Перейти к основному содержимому

Информационная безопасность — итоги

Разработчику Аналитику Тестировщику Архитектору Инженеру

Кратко — что стоит унести из раздела "Информационная безопасность". Если пункт кажется туманным — откройте указанную главу или оглавление.


FAQ — Часто задаваемые вопросы

Типичные инциденты для разработчиков и инженеров, а также ответы на частые запросы в поиске ("что такое фишинг", "SQL injection", "HTTPS и HTTP", "OWASP Top 10"). Краткий ответ здесь; разбор — в главах раздела. Заучивание определений — в чек-листе.

Вопрос. Пришло письмо "от банка" со ссылкой на вход — коллега уже кликнул.

Ответ. Считайте сессию и пароль скомпрометированными: смените пароль с чистого устройства, включите 2FA, сообщите в SOC. Не вводите данные по ссылке из письма — только через закладку или официальный домен. Подробнее здесь — социальная инженерия, жизненный цикл атаки.

Вопрос. Сервис haveibeenpwned показывает мой корпоративный email в утечке.

Ответ. Немедленная ротация пароля на этом и всех сервисах, где пароль повторялся; включите MFA. Проверьте логи входа и принудительный logout сессий. Подробнее здесь — методы защиты, основы.

Вопрос. На сайте в комментарии выполнился чужой JavaScript — stored XSS.

Ответ. Экранируйте вывод по контексту (HTML, атрибут, JS), используйте CSP, sanitization для rich text. Срочно удалите payload, проверьте затронутых пользователей и cookies без HttpOnly. Подробнее здесь — безопасность приложений, инъекции.

Вопрос. Пентестер открыл чужой заказ по смене id в URL — что чинить первым?

Ответ. Авторизация на каждый объект, не только аутентификация: проверка владельца/роли на сервере, не GUID "security through obscurity". Подробнее здесь — уязвимости API, безопасность приложений.

Вопрос. SQL-запрос собирается строкой "SELECT * FROM users WHERE id=" + id — нашли в legacy.

Ответ. Замените на параметризованные запросы / prepared statements; id только как bind-параметр. Прогоните SAST и регресс-тесты на инъекции. Подробнее здесь — инъекции, Secure SDLC.

Вопрос. API без rate limit — за ночь ушли тысячи SMS на чужие номера.

Ответ. Лимиты по IP, user, ключу; captcha на чувствительных эндпоинтах; алерты на аномальный объём. Заблокируйте ключи и пересмотрите биллинг. Подробнее здесь — уязвимости API, патчи и уязвимости.

Вопрос. В git history лежит .env с AWS-ключами — уже запушено в GitHub.

Ответ. Немедленная ротация ключей в облаке; удаление из истории не отзывает уже скомпрометированные секреты. Pre-commit hooks, secret scanning, vault для prod. Подробнее здесь — Secure SDLC, методы защиты.

Вопрос. Браузер ругается на самоподписанный сертификат — "продолжить всё равно"?

Ответ. На prod — доверенный CA (Let's Encrypt, корпоративный PKI), полная цепочка, автообновление. Игнорирование предупреждения на внутренних стендах допустимо только осознанно в lab. Подробнее здесь — сертификаты, шифрование.

Вопрос. TLS включили, но сайт всё ещё отдаёт cookie без Secure и HttpOnly.

Ответ. HTTPS без флагов cookie — session hijacking через XSS или MITM на смешанном контенте. Secure, HttpOnly, SameSite; HSTS на домене. Подробнее здесь — безопасность приложений, шифрование.

Вопрос. Файлы на сервере переименованы, экран требует бitcoin — ransomware.

Ответ. Изолируйте хост от сети, не выключайте сразу (артефакты для forensics), поднимайте из offline-бэкапа. Платёж вымогателям редко гарантирует расшифровку. Подробнее здесь — вирусы и malware, методы защиты.

Вопрос. Антивирус поймал trojan на рабочей станции — "удалил, всё ок"?

Ответ. Проверьте lateral movement: другие хосты, учётки, задачи планировщика, persistence. EDR, полное сканирование, смена паролей с чистой машины. Подробнее здесь — антивирусы, мониторинг и SIEM.

Вопрос. В SIEM тысячи алертов в день — команда их игнорирует.

Ответ. Tune правил, приоритизация по риску, correlation, playbooks. Алерт без owner и SLA = шум. Начните с критичных активов и известных TTP. Подробнее здесь — мониторинг и SIEM, жизненный цикл атаки.

Вопрос. CVE Critical на библиотеку — деплой через два дня, "потерпит".

Ответ. Оцените эксплуатируемость и exposure (internet-facing, PoC в wild). SLA на critical часто 24–72 ч; компенсирующие меры (WAF, disable feature) до патча. Подробнее здесь — патчи и уязвимости, Secure SDLC.

Вопрос. Разработчик скачал npm-пакет с typosquatting — подозрительная postinstall.

Ответ. Lockfile, проверка publisher, npm audit, private registry, запрет произвольных install scripts в CI. Ротация токенов, если скрипт уже выполнился. Подробнее здесь — Secure SDLC, методы защиты.

Вопрос. Honeypot в сети поймал сканирование — это ложная тревога?

Ответ. Обращение к honeypot не бывает легитимным для обычных пользователей — сигнал recon или lateral movement. Коррелируйте с SIEM, блокируйте источник, ищите уже скомпрометированные хосты. Подробнее здесь — honeypots, мониторинг и SIEM.

Вопрос. CEO написал в Telegram "срочный перевод" — подпись похожа, номер новый.

Ответ. Классический BEC: второй канал подтверждения (звонок по известному номеру), политика платежей без одного мессенджера. Не переводите по первому сообщению. Подробнее здесь — социальная инженерия, основы.

Вопрос. JWT лежит в localStorage — нашли XSS, токены утекли.

Ответ. HttpOnly cookie для session, короткий TTL, refresh rotation; устраните XSS. localStorage доступен любому JS на странице. Подробнее здесь — безопасность приложений, уязвимости API.

Вопрос. SSRF: внутренний сервис дернул http://169.254.169.254/ по URL из параметра.

Ответ. Allowlist исходящих хостов, блок metadata IP, сегментация сети, без raw URL fetch от пользователя. Подробнее здесь — уязвимости API, анализ и тестирование.

Вопрос. Пентест "ничего не нашёл" — через месяц реальный взлом.

Ответ. Scope, skill tester, время и методология решают. Слабый тест ≠ безопасная система. Регулярность, retest после фиксов, bug bounty для breadth. Подробнее здесь — анализ и тестирование, жизненный цикл атаки.

Вопрос. Threat modeling откладывают "до MVP" — уже prod с PII.

Ответ. STRIDE/DREAD на раннем этапе дешевле переделки. Data flow diagram, trust boundaries, security stories в backlog. Подробнее здесь — Secure SDLC, основы.

Вопрос. Пароль admin/admin на роутере в офисе — "он же внутри LAN".

Ответ. Один compromised laptop во Wi‑Fi — полный доступ к сегменту. Уникальные пароли, сегментация guest/corp, патчи прошивки. Подробнее здесь — методы защиты, оглавление.

Вопрос. Логи приложения пишут полный номер карты и CVV — так задумано для отладки.

Ответ. PCI и здравый смысл: маскирование PAN, запрет CVV в логах, retention policy. Утечка логов = утечка платёжных данных. Подробнее здесь — методы защиты, безопасность приложений.

Вопрос. Сотрудник уволился — доступ к GitHub и VPN "потом отключим".

Ответ. Offboarding в день увольнения: disable AD/LDAP, revoke tokens, rotate shared secrets, audit последних коммитов. Задержка — типичный инсайдерский риск. Подробнее здесь — методы защиты, основы.

Вопрос. WAF блокирует атаку, но баг в коде не закрыли — "нас же защищает".

Ответ. WAF — компенсирующий контроль, обходят encoding и zero-day. Fix root cause в приложении, WAF как слой defense in depth. Подробнее здесь — безопасность приложений, патчи и уязвимости.

Вопрос. Мобильное приложение хранит API-ключ в бинарнике — декомпилировали за час.

Ответ. Секреты в клиенте не секреты: backend-for-frontend, attestation, rate limits, ключи с привязкой к bundle. Подробнее здесь — безопасность приложений, Secure SDLC.

Вопрос. Инцидент: непонятно, что утекло и кого уведомлять — хаос в чате.

Ответ. Заранее IR playbook: triage, сохранение evidence, коммуникации, 152-ФЗ/регулятор при ПДн. Назначьте incident commander до паники. Подробнее здесь — мониторинг и SIEM, анализ и тестирование.

Вопрос. "У нас нет ценных данных" — зачем вообще шифровать бэкапы?

Ответ. PII, credentials, переписка и код имеют ценность для extortion и resale. Encryption at rest, offline/immutable backups против ransomware. Подробнее здесь — шифрование, вирусы и malware.

Вопрос. Что такое фишинг и как от него защититься?

Ответ. Фишинг — обман с целью украсть пароль или данные через поддельные письма и сайты. Не переходите по ссылкам из письма, проверяйте домен, включайте 2FA и сообщайте в SOC о подозрительных сообщениях. Подробнее здесь — социальная инженерия, методы защиты.

Вопрос. Что такое SQL injection и как от неё защититься?

Ответ. SQL injection — внедрение SQL через недоверенный ввод в запрос. Защита — параметризованные запросы, ORM с bind-параметрами, минимальные права БД и код-ревью на конкатенацию строк. Подробнее здесь — инъекции, безопасность приложений.

Вопрос. Чем HTTPS отличается от HTTP?

Ответ. HTTPS — HTTP поверх TLS: шифрование трафика и проверка сертификата сервера. Пароли, cookies и API-ключи по открытому HTTP читаются на пути следования пакетов. Подробнее здесь — шифрование, сертификаты.

Вопрос. Что такое двухфакторная аутентификация (2FA)?

Ответ. 2FA требует второй фактор помимо пароля: TOTP-приложение, ключ FIDO2 или push. Украденный пароль без второго фактора не даёт доступ к аккаунту. Подробнее здесь — методы защиты, основы.

Вопрос. 2FA включена, но аккаунт всё равно захватили через "восстановление доступа" и дипфейк-селфи.

Ответ. MFA защищает вход, а не обязательно recovery: смена email через ослабленный helpdesk-бот или selfie без liveness обходит пароль и OTP. Нужны out-of-band проверки, backup codes, human review на смену идентичности. Подробнее здесь — кейс Instagram 2026, аутентификация.

Вопрос. Чем XSS отличается от CSRF?

Ответ. XSS выполняет чужой JavaScript в браузере жертвы; CSRF заставляет браузер отправить запрос от имени залогиненного пользователя без его ведома. XSS лечат экранированием и CSP; CSRF — токены, SameSite cookies и проверка Origin. Подробнее здесь — безопасность приложений, инъекции.

Вопрос. Что такое OWASP Top 10?

Ответ. OWASP Top 10 — список самых частых рисков веб-приложений: инъекции, broken access control, misconfiguration и др. Используют как чек-лист при ревью и пентесте, а не как исчерпывающий стандарт. Подробнее здесь — основы, безопасность приложений.

Вопрос. Как правильно хранить пароли — bcrypt или MD5?

Ответ. Пароли хранят как хеш с солью через bcrypt, scrypt или Argon2; MD5 и SHA без salt — не для паролей. Добавляйте work factor, unique salt на пользователя и никогда не логируйте plaintext. Подробнее здесь — методы защиты, шифрование.

Вопрос. Что делать если SSL-сертификат на сайте истёк?

Ответ. Браузеры блокируют или предупреждают пользователей; выпустите новый сертификат у CA или через ACME (Let's Encrypt) и настройте автообновление. Проверьте цепочку intermediate и мониторинг срока действия заранее. Подробнее здесь — сертификаты, шифрование.

Вопрос. Что такое атака man-in-the-middle (MITM)?

Ответ. MITM — перехват или подмена трафика между клиентом и сервером в общей сети. TLS с проверкой сертификата, HSTS и отказ от доверия к публичному Wi‑Fi без VPN снижают риск. Подробнее здесь — шифрование, сертификаты.

Вопрос. Что такое DDoS-атака и как от неё защититься?

Ответ. DDoS — массовый поток запросов, перегружающий сервер или канал. Rate limiting, CDN, scrubbing у провайдера и резерв по пропускной способности; WAF фильтрует часть L7-фlood. Подробнее здесь — методы защиты, патчи и уязвимости.

Вопрос. Что такое пентест и зачем его заказывают?

Ответ. Пентест — контролируемая попытка взлома с согласованным scope для поиска реальных уязвимостей до злоумышленника. Результат — отчёт с рисками и шагами исправления; retest подтверждает fix. Подробнее здесь — анализ и тестирование, жизненный цикл атаки.

Вопрос. Что такое IDOR в API и веб-приложениях?

Ответ. IDOR (Insecure Direct Object Reference) — доступ к чужому объекту по подмене id в URL или теле запроса без проверки прав. Лечится авторизацией на каждый ресурс на сервере, а не скрытием id. Подробнее здесь — уязвимости API, безопасность приложений.

Вопрос. Что такое JWT-токен и безопасно ли хранить его в localStorage?

Ответ. JWT — подписанный токен с claims для stateless-аутентификации; проверяйте подпись, срок и audience на сервере. В localStorage токен доступен любому XSS — предпочтительнее HttpOnly cookie и короткий TTL. Подробнее здесь — уязвимости API, безопасность приложений.

Вопрос. Что такое 152-ФЗ и какие требования к персональным данным?

Ответ. 152-ФЗ регулирует обработку персональных данных в РФ: согласие, цели, меры защиты, уведомление Роскомнадзора и уведомление субъектов при утечке. При инциденте с ПДн нужен регламент и юридическая оценка сроков. Подробнее здесь — основы, методы защиты.

Вопрос. Чем EDR отличается от обычного антивируса?

Ответ. Классический антивирус ищет известные сигнатуры; EDR собирает поведение процессов, сеть и файловые события для обнаружения цепочек атаки. EDR даёт расследование и изоляцию хоста, а не только карантин одного файла. Подробнее здесь — антивирусы, мониторинг и SIEM.

Вопрос. Что такое SIEM и зачем он нужен компании?

Ответ. SIEM собирает и коррелирует логи с серверов, сети и приложений для поиска инцидентов и расследований. Алерты без tuning превращаются в шум — нужны playbooks, приоритеты и ответственные. Подробнее здесь — мониторинг и SIEM, жизненный цикл атаки.

Вопрос. Что такое модель Zero Trust?

Ответ. Zero Trust — не доверять сети по умолчанию: проверять identity, устройство и контекст на каждый запрос, сегментировать доступ. VPN во внутреннюю сеть без micro-segmentation уже недостаточен для современных угроз. Подробнее здесь — методы защиты, оглавление.

Вопрос. Что такое ransomware и можно ли расшифровать файлы без выкупа?

Ответ. Ransomware шифрует данные и требует выкуп; ключ часто только у злоумышленника. Восстановление — из offline-бэкапа; оплата не гарантирует расшифровку и поощряет атаки. Подробнее здесь — вирусы и malware, методы защиты.

Вопрос. Что такое honeypot в информационной безопасности?

Ответ. Honeypot — приманка-система, имитирующая уязвимый сервис для фиксации сканирования и атак. Легитимные пользователи туда не ходят — любое обращение сигнал для SOC и корреляции в SIEM. Подробнее здесь — honeypots, мониторинг и SIEM.

Вопрос. Что такое Secure SDLC?

Ответ. Secure SDLC встраивает безопасность в каждый этап разработки: threat modeling, SAST/DAST, ревью зависимостей, secret scanning и security-acceptance перед релизом. Дешевле закрыть риск на этапе дизайна, чем патчить prod после утечки. Подробнее здесь — Secure SDLC, анализ и тестирование.

Вопрос. Что такое CVE и как реагировать на критическую уязвимость?

Ответ. CVE — публичный идентификатор известной уязвимости; severity и CVSS помогают приоритизировать. На critical с exposure в интернет — патч или компенсирующие меры в SLA команды, мониторинг эксплуатации в wild. Подробнее здесь — патчи и уязвимости, Secure SDLC.

Вопрос. Что такое социальная инженерия в кибербезопасности?

Ответ. Социальная инженерия — манипуляция людьми для получения доступа или данных: фишинг, vishing, претекстинг, подмена CEO. Технические контроли дополняют обучение и процедуры проверки нестандартных запросов. Подробнее здесь — социальная инженерия, жизненный цикл атаки.


Что вынести из раздела

  1. Триада CIA, угрозы и OWASP Top 10 — общий язык рисков и приоритетов для команды; старт с основ.
  2. Жизненный цикл атаки — от recon до impact; так же думает защитник при проектировании контролей — глава 129.
  3. Защита приложений и API — XSS, CSRF, инъекции, IDOR, SSRF; код и конфиг, не только "фаервол" — Безопасность приложений, Инъекции, Уязвимости и атаки на API.
  4. Криптография и PKI — TLS, сертификаты, шифрование данных в покое и при передаче — Шифрование, Сертификация и сертификаты.
  5. Операционный контур — SIEM и реагирование, malware/EDR, патчи, Secure SDLC и пентест — Контроль и отслеживание, Вирусы и вредоносные программы, Патчи и управление уязвимостями, Безопасность на ранних этапах разработки.

Куда идти дальше

ТемаРаздел
"Контейнеризация и оркестрация — о разделе""Контейнеризация и оркестрация — о разделе"
"Забота о коде и данных — о разделе""Забота о коде и данных — о разделе"
"Тестирование информационной безопасности""Тестирование информационной безопасности"
"Основы интеграционного взаимодействия — о разделе""Основы интеграционного взаимодействия — о разделе"

Проверьте себя: Чек-лист самопроверки.