Информационная безопасность — итоги
Кратко — что стоит унести из раздела "Информационная безопасность". Если пункт кажется туманным — откройте указанную главу или оглавление.
FAQ — Часто задаваемые вопросы
Типичные инциденты для разработчиков и инженеров, а также ответы на частые запросы в поиске ("что такое фишинг", "SQL injection", "HTTPS и HTTP", "OWASP Top 10"). Краткий ответ здесь; разбор — в главах раздела. Заучивание определений — в чек-листе.
Вопрос. Пришло письмо "от банка" со ссылкой на вход — коллега уже кликнул.
Ответ. Считайте сессию и пароль скомпрометированными: смените пароль с чистого устройства, включите 2FA, сообщите в SOC. Не вводите данные по ссылке из письма — только через закладку или официальный домен. Подробнее здесь — социальная инженерия, жизненный цикл атаки.
Вопрос. Сервис haveibeenpwned показывает мой корпоративный email в утечке.
Ответ. Немедленная ротация пароля на этом и всех сервисах, где пароль повторялся; включите MFA. Проверьте логи входа и принудительный logout сессий. Подробнее здесь — методы защиты, основы.
Вопрос. На сайте в комментарии выполнился чужой JavaScript — stored XSS.
Ответ. Экранируйте вывод по контексту (HTML, атрибут, JS), используйте CSP, sanitization для rich text. Срочно удалите payload, проверьте затронутых пользователей и cookies без HttpOnly. Подробнее здесь — безопасность приложений, инъекции.
Вопрос. Пентестер открыл чужой заказ по смене id в URL — что чинить первым?
Ответ. Авторизация на каждый объект, не только аутентификация: проверка владельца/роли на сервере, не GUID "security through obscurity". Подробнее здесь — уязвимости API, безопасность приложений.
Вопрос. SQL-запрос собирается строкой "SELECT * FROM users WHERE id=" + id — нашли в legacy.
Ответ. Замените на параметризованные запросы / prepared statements; id только как bind-параметр. Прогоните SAST и регресс-тесты на инъекции. Подробнее здесь — инъекции, Secure SDLC.
Вопрос. API без rate limit — за ночь ушли тысячи SMS на чужие номера.
Ответ. Лимиты по IP, user, ключу; captcha на чувствительных эндпоинтах; алерты на аномальный объём. Заблокируйте ключи и пересмотрите биллинг. Подробнее здесь — уязвимости API, патчи и уязвимости.
Вопрос. В git history лежит .env с AWS-ключами — уже запушено в GitHub.
Ответ. Немедленная ротация ключей в облаке; удаление из истории не отзывает уже скомпрометированные секреты. Pre-commit hooks, secret scanning, vault для prod. Подробнее здесь — Secure SDLC, методы защиты.
Вопрос. Браузер ругается на самоподписанный сертификат — "продолжить всё равно"?
Ответ. На prod — доверенный CA (Let's Encrypt, корпоративный PKI), полная цепочка, автообновление. Игнорирование предупреждения на внутренних стендах допустимо только осознанно в lab. Подробнее здесь — сертификаты, шифрование.
Вопрос. TLS включили, но сайт всё ещё отдаёт cookie без Secure и HttpOnly.
Ответ. HTTPS без флагов cookie — session hijacking через XSS или MITM на смешанном контенте. Secure, HttpOnly, SameSite; HSTS на домене. Подробнее здесь — безопасность приложений, шифрование.
Вопрос. Файлы на сервере переименованы, экран требует бitcoin — ransomware.
Ответ. Изолируйте хост от сети, не выключайте сразу (артефакты для forensics), поднимайте из offline-бэкапа. Платёж вымогателям редко гарантирует расшифровку. Подробнее здесь — вирусы и malware, методы защиты.
Вопрос. Антивирус поймал trojan на рабочей станции — "удалил, всё ок"?
Ответ. Проверьте lateral movement: другие хосты, учётки, задачи планировщика, persistence. EDR, полное сканирование, смена паролей с чистой машины. Подробнее здесь — антивирусы, мониторинг и SIEM.
Вопрос. В SIEM тысячи алертов в день — команда их игнорирует.
Ответ. Tune правил, приоритизация по риску, correlation, playbooks. Алерт без owner и SLA = шум. Начните с критичных активов и известных TTP. Подробнее здесь — мониторинг и SIEM, жизненный цикл атаки.
Вопрос. CVE Critical на библиотеку — деплой через два дня, "потерпит".
