200 вопросов по информационной безопасности

В РАЗРАБОТКЕЛАБОРАТОРИЯНЕ ОБЯЗАТЕЛЬНО

200 вопросов по информационной безопасности

Основы информационной безопасности

Вопрос

Что такое информационная безопасность?

Ответ

Информационная безопасность — это совокупность мер, процессов и технологий, направленных на защиту информации от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения. Цель информационной безопасности — обеспечить доверие к информации и системам, в которых она обрабатывается и хранится [[1]].

---

Вопрос

Какие три основных принципа лежат в основе информационной безопасности?

Ответ

Основу информационной безопасности составляет модель CIA:

• Confidentiality (Конфиденциальность) — гарантия того, что информация доступна только авторизованным пользователям.
• Integrity (Целостность) — обеспечение точности и полноты информации, защита от несанкционированных изменений.
• Availability (Доступность) — гарантия того, что информация и ресурсы доступны авторизованным пользователям в нужное время и в требуемом объёме [[5]].

---

Вопрос

Что такое угроза в контексте информационной безопасности?

Ответ

Угроза — это потенциальное событие или действие, способное нанести вред информационной системе или данным. Угрозы могут быть преднамеренными (например, хакерская атака) или непреднамеренными (например, сбой оборудования или человеческая ошибка).

---

Вопрос

Что такое уязвимость?

Ответ

Уязвимость — это слабое место в системе, программном обеспечении, процессе или конфигурации, которое может быть использовано угрозой для нарушения безопасности. Примеры: ошибки в коде, незащищённые порты, устаревшее ПО без патчей.

---

Вопрос

Что такое риск в информационной безопасности?

Ответ

Риск — это мера возможных потерь, связанных с реализацией угрозы через уязвимость. Он определяется как комбинация вероятности возникновения инцидента и величины ущерба, который он может причинить. Управление рисками включает их идентификацию, оценку и снижение до приемлемого уровня [[9]].

---

Вопрос

В чём разница между активом и риском?

Ответ

Актив — это любой ресурс, имеющий ценность для организации: данные, оборудование, программное обеспечение, персонал, репутация. Риск — это потенциальная потеря или повреждение актива вследствие реализации угрозы через уязвимость.

---

Вопрос

Что такое контрмера (мера защиты)?

Ответ

Контрмера — это любая мера, направленная на устранение уязвимости, снижение вероятности угрозы или минимизацию последствий инцидента. Контрмеры бывают техническими (брандмауэры, шифрование), организационными (политики, обучение) и физическими (охрана, замки).

---

Вопрос

Что такое политика информационной безопасности?

Ответ

Политика информационной безопасности — это официальный документ, определяющий цели, принципы, обязанности и правила поведения в области защиты информации в организации. Она служит основой для всех процедур, стандартов и инструкций по безопасности [[28]].

---

Вопрос

Какие элементы обычно включаются в политику информационной безопасности?

Ответ

Типичная политика информационной безопасности включает:

• Цель и область применения
• Определение ролей и ответственности
• Требования к классификации данных
• Правила управления доступом
• Процедуры реагирования на инциденты
• Обязанности по обучению персонала
• Положения о физической и сетевой безопасности [[28]].

---

Вопрос

Что такое классификация информации?

Ответ

Классификация информации — это процесс присвоения данным категории конфиденциальности в зависимости от их ценности и потенциального ущерба при компрометации. Обычные категории: общедоступная, внутренняя, конфиденциальная, строго конфиденциальная.

---

Криптография

Вопрос

Что такое криптография?

Ответ

Криптография — это наука о методах обеспечения конфиденциальности, целостности и аутентичности информации путём её преобразования с использованием математических алгоритмов и секретных параметров (ключей). Основная цель криптографии — защита данных при хранении и передаче [[15]].

---

Вопрос

Какие основные задачи решает криптография?

Ответ

Криптография решает следующие задачи:

• Конфиденциальность — защита от несанкционированного чтения.
• Целостность — гарантия того, что данные не были изменены.
• Аутентификация — подтверждение подлинности отправителя или получателя.
• Неотказуемость — невозможность для стороны отрицать факт участия в обмене данными [[16]].

---

Вопрос

Что такое шифрование?

Ответ

Шифрование — это процесс преобразования исходного текста (открытого текста) в зашифрованный (шифротекст) с использованием алгоритма и ключа. Обратный процесс называется дешифрованием. Шифрование применяется для обеспечения конфиденциальности данных.

---

Вопрос

В чём разница между симметричным и асимметричным шифрованием?

Ответ

• Симметричное шифрование использует один и тот же секретный ключ как для шифрования, так и для дешифрования. Примеры: AES, DES, 3DES.
• Асимметричное шифрование использует пару ключей: открытый (публичный) для шифрования и закрытый (приватный) для дешифрования. Примеры: RSA, ECC, ElGamal [[18]].

---

Вопрос

Какие преимущества и недостатки у симметричного шифрования?

Ответ

Преимущества:

• Высокая скорость обработки.
• Подходит для больших объёмов данных.

Недостатки:

• Требуется безопасный канал для обмена ключом.
• Сложность управления ключами в распределённых системах.

---

Вопрос

Какие преимущества и недостатки у асимметричного шифрования?

Ответ

Преимущества:

• Не требуется предварительный обмен секретными ключами.
• Поддерживает цифровую подпись и неотказуемость.

Недостатки:

• Значительно медленнее симметричного шифрования.
• Требует больше вычислительных ресурсов.

---

Вопрос

Что такое гибридная криптосистема?

Ответ

Гибридная криптосистема сочетает преимущества симметричного и асимметричного шифрования. Обычно используется асимметричное шифрование для безопасной передачи симметричного ключа, а затем симметричное шифрование для передачи самих данных. Такой подход применяется, например, в протоколе TLS.

---

Вопрос

Что такое хеш-функция?

Ответ

Хеш-функция — это алгоритм, который преобразует входные данные произвольной длины в строку фиксированной длины (хеш). Хорошая криптографическая хеш-функция обладает следующими свойствами:

• Детерминированность: один и тот же вход всегда даёт одинаковый хеш.
• Устойчивость к коллизиям: трудно найти два разных входа с одинаковым хешем.
• Односторонность: невозможно восстановить исходные данные по хешу [[21]].

Примеры: SHA-256, MD5 (устаревший), BLAKE3.

---

Вопрос

Для чего используются хеш-функции в информационной безопасности?

Ответ

Хеш-функции применяются для:

• Проверки целостности файлов и сообщений.
• Хранения паролей (в виде хешей с солью).
• Создания цифровых подписей.
• Генерации псевдослучайных чисел и ключей.

---

Вопрос

Что такое «соль» (salt) в контексте хеширования паролей?

Ответ

«Соль» — это случайные данные, добавляемые к паролю перед его хешированием. Это предотвращает использование радужных таблиц и делает атаки по словарю значительно менее эффективными. Каждый пользователь должен иметь уникальную соль, которая хранится вместе с хешем пароля.

Пример на Python:

import hashlib
import os

password = "my_secret"
salt = os.urandom(32)  # 32 байта случайных данных
hashed = hashlib.pbkdf2_hmac('sha256', password.encode(), salt, 100000)

Здесь:

• os.urandom() генерирует криптографически стойкую соль.
• pbkdf2_hmac — функция, специально предназначенная для хеширования паролей с итерациями.

---

Вопрос

Что такое цифровая подпись?

Ответ

Цифровая подпись — это криптографический механизм, обеспечивающий аутентификацию, целостность и неотказуемость электронного документа. Она создаётся с использованием закрытого ключа отправителя и может быть проверена любым обладателем соответствующего открытого ключа.

Процесс:

1. Вычисляется хеш документа.
2. Хеш шифруется закрытым ключом → получается подпись.
3. Получатель расшифровывает подпись открытым ключом и сравнивает с хешем документа.

---

Вопрос

Как работает протокол Diffie–Hellman?

Ответ

Протокол Диффи–Хеллмана позволяет двум сторонам создать общий секретный ключ через незащищённый канал, не передавая сам ключ. Он основан на вычислительной сложности задачи дискретного логарифмирования.

Упрощённый пример:

• Стороны договариваются о публичных параметрах: простое число p и генератор g.
• Алиса выбирает секрет a, вычисляет A = g^a mod p, отправляет A Бобу.
• Боб выбирает секрет b, вычисляет B = g^b mod p, отправляет B Алисе.
• Обе стороны вычисляют общий ключ: K = B^a mod p = A^b mod p.

Этот ключ далее может использоваться в симметричном шифровании.

---

Вопрос

Что такое сертификат открытого ключа?

Ответ

Сертификат открытого ключа — это электронный документ, выданный доверенным центром сертификации (CA), который связывает открытый ключ с личностью владельца. Сертификат содержит:

• Имя владельца.
• Открытый ключ.
• Срок действия.
• Цифровую подпись CA.

Сертификаты используются в TLS/SSL, S/MIME, кодовой подписи и других протоколах.

---

Вопрос

Что такое PKI?

Ответ

PKI (Public Key Infrastructure) — это совокупность компонентов, политик и процедур, обеспечивающих создание, управление, распространение, использование, хранение и отзыв цифровых сертификатов и открытых ключей. Основные элементы PKI:

• Центр сертификации (CA).
• Регистрационный центр (RA).
• Хранилище сертификатов.
• Списки отозванных сертификатов (CRL, OCSP).

---

Вопрос

Почему MD5 и SHA-1 считаются небезопасными?

Ответ

MD5 и SHA-1 уязвимы к коллизиям — существуют практические методы создания двух разных документов с одинаковым хешем. Это позволяет подделывать цифровые подписи и сертификаты. Поэтому их использование запрещено в современных системах безопасности. Рекомендуются SHA-2 (например, SHA-256) или SHA-3.

---

Вопрос

Что такое forward secrecy (PFS)?

Ответ

Forward secrecy (Perfect Forward Secrecy, PFS) — это свойство криптографического протокола, при котором компрометация долгосрочного закрытого ключа не позволяет расшифровать ранее перехваченные сессии. Это достигается генерацией уникальных эфемерных ключей для каждой сессии, например, с использованием ECDHE в TLS.

---

Вопрос

Какие режимы работы существуют у блочных шифров (например, AES)?

Ответ

Основные режимы:

• ECB (Electronic Codebook) — каждый блок шифруется независимо. Небезопасен из-за отсутствия диффузии.
• CBC (Cipher Block Chaining) — каждый блок XOR-ится с предыдущим шифротекстом. Требует IV (вектор инициализации).
• CTR (Counter) — превращает блочный шифр в потоковый. Параллелизируем.
• GCM (Galois/Counter Mode) — обеспечивает шифрование и аутентификацию (AEAD).

Рекомендуется использовать GCM или CTR с аутентификацией (например, HMAC).

---

Вопрос

Что такое ключевой материал и как он должен храниться?

Ответ

Ключевой материал — это секретные данные (ключи, соли, IV), используемые в криптографических операциях. Он должен храниться:

• В защищённой памяти (например, HSM — Hardware Security Module).
• Никогда в открытом виде на диске или в логах.
• С ограниченным доступом (на основе принципа минимальных привилегий).
• С регулярной ротацией.

---

Вопрос

Что такое квантово-устойчивая криптография?

Ответ

Квантово-устойчивая (постквантовая) криптография — это набор алгоритмов, разработанных для защиты от атак с использованием квантовых компьютеров. Традиционные алгоритмы (RSA, ECC) уязвимы к алгоритму Шора. NIST в настоящее время стандартизирует постквантовые алгоритмы, такие как CRYSTALS-Kyber (для обмена ключами) и CRYSTALS-Dilithium (для цифровых подписей).

---

Сетевая безопасность

Вопрос

Что такое сетевая безопасность?

