, поиск уязвимостей.
2. Weaponization (Создание оружия) Разработка эксплойта или вируса. Создание фишингового письма с вредоносным вложением.
3. Delivery (Доставка атаки) Доставка вредоносного ПО жертве. Отправка заражённого файла по email.
4. Exploitation (Эксплуатация) Использование уязвимости для выполнения атаки. Запуск трояна, эксплуатация уязвимости ОС.
5. Installation (Закрепление в системе) Создание бэкдора для дальнейшего доступа. Установка кейлоггера, модификация системных файлов.
6. Command & Control (Управление атакой) Связь атакующего с заражённой системой. Вредонос подключается к C2-серверу.
7. Actions on Objectives (Цель атаки) Кража, уничтожение или шифрование данных. Вывод данных, запуск ransomware, удаление логов.

🔹21. Что такое SIEM?

SIEM – это система управления событиями информационной безопасности, которая собирает, анализирует и выявляет аномалии в сети организации.

Функции SIEM:
Сбор логов – с серверов, устройств, брандмауэров, антивирусов.

Корреляция событий – выявление сложных атак, анализ аномалий.

Обнаружение угроз в реальном времени – реакция на атаки, попытки взлома.

Формирование отчетов – для аудита и расследований.

Примеры SIEM-систем:
Splunk – мощная аналитическая платформа.
IBM QRadar – автоматизированное обнаружение угроз.
ArcSight – глубокий анализ безопасности.

📌 SIEM – это “мозг” SOC-центра, который помогает находить атаки, реагировать на них и анализировать инциденты.