Ответ. Оцените эксплуатируемость и exposure (internet-facing, PoC в wild). SLA на critical часто 24–72 ч; компенсирующие меры (WAF, disable feature) до патча. Подробнее здесь — патчи и уязвимости, Secure SDLC.
Вопрос. Разработчик скачал npm-пакет с typosquatting — подозрительная postinstall.
Ответ. Lockfile, проверка publisher, npm audit, private registry, запрет произвольных install scripts в CI. Ротация токенов, если скрипт уже выполнился. Подробнее здесь — Secure SDLC, методы защиты.
Вопрос. Honeypot в сети поймал сканирование — это ложная тревога?
Ответ. Обращение к honeypot не бывает легитимным для обычных пользователей — сигнал recon или lateral movement. Коррелируйте с SIEM, блокируйте источник, ищите уже скомпрометированные хосты. Подробнее здесь — honeypots, мониторинг и SIEM.
Вопрос. CEO написал в Telegram "срочный перевод" — подпись похожа, номер новый.
Ответ. Классический BEC: второй канал подтверждения (звонок по известному номеру), политика платежей без одного мессенджера. Не переводите по первому сообщению. Подробнее здесь — социальная инженерия, основы.
Вопрос. JWT лежит в localStorage — нашли XSS, токены утекли.
Ответ. HttpOnly cookie для session, короткий TTL, refresh rotation; устраните XSS. localStorage доступен любому JS на странице. Подробнее здесь — безопасность приложений, уязвимости API.
Вопрос. SSRF: внутренний сервис дернул http://169.254.169.254/ по URL из параметра.
Ответ. Allowlist исходящих хостов, блок metadata IP, сегментация сети, без raw URL fetch от пользователя. Подробнее здесь — уязвимости API, анализ и тестирование.
Вопрос. Пентест "ничего не нашёл" — через месяц реальный взлом.
Ответ. Scope, skill tester, время и методология решают. Слабый тест ≠ безопасная система. Регулярность, retest после фиксов, bug bounty для breadth. Подробнее здесь — анализ и тестирование, жизненный цикл атаки.
Вопрос. Threat modeling откладывают "до MVP" — уже prod с PII.
Ответ. STRIDE/DREAD на раннем этапе дешевле переделки. Data flow diagram, trust boundaries, security stories в backlog. Подробнее здесь — Secure SDLC, основы.
Вопрос. Пароль admin/admin на роутере в офисе — "он же внутри LAN".
Ответ. Один compromised laptop во Wi‑Fi — полный доступ к сегменту. Уникальные пароли, сегментация guest/corp, патчи прошивки. Подробнее здесь — методы защиты, оглавление.
Вопрос. Логи приложения пишут полный номер карты и CVV — так задумано для отладки.
Ответ. PCI и здравый смысл: маскирование PAN, запрет CVV в логах, retention policy. Утечка логов = утечка платёжных данных. Подробнее здесь — методы защиты, безопасность приложений.
Вопрос. Сотрудник уволился — доступ к GitHub и VPN "потом отключим".
Ответ. Offboarding в день увольнения: disable AD/LDAP, revoke tokens, rotate shared secrets, audit последних коммитов. Задержка — типичный инсайдерский риск. Подробнее здесь — методы защиты, основы.
Вопрос. WAF блокирует атаку, но баг в коде не закрыли — "нас же защищает".
Ответ. WAF — компенсирующий контроль, обходят encoding и zero-day. Fix root cause в приложении, WAF как слой defense in depth. Подробнее здесь — безопасность приложений, патчи и уязвимости.
Вопрос. Мобильное приложение хранит API-ключ в бинарнике — декомпилировали за час.
Ответ. Секреты в клиенте не секреты: backend-for-frontend, attestation, rate limits, ключи с привязкой к bundle. Подробнее здесь — безопасность приложений, Secure SDLC.
Вопрос. Инцидент: непонятно, что утекло и кого уведомлять — хаос в чате.
Ответ. Заранее IR playbook: triage, сохранение evidence, коммуникации, 152-ФЗ/регулятор при ПДн. Назначьте incident commander до паники. Подробнее здесь — мониторинг и SIEM, анализ и тестирование.
Вопрос. "У нас нет ценных данных" — зачем вообще шифровать бэкапы?
Ответ. PII, credentials, переписка и код имеют ценность для extortion и resale. Encryption at rest, offline/immutable backups против ransomware. Подробнее здесь — шифрование, вирусы и malware.
Вопрос. Что такое фишинг и как от него защититься?