Ответ

Сетевая безопасность — это совокупность технологий, процессов и практик, направленных на защиту компьютерных сетей и их ресурсов от несанкционированного доступа, использования, раскрытия, модификации или уничтожения. Цель сетевой безопасности — обеспечить конфиденциальность, целостность и доступность данных в сетевой среде.

---

Вопрос

Какие уровни модели OSI наиболее уязвимы с точки зрения безопасности?

Ответ

Наиболее уязвимыми уровнями модели OSI являются:

• Уровень 3 (Сетевой) — уязвимости в маршрутизации, IP-спуфинг, атаки типа Smurf.
• Уровень 4 (Транспортный) — SYN-flood, TCP hijacking.
• Уровень 7 (Прикладной) — инъекции, XSS, CSRF, утечки через API.

Эти уровни напрямую взаимодействуют с данными пользователя и протоколами приложений, что делает их мишенью для большинства атак.

---

Вопрос

Что такое IP-спуфинг?

Ответ

IP-спуфинг — это техника подмены IP-адреса отправителя в IP-пакете. Злоумышленник маскируется под доверенный узел, чтобы обойти фильтрацию на основе IP или запустить атаку типа «отказ в обслуживании». IP-спуфинг часто используется в DDoS-атаках и MITM-сценариях.

---

Вопрос

Что такое атака «человек посередине» (MITM)?

Ответ

Атака «человек посередине» (Man-in-the-Middle, MITM) — это перехват и возможная модификация трафика между двумя сторонами без их ведома. Злоумышленник позиционирует себя как посредник, получая доступ к передаваемым данным (логины, пароли, банковские реквизиты).

Примеры MITM:

• Подмена ARP-таблицы в локальной сети (ARP spoofing).
• Перехват незашифрованного HTTP-трафика.
• Использование поддельных точек Wi-Fi.

Защита: шифрование (TLS), аутентификация сертификатов, HSTS.

---

Вопрос

Как работает ARP spoofing?

Ответ

ARP spoofing — это атака на канальный уровень (уровень 2 модели OSI), при которой злоумышленник отправляет поддельные ARP-сообщения в локальную сеть. Цель — связать MAC-адрес атакующего с IP-адресом другого узла (например, шлюза). В результате весь трафик, предназначенный для этого IP, направляется злоумышленнику.

Пример на Python с использованием Scapy:

from scapy.all import *

def arp_spoof(target_ip, host_ip):
    target_mac = getmacbyip(target_ip)
    packet = ARP(op=2, pdst=target_ip, hwdst=target_mac, psrc=host_ip)
    send(packet, verbose=False)

# Подмена шлюза для жертвы
arp_spoof("192.168.1.10", "192.168.1.1")

Защита: статические ARP-записи, DHCP snooping, использование коммутаторов с защитой от flooding.

---

Вопрос

Что такое DDoS-атака?

Ответ

DDoS (Distributed Denial of Service) — это распределённая атака типа «отказ в обслуживании», при которой множество скомпрометированных устройств (ботнет) одновременно отправляют запросы на целевой сервер, перегружая его ресурсы и делая недоступным для легитимных пользователей.

Типы DDoS:

• Объёмные: UDP flood, ICMP flood.
• Протокольные: SYN flood, Ping of Death.
• Прикладные: HTTP flood, Slowloris.

Защита: фильтрация трафика, CDN, rate limiting, облачные сервисы защиты (Cloudflare, AWS Shield).

---

Вопрос

В чём разница между DoS и DDoS?

Ответ

• DoS (Denial of Service) — атака с одного источника.
• DDoS (Distributed Denial of Service) — атака с множества распределённых источников (ботнет).

DDoS значительно труднее отразить, так как трафик выглядит как легитимный и исходит из тысяч IP-адресов.

---

Вопрос

Что такое брандмауэр (firewall)?

Ответ

Брандмауэр — это система сетевой безопасности, которая контролирует входящий и исходящий сетевой трафик на основе заранее определённых правил. Брандмауэры могут быть:

• Сетевыми (на уровне пакетов) — фильтрация по IP, порту, протоколу.
• Прикладными (на уровне приложений) — анализ содержимого (например, HTTP-запросов).
• Состоятельными (stateful) — отслеживают состояние соединений.

Пример правила iptables:

# Блокировать входящий трафик на порт 22 (SSH) кроме с IP 192.168.1.5
iptables -A INPUT -p tcp --dport 22 ! -s 192.168.1.5 -j DROP

---

Вопрос

Что такое IDS и IPS?

Ответ

• IDS (Intrusion Detection System) — система обнаружения вторжений. Анализирует трафик и сигнализирует о подозрительной активности, но не блокирует её.
• IPS (Intrusion Prevention System) — система предотвращения вторжений. Может не только обнаруживать, но и автоматически блокировать угрозы.

Различают:

• Сетевые (NIDS/NIPS) — анализируют сетевой трафик.
• Хостовые (HIDS/HIPS) — работают на уровне ОС.

Примеры: Snort (IDS/IPS), Suricata, OSSEC (HIDS).

---

Вопрос

Что такое honeypot?

Ответ

Honeypot («медовый горшок») — это приманка в виде специально настроенного сервера или службы, имитирующей уязвимую систему. Цель — привлечь злоумышленников, изучить их методы и собрать данные об атаках без риска для реальных систем.

Типы:

• Низкоуровневые — эмулируют несколько служб.
• Высокоуровневые — полноценные системы с логированием всех действий.

---

Вопрос

Как работает SSL/TLS и почему он важен для безопасности?

Ответ

SSL/TLS — это криптографические протоколы, обеспечивающие защищённое соединение между клиентом и сервером. Они предоставляют:

• Конфиденциальность — шифрование трафика.
• Целостность — защита от модификации.
• Аутентификацию — проверка подлинности сервера (и иногда клиента).

Процесс установки TLS-соединения (handshake):

1. Клиент отправляет ClientHello.
2. Сервер отвечает ServerHello, своим сертификатом и публичным ключом.
3. Клиент проверяет сертификат и генерирует сессионный ключ.
4. Обмен данными происходит с использованием симметричного шифрования.

Использование TLS обязательно для всех веб-сайтов (HTTPS), почты (SMTPS, IMAPS), API.

---

Вопрос

Что такое сертификат с открытым ключом и как он проверяется?

Ответ

Сертификат с открытым ключом — это цифровой документ, выданный доверенным центром сертификации (CA), содержащий:

• Публичный ключ владельца.
• Информацию о владельце (CN, организация).
• Срок действия.
• Цифровую подпись CA.

Проверка сертификата включает:

1. Проверку подписи с помощью публичного ключа CA.
2. Проверку срока действия.
3. Проверку отзыва через CRL или OCSP.
4. Проверку соответствия имени домена.

Браузеры и ОС хранят список доверенных корневых сертификатов.

---

Вопрос

Что такое DNS spoofing и как ему противостоять?

Ответ

DNS spoofing (или DNS cache poisoning) — это атака, при которой злоумышленник подменяет записи DNS-кэша, направляя пользователей на поддельные сайты (например, фишинговые).

Защита:

• Использование DNSSEC — добавляет цифровые подписи к DNS-записям.
• Настройка доверенных DNS-серверов (например, Cloudflare 1.1.1.1, Google 8.8.8.8).
• Валидация сертификатов даже при правильном IP.

---

Вопрос

Что такое VLAN и как он повышает безопасность?

Ответ

VLAN (Virtual Local Area Network) — это логическая сегментация физической сети на изолированные подсети на уровне коммутатора. Это позволяет:

• Ограничить широковещательный трафик.
• Разделить трафик разных отделов (например, финансы и HR).
• Упростить применение политик безопасности.

Без VLAN любой хост в одной физической сети может прослушивать трафик других хостов (например, через режим promiscuous).

---

Вопрос

Что такое Zero Trust и как он применяется в сетевой безопасности?

Ответ

Zero Trust — это модель безопасности, основанная на принципе «никому не доверяй, всегда проверяй». В отличие от традиционной модели «периметр + внутренняя сеть», Zero Trust предполагает:

• Верификацию каждого запроса, независимо от источника.
• Минимальные привилегии (least privilege).
• Микросегментацию сети.
• Постоянный мониторинг и аналитику.

Примеры реализации: BeyondCorp (Google), Azure AD Conditional Access, ZTNA (Zero Trust Network Access).

---

Безопасность веб-приложений

Вопрос

Что такое OWASP?

Ответ

OWASP (Open Web Application Security Project) — это международное некоммерческое сообщество, занимающееся повышением безопасности веб-приложений. OWASP публикует руководства, стандарты, инструменты и рейтинги уязвимостей, наиболее известный из которых — OWASP Top 10.

---

Вопрос

Что входит в OWASP Top 10 (2021)?

Ответ

OWASP Top 10 2021 включает следующие категории рисков:

1. Broken Access Control — нарушение контроля доступа.
2. Cryptographic Failures — криптографические сбои (ранее «Sensitive Data Exposure»).
3. Injection — инъекции (SQL, NoSQL, LDAP, OS и др.).
4. Insecure Design — небезопасный дизайн.
5. Security Misconfiguration — неправильная конфигурация безопасности.
6. Vulnerable and Outdated Components — уязвимые и устаревшие компоненты.
7. Identification and Authentication Failures — сбои идентификации и аутентификации.
8. Software and Data Integrity Failures — нарушения целостности ПО и данных.
9. Security Logging and Monitoring Failures — недостаточное логирование и мониторинг.
10. Server-Side Request Forgery (SSRF) — подделка запросов на стороне сервера.

---

Вопрос

Что такое SQL-инъекция?

Ответ

SQL-инъекция — это уязвимость, возникающая при вставке пользовательских данных непосредственно в SQL-запрос без надлежащей фильтрации или экранирования. Это позволяет злоумышленнику выполнять произвольные SQL-команды в базе данных: читать, изменять или удалять данные, обходить аутентификацию.

Пример уязвимого кода на Python (без параметризации):

# НЕБЕЗОПАСНО
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)

Правильный подход — использование параметризованных запросов:

# БЕЗОПАСНО
cursor.execute("SELECT * FROM users WHERE username = %s AND password = %s", (username, password))

---

Вопрос

Как предотвратить SQL-инъекции?

Ответ

Основные меры защиты:

• Использование параметризованных запросов (prepared statements).
• Применение ORM с безопасной реализацией (например, Entity Framework, Django ORM).
• Валидация и очистка входных данных (allowlist, а не denylist).
• Минимальные привилегии для учётной записи БД.
• Регулярное тестирование (SAST, DAST, пентесты).

---

Вопрос

Что такое межсайтовый скриптинг (XSS)?

Ответ

XSS (Cross-Site Scripting) — это уязвимость, позволяющая внедрить вредоносный JavaScript-код в веб-страницу, просматриваемую другими пользователями. XSS может использоваться для кражи сессионных cookie, фишинга, перенаправления на вредоносные сайты.

Типы XSS:

• Reflected (отражённый) — вредоносный скрипт передаётся через URL и сразу отображается.
• Stored (сохранённый) — скрипт сохраняется на сервере (например, в комментариях).
• DOM-based — уязвимость реализуется только на стороне клиента через манипуляции с DOM.

---

Вопрос

Как защититься от XSS?

Ответ

Меры защиты от XSS:

• Экранирование вывода: все пользовательские данные должны быть экранированы перед вставкой в HTML, JavaScript, CSS или URL.
• Использование Content Security Policy (CSP) — ограничивает источники выполнения скриптов.
• Установка флага HttpOnly для cookie сессии.
• Валидация входных данных по allowlist-принципу.
• Использование современных фреймворков (React, Angular), которые по умолчанию экранируют содержимое.

Пример CSP-заголовка:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

---

Вопрос

Что такое CSRF?

Ответ

CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник заставляет авторизованного пользователя выполнить нежелательное действие на веб-сайте без его ведома. Например, перевод денег или смена пароля.

Условия успешной атаки:

• Жертва авторизована на сайте.
• Сайт использует cookie для аутентификации.
• Запрос не требует подтверждения (например, POST без токена).

