Элементы информационной безопасности
Вопросы лекции
Тенденция к возрастанию угроз информационной безопасности
Статистика об утечках данных
Вопросы лекции
Общее понятие безопасности
Общее понятие безопасности
Общее понятие безопасности
Общее понятие безопасности
Общее понятие безопасности
Общее понятие безопасности
Общее представление об информационной безопасности
Общее представление об информационной безопасности
Общее представление об информационной безопасности
Общее представление об информационной безопасности
Общее представление об информационной безопасности
Вопросы лекции
Атаки нарушающие ИБ
Атаки нарушающие ИБ
Атаки нарушающие ИБ
Вопросы лекции
Атаки на безопасность сетевого уровня
Атаки на безопасность сетевого уровня
Вопросы лекции
Классы угроз информационной безопасности
3.78M
Категория: ИнформатикаИнформатика

Элементы информационной безопасности

1. Элементы информационной безопасности

2. Вопросы лекции

2
1. Общие понятия безопасности
2. Атаки нарушающие ИБ
3. Угрозы информационной
безопасности
4. Классы угроз ИБ
02.03.2026
2

3. Тенденция к возрастанию угроз информационной безопасности

3
Количество и масштаб инцидентов, связанных с действиями
злоумышленников в отношении электронных данных, неуклонно
растет. Нарушаются конфиденциальность, целостность, доступность
информации.
Примеры (публикации в Интернете)
Компания eBay (США), занимающаяся интернет-аукционами и
интернет-магазинами.
В случае оплаты покупок необходимо предоставление гарантий
безопасности как покупателю, так и продавцу.
Были скомпрометированы 145 миллионов учетных записей
пользователей, содержащие e-mail адреса, даты рождения и
другие персональные данные.

4.

Тенденция к возрастанию угроз
информационной безопасности
4
Google Play
Хакер загрузил в базу данных приложений Android плохо
сформированный APK-файл (формат архивных исполняемых
файлов-приложений для Android) с целью протестировать
уязвимость в приложении. В результате произошел отказ в
обслуживании (DoS) в системе Google Play.
Американская торговая сеть The Home Depot, крупнейшая по
продаже инструментов для ремонта и стройматериалов.
Украдено 56 миллионов номеров дебетовых и кредитных карт в
результате заказного вредоносного ПО.

5. Статистика об утечках данных

5
Сайт, предоставляющий
статистику об утечках данных
http://breachlevelindex.com/
В 2024 году в Сеть утекли
более 710 млн записей о
россиянах
В январе 2025 г. стало известно о
том, что киберпреступники проникли
в ИТ-инфраструктуру компании
«АльфаСтрахование-Жизнь». В
результате взлома произошла утечка
персональных данных примерно 500
тыс. клиентов.

6. Вопросы лекции

6
1. Общие понятия безопасности
2. Атаки нарушающие ИБ
3. Угрозы информационной
безопасности
4. Классы угроз ИБ
02.03.2026
6

7. Общее понятие безопасности

7
Безопасность – это непрерывный процесс защиты объекта от
несанкционированного доступа.
Объект может находиться в состоянии "физической"
безопасности или состоянии "теоретической" безопасности.
"Физическая" и "теоретическая" (наивная) безопасность.
Состояние физической безопасности может быть гарантировано,
если действуют следующие четыре механизма защиты:
сдерживание, предотвращение, обнаружение и ответные
действия

8. Общее понятие безопасности

8
Сдерживание обычно является первой линией защиты от
злоумышленников. Оно создает атмосферу, предназначенную
напугать злоумышленников, может включать предупреждения о
серьезных последствиях в случае нарушения безопасности
("Осторожно, злая собака", "На объекте ведется видеонаблюдение"
и т.д.).
Предотвращение – это меры, предпринимаемые с целью не дать
злоумышленникам получить доступ к ресурсам системы:
брандмауэры, демилитаризованные зоны (DMZ), использование
элементов доступа, таких как ключи, карты доступа, биометрические
данные
и
другие,
позволяющие
только
авторизованным
пользователям получать доступ к объекту.