Ответ. Фишинг — обман с целью украсть пароль или данные через поддельные письма и сайты. Не переходите по ссылкам из письма, проверяйте домен, включайте 2FA и сообщайте в SOC о подозрительных сообщениях. Подробнее здесь — социальная инженерия, методы защиты.
Вопрос. Что такое SQL injection и как от неё защититься?
Ответ. SQL injection — внедрение SQL через недоверенный ввод в запрос. Защита — параметризованные запросы, ORM с bind-параметрами, минимальные права БД и код-ревью на конкатенацию строк. Подробнее здесь — инъекции, безопасность приложений.
Вопрос. Чем HTTPS отличается от HTTP?
Ответ. HTTPS — HTTP поверх TLS: шифрование трафика и проверка сертификата сервера. Пароли, cookies и API-ключи по открытому HTTP читаются на пути следования пакетов. Подробнее здесь — шифрование, сертификаты.
Вопрос. Что такое двухфакторная аутентификация (2FA)?
Ответ. 2FA требует второй фактор помимо пароля: TOTP-приложение, ключ FIDO2 или push. Украденный пароль без второго фактора не даёт доступ к аккаунту. Подробнее здесь — методы защиты, основы.
Вопрос. 2FA включена, но аккаунт всё равно захватили через "восстановление доступа" и дипфейк-селфи.
Ответ. MFA защищает вход, а не обязательно recovery: смена email через ослабленный helpdesk-бот или selfie без liveness обходит пароль и OTP. Нужны out-of-band проверки, backup codes, human review на смену идентичности. Подробнее здесь — кейс Instagram 2026, аутентификация.
Вопрос. Чем XSS отличается от CSRF?
Ответ. XSS выполняет чужой JavaScript в браузере жертвы; CSRF заставляет браузер отправить запрос от имени залогиненного пользователя без его ведома. XSS лечат экранированием и CSP; CSRF — токены, SameSite cookies и проверка Origin. Подробнее здесь — безопасность приложений, инъекции.
Вопрос. Что такое OWASP Top 10?
Ответ. OWASP Top 10 — список самых частых рисков веб-приложений: инъекции, broken access control, misconfiguration и др. Используют как чек-лист при ревью и пентесте, а не как исчерпывающий стандарт. Подробнее здесь — основы, безопасность приложений.
Вопрос. Как правильно хранить пароли — bcrypt или MD5?
Ответ. Пароли хранят как хеш с солью через bcrypt, scrypt или Argon2; MD5 и SHA без salt — не для паролей. Добавляйте work factor, unique salt на пользователя и никогда не логируйте plaintext. Подробнее здесь — методы защиты, шифрование.
Вопрос. Что делать если SSL-сертификат на сайте истёк?
Ответ. Браузеры блокируют или предупреждают пользователей; выпустите новый сертификат у CA или через ACME (Let's Encrypt) и настройте автообновление. Проверьте цепочку intermediate и мониторинг срока действия заранее. Подробнее здесь — сертификаты, шифрование.
Вопрос. Что такое атака man-in-the-middle (MITM)?
Ответ. MITM — перехват или подмена трафика между клиентом и сервером в общей сети. TLS с проверкой сертификата, HSTS и отказ от доверия к публичному Wi‑Fi без VPN снижают риск. Подробнее здесь — шифрование, сертификаты.
Вопрос. Что такое DDoS-атака и как от неё защититься?
Ответ. DDoS — массовый поток запросов, перегружающий сервер или канал. Rate limiting, CDN, scrubbing у провайдера и резерв по пропускной способности; WAF фильтрует часть L7-фlood. Подробнее здесь — методы защиты, патчи и уязвимости.
Вопрос. Что такое пентест и зачем его заказывают?
Ответ. Пентест — контролируемая попытка взлома с согласованным scope для поиска реальных уязвимостей до злоумышленника. Результат — отчёт с рисками и шагами исправления; retest подтверждает fix. Подробнее здесь — анализ и тестирование, жизненный цикл атаки.
Вопрос. Что такое IDOR в API и веб-приложениях?
Ответ. IDOR (Insecure Direct Object Reference) — доступ к чужому объекту по подмене id в URL или теле запроса без проверки прав. Лечится авторизацией на каждый ресурс на сервере, а не скрытием id. Подробнее здесь — уязвимости API, безопасность приложений.
Вопрос. Что такое JWT-токен и безопасно ли хранить его в localStorage?
Ответ. JWT — подписанный токен с claims для stateless-аутентификации; проверяйте подпись, срок и audience на сервере. В localStorage токен доступен любому XSS — предпочтительнее HttpOnly cookie и короткий TTL. Подробнее здесь — уязвимости API, безопасность приложений.
Вопрос. Что такое 152-ФЗ и какие требования к персональным данным?
Ответ. 152-ФЗ регулирует обработку персональных данных в РФ: согласие, цели, меры защиты, уведомление Роскомнадзора и уведомление субъектов при утечке. При инциденте с ПДн нужен регламент и юридическая оценка сроков. Подробнее здесь — основы, методы защиты.
Вопрос. Чем EDR отличается от обычного антивируса?
Ответ. Классический антивирус ищет известные сигнатуры; EDR собирает поведение процессов, сеть и файловые события для обнаружения цепочек атаки. EDR даёт расследование и изоляцию хоста, а не только карантин одного файла. Подробнее здесь — антивирусы, мониторинг и SIEM.
Вопрос. Что такое SIEM и зачем он нужен компании?
Ответ. SIEM собирает и коррелирует логи с серверов, сети и приложений для поиска инцидентов и расследований. Алерты без tuning превращаются в шум — нужны playbooks, приоритеты и ответственные. Подробнее здесь — мониторинг и SIEM, жизненный цикл атаки.
Вопрос. Что такое модель Zero Trust?
Ответ. Zero Trust — не доверять сети по умолчанию: проверять identity, устройство и контекст на каждый запрос, сегментировать доступ. VPN во внутреннюю сеть без micro-segmentation уже недостаточен для современных угроз. Подробнее здесь — методы защиты, оглавление.
Вопрос. Что такое ransomware и можно ли расшифровать файлы без выкупа?
Ответ. Ransomware шифрует данные и требует выкуп; ключ часто только у злоумышленника. Восстановление — из offline-бэкапа; оплата не гарантирует расшифровку и поощряет атаки. Подробнее здесь — вирусы и malware, методы защиты.
Вопрос. Что такое honeypot в информационной безопасности?
Ответ. Honeypot — приманка-система, имитирующая уязвимый сервис для фиксации сканирования и атак. Легитимные пользователи туда не ходят — любое обращение сигнал для SOC и корреляции в SIEM. Подробнее здесь — honeypots, мониторинг и SIEM.
Вопрос. Что такое Secure SDLC?
Ответ. Secure SDLC встраивает безопасность в каждый этап разработки: threat modeling, SAST/DAST, ревью зависимостей, secret scanning и security-acceptance перед релизом. Дешевле закрыть риск на этапе дизайна, чем патчить prod после утечки. Подробнее здесь — Secure SDLC, анализ и тестирование.
Вопрос. Что такое CVE и как реагировать на критическую уязвимость?
Ответ. CVE — публичный идентификатор известной уязвимости; severity и CVSS помогают приоритизировать. На critical с exposure в интернет — патч или компенсирующие меры в SLA команды, мониторинг эксплуатации в wild. Подробнее здесь — патчи и уязвимости, Secure SDLC.
Вопрос. Что такое социальная инженерия в кибербезопасности?
Ответ. Социальная инженерия — манипуляция людьми для получения доступа или данных: фишинг, vishing, претекстинг, подмена CEO. Технические контроли дополняют обучение и процедуры проверки нестандартных запросов. Подробнее здесь — социальная инженерия, жизненный цикл атаки.
Что вынести из раздела
- Триада CIA, угрозы и OWASP Top 10 — общий язык рисков и приоритетов для команды; старт с основ.
- Жизненный цикл атаки — от recon до impact; так же думает защитник при проектировании контролей — глава 129.
- Защита приложений и API — XSS, CSRF, инъекции, IDOR, SSRF; код и конфиг, не только "фаервол" — Безопасность приложений, Инъекции, Уязвимости и атаки на API.
- Криптография и PKI — TLS, сертификаты, шифрование данных в покое и при передаче — Шифрование, Сертификация и сертификаты.
- Операционный контур — SIEM и реагирование, malware/EDR, патчи, Secure SDLC и пентест — Контроль и отслеживание, Вирусы и вредоносные программы, Патчи и управление уязвимостями, Безопасность на ранних этапах разработки.
Куда идти дальше
| Тема | Раздел |
|---|---|
| "Контейнеризация и оркестрация — о разделе" | "Контейнеризация и оркестрация — о разделе" |
| "Забота о коде и данных — о разделе" | "Забота о коде и данных — о разделе" |
| "Тестирование информационной безопасности" | "Тестирование информационной безопасности" |
| "Основы интеграционного взаимодействия — о разделе" | "Основы интеграционного взаимодействия — о разделе" |
Проверьте себя: Чек-лист самопроверки.