---

Вопрос

Как предотвратить CSRF?

Ответ

Основные методы защиты:

• Использование anti-CSRF токенов (synchronizer token pattern). Токен генерируется сервером и должен быть включён в каждый state-changing запрос.
• Проверка заголовка Origin или Referer.
• Использование SameSite атрибута для cookie (SameSite=Lax или Strict).
• Разделение эндпоинтов чтения и изменения (GET vs POST/PUT/DELETE).

Пример токена в форме:

<input type="hidden" name="csrf_token" value="a1b2c3d4e5f6..." />

---

Вопрос

Что такое SSRF?

Ответ

SSRF (Server-Side Request Forgery) — это уязвимость, при которой сервер выполняет HTTP-запросы по адресу, указанному пользователем. Это позволяет злоумышленнику:

• Получить доступ к внутренним сервисам (например, метаданным AWS, Docker API).
• Обойти брандмауэры.
• Вызвать DoS на внутренние системы.

Пример: веб-приложение загружает аватар по URL → злоумышленник указывает http://169.254.169.254/latest/meta-data/.

---

Вопрос

Как защититься от SSRF?

Ответ

Меры защиты:

• Валидация URL: разрешать только доверенные домены (allowlist).
• Запрет прямых IP-адресов и приватных диапазонов (10.0.0.0/8, 192.168.0.0/16 и др.).
• Использование изолированных прокси для исходящих запросов.
• Отключение ненужных протоколов (file://, gopher://, dict://).
• Ограничение прав доступа у сервиса, выполняющего запросы.

---

Вопрос

Что такое insecure deserialization?

Ответ

Небезопасная десериализация — это уязвимость, возникающая при восстановлении объектов из ненадёжных данных (например, JSON, XML, pickle). Если приложение десериализует данные без проверки, злоумышленник может внедрить вредоносный объект, что приведёт к выполнению произвольного кода, DoS или обходу аутентификации.

Особенно опасна в языках с богатыми возможностями сериализации: Java (ObjectInputStream), Python (pickle), PHP (unserialize).

---

Вопрос

Как предотвратить insecure deserialization?

Ответ

Рекомендации:

• Избегать десериализации ненадёжных данных.
• Использовать простые форматы данных (JSON, XML) без исполнения кода.
• Подписывать сериализованные данные цифровой подписью.
• Применять строгую валидацию структуры данных после десериализации.
• Использовать sandbox-окружение для обработки подозрительных данных.

---

Вопрос

Что такое security headers и зачем они нужны?

Ответ

Security headers — это HTTP-заголовки, которые усиливают безопасность веб-приложения на стороне клиента. Наиболее важные:

• Content-Security-Policy (CSP) — контролирует источники скриптов, стилей и других ресурсов.
• X-Content-Type-Options: nosniff — запрещает MIME-sniffing.
• X-Frame-Options: DENY — предотвращает clickjacking.
• Strict-Transport-Security (HSTS) — принудительно включает HTTPS.
• Referrer-Policy — управляет передачей Referer.

Пример полного набора:

Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Content-Security-Policy: default-src 'self'
Referrer-Policy: no-referrer

---

Вопрос

Что такое clickjacking и как ему противостоять?

Ответ

Clickjacking — это атака, при которой вредоносный сайт встраивает легитимный сайт в iframe и маскирует его под другую кнопку. Пользователь, думая, что нажимает на безобидный элемент, на самом деле выполняет действие на легитимном сайте (например, перевод денег).

Защита:

• Установка заголовка X-Frame-Options: DENY или SAMEORIGIN.
• Использование Content-Security-Policy с директивой frame-ancestors 'none'.
• JavaScript-проверка: если страница загружена во фрейме — прекратить работу.

---

Вопрос

Что такое rate limiting и зачем он нужен?

Ответ

Rate limiting — это ограничение количества запросов от одного клиента за определённый период времени. Он применяется для:

• Предотвращения брутфорса (логин, API).
• Защиты от DDoS на уровне приложения.
• Контроля использования API (fair usage).

Реализуется через:

• Токены (token bucket).
• Счётчики в Redis или Memcached.
• Встроенные механизмы веб-серверов (Nginx, Apache).

Пример в Nginx:

limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
location /api/ {
    limit_req zone=api burst=20 nodelay;
}

---

Управление доступом и аутентификация

Вопрос

Что такое аутентификация?

Ответ

Аутентификация — это процесс подтверждения личности пользователя или системы. Она отвечает на вопрос: «Кто вы?». Аутентификация может основываться на:

• Знании (пароль, PIN),
• Владении (токен, смартфон),
• Биометрии (отпечаток пальца, распознавание лица).

---

Вопрос

Что такое авторизация?

Ответ

Авторизация — это процесс определения прав доступа уже аутентифицированного пользователя. Она отвечает на вопрос: «Что вы можете делать?». Авторизация определяет, какие ресурсы и действия разрешены пользователю в системе.

---

Вопрос

В чём разница между аутентификацией и авторизацией?

Ответ

Аутентификация устанавливает личность пользователя, авторизация определяет его права. Пример: вход в систему по логину и паролю — аутентификация; возможность редактировать файлы — авторизация.

---

Вопрос

Что такое многофакторная аутентификация (MFA)?

Ответ

MFA (Multi-Factor Authentication) — это метод аутентификации, требующий подтверждения личности с использованием двух или более независимых факторов:

1. Что-то, что вы знаете (пароль).
2. Что-то, что у вас есть (аппаратный токен, приложение Authenticator).
3. Что-то, что вы являетесь (биометрия).

MFA значительно повышает уровень безопасности по сравнению с однофакторной аутентификацией.

---

Вопрос

Какие типы MFA наиболее распространены?

Ответ

Наиболее распространённые типы MFA:

• SMS-коды — уязвимы к SIM-swapping.
• TOTP/HOTP — временные одноразовые пароли через приложения (Google Authenticator, Authy).
• FIDO2/WebAuthn — аппаратные ключи (YubiKey) или биометрия через браузер.
• Push-уведомления — подтверждение через мобильное приложение (например, Microsoft Authenticator).

Рекомендуется использовать FIDO2 или TOTP вместо SMS.

---

Вопрос

Что такое OAuth 2.0?

Ответ

OAuth 2.0 — это протокол делегированной авторизации, позволяющий приложению получать ограниченный доступ к ресурсам пользователя без передачи его учётных данных. Например, «Войти через Google» использует OAuth 2.0.

OAuth не предназначен для аутентификации, но часто используется вместе с OpenID Connect для этой цели.

---

Вопрос

Что такое OpenID Connect?

Ответ

OpenID Connect (OIDC) — это надстройка над OAuth 2.0, добавляющая функциональность аутентификации. OIDC предоставляет ID-токен (JWT), содержащий информацию об идентичности пользователя. Это позволяет клиентскому приложению узнать, кто вошёл в систему.

OIDC широко используется в SSO-системах (Single Sign-On).

---

Вопрос

Что такое SSO?

Ответ

SSO (Single Sign-On) — это механизм, позволяющий пользователю войти один раз и получить доступ ко множеству связанных, но независимых систем без повторного ввода учётных данных. Примеры: вход в корпоративные сервисы через Azure AD или Google Workspace.

Преимущества:

• Удобство для пользователя.
• Централизованное управление доступом.
• Упрощённый аудит.

Риски:

• Компрометация единой точки входа даёт доступ ко всем системам.

---

Вопрос

Что такое RBAC?

Ответ

RBAC (Role-Based Access Control) — это модель управления доступом, основанная на ролях. Права назначаются не пользователям напрямую, а ролям (например, «администратор», «редактор», «чтение»), а пользователи назначаются на роли.

Преимущества RBAC:

• Простота администрирования.
• Соответствие принципу минимальных привилегий.
• Лёгкость аудита.

---

Вопрос

Что такое ABAC?

Ответ

ABAC (Attribute-Based Access Control) — это гибкая модель управления доступом, основанная на атрибутах:

• Пользователя (должность, отдел),
• Ресурса (тип документа, уровень секретности),
• Контекста (время суток, IP-адрес),
• Действия (чтение, запись).

ABAC позволяет создавать сложные, динамические политики, но требует больше ресурсов на реализацию и управление.

---

Вопрос

Почему хранение паролей в открытом виде недопустимо?

Ответ

Хранение паролей в открытом виде создаёт критическую уязвимость: при утечке базы данных злоумышленник получает полный доступ к аккаунтам пользователей. Кроме того, многие пользователи используют один и тот же пароль на разных сайтах, что увеличивает масштаб ущерба.

Правильный подход — хранить только хеш пароля с уникальной солью и использовать медленные алгоритмы (bcrypt, scrypt, Argon2).

---

Вопрос

Какие алгоритмы рекомендуются для хеширования паролей?

Ответ

Рекомендуемые алгоритмы:

• bcrypt — адаптивный, с встроенной солью.
• scrypt — требует значительных ресурсов памяти, защищает от ASIC-атак.
• Argon2 — победитель конкурса Password Hashing Competition (2015), считается самым современным.

Не следует использовать быстрые хеш-функции (MD5, SHA-1, SHA-256) без специальных конструкций (например, PBKDF2 с большим числом итераций).

---

Вопрос

Что такое session fixation?

Ответ

Session fixation — это атака, при которой злоумышленник заставляет жертву использовать известный ему идентификатор сессии. После аутентификации жертвы атакующий получает доступ к её сессии.

Защита:

• Генерировать новый session ID после успешного входа.
• Использовать флаг HttpOnly и Secure для cookie.
• Ограничивать время жизни сессии.

---

Вопрос

Что такое password spraying?

Ответ

Password spraying — это атака, при которой злоумышленник перебирает небольшое количество часто используемых паролей (например, «Password123», «qwerty») для множества учётных записей, чтобы избежать блокировки по количеству попыток.

Защита:

• Блокировка по IP или устройству.
• Обнаружение аномальной активности.
• Запрет популярных паролей (через denylist).
• Обязательное использование MFA.

---

Вопрос

Что такое account enumeration?

Ответ

Account enumeration — это уязвимость, позволяющая злоумышленнику определить, существует ли конкретный пользователь в системе, по различию в сообщениях об ошибках (например, «Неверный пароль» vs «Пользователь не найден»).

Защита:

• Использовать единое сообщение: «Неверный логин или пароль».
• Одинаковое время ответа для всех случаев.
• Ограничение частоты запросов.

---

Вопрос

Что такое принцип наименьших привилегий (PoLP)?

Ответ

Принцип наименьших привилегий (Principle of Least Privilege, PoLP) гласит, что пользователь или система должны иметь только те права, которые необходимы для выполнения их задач, и никаких дополнительных. Это минимизирует потенциальный ущерб при компрометации учётной записи.

PoLP применяется как к людям, так и к сервисным аккаунтам, процессам и API.

---

Вопрос

Что такое JIT-доступ (Just-In-Time Access)?

Ответ

JIT-доступ — это подход, при котором повышенные привилегии предоставляются пользователю только на время выполнения задачи и автоматически отзываются после её завершения. Это снижает риск длительного существования учётных записей с высокими правами.

JIT часто используется в сочетании с PAM (Privileged Access Management) и Zero Trust.

---

Вопрос

Что такое PAM?

Ответ

PAM (Privileged Access Management) — это набор технологий и процессов для управления, мониторинга и защиты учётных записей с повышенными привилегиями (администраторы, root, service accounts). PAM-системы обеспечивают:

• Временный доступ (JIT).
• Сессию под контролем (запись экрана).
• Многофакторную аутентификацию.
• Аудит всех действий.

Примеры: CyberArk, BeyondTrust, Azure PIM.

---

Вопрос

Что такое федеративная идентификация?

Ответ

Федеративная идентификация — это механизм, позволяющий нескольким организациям доверять одной и той же системе аутентификации (Identity Provider, IdP). Пользователь аутентифицируется в IdP (например, Azure AD), а другие сервисы (Service Providers) принимают этот факт без повторной проверки.