9. Общее понятие безопасности

9
Обнаружение имеет место, когда злоумышленник уже получил
или находится в процессе получения доступа к системе.
Сигналы от процесса обнаружения содержат предупреждения о
существовании злоумышленника, которые могут поступать в
реальном времени или сохраняться для дальнейшего анализа
персоналом службы безопасности
Ответные действия – это механизм последействия, который
пытается ответить на неудачу первых трех механизмов, остановить
и/или предотвратить будущий ущерб или доступ к объекту.

10. Общее понятие безопасности

10
Физическая защита системы от внешних угроз может быть
реализована при помощи комплекса средств: защитные стены,
проволочные ограждения, датчики шума или вибрации, защитное
освещение, видеонаблюдение…..
Пример: серверы WikiLeaks размещены в шведском дата-центре,
расположенном в подземном ядерном бункере в Стокгольме.
Внутри системы безопасность может быть повышена за счет
использования электронных барьеров, таких как брандмауэры и
пароли.
Брандмауэры – это аппаратные или программные средства,
используемые для изоляции чувствительных частей объекта
информационной системы от внешнего мира и ограничения
потенциального ущерба от злоумышленников

11. Общее понятие безопасности

11
Состояние "теоретической" безопасности основано
на
представлении о том, что объект может быть безопасным, если
никто за пределами ограниченной группы доверенных лиц не знает
о его существовании (безопасность через безвестность).
«Теоретическая» (наивная) безопасность физически не
реализована, как, например, стены здания, выдача паролей или
установка брандмауэра, но основана исключительно на
умозрительных предположениях.
Существует несколько примеров успешного использования
такого вида безопасности компаниями (например, Coca-Cola, KFC),
которые на протяжении поколений сохраняли свои секретные
рецепты, доверяя их нескольким доверенным сотрудникам.

12. Общее понятие безопасности

12
Повсеместное использование подхода "безопасность через
безвестность" – это ошибка, которая допускалась многими
производителями программного обеспечения, когда они скрывали
свои программные коды.
Во множестве случаев такой подход к безопасности скрывает
уязвимости и слабые места системы.
Пример – микросхема Clipper
В 1994 году американский специалист в области
компьютерной безопасности Мэтт Блейз обнаружил в
стандарте Escrowed Encryption Standard (Clipper) недостаток,
который можно использовать для обхода мониторинга
правоохранительных органов (подробности см. в Википедии
https://en.wikipedia.org/wiki/Clipper_chip)

13. Общее представление об информационной безопасности

"Строительными блоками"
являются:
1. Конфиденциальность
2. Целостность
3. Доступность
информационной
13
безопасности
Любая атака на информационную систему имеет целью
скомпрометировать один, два или все три из этих компонентов
Исходя из того, какой из этих компонентов подвергается
наибольшему риску, соответственно разрабатываются наиболее
эффективные средства управления безопасностью

14. Общее представление об информационной безопасности

14
Конфиденциальность – обеспечение доступа к информации
только разрешенным авторизованном пользователям.
Какая
информация
в
первую
очередь
должна
быть
конфиденциальной?
Пароли, PIN-коды, фрагменты передаваемых сообщений?
Если конфиденциальность скомпрометирована, это может
привести к несанкционированному доступу к системе или к
серьезным потерям частной информации.

15. Общее представление об информационной безопасности

15
Целостность – надежность данных или ресурсов в плане
предотвращения
неправомерного
и
несанкционированного
изменения.
В контексте информационной безопасности целостность
означает, что, когда отправитель отправляет данные, получатель
должен получать точно такие же данные, что отправлены
отправителем.
Любое добавление или удаление данных во время передачи
означало бы, что целостность была скомпрометирована.

16. Общее представление об информационной безопасности

16
Доступность – уверенность в том, что системы, ответственные
за доставку, хранение и обработку информации, доступны по
требованию авторизованных пользователей.
Например, бухгалтерия в конце финансового года для целей
отчетности хочет получить доступ к данным о заработной плате
сотрудников, хранящимся на сервере.
Сервер может предоставить всю запрашиваемую информацию –
доступность хорошая.
Сервер "лежит" (по преднамеренной или непреднамеренной
причине) – доступность нарушена или скомпрометирована

17. Общее представление об информационной безопасности

17
Уровень безопасности в любой системе может быть определен
соотношением трех компонент: функциональность (Functionality),
удобство (Usability) и безопасность (Security).
Пример. Групповая политика
Windows "Запретить использование
командной строки". Запуск консольных
приложений, например, компилятора
???
Пример. Интернет-магазин.
Двухфакторная аутентификация???
Функциональность
Удобство
Безопасность

18.

Важные понятия информационной безопасности….
18
Идентификация (Identification) –
процедура распознавания пользователя по предъявленным им
удостоверяющим признакам (паспорт, регистрационное имя и т.д.)
Аутентификация (Authentication) –
процесс проверки личности, основанный на предоставлении
частной информации, подтверждающей, что объект является тем,
за кого себя выдает.
Авторизация (Authorization) –
процедура предоставления объекту определенных прав доступа
после успешного прохождения им процедуры аутентификации
Учет (Accounting) – в области безопасности учет означает
ведение записи всех важных видов деятельности и событий, как
правило, в форме журналов аудита

19.

Важные понятия информационной безопасности….
19
Подлинность (Authenticity) – свойство, гарантирующее строгую
принадлежность информации субъекту, который является ее
источником, либо тому субъекту, от которого эта информация принята.
Неотрекаемость (Non-Repudiation) – гарантия, что отправитель
сообщения не может отрицать отправку сообщения, а получатель не
может отрицать получение сообщения.
Уязвимость (Vulnerability) – неудачное свойство системы, которое
может привести к её компрометации.
Уязвимость нулевого дня (Zero-Day Vulnerability) – только что
обнаруженная уязвимость, о которой ещё не известно производителю
или для устранения которой ещё нет исправления.
До тех пор, пока для обнаруженной новой уязвимости не
разработана "заплатка", эта уязвимость является уязвимостью
нулевого дня.

20.

Важные понятия информационной безопасности….
20
Эксплойт (Exploit) – вредоносный программный код, использующий
конкретную уязвимость или позволяющий исполняться другому коду,
которому в обычных условиях это не было бы дозволено.
Риск (Risk) – в контексте информационной безопасности риск – это
событие, которое может привести к компрометации ресурсов
организации: получению несанкционированного доступа, утечке
конфиденциальной информации, подделке данных и т.д.
Угроза (Threat) – вероятная опасность, которая может использовать
существующую
уязвимость
в
системе
для
получения
несанкционированного доступа и дальнейшего выполнения вредоносных
действий.
Связь определений. Компьютер, подключенный к сети но не имеющий антивирусного ПО
является уязвимым (vulnerable), следовательно существует риск (risk) вирусной атаки.
Вирус представляет собой угрозу (threat), которая использует (эксплуатирует, exploits)
уязвимость (vulnerability) для заражения системы в целом.

21. Вопросы лекции

1. Общие понятия безопасности
2. Атаки нарушающие ИБ
3. Угрозы информационной
безопасности
4. Классы угроз ИБ
02.03.2026
21

22. Атаки нарушающие ИБ

22
Атаки, которые
анализ
пакетов;
Кейлоггер
Фишинг --это
это вид
программа
интернетили
затрагивают
взлом пароля;
мошенничества,
аппаратное
устройство,
при котором
(нарушают)
разгребание
мусора – извлечение
не
злоумышленники
регистрирующее
притворяются
действия
конфиденциальность
уничтоженной
своевременно
конфиденциальной
информации
из виртуальных
мусорных
корзин
пользователя:
надёжными
лицами
нажатия
и клавиш
обманом
на
защищённых систем;
клавиатуре,
заставляют жертв
движения
раскрывать
и клики
перехват сообщений;
информацию.
конфиденциальную
кейлоггинг; мышью и т.д..
фишинг – выуживание конфиденциальной
информации

23. Атаки нарушающие ИБ

Атаки, которые
затрагивают
(нарушают)
целостность
23
«атака салями» – вид компьютерного
мошенничества в банковской сфере; мелкие
суммы, урезанные в ходе безналичных операций,
незаконно накапливаются на особом счёте, после
чего снимаются преступником;
подгонка данных – компьютерное преступление,
при котором данные модифицируются, чтобы
скрыть хищение;
захват сеанса;
атака посредника (человек посередине)

24. Атаки нарушающие ИБ

Атаки, которые
затрагивают
(нарушают)
доступность
24
DoS и DDoS-атаки;
атаки SYN-флуд – отправка большого количества
SYN-запросов (запросов на подключение по
протоколу TCP) в достаточно короткий срок;
физические атаки на серверную инфраструктуру

25. Вопросы лекции

1. Общие понятия безопасности
2. Атаки нарушающие ИБ
3. Угрозы информационной
безопасности
4. Классы угроз ИБ
02.03.2026
25

26.

Угрозы облачных вычислений 2016
26
включает:
1. Утечка данных;
2. Слабая идентификация, учетные данные и управление доступом;
3. Небезопасные интерфейсы и интерфейсы API (аутентификация и передача
данных в виде открытого текста, анонимный доступ, многоразовые пароли);
4. Уязвимость системы и приложений (Heartbleed в OpenSSL, Shellshock в
GNU Bash);
5. Захват аккаунта злоумышленником;
6. Инсайдеры-злоумышленники;
7. Развитая устойчивая угроза;
8. Потери данных;
9. Неосмотрительность;
10. Злоупотребление и необоснованное использование облачных сервисов;
11. Отказ в обслуживании.
(по данным Cloud Security Alliance (CSA) 2016)

27.

Развитая устойчивая угроза
27
Развитая устойчивая угроза (Advanced persistent threat, APT) – форма
атаки, когда злоумышленник проникает в систему, чтобы закрепиться в
вычислительной инфраструктуре компании и тайно переправлять данные.
Осуществляется
обладающим
специальными
знаниями,
хорошо
оснащённым противником, ориентированным на получение конкретной
информации у привлекающих внимание компаний и правительств, как
правило, в ходе долговременных операций посредством различных векторов
нападения.
Атаки APT выполняются скрытно в течение длительного времени, часто
приспосабливаясь к мерам безопасности, предназначенным для защиты от
них.
Изначально термин APT использовался для обозначения кибератак на
военные организации. В настоящее время целью APT являются
промышленные предприятия и правительства.

28.

Развитая устойчивая угроза
28
Обычные точки входа для атаки APT:
1) направленный фишинг (Spear phishing);
2) прямые хакерские атаки;
3) доставка кода атаки через USB-устройства;
4) проникновение через партнерские сети;
5) использование незащищенных или сторонних сетей.
Направленный фишинг – онлайновое мошенничество, нацеленное на
отдельную жертву
Целевые пользователи получают тщательно разработанные фишинговые
сообщения,
заставляющие
человека
вводить
конфиденциальные
персональные сведения (логин, пароль), которые дают доступ к
корпоративным сетям или базам данных
Помимо запрашивания учетных данных, целевые фишинговые письма
могут также содержать вредоносное ПО.

29.

Угрозы облачных вычислений 2024
включает:
Проблемы безопасности на уровне приложения или
поставщика облачных услуг
1. SQL-инъекция
2. Атака с опережением Гостей
3. Атака по боковому каналу
4. Злонамеренный Инсайдер
5. Отравление печеньем
6. Бэкдор и опция отладки
7. Безопасность облачного браузера
8. Облачная атака с внедрением вредоносного ПО
9. Отравление АRP
(по данным Cloud Security Alliance (CSA) 2024)
29

30.

Проблемы безопасности на уровне приложения или поставщика
облачных услуг
30
Проблемы с безопасностью на уровне приложений (или атаки на уровне
поставщика облачных услуг CSP) – это вторжение злоумышленников из-за
уязвимостей, связанных с общим характером облака. Некоторые компании
размещают свои приложения в общих средах, используемых несколькими
пользователями, не учитывая возможность нарушения безопасности, например:
1. SQL-инъекция
Неавторизованный пользователь получает доступ ко всей базе данных
приложения, вставляя вредоносный код в стандартный код SQL. SQLинъекций, которые часто используются для атак на веб-сайты, можно
избежать с помощью параметризованных запросов и хранимых
процедур. Кроме того, предотвратить такие атаки можно с помощью
принципов наименьших привилегий для пользователей базы данных и
регулярных проверок безопасности.

31.

2. Атака с опережением Гостей
31
При атаках с переходом от одной гостевой системы к другой из-за нарушения
изоляции между общими инфраструктурами злоумышленник получает доступ к
виртуальной машине, проникнув в другую виртуальную машину, работающую
на том же оборудовании. Одним из возможных способов защиты является
использование инструментов криминалистической экспертизы и отладки
виртуальных машин для отслеживания любых попыток взлома виртуальной
машины. Другим решением является внедрение платформы с высоким уровнем
безопасности (HAP) для обеспечения высокой степени изоляции между
виртуальными машинами.
3. Атака по боковому каналу
Злоумышленник открывает атаку по стороннему каналу, размещая вредоносную
виртуальную машину на том же физическом устройстве, что и машина жертвы.
Таким образом злоумышленник получает доступ к конфиденциальной
информации на машине жертвы. Меры противодействия включают в себя
обеспечение того, чтобы виртуальные машины законных пользователей не
размещались на том же оборудовании, что и другие пользователи, а также
использование передовых криптографических методов для защиты данных.

32.

32
4. Злонамеренный Инсайдер
Злоумышленником-инсайдером может быть действующий или бывший сотрудник
или деловой партнёр, который злоупотребляет системными привилегиями и
учётными данными для доступа к конфиденциальной информации и её кражи.
Внедрение строгого управления привилегиями, проведение регулярных
проверок безопасности и использование поведенческой аналитики для
выявления аномалий могут свести этот риск к минимуму.
5. Отравление печеньем
«Отравление» файлов cookie означает получение несанкционированного
доступа к приложению или веб-странице путём изменения содержимого файла
cookie. В модели SaaS файлы cookie содержат информацию о учётных данных
пользователя, которая позволяет приложениям подтверждать личность
пользователя. Файлы cookie подделываются, чтобы выдать себя за
авторизованного пользователя. Решения включают очистку файлов cookie и
шифрование данных в них.

33.

33
6. Бэкдор и опция отладки
«Чёрный ход» – это скрытый вход в приложение, созданный намеренно или
случайно разработчиками. Параметры отладки — это аналогичные точки входа,
используемые разработчиками для упрощения устранения неполадок. Хакеры
могут использовать эти скрытые входы, чтобы обойти политики безопасности и
получить доступ к конфиденциальной информации. Чтобы предотвратить
подобные атаки, разработчики должны отключать параметры отладки и
проводить тщательный анализ кода для выявления и удаления «чёрных ходов».
7. Безопасность облачного браузера
Веб-браузер – это универсальное клиентское приложение, которое использует
протокол Transport Layer Security (TLS) для обеспечения конфиденциальности и
безопасности данных при интернет-коммуникациях. TLS шифрует соединение
между
веб-приложениями
и
серверами,
например,
веб-браузерами,
загружающими веб-сайты. Хотя TLS обеспечивает некоторую безопасность,
сочетание TLS с криптографией на основе XML в ядре браузера может
обеспечить повышенную защиту от вредоносных атак.

34.

34
8. Облачная атака с внедрением вредоносного ПО
Вредоносная виртуальная машина или модуль реализации сервиса, например
SaaS или IaaS, внедряется в облачную систему, заставляя её считать новый
экземпляр действительным. В случае успеха запросы пользователей
автоматически перенаправляются на новый экземпляр, где выполняется
вредоносный код. Для предотвращения этого необходимо проверять
целостность экземпляров сервисов перед их использованием для обработки
входящих запросов в облачной системе.
9. Отравление ARP
Отравление протокола разрешения адресов (ARP) происходит, когда
злоумышленник использует уязвимости в протоколе ARP, чтобы сопоставить
сетевой IP-адрес со злоумышленническим MAