Жизненный цикл атаки
Жизненный цикл атаки
OWASP, MITRE ATT&CK и тестирование на проникновение описывают угрозы с разных сторон. Эта статья даёт единую простую модель — как типичная атака проходит от разведки до цели. Её удобно держать в голове при проектировании, ревью и расследовании инцидентов.
На практике большинство взломов не гениальны, а методичны: атакующий повторяет отработанные шаги; защитник выигрывает, когда знает эту последовательность и закрывает слабые места на каждом этапе.
Асимметрия атакующего и защитника
Злоумышленник ищет одну брешь. Специалист по ИБ в идеале должен закрыть все — патчи, конфигурации, обучение пользователей, мониторинг. На практике работает эшелонированная оборона: несколько независимых слоёв, чтобы одна ошибка не приводила к полной компрометации.
Частая метафора: взлом — как удар кувалдой, а защита — как гараж, который строят неделями, а снести можно за часы. Вывод для инженера: ценнее построить устойчивую систему, чем демонстрировать новый способ её сломать.
Семь этапов методологии взлома
Не каждая атака проходит все шаги. Вредоносное ПО может автоматизировать часть цепочки. Но первичное проникновение обязательно — без него дальнейшие действия невозможны.
| № | Этап | Суть | Часто автоматизирует malware |
|---|---|---|---|
| 1 | Сбор информации | OSINT, IP, домены, сотрудники, ПО на периметре | частично |
| 2 | Проникновение | первый доступ к системе или учётке | иногда полностью |
| 3 | Закрепление доступа | бэкдор, новая учётка, сохранённые хэши | да |
| 4 | Разведка системы | файлы, память, сеть, общие ресурсы | да |
| 5 | Перемещение | lateral / vertical movement по сети | да |
| 6 | Целевое действие | кража, шифрование, саботаж, шпионаж | по сценарию |
| 7 | Сокрытие следов | очистка логов, маскировка под админа | реже в наши дни |
Сбор информации делят на два слоя:
- Поиск следов (footprinting) — публичные данные о компании, людях, новости (M&A часто ослабляют ИБ), партнёры.
- Цифровые отпечатки (fingerprinting) — версии ОС, веб-сервера, СУБД; инструменты вроде Nmap, Nikto. Подробнее о легальной разведке — в 122.
Слабые цели на периметре — сайты сотрудников, партнёров, старые сервисы, а не только главный портал.
Перемещение бывает горизонтальным (между равноправными хостами) и вертикальным (повышение привилегий). Типичный сценарий в AD-домене: локальный админ → общий пароль на многих ПК → чтение учёток на сервере аутентификации. У опытного пентестера захват домена часто укладывается в пару часов после первого входа.
Сокрытие следов сегодня реже: логов много, а действия идут от имени легитимного пользователя с теми же инструментами, что у администратора. Отсюда вывод — без мониторинга и корреляции атака остаётся незамеченной месяцами (данные Verizon DBIR).
Тринадцать векторов первичного доступа
На этапе проникновения атакующий выбирает один или несколько путей. Ниже — сводная таблица типовых векторов с отсылками к материалам раздела.
| Вектор | Суть | Типичная защита |
|---|---|---|
| 0-day | уязвимость без патча | сегментация, WAF, EDR, быстрый процесс патчей после раскрытия |
| Непропатченное ПО | ~тысячи CVE в год; массовые взломы — старые дыры | автопатчи, инвентарь активов, SLA; см. 132 |
| Malware | доставка эксплойта в масштабе | EDR, сегментация, обучение; см. 119 |
| Социальная инженерия | фишинг, вложения, vishing | MFA, фильтры почты, учения; см. 1291 |
| Пароли и учётки | брутфорс, утечки, Pass-the-Hash | MFA, уникальные пароли, защита LSASS; см. 116 |
| MITM | перехват сессии, подмена Wi‑Fi | TLS, HSTS, 113 |
| Утечка данных | случайная публикация или целенаправленная кража | DLP, классификация данных, минимизация хранения |
| Ошибки конфигурации | открытые каталоги, debug=true, лишние порты | baseline, IaC, 1153 |
| DoS / DDoS | перегрузка сервиса | CDN, rate limit, 117 |
| Цепочка поставок | партнёр, подрядчик, инсайдер | оценка третьих сторон, least privilege, мониторинг инсайдеров |
| Ошибки пользователя | неверный адрес, пропущенный патч | процессы, автоматизация, не только «awareness» |
| Физический доступ | кража ноутбука, cold boot | шифрование диска, блокировка экрана, FDE |
| Эскалация привилегий | второй заход уже изнутри системы | hardening ОС, 2 |
Weaponization — отдельный момент: как только известен новый эксплойт, авторы malware встраивают его в автоматизированные кампании. Риск для массового пользователя часто выше, чем от редкого 0-day в руках APT.
Связь с MITRE ATT&CK
MITRE ATT&CK детализирует тактики и техники; семь этапов выше — учебный каркас. Грубое соответствие:
| Этап | Тактики ATT&CK (примеры) |
|---|---|
| Сбор информации | Reconnaissance, Resource Development |
| Проникновение | Initial Access |
| Закрепление | Persistence, Credential Access |
| Разведка | Discovery |
| Перемещение | Lateral Movement, Privilege Escalation |
| Целевое действие | Collection, Exfiltration, Impact |
| Сокрытие | Defense Evasion |
В Обеспечении безопасности ATT&CK уже используется для hunting и разбора логов. Здесь модель нужна, чтобы до погружения в сотни техник понять порядок действий противника.
Чек-лист защитника по этапам
| Этап атаки | Вопрос команде | Минимальные меры |
|---|---|---|
| 1. Разведка | Что видно снаружи без авторизации? | убрать лишнее из DNS/WHOIS, rate limit на сканирование, 122 |
| 2. Проникновение | Что сломается первым при фишинге или CVE? | патчи, MFA, WAF, hardening |
| 3. Закрепление | Есть ли аномальные учётки и автозапуск? | EDR, мониторинг создания пользователей |
| 4. Разведка | Видны ли сканирования изнутри? | сегментация, honeypot |
| 5. Перемещение | Один пароль local admin на сотне ПК? | LAPS, уникальные creds, Zero Trust — 121 |
| 6. Действие | Кто может массово читать/шифровать данные? | backup offline, least privilege, алерты на exfil |
| 7. Следы | Через сколько обнаружим компрометацию? | централизованные логи, SIEM, 114 |
Malware как автоматизация цепочки
Вредоносная программа может выполнить несколько этапов подряд без участия человека. SQL Slammer (376 байт) показал, что маленький эксплойт + автоматическое распространение бьёт по миллионам хостов за минуты. Современные группы сочетают фишинг + loader + ручные действия оператора (как Emotet → Ryuk).
Для разработчика это значит: закрытие одной RCE в API может остановить всю цепочку на этапе 2 — см. инъекции и OWASP.
Пентест и реальность
Законный пентест проверяет ту же методологию. Клиент может «радоваться», что его не взломали — но если через месяц его скомпрометируют реальные атакующие, качество теста под вопросом. Слабые места есть; задача — найти их раньше злоумышленника. Подробнее о процессе — 1131 и Bug Bounty.
Источники и смежные материалы
- Verizon DBIR — время обнаружения инцидентов.
- MITRE ATT&CK — тактики и техники.
- Легальный сбор информации — граница OSINT и атаки.
- Вирусы и вредоносные программы — доставка и weaponization.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). OWASP (Open Web Application Security Project) — это некоммерческая организация, которая выпускает список TOP 10 самых опасных уязвимостей веб-приложений. Методы защиты информации - непрерывный процесс на жизненном цикле системы, безопасная разработка и типовые угрозы. Инцидент информационной безопасности — это событие или последовательность событий, нарушающих или угрожающих нарушить конфиденциальность, целостность или доступность информации. Средства защиты информации - эволюция терминов и требований ФСТЭК России, включая актуализацию после приказа № 117 (2025). Сертификация и цифровые сертификаты - роли сторон, доверие и инфраструктура открытых ключей (PKI). Content Security Policy — это мощный механизм защиты от XSS, clickjacking и других атак, основанный на белых списках источников ресурсов. Анализ безопасности — это систематический процесс выявления, оценки и приоритизации уязвимостей в программном обеспечении. Безопасность на ранних этапах разработки (Secure Software Development Life Cycle, Secure SDLC) представляет собой методологию внедрения практик защиты информации непосредственно в процесс создания. Контроль и отслеживание в ИБ - журналирование действий, аудит и анализ операций для расследований и соответствия требованиям. Шифрование в информационной безопасности - цели, обратимость преобразования и роль ключей при защите данных. HTTPS функционирует на порту 443. Этот порт используется большинством веб-серверов по умолчанию. Блокировка соединения на этом порту нарушает работу интернета. Современный мессенджер представляет собой распределённую систему с несколькими ключевыми узлами. Основными компонентами являются клиентское приложение и серверная инфраструктура.Информационная безопасность
Методы защиты информации
Государственные требования к информационной безопасности
Средства защиты информации
Сертификация и сертификаты
Безопасность приложений
Анализ и тестирование безопасности
Безопасность на ранних этапах разработки
Контроль и отслеживание
Шифрование
SSH и HTTPS
Архитектура взаимодействия мессенджеров