Основана на стандартах: SAML, OAuth 2.0, OpenID Connect.

---

Вопрос

Что такое SAML?

Ответ

SAML (Security Assertion Markup Language) — это XML-стандарт для обмена данными аутентификации и авторизации между Identity Provider (IdP) и Service Provider (SP). Широко используется в корпоративных SSO-решениях.

Процесс:

1. Пользователь запрашивает доступ к SP.
2. SP перенаправляет на IdP.
3. IdP аутентифицирует пользователя и отправляет SAML-ассершен (утверждение) обратно в SP.
4. SP предоставляет доступ.

---

Криптографические протоколы и стандарты

Вопрос

Что такое TLS и чем он отличается от SSL?

Ответ

TLS (Transport Layer Security) — это криптографический протокол, обеспечивающий защищённую передачу данных между клиентом и сервером. Он является преемником SSL (Secure Sockets Layer). SSL устарел из-за множества уязвимостей (например, POODLE), и все современные системы используют TLS 1.2 или TLS 1.3.

Основные функции TLS:

• Шифрование трафика.
• Аутентификация сервера (и опционально клиента).
• Обеспечение целостности данных.

---

Вопрос

Какие версии TLS считаются безопасными?

Ответ

Безопасными считаются:

• TLS 1.2 — широко поддерживается, требует правильной конфигурации (отключение слабых шифров).
• TLS 1.3 — самая современная версия (RFC 8446), предлагает улучшенную производительность и безопасность: убраны небезопасные алгоритмы, ускорен handshake.

Небезопасны и должны быть отключены: SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1.

---

Вопрос

Что такое cipher suite в TLS?

Ответ

Cipher suite — это набор криптографических алгоритмов, используемых в TLS-соединении. Он определяет:

• Алгоритм обмена ключами (например, ECDHE).
• Алгоритм аутентификации (например, RSA).
• Алгоритм симметричного шифрования (например, AES_256_GCM).
• Алгоритм хеширования (например, SHA384).

Пример: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.

Рекомендуется использовать только сильные cipher suites с PFS и AEAD (например, AES-GCM, ChaCha20-Poly1305).

---

Вопрос

Что такое Perfect Forward Secrecy (PFS) и почему он важен в TLS?

Ответ

Perfect Forward Secrecy (PFS) — это свойство, при котором компрометация долгосрочного закрытого ключа не позволяет расшифровать ранее записанный трафик. Это достигается использованием эфемерных (временных) ключей для каждой сессии, например, через ECDHE.

Без PFS злоумышленник, получивший закрытый ключ сервера, может расшифровать весь исторический трафик, перехваченный ранее.

---

Вопрос

Что такое сертификат X.509?

Ответ

X.509 — это стандарт ITU-T для цифровых сертификатов открытого ключа. Сертификат X.509 содержит:

• Версию.
• Серийный номер.
• Алгоритм подписи.
• Имя издателя (CA).
• Период действия.
• Имя субъекта.
• Открытый ключ субъекта.
• Расширения (например, SAN — Subject Alternative Name).
• Цифровую подпись CA.

Используется в TLS, S/MIME, кодовой подписи и других системах.

---

Вопрос

Что такое Subject Alternative Name (SAN)?

Ответ

Subject Alternative Name (SAN) — это расширение в сертификате X.509, позволяющее указать несколько имён (доменов), для которых действителен сертификат. Без SAN сертификат привязан только к полю Common Name (CN), что недостаточно для современных веб-сайтов.

Пример: сертификат с SAN может покрывать example.com, www.example.com, api.example.com.

---

Вопрос

Что такое OCSP и зачем он нужен?

Ответ

OCSP (Online Certificate Status Protocol) — это протокол для проверки статуса отзыва сертификата в реальном времени. Вместо загрузки всего списка отозванных сертификатов (CRL), клиент отправляет запрос OCSP-серверу и получает ответ: «good», «revoked» или «unknown».

Проблема: OCSP создаёт задержку и зависимость от третьей стороны. Решение — OCSP stapling, когда сервер сам предоставляет подписанный OCSP-ответ в рамках TLS handshake.

---

Вопрос

Что такое HSM?

Ответ

HSM (Hardware Security Module) — это специализированное аппаратное устройство для генерации, хранения и управления криптографическими ключами. HSM обеспечивает:

• Физическую защиту ключей (ключи никогда не покидают устройство).
• Высокую производительность криптографических операций.
• Соответствие стандартам (FIPS 140-2/3, Common Criteria).

Используется в банковских системах, PKI, облачных провайдерах (AWS CloudHSM, Azure Dedicated HSM).

---

Вопрос

Что такое FIPS 140-2?

Ответ

FIPS 140-2 (Federal Information Processing Standard Publication 140-2) — это стандарт США для оценки уровня безопасности криптографических модулей (включая HSM и программные библиотеки). Он определяет четыре уровня безопасности (от 1 до 4), учитывающие физическую защиту, аутентификацию, управление ключами и другие аспекты.

Многие государственные и финансовые организации требуют FIPS-сертифицированные решения.

---

Вопрос

Что такое криптографическая случайность и почему она важна?

Ответ

Криптографическая случайность — это высококачественный источник энтропии, используемый для генерации ключей, IV, солей и других секретных значений. Слабая случайность (например, Math.random() в JavaScript) делает систему уязвимой к предсказанию.

Для генерации следует использовать криптографически стойкие генераторы:

• В Linux: /dev/random, /dev/urandom.
• В Python: os.urandom(), secrets module.
• В Java: SecureRandom.
• В C#: RNGCryptoServiceProvider или RandomNumberGenerator.

---

Вопрос

Что такое AEAD?

Ответ

AEAD (Authenticated Encryption with Associated Data) — это режим шифрования, обеспечивающий одновременно конфиденциальность и целостность. AEAD-алгоритмы (например, AES-GCM, ChaCha20-Poly1305) шифруют данные и вычисляют аутентификационный тег за один проход.

Преимущество: исключает необходимость отдельного HMAC и снижает риск ошибок реализации.

---

Вопрос

Почему важно отключать слабые шифры в TLS?

Ответ

Слабые шифры (например, RC4, DES, EXPORT-grade) уязвимы к криптоанализу и могут быть взломаны с помощью современного оборудования. Даже если они не используются по умолчанию, их наличие в списке поддерживаемых создаёт риск downgrade-атак (например, FREAK, LOGJAM).

Рекомендуется разрешать только современные AEAD-шифры с PFS.

---

Вопрос

Что такое certificate pinning?

Ответ

Certificate pinning — это техника, при которой клиентское приложение жёстко привязывает ожидаемый сертификат или открытый ключ к конкретному серверу. Это предотвращает MITM-атаки даже в случае компрометации доверенного CA.

Недостатки:

• Сложность обновления сертификатов.
• Риск отказа сервиса при смене ключа.

В современных системах pinning часто заменяют на более гибкие механизмы (например, Certificate Transparency).

---

Вопрос

Что такое Certificate Transparency?

Ответ

Certificate Transparency (CT) — это открытая система мониторинга и аудита выданных TLS-сертификатов. CA обязаны публиковать все выданные сертификаты в публичных журналах, которые могут проверять браузеры и владельцы доменов.

Цель CT — предотвратить выдачу поддельных или несанкционированных сертификатов без обнаружения.

Современные браузеры (Chrome, Safari) требуют, чтобы сертификаты для публичных сайтов были зарегистрированы в CT-журналах.

---

Вопрос

Что такое постквантовая криптография?

Ответ

Постквантовая криптография — это класс криптографических алгоритмов, устойчивых к атакам с использованием квантовых компьютеров. Традиционные алгоритмы (RSA, ECC) уязвимы к алгоритму Шора.

NIST ведёт стандартизацию постквантовых алгоритмов:

• Ключевой обмен: CRYSTALS-Kyber.
• Цифровые подписи: CRYSTALS-Dilithium, Falcon, SPHINCS+.

Переход к постквантовой криптографии начнётся в ближайшие годы в критически важных системах.

---

Вопрос

Что такое hybrid key exchange в TLS?

Ответ

Hybrid key exchange — это подход, при котором в одном TLS handshake используется одновременно классический (например, ECDHE) и постквантовый (например, Kyber) алгоритмы обмена ключами. Это обеспечивает безопасность как против классических, так и против будущих квантовых атак.

Такой подход уже тестируется в экспериментальных версиях OpenSSL и браузеров.

---

Безопасность операционных систем и хостов

Вопрос

Что такое безопасная конфигурация операционной системы?

Ответ

Безопасная конфигурация ОС — это процесс настройки системы в соответствии с принципами минимальной функциональности и наименьших привилегий. Она включает:

• Отключение ненужных служб и демонов.
• Удаление неиспользуемых программ и учётных записей.
• Настройку брандмауэра.
• Применение политик паролей и блокировки.
• Регулярное обновление ядра и пакетов.

Цель — уменьшить поверхность атаки и предотвратить несанкционированный доступ.

---

Вопрос

Что такое принцип минимальной функциональности?

Ответ

Принцип минимальной функциональности гласит, что система должна выполнять только те функции, которые необходимы для её назначения. Все остальные компоненты (службы, порты, протоколы) должны быть отключены или удалены. Это снижает количество потенциальных уязвимостей.

---

Вопрос

Какие меры защиты применяются на уровне хоста?

Ответ

Основные меры защиты хоста:

• Хостовый брандмауэр (например, iptables, Windows Firewall).
• HIDS/HIPS (Host-based Intrusion Detection/Prevention System) — например, OSSEC, CrowdStrike.
• Контроль целостности файлов (например, AIDE, Tripwire).
• Антивирусное ПО и EDR (Endpoint Detection and Response).
• Шифрование диска (BitLocker, LUKS).
• Управление патчами и обновлениями.

---

Вопрос

Что такое контроль целостности файловой системы?

Ответ

Контроль целостности — это механизм, который отслеживает несанкционированные изменения критических файлов и каталогов (например, /etc/passwd, двоичные файлы, конфигурации). Система вычисляет хеши файлов при известном «чистом» состоянии и периодически сравнивает их с текущими значениями.

Инструменты: AIDE (Advanced Intrusion Detection Environment), Tripwire, Samhain.

---

Вопрос

Что такое руткит и как его обнаружить?

Ответ

Руткит — это вредоносное ПО, предназначенное для скрытного получения и сохранения прав администратора (root) в системе. Руткиты маскируют процессы, файлы, сетевые соединения и даже модули ядра.

Методы обнаружения:

• Анализ системы из внешней доверенной среды (live CD/USB).
• Сравнение вывода системных вызовов с данными напрямую с диска.
• Использование специализированных утилит (rkhunter, chkrootkit).
• Мониторинг аномального поведения (неожиданный трафик, высокая загрузка CPU).

---

Вопрос

Что такое SELinux и зачем он нужен?

Ответ

SELinux (Security-Enhanced Linux) — это модуль принудительного контроля доступа (MAC), встроенный в ядро Linux. Он ограничивает действия процессов и пользователей на основе политик, даже если они имеют права root.

SELinux работает по принципу «запрещено всё, что не разрешено». Это предотвращает распространение компрометации (например, эксплуатацию уязвимости в веб-сервере для получения доступа к другим частям системы).

Режимы работы: enforcing, permissive, disabled.

---

Вопрос

Что такое AppArmor?

Ответ

AppArmor — это альтернатива SELinux для Linux, реализующая профильную модель MAC. Каждому приложению назначается профиль, определяющий, к каким файлам, сетевым портам и другим ресурсам оно может обращаться.

Преимущества AppArmor:

• Простота написания и понимания профилей.
• Интеграция с systemd и популярными дистрибутивами (Ubuntu, SUSE).

---

Вопрос

Как обеспечить безопасность учётных записей в ОС?

Ответ

Рекомендации по безопасности учётных записей:

• Отключить или удалить учётные записи по умолчанию (guest, admin).
• Запретить вход под root (в Linux) или использовать только через sudo.
• Установить сложные пароли и политики их смены.
• Блокировать учётную запись после нескольких неудачных попыток входа.
• Использовать MFA для административных аккаунтов.
• Регулярно проводить аудит активных учётных записей.

---

Вопрос

Что такое UAC в Windows?

Ответ

UAC (User Account Control) — это механизм безопасности в Windows, предназначенный для предотвращения несанкционированных изменений в системе. Даже администраторы работают с ограниченными правами по умолчанию. При выполнении привилегированной операции появляется запрос на подтверждение.

UAC снижает риск автоматического выполнения вредоносного ПО с правами администратора.

---

Вопрос

Что такое шифрование полного диска (FDE)?

Ответ

FDE (Full Disk Encryption) — это технология, шифрующая весь содержимый диск, включая ОС, временные файлы и подкачку. Данные расшифровываются только после успешной аутентификации при загрузке.

Примеры:

• Windows: BitLocker.
• Linux: LUKS (Linux Unified Key Setup).
• macOS: FileVault.

FDE защищает данные при краже или потере устройства.

---

Вопрос

Почему важно своевременно устанавливать обновления ОС?

Ответ

Обновления ОС часто содержат исправления критических уязвимостей, которые могут быть использованы для удалённого выполнения кода, повышения привилегий или отказа в обслуживании. Задержка с установкой патчей оставляет систему уязвимой для известных эксплойтов.

Лучшие практики:

• Автоматическое применение критических обновлений.
• Тестирование патчей в изолированной среде перед развёртыванием.
• Ведение инвентаря всех систем и их версий.

---

Вопрос

Что такое EDR?

Ответ

EDR (Endpoint Detection and Response) — это класс решений безопасности, обеспечивающих непрерывный мониторинг, обнаружение, расследование и реагирование на угрозы на конечных устройствах (ПК, серверы, мобильные устройства).

Функции EDR:

• Сбор событий (процессы, сетевые подключения, файловые операции).
• Поведенческий анализ и машинное обучение.
• Изоляция заражённого хоста.
• Возможность «отката» действий вредоносного ПО.

Примеры: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne.

---

Вопрос

Что такое secure boot?

Ответ

Secure Boot — это функция UEFI, которая гарантирует, что при загрузке выполняется только подписанное доверенное программное обеспечение (загрузчик, ядро). Это предотвращает загрузку руткитов и вредоносных загрузчиков.

Secure Boot использует цепочку доверия: каждый компонент проверяет подпись следующего перед передачей управления.

---

Вопрос

Как защитить сервер от брутфорс-атак по SSH?

Ответ

Меры защиты SSH:

• Отключить вход по паролю, использовать только ключи.
• Запретить вход под root.
• Сменить стандартный порт 22.
• Ограничить IP-адреса через брандмауэр.
• Использовать fail2ban или denyhosts для автоматической блокировки.
• Включить двухфакторную аутентификацию (например, через Google Authenticator PAM).

---

Вопрос

Что такое журнал аудита (audit log) и зачем он нужен?

Ответ

Журнал аудита — это запись событий, связанных с безопасностью: входы в систему, изменения конфигураций, доступ к файлам, запуск привилегированных команд. Аудит позволяет:

• Обнаруживать подозрительную активность.
• Расследовать инциденты.
• Подтверждать соответствие требованиям (PCI DSS, ISO 27001).

В Linux для этого используется auditd, в Windows — Event Viewer с политиками аудита.

---

Безопасность облачных сред

Вопрос

Что такое модель совместной ответственности в облаке?

Ответ

Модель совместной ответственности определяет, какие аспекты безопасности находятся в зоне ответственности облачного провайдера, а какие — клиента. Она зависит от типа сервиса:

• IaaS (Infrastructure as a Service): провайдер отвечает за физическую инфраструктуру, сеть, гипервизор; клиент — за ОС, данные, приложения, настройки безопасности.
• PaaS (Platform as a Service): провайдер также управляет ОС и middleware; клиент отвечает за приложение и данные.
• SaaS (Software as a Service): провайдер управляет всем; клиент отвечает только за данные и управление доступом.

Непонимание этой модели часто приводит к утечкам данных из-за неправильной конфигурации.

---

Вопрос

Что такое cloud misconfiguration и почему это главная причина утечек?

Ответ

Cloud misconfiguration — это неправильная настройка облачных ресурсов, делающая их доступными для неавторизованных лиц. Типичные примеры:

• Публичные S3-бакеты без авторизации.
• Незащищённые базы данных (Elasticsearch, MongoDB).
• Открытые порты в security groups.
• Отключённое шифрование дисков.

Поскольку облачные интерфейсы гибкие и самообслуживаемые, легко случайно раскрыть данные. Автоматизированный аудит конфигураций — ключ к предотвращению таких ошибок.

---

Вопрос

Что такое IAM в контексте облака?

Ответ

IAM (Identity and Access Management) — это система управления идентификацией и доступом в облачной среде. IAM позволяет:

• Создавать пользователей, группы и роли.
• Назначать права через политики.
• Использовать временные учётные данные (через STS).
• Интегрироваться с корпоративными IdP (SAML, OIDC).

Примеры: AWS IAM, Azure AD, Google Cloud IAM.

---

Вопрос

Что такое принцип наименьших привилегий в облаке?

Ответ

Принцип наименьших привилегий в облаке означает, что каждая учётная запись (пользователь, сервис, роль) должна иметь только те разрешения, которые необходимы для выполнения её задач. Это снижает риск компрометации и ограничивает последствия утечки учётных данных.

Рекомендации:

• Использовать роли вместо долгоживущих ключей.
• Регулярно пересматривать политики доступа.
• Применять условия (conditions) в политиках (например, по IP или времени).

---

Вопрос

Как защитить данные в облаке?

Ответ

Защита данных в облаке включает:

• Шифрование при передаче (TLS).
• Шифрование при хранении (AES-256, управляемое провайдером или клиентом).
• Управление ключами через KMS (Key Management Service).
• Классификацию данных и применение политик DLP (Data Loss Prevention).
• Резервное копирование и восстановление.
• Ограничение доступа через IAM и network ACL.

Важно: даже если провайдер шифрует данные по умолчанию, клиент должен контролировать ключи и политики доступа к ним.

---

Вопрос

Что такое KMS?

Ответ

KMS (Key Management Service) — это облачный сервис для создания, хранения, управления и аудита криптографических ключей. KMS интегрируется с другими сервисами (S3, EBS, RDS), обеспечивая прозрачное шифрование.

Типы ключей:

• AWS KMS: Customer Managed Keys (CMK), AWS Managed Keys.
• Azure Key Vault: keys, secrets, certificates.
• Google Cloud KMS: software/HSM-backed keys.

Лучшая практика — использовать CMK с явным контролем политик доступа.

---

Вопрос

Что такое workload identity federation?

Ответ

Workload identity federation — это механизм безопасного предоставления доступа к облачным ресурсам внешним системам (например, GitHub Actions, CI/CD, локальным серверам) без использования статичных учётных данных. Вместо этого система получает временный токен, подтверждая свою личность через доверенный IdP.

Примеры:

• AWS: IAM Roles Anywhere, OpenID Connect для GitHub Actions.
• Azure: Workload Identity Federation с OIDC.
• GCP: Workload Identity Federation с Google Cloud.

Это устраняет риск утечки долгоживущих секретов.

---

Вопрос

Что такое security groups и network ACL в AWS?

Ответ

• Security Groups — это stateful брандмауэры на уровне экземпляра (EC2). Они работают как allowlist: всё, что не разрешено, запрещено. Применяются к входящему и исходящему трафику.
• Network ACL — это stateless брандмауэры на уровне подсети. Поддерживают как allow, так и deny правила. Применяются ко всему трафику в подсети.

Рекомендуется использовать security groups как основной механизм, а NACL — для дополнительной защиты на уровне сети.

---

Вопрос

Что такое VPC и как он повышает безопасность?

Ответ

VPC (Virtual Private Cloud) — это изолированная виртуальная сеть в облаке, полностью контролируемая клиентом. VPC позволяет:

• Разделять ресурсы на публичные и приватные подсети.
• Управлять маршрутизацией и шлюзами.
• Применять security groups и NACL.
• Использовать NAT-шлюзы для исходящего трафика из приватных подсетей.

Это реализует принцип сетевой сегментации и минимизирует поверхность атаки.

---

Вопрос

Что такое cloud security posture management (CSPM)?

Ответ

CSPM — это класс решений, автоматически выявляющих небезопасные конфигурации, несоответствия политикам и риски в облачной инфраструктуре. CSPM сканирует ресурсы в реальном времени и предоставляет рекомендации по исправлению.

Функции:

• Обнаружение открытых хранилищ.
• Проверка политик IAM.
• Аудит шифрования.
• Соответствие стандартам (CIS, NIST, PCI DSS).

Примеры: Wiz, Lacework, Palo Alto Prisma Cloud, AWS Security Hub.

---

Вопрос

Как защитить CI/CD-конвейер в облаке?

Ответ

Меры защиты CI/CD:

• Использовать workload identity federation вместо статичных секретов.
• Сканировать код на уязвимости (SAST) и зависимости (SCA).
• Подписывать образы контейнеров (Cosign, Notary).
• Ограничивать права runner’ов и pipeline’ов.
• Логировать все действия и хранить артефакты в защищённых репозиториях.
• Проводить регулярный аудит pipeline-конфигураций.

Компрометация CI/CD даёт злоумышленнику возможность внедрить backdoor в production.

---

Вопрос

Что такое infrastructure as code (IaC) и как обеспечить его безопасность?

Ответ

IaC — это подход к управлению инфраструктурой через декларативные файлы (Terraform, CloudFormation, ARM). Безопасность IaC включает:

• Сканирование файлов на небезопасные конфигурации до развёртывания (например, с помощью Checkov, tfsec).
• Хранение IaC в приватных репозиториях с контролем доступа.
• Использование версионирования и peer review.
• Запрет жёстко закодированных секретов (использовать переменные или vault’ы).

Уязвимость в IaC приводит к развёртыванию небезопасной инфраструктуры «по определению».

---

Вопрос

Что такое container security в облаке?

Ответ

Container security включает защиту на всех этапах жизненного цикла контейнера:

• Сборка: использование минимальных базовых образов, сканирование зависимостей.
• Хранение: подпись образов, сканирование registry на уязвимости.
• Развёртывание: запуск от непривилегированного пользователя, ограничение capabilities, использование политик (OPA/Gatekeeper).
• Выполнение: мониторинг поведения, изоляция через namespaces и cgroups.

Облачные сервисы: Amazon ECR scanning, Azure Container Registry, Google Artifact Analysis.

---

Вопрос

Что такое zero trust в облачной среде?

Ответ

Zero Trust в облаке означает, что ни одно устройство, пользователь или сервис не считаются доверенными по умолчанию — даже внутри VPC. Каждый запрос проверяется на основе:

• Личности (identity).
• Контекста (устройство, местоположение, время).
• Политик доступа.

Реализуется через:

• Microsegmentation.
• Identity-aware proxy (например, Cloudflare Access, Azure AD Application Proxy).
• Continuous authentication и мониторинг.

---

Вопрос

Как обеспечить соответствие требованиям (compliance) в облаке?

Ответ

Обеспечение соответствия включает:

• Использование встроенных инструментов провайдера (AWS Artifact, Azure Compliance Manager).
• Автоматизированный аудит конфигураций (через CSPM).
• Шифрование данных и управление ключами.
• Централизованный сбор логов (CloudTrail, Azure Monitor, Cloud Logging).
• Регулярные тесты на проникновение и аудиты.

Провайдеры сертифицированы по многим стандартам (ISO 27001, SOC 2, HIPAA), но клиент несёт ответственность за своё использование сервисов.

---

Реагирование на инциденты и цифровая криминалистика

Вопрос

Что такое инцидент информационной безопасности?

Ответ

Инцидент информационной безопасности — это событие, нарушающее конфиденциальность, целостность или доступность информации или информационных систем. Примеры: утечка данных, компрометация учётной записи, DDoS-атака, внедрение вредоносного ПО.

Не каждое событие является инцидентом: только те, которые имеют подтверждённое или потенциальное негативное воздействие.

---

Вопрос

Какие этапы включает процесс реагирования на инциденты?

Ответ

Стандартный процесс реагирования на инциденты (по NIST SP 800-61) включает шесть этапов:

1. Подготовка — разработка плана, обучение команды, настройка инструментов.
2. Обнаружение и анализ — выявление подозрительной активности и определение её характера.
3. Сдерживание — ограничение распространения инцидента (изоляция хоста, блокировка IP).
4. Устранение — удаление угрозы (очистка от вредоносного ПО, закрытие уязвимости).
5. Восстановление — возврат систем в рабочее состояние с проверкой целостности.
6. Постинцидентный анализ — документирование, извлечение уроков, обновление политик.

---

Вопрос

Что такое план реагирования на инциденты (IRP)?

Ответ

План реагирования на инциденты (Incident Response Plan, IRP) — это документ, описывающий роли, обязанности, процедуры и коммуникации при возникновении инцидента. Он включает:

• Критерии классификации инцидентов.
• Контакты ответственных лиц.
• Процедуры эскалации.
• Шаблоны отчётов.
• Список инструментов и ресурсов.

IRP должен регулярно тестироваться через tabletop exercises и учения.

---

Вопрос

Что такое CSIRT?

Ответ

CSIRT (Computer Security Incident Response Team) — это команда специалистов, ответственная за обнаружение, анализ, сдерживание и устранение инцидентов информационной безопасности. CSIRT может быть внутренней (корпоративной) или внешней (например, национальный CERT).

Функции CSIRT:

• Мониторинг и обнаружение.
• Анализ угроз.
• Координация реагирования.
• Взаимодействие с внешними организациями.

---

Вопрос

Как обнаружить инцидент безопасности?

Ответ

Методы обнаружения инцидентов:

• SIEM-системы (Security Information and Event Management) — корреляция логов.
• EDR/XDR — поведенческий анализ на конечных точках.
• IDS/IPS — обнаружение сетевых аномалий.
• Аномалии в метриках — неожиданный трафик, высокая загрузка CPU.
• Жалобы пользователей — фишинг, заблокированные файлы.
• Внешние уведомления — от CERT, провайдеров, исследователей.

Ключевой принцип: «assume breach» — действовать так, будто компрометация уже произошла.

---

Вопрос

Что такое цепочка хранения доказательств (chain of custody)?

Ответ

Цепочка хранения доказательств — это документированный процесс сбора, передачи, хранения и анализа цифровых доказательств, обеспечивающий их целостность и допустимость в суде. Каждое лицо, имевшее доступ к доказательству, должно быть записано вместе с датой, временем и целью взаимодействия.

Нарушение цепочки делает доказательства недопустимыми в юридических разбирательствах.

---

Вопрос

Какие типы данных собираются при цифровой криминалистике?

Ответ

Основные источники цифровых доказательств:

• Журналы ОС и приложений (auth.log, Windows Event Logs).
• Сетевой трафик (PCAP-файлы).
• Файловая система (удалённые файлы, временные данные).
• Память ОЗУ (процессы, ключи, сетевые соединения).
• Реестр Windows (автозагрузка, последние действия).
• Браузерные артефакты (история, cookie, кэш).

Сбор должен проводиться без изменения исходных данных (только чтение).

---

Вопрос

Что такое live forensics?

Ответ

Live forensics — это сбор доказательств с работающей системы, когда невозможно её выключить (например, сервер в production). Особое внимание уделяется volatile data: содержимому RAM, сетевым соединениям, запущенным процессам.

Инструменты: Volatility (анализ памяти), LiME (дамп памяти), netstat, lsof.

Риск: изменение состояния системы во время сбора. Поэтому действия должны быть минимальными и задокументированными.

---

Вопрос

Что такое dead forensics?

Ответ

Dead forensics — это анализ системы после её выключения. Образ диска создаётся с помощью write blocker’а, чтобы избежать модификации данных. Этот подход безопаснее с точки зрения сохранения доказательств, но приводит к потере volatile data (память, сетевые соединения).

Используется, когда система не критична для непрерывной работы.

---

Вопрос

Как создать образ диска для криминалистического анализа?

Ответ

Процесс создания образа:

1. Подключить диск через hardware write blocker.
2. Использовать утилиты с поддержкой хеширования: dd, FTK Imager, Guymager.
3. Вычислить хеш (SHA-256) исходного диска и образа для подтверждения целостности.
4. Хранить образ в защищённом месте с контролем доступа.

Пример команды:

dd if=/dev/sdb of=/evidence/disk.img bs=4M conv=noerror,sync
sha256sum /evidence/disk.img

---

Вопрос

Что такое YARA и как она используется в расследованиях?

Ответ

YARA — это инструмент для идентификации и классификации вредоносных файлов на основе правил, описывающих шаблоны (строки, байт-код, хеши). Правила YARA позволяют быстро находить известные угрозы в больших наборах данных.

Пример правила:

rule Suspicious_DLL {
    strings:
        $s1 = "CreateRemoteThread" wide ascii
        $s2 = "VirtualAllocEx" wide ascii
    condition:
        all of them
}

YARA интегрируется с EDR, песочницами и SIEM.

---

Вопрос

Что такое IOC и IOA?

Ответ

• IOC (Indicator of Compromise) — признак того, что система уже скомпрометирована (например, хеш вредоносного файла, IP C2-сервера).
• IOA (Indicator of Attack) — признак активной атаки на основе поведения (например, попытка выполнения PowerShell с кодированием Base64).

IOC полезны для поиска следов, IOA — для предотвращения инцидентов в реальном времени.

---

Вопрос

Как провести постинцидентный анализ (post-mortem)?

Ответ

Постинцидентный анализ включает:

• Хронологию событий (timeline).
• Корневую причину (root cause).
• Эффективность реагирования.
• Ущерб (финансовый, репутационный).
• Рекомендации по предотвращению повторения.

Результат оформляется в отчёт без обвинений (blameless post-mortem), чтобы стимулировать честность и обучение.

---

Вопрос

Что такое playbooks в контексте реагирования на инциденты?

Ответ

Playbooks — это стандартизированные инструкции для типовых сценариев инцидентов (например, «ransomware», «phishing», «compromised account»). Они содержат:

• Шаги диагностики.
• Команды для сдерживания.
• Контакты для эскалации.
• Шаблоны коммуникаций.

Playbooks автоматизируются в SOAR-платформах (Security Orchestration, Automation and Response).

---

Вопрос

Что такое SOAR?

Ответ

SOAR (Security Orchestration, Automation and Response) — это платформа, объединяющая SIEM, threat intelligence и инструменты реагирования для автоматизации рутинных задач. SOAR позволяет:

• Автоматически блокировать IP при обнаружении атаки.
• Создавать тикеты в системе управления инцидентами.
• Запускать playbooks.
• Генерировать отчёты.

Примеры: Palo Alto XSOAR, Splunk Phantom, Microsoft Sentinel.

---

Соответствие требованиям и стандартам информационной безопасности

Вопрос

Что такое соответствие требованиям (compliance) в информационной безопасности?

Ответ

Соответствие требованиям — это процесс обеспечения того, что организация соблюдает законы, нормативные акты, стандарты и внутренние политики в области защиты информации. Compliance снижает юридические, финансовые и репутационные риски, а также повышает доверие клиентов и партнёров.

---

Вопрос

Какие основные стандарты информационной безопасности существуют?

Ответ

Наиболее распространённые стандарты:

• ISO/IEC 27001 — международный стандарт по управлению информационной безопасностью.
• NIST Cybersecurity Framework (CSF) — рамочная модель от Национального института стандартов и технологий США.
• PCI DSS — стандарт безопасности данных платёжных карт.
• GDPR — Общий регламент по защите данных ЕС.
• HIPAA — закон США о защите медицинской информации.
• SOC 2 — аудиторский отчёт для сервисных организаций (особенно в облаке).

---

Вопрос

Что такое ISO/IEC 27001?

Ответ

ISO/IEC 2001 — это международный стандарт, определяющий требования к системе управления информационной безопасностью (ISMS). Он основан на принципах:

• Оценки рисков.
• Выбора контрмер.
• Непрерывного улучшения (цикл PDCA: Plan–Do–Check–Act).

Сертификация по ISO 27001 подтверждает, что организация систематически управляет информационными рисками.

---

Вопрос

Что такое NIST Cybersecurity Framework?

Ответ

NIST CSF — это добровольная рамочная модель, разработанная для улучшения кибербезопасности критической инфраструктуры. Она состоит из пяти функций:

1. Identify — понимание активов, рисков и бизнес-контекста.
2. Protect — внедрение защитных мер.
3. Detect — обнаружение аномалий и инцидентов.
4. Respond — реагирование на инциденты.
5. Recover — восстановление после инцидентов.

Каждая функция содержит категории и подкатегории с конкретными рекомендациями.

---

Вопрос

Что такое PCI DSS и кому он обязателен?

Ответ

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности, применяемый ко всем организациям, обрабатывающим, хранящим или передающим данные платёжных карт (номера PAN, CVV и др.).

Требования включают:

• Защиту сетей (брандмауэры, шифрование).
• Хранение данных только при необходимости.
• Регулярное тестирование уязвимостей.
• Поддержание политики информационной безопасности.

Соблюдение проверяется через SAQ (Self-Assessment Questionnaire) или внешний аудит (ROC + AOC).

---

Вопрос

Что такое GDPR?

Ответ

GDPR (General Data Protection Regulation) — это регламент Европейского союза, регулирующий обработку персональных данных граждан ЕС и резидентов. Он применяется ко всем компаниям, предлагающим товары или услуги лицам в ЕС, независимо от местоположения компании.

Ключевые принципы:

• Законность, справедливость и прозрачность.
• Ограничение цели обработки.
• Минимизация данных.
• Точность и актуальность.
• Ограничение срока хранения.
• Целостность и конфиденциальность.

Нарушение может повлечь штраф до 4% глобального оборота или 20 млн евро.

---

Вопрос

Что такое SOC 2?

Ответ

SOC 2 (Service Organization Control 2) — это аудиторский отчёт, основанный на принципах доверия AICPA (American Institute of CPAs). Он предназначен для сервисных организаций, хранящих клиентские данные в облаке (SaaS, IaaS, PaaS).

Пять принципов доверия:

1. Security — защита от несанкционированного доступа.
2. Availability — доступность системы по договору.
3. Processing Integrity — точность и полнота обработки.
4. Confidentiality — защита конфиденциальной информации.
5. Privacy — соблюдение прав субъектов данных.

Отчёт бывает Type I (на момент времени) и Type II (за период, обычно 6–12 месяцев).

---

Вопрос

Что такое HIPAA?

Ответ

HIPAA (Health Insurance Portability and Accountability Act) — это закон США, регулирующий защиту медицинской информации (Protected Health Information, PHI). Он обязателен для:

• Провайдеров здравоохранения.
• Страховых компаний.
• Бизнес-ассоциированных лиц (например, облачных провайдеров, обрабатывающих PHI).

Основные правила:

• Privacy Rule — ограничения на использование и раскрытие PHI.
• Security Rule — технические и административные меры защиты электронных PHI.
• Breach Notification Rule — уведомление о утечках.

---

Вопрос

Что такое ISMS?

Ответ

ISMS (Information Security Management System) — это систематический подход к управлению конфиденциальной информацией организации, обеспечивающий её целостность, конфиденциальность и доступность. ISMS включает:

• Политики и процедуры.
• Оценку и лечение рисков.
• Обучение персонала.
• Мониторинг и аудит.
• Непрерывное улучшение.

ISO/IEC 27001 — наиболее признанный стандарт для внедрения ISMS.

---

Вопрос

Как проводится аудит соответствия?

Ответ

Аудит соответствия включает:

1. Планирование — определение области, стандартов и критериев.
2. Сбор доказательств — интервью, анализ документов, проверка конфигураций.
3. Оценка — сравнение текущего состояния с требованиями.
4. Отчёт — выявление несоответствий (minor/major nonconformities).
5. Рекомендации — план устранения недостатков.
6. Подтверждение — повторная проверка (при необходимости).

Аудит может быть внутренним (командой организации) или внешним (сертифицирующим органом).

---

Вопрос

Что такое DPIA?

Ответ

DPIA (Data Protection Impact Assessment) — это процесс оценки воздействия на защиту персональных данных, обязательный при обработке, которая может повлечь высокий риск для прав и свобод субъектов (например, профилирование, обработка генетических данных).

DPIA включает:

• Описание планируемой обработки.
• Оценку необходимости и пропорциональности.
• Идентификацию рисков.
• Меры по снижению рисков.

В соответствии с GDPR DPIA требуется до начала обработки.

---

Вопрос

Что такое карта рисков (risk register)?

Ответ

Карта рисков — это документ, содержащий:

• Идентифицированные угрозы и уязвимости.
• Активы, подверженные риску.
• Вероятность и влияние инцидента.
• Уровень риска (например, высокий/средний/низкий).
• Выбранные меры реагирования (избежание, передача, снижение, принятие).
• Ответственные лица и сроки.

Карта рисков является ключевым элементом ISMS и регулярно обновляется.

---

Вопрос

Как обеспечить соответствие в облачной среде?

Ответ

Обеспечение compliance в облаке требует:

• Чёткого понимания модели совместной ответственности.
• Выбора провайдера с сертификатами (ISO 27001, SOC 2, HIPAA BAA).
• Шифрования данных (в покое и при передаче).
• Контроля доступа через IAM и MFA.
• Аудита конфигураций (CSPM).
• Логирования всех действий и хранения логов в соответствии с требованиями (например, 6 месяцев для PCI DSS).

---

Вопрос

Что такое GRC?

Ответ

GRC (Governance, Risk, and Compliance) — это интегрированный подход к управлению:

• Governance — корпоративное управление и стратегическое соответствие.
• Risk — идентификация, оценка и управление рисками.
• Compliance — соблюдение законов, стандартов и политик.

GRC-платформы (например, RSA Archer, MetricStream) автоматизируют процессы, связанные с политиками, рисками, контролями и аудитами.

---

Безопасность мобильных устройств и IoT

Вопрос

Что такое BYOD и какие риски он несёт?

Ответ

BYOD (Bring Your Own Device) — это политика, позволяющая сотрудникам использовать личные мобильные устройства (смартфоны, планшеты) для доступа к корпоративным ресурсам.

Риски BYOD:

• Утечка корпоративных данных через незащищённые приложения.
• Отсутствие контроля над обновлениями ОС и ПО.
• Смешение личных и рабочих данных.
• Потеря или кража устройства с доступом к внутренним системам.

Для снижения рисков применяются MDM, контейнеризация и строгие политики доступа.

---

Вопрос

Что такое MDM?

Ответ

MDM (Mobile Device Management) — это технология централизованного управления мобильными устройствами в организации. MDM позволяет:

• Регистрировать и инвентаризировать устройства.
• Принудительно устанавливать пароли и шифрование.
• Удалённо блокировать или стирать данные (remote wipe).
• Ограничивать установку неразрешённых приложений.
• Разделять корпоративные и личные данные (через профили или контейнеры).

Примеры: Microsoft Intune, VMware Workspace ONE, Jamf (для Apple).

---

Вопрос

Что такое EMM и чем он отличается от MDM?

Ответ

EMM (Enterprise Mobility Management) — это расширенная платформа, включающая MDM и дополнительные компоненты:

• MAM (Mobile Application Management) — управление корпоративными приложениями (настройка, обновление, удаление).
• MCM (Mobile Content Management) — контроль доступа к документам и файлам.
• IAM — интеграция с корпоративной аутентификацией.

EMM обеспечивает более гибкий и безопасный подход, особенно при поддержке BYOD.

---

Вопрос

Какие уязвимости характерны для мобильных приложений?

Ответ

Типичные уязвимости мобильных приложений:

• Хранение чувствительных данных в открытом виде (в shared preferences, plist, логах).
• Отсутствие SSL pinning — уязвимость к MITM.
• Небезопасная реализация OAuth или JWT.
• Использование устаревших библиотек (например, OpenSSL с уязвимостями).
• Экспорт активностей и сервисов без защиты в AndroidManifest.xml.
• Логирование отладочной информации в production-сборке.

Проверка проводится через мобильный пентест и SAST/IAST-инструменты.

---

Вопрос

Что такое jailbreak и root, и почему они опасны?

Ответ

• Jailbreak — обход ограничений iOS для получения полного контроля над устройством.
• Root — получение прав суперпользователя в Android/Linux.

Опасности:

• Отключение встроенных механизмов безопасности (sandbox, code signing).
• Возможность установки вредоносного ПО.
• Обход политик MDM/EMM.
• Увеличение риска компрометации корпоративных приложений.

Корпоративные приложения часто проверяют наличие root/jailbreak и отказываются работать на таких устройствах.

---

Вопрос

Как защитить мобильное приложение от реверс-инжиниринга?

Ответ

Методы защиты:

• Обфускация кода (ProGuard для Java/Kotlin, Obfuscator-LLVM для C++).
• Проверка целостности приложения (сравнение хеша подписи).
• Антитрассировка (обнаружение отладчиков, эмуляторов).
• Шифрование строк и констант.
• Использование native-библиотек (сложнее анализировать).
• Серверная валидация всех критических операций.

Полная защита невозможна, но можно значительно повысить порог входа для злоумышленника.

---

Вопрос

Что такое IoT и какие у него особенности с точки зрения безопасности?

Ответ

IoT (Internet of Things) — это сеть физических устройств (датчики, камеры, бытовая техника), подключённых к интернету и способных собирать, обмениваться и обрабатывать данные.

Особенности безопасности IoT:

• Ограниченные вычислительные ресурсы (трудно применять стандартную криптографию).
• Долгий жизненный цикл (устройства не обновляются годами).
• Массовое развёртывание без централизованного управления.
• Часто отсутствует поддержка со стороны производителя после выпуска.

Эти факторы делают IoT привлекательной мишенью для ботнетов (например, Mirai).

---

Вопрос

Какие типичные атаки на IoT-устройства?

Ответ

Основные атаки:

• Использование стандартных учётных данных (admin/admin).
• Эксплуатация известных уязвимостей в веб-интерфейсе или API.
• Подмена прошивки через незащищённый механизм обновления.
• Перехват трафика из-за отсутствия шифрования.
• Физический доступ к UART/JTAG-портам для дампа памяти.

Mirai-ботнет использовал первые два метода для захвата сотен тысяч камер и роутеров.

---

Вопрос

Как обеспечить безопасность IoT-устройств?

Ответ

Рекомендации:

• Изменять стандартные пароли при первом запуске.
• Включать автоматические обновления прошивки.
• Использовать уникальные криптографические ключи для каждого устройства.
• Шифровать весь трафик (TLS, DTLS).
• Изолировать IoT-устройства в отдельной VLAN.
• Отключать ненужные службы (Telnet, UPnP).
• Проводить security-by-design при разработке.

---

Вопрос

Что такое secure boot в IoT?

Ответ

Secure boot — это механизм, гарантирующий, что устройство загружает только подписанную и проверенную прошивку. Каждый этап загрузки (bootloader → ядро → приложение) проверяет цифровую подпись следующего компонента с помощью доверенного ключа, встроенного в аппаратуру.

Это предотвращает загрузку вредоносной или модифицированной прошивки.

---

Вопрос

Что такое TEE?

Ответ

TEE (Trusted Execution Environment) — это изолированная среда выполнения внутри процессора, отделённая от основной ОС. В TEE выполняются критически важные операции: обработка биометрии, хранение ключей, подписание транзакций.

Примеры: ARM TrustZone, Intel SGX, Apple Secure Enclave.

TEE защищает данные даже при компрометации основной ОС.

---

Вопрос

Какие стандарты существуют для безопасности IoT?

Ответ

Ключевые стандарты и инициативы:

• ETSI EN 303 645 — европейский стандарт базовой кибербезопасности для потребительских IoT-устройств.
• NISTIR 8259 — рамка базовой безопасности IoT от NIST.
• OWASP IoT Top 10 — список главных рисков (небезопасные интерфейсы, недостаточная приватность и др.).
• ISO/IEC 27400 — руководство по защите конфиденциальности и безопасности в IoT.

Эти документы задают минимальные требования к производителям.

---

Вопрос

Что такое OTA-обновление и как его защитить?

Ответ

OTA (Over-The-Air) — это механизм удалённого обновления прошивки IoT-устройства через сеть.

Защита OTA включает:

• Цифровую подпись обновлений.
• Шифрование передаваемого образа.
• Проверку целостности перед применением.
• Возможность отката к предыдущей версии.
• Аутентификацию сервера обновлений.

Без этих мер злоумышленник может внедрить backdoor через поддельное обновление.

---

Вопрос

Почему важно сегментировать IoT-устройства в сети?

Ответ

Сегментация (например, через отдельную VLAN или firewall) предотвращает:

• Распространение атаки с IoT на корпоративные системы.
• Использование IoT как «прыжковой точки» для внутреннего перемещения (lateral movement).
• Несанкционированный доступ к IoT из внешней сети.

Даже если устройство скомпрометировано, ущерб остаётся ограниченным.

---

Социальная инженерия и осведомлённость персонала

Вопрос

Что такое социальная инженерия?

Ответ

Социальная инженерия — это метод получения конфиденциальной информации или несанкционированного доступа путём манипуляции людьми. Злоумышленник использует психологические приёмы, такие как доверие, срочность, авторитет или страх, чтобы заставить жертву раскрыть данные, выполнить действие или обойти процедуры безопасности.

---

Вопрос

Какие основные техники социальной инженерии существуют?

Ответ

Основные техники:

• Фишинг — отправка поддельных сообщений (email, SMS) для кражи учётных данных.
• Претекстинг — создание вымышленного сценария для получения информации (например, звонок от «IT-поддержки»).
• Бейтинг — предложение чего-то ценного (флешка с надписью «Зарплаты») для запуска вредоносного ПО.
• Тейлгейтинг — проникновение в защищённое помещение вслед за авторизованным лицом.
• Кви́д про кво — предложение услуги в обмен на информацию или доступ.

---

Вопрос

Что такое фишинг?

Ответ

Фишинг — это форма социальной инженерии, при которой злоумышленник маскируется под доверенный источник (банк, коллега, сервис) и побуждает жертву:

• Перейти по вредоносной ссылке.
• Скачать заражённый файл.
• Ввести логин и пароль на поддельном сайте.

Фишинг может осуществляться через email, SMS (смишинг), телефон (выхинг), мессенджеры или социальные сети.

---

Вопрос

Как распознать фишинговое письмо?

Ответ

Признаки фишинга:

• Подозрительный или поддельный адрес отправителя.
• Ошибки в грамматике и стиле.
• Срочные или угрожающие формулировки («Ваш аккаунт заблокируют!»).
• Ссылки, ведущие на непохожий домен (например, secure-paypa1.com).
• Вложения с двойным расширением (invoice.pdf.exe).
• Отсутствие персонализации («Уважаемый клиент» вместо имени).

---

Вопрос

Что такое spear phishing?

Ответ

Spear phishing — это целевой фишинг, направленный на конкретного человека или организацию. Злоумышленник собирает информацию о жертве (из LinkedIn, корпоративного сайта, соцсетей) и создаёт убедительное сообщение, имитирующее коллегу, партнёра или руководителя.

Пример: письмо от «генерального директора» с просьбой срочно перевести деньги.

---

Вопрос

Что такое whaling?

Ответ

Whaling — это разновидность spear phishing, нацеленная на высокопоставленных сотрудников (CEO, CFO, CISO). Цель — получение доступа к финансовым системам, конфиденциальным данным или полномочиям для проведения крупных транзакций.

---

Вопрос

Как защититься от социальной инженерии?

Ответ

Меры защиты:

• Регулярное обучение персонала (security awareness training).
• Двухфакторная аутентификация (MFA) для всех критических систем.
• Чёткие процедуры верификации (например, подтверждение переводов по телефону из справочника).
• Блокировка внешних ссылок и вложений в email.
• Культура «задавать вопросы»: если запрос кажется странным — уточнить у отправителя другим каналом.

---

Вопрос

Что такое программа осведомлённости в области безопасности?

Ответ

Программа осведомлённости — это систематический подход к обучению сотрудников распознаванию и противодействию угрозам информационной безопасности. Она включает:

• Регулярные тренинги и симуляции (например, тестовый фишинг).
• Информационные материалы (плакаты, рассылки, чек-листы).
• Оценку знаний и поведения.
• Поощрение за сообщения о подозрительных инцидентах.

Эффективная программа снижает человеческий фактор — главную причину утечек.

---

Вопрос

Почему важно проводить симуляции фишинга?

Ответ

Симуляции фишинга позволяют:

• Оценить уровень подготовки сотрудников.
• Выявить уязвимые группы (например, бухгалтерия, HR).
• Закрепить знания на практике.
• Создать культуру бдительности без наказаний.

Результаты используются для адаптации обучения, а не для дисциплинарных мер.

---

Вопрос

Что такое физическая безопасность и как она связана с ИБ?

Ответ

Физическая безопасность — это защита оборудования, помещений и носителей информации от несанкционированного физического доступа, кражи, повреждения или наблюдения. Она является частью общей стратегии информационной безопасности.

Примеры рисков:

• Кража ноутбука с нешифрованным диском.
• Установка keylogger’а на рабочую станцию.
• Фотографирование экрана или документов.
• Подключение к внутренней сети через открытый порт.

---

Вопрос

Какие меры физической безопасности применяются в офисах?

Ответ

Основные меры:

• Контроль доступа (пропуска, биометрия, турникеты).
• Видеонаблюдение.
• Блокировка автоматических дверей.
• Политика «чистого стола» (убирать документы после работы).
• Шифрование всех мобильных устройств.
• Автоматическая блокировка экрана при бездействии.

---

Вопрос

Что такое tailgating и piggybacking?

Ответ

• Tailgating — несанкционированное проникновение в защищённую зону вслед за авторизованным лицом без проверки.
• Piggybacking — то же самое, но с ведома и согласия сотрудника (например, «Подержи дверь, я забыл пропуск»).

Оба метода нарушают принцип минимального доверия и требуют обучения персонала: никогда не пропускать посторонних.

---

Вопрос

Как предотвратить утечку данных через печать и копирование?

Ответ

Меры:

• Требовать аутентификацию при печати (PIN, карта).
• Использовать системы secure print (документ печатается только после подтверждения у принтера).
• Регулярно очищать память МФУ.
• Ограничивать доступ к копировальным устройствам.
• Удалять напечатанные документы сразу после использования.

---

Вопрос

Что такое культура безопасности?

Ответ

Культура безопасности — это совокупность ценностей, норм и поведения в организации, при которых каждый сотрудник осознаёт свою ответственность за защиту информации. Признаки зрелой культуры:

• Безопасность — часть повседневных процессов.
• Сотрудники сообщают об инцидентах без страха наказания.
• Руководство демонстрирует приверженность безопасности.
• Новые сотрудники проходят обязательное обучение.

---

Вопрос

Как оценить эффективность программы осведомлённости?

Ответ

Ключевые метрики:

• Снижение количества кликов по фишинговым ссылкам в симуляциях.
• Рост числа сообщений о подозрительных письмах.
• Уменьшение числа инцидентов, вызванных человеческим фактором.
• Результаты опросов и тестов знаний.
• Время реакции на реальные инциденты.

Оценка должна быть регулярной и использоваться для улучшения программы.

---

Безопасность приложений и безопасная разработка (DevSecOps)

Вопрос

Что такое безопасная разработка программного обеспечения?

Ответ

Безопасная разработка — это подход, при котором меры информационной безопасности интегрированы на всех этапах жизненного цикла разработки (SDLC). Цель — предотвратить появление уязвимостей на ранних стадиях, когда их исправление дешевле и проще.

---

Вопрос

Какие этапы SDLC требуют включения мер безопасности?

Ответ

Безопасность должна присутствовать на каждом этапе:

1. Планирование — определение требований безопасности и конфиденциальности.
2. Проектирование — моделирование угроз (threat modeling), выбор архитектуры с учётом принципов Zero Trust и минимальных привилегий.
3. Разработка — использование безопасных языков и библиотек, обзор кода.
4. Тестирование — SAST, DAST, IAST, сканирование зависимостей.
5. Развёртывание — безопасная конфигурация, управление секретами.
6. Эксплуатация и мониторинг — логирование, обнаружение аномалий, патчинг.

---

Вопрос

Что такое DevSecOps?

Ответ

DevSecOps — это расширение DevOps-подхода, при котором безопасность становится неотъемлемой частью процесса непрерывной интеграции и доставки (CI/CD). Вместо того чтобы проверять безопасность в конце цикла, она «сдвигается влево» (shift left) — внедряется как можно раньше.

Ключевые практики:

• Автоматизированные проверки в pipeline.
• Сканирование кода и образов контейнеров.
• Управление секретами через vault’ы.
• Политики как код (например, OPA).

---

Вопрос

Что такое SAST?

Ответ

SAST (Static Application Security Testing) — это анализ исходного кода без его выполнения для выявления уязвимостей (инъекции, XSS, небезопасные API и др.). SAST работает на этапе разработки и позволяет находить ошибки до сборки.

Преимущества:

• Раннее обнаружение.
• Точное указание места в коде.

Недостатки:

• Много ложных срабатываний.
• Не видит поведение во время выполнения.

Примеры: SonarQube, Checkmarx, Semgrep.

---

Вопрос

Что такое DAST?

Ответ

DAST (Dynamic Application Security Testing) — это анализ работающего приложения путём отправки ему запросов и анализа ответов. DAST имитирует действия внешнего злоумышленника и выявляет уязвимости, видимые извне (например, SQLi, SSRF, незащищённые эндпоинты).

Преимущества:

• Обнаруживает реальные эксплуатируемые уязвимости.
• Не зависит от языка программирования.

Недостатки:

• Не показывает место в коде.
• Может пропустить защищённые пути.

Примеры: OWASP ZAP, Burp Suite, Acunetix.

---

Вопрос

Что такое IAST?

Ответ

IAST (Interactive Application Security Testing) — это гибридный подход, сочетающий элементы SAST и DAST. Агент IAST внедряется в приложение во время тестирования и отслеживает выполнение кода в реальном времени, коррелируя входные данные с внутренними операциями.

Преимущества:

• Высокая точность.
• Минимум ложных срабатываний.
• Понимание контекста выполнения.

Примеры: Contrast Security, Hdiv.

---

Вопрос

Что такое SCA?

Ответ

SCA (Software Composition Analysis) — это анализ сторонних зависимостей (библиотек, фреймворков) на наличие известных уязвимостей (CVE), лицензионных рисков и устаревших версий.

SCA сканирует файлы зависимостей (package.json, requirements.txt, pom.xml) и сопоставляет их с базами данных уязвимостей (NVD, GitHub Advisory Database).

Примеры: Snyk, Dependabot, WhiteSource, OWASP Dependency-Check.

---

Вопрос

Почему важно сканировать зависимости?

Ответ

Большинство современных приложений на 70–90% состоят из сторонних компонентов. Уязвимость в одной библиотеке (например, Log4j, SpringShell) может скомпрометировать всё приложение. Сканирование позволяет:

• Обнаружить уязвимости до развёртывания.
• Автоматически предлагать обновления.
• Соответствовать требованиям compliance.

---

Вопрос

Что такое threat modeling?

Ответ

Threat modeling — это структурированный процесс идентификации потенциальных угроз, уязвимостей и атак на систему на этапе проектирования. Он помогает:

• Определить активы и границы системы.
• Смоделировать возможные сценарии атак (например, по методологии STRIDE).
• Выбрать контрмеры до написания кода.

Результат — карта угроз, используемая для приоритезации мер безопасности.

---

Вопрос

Что такое STRIDE?

Ответ

STRIDE — это модель угроз от Microsoft, классифицирующая угрозы по шести категориям:

• Spoofing — подмена личности.
• Tampering — модификация данных.
• Repudiation — отказ от совершённого действия.
• Information Disclosure — раскрытие информации.
• Denial of Service — отказ в обслуживании.
• Elevation of Privilege — повышение привилегий.

STRIDE применяется при threat modeling для систематического анализа архитектуры.

---

Вопрос

Как безопасно управлять секретами (паролями, ключами, токенами)?

Ответ

Рекомендации:

• Никогда не хранить секреты в коде или репозиториях.
• Использовать специализированные хранилища: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault.
• Предоставлять временные учётные данные через IAM roles или workload identity federation.
• Ротировать секреты регулярно.
• Ограничивать доступ по принципу наименьших привилегий.

---

Вопрос

Что такое «сдвиг влево» (shift left) в безопасности?

Ответ

«Сдвиг влево» — это практика внедрения проверок безопасности как можно раньше в SDLC (на этапах проектирования и разработки), а не на финальном тестировании или в production. Это снижает стоимость исправления уязвимостей и ускоряет выпуск безопасного ПО.

Инструменты shift left: SAST, SCA, политики как код, шаблоны безопасных архитектур.

---

Вопрос

Какие принципы безопасного кодирования существуют?

Ответ

Основные принципы:

• Валидация и очистка всех входных данных.
• Использование параметризованных запросов вместо конкатенации строк.
• Минимальные привилегии для процессов и учётных записей.
• Шифрование чувствительных данных.
• Логирование безопасности без раскрытия деталей.
• Обработка ошибок без утечки информации.
• Регулярное обновление зависимостей.

---

Вопрос

Что такое политики как код (Policy as Code)?

Ответ

Policy as Code — это подход, при котором правила безопасности и соответствия описываются в виде исполняемого кода (например, на Rego для Open Policy Agent). Такие политики могут автоматически проверять:

• Конфигурации IaC (Terraform, CloudFormation).
• Запросы на развёртывание.
• Доступ к ресурсам.

Преимущества: версионирование, тестирование, автоматическая принудительная реализация.

---

Вопрос

Как обеспечить безопасность CI/CD-конвейера?

Ответ

Меры безопасности CI/CD:

• Использовать только доверенные образы и runner’ы.
• Сканировать код и зависимости на каждом этапе.
• Подписывать артефакты (Cosign, Notary).
• Ограничивать права pipeline’ов (принцип наименьших привилегий).
• Хранить секреты в vault’ах, а не в переменных окружения.
• Вести аудит всех действий в pipeline.
• Блокировать развёртывание при обнаружении критических уязвимостей.

---

Вопрос

Что такое supply chain security?

Ответ

Supply chain security — это защита программного обеспечения от компрометации на любом этапе его создания: от разработки и сборки до распространения и установки. Угрозы включают:

• Вредоносные коммиты от скомпрометированных аккаунтов.
• Поддельные пакеты в реестрах (npm, PyPI).
• Уязвимости в инструментах сборки.

Защита: подписывание кода, SBOM (Software Bill of Materials), проверка целостности, минимальные зависимости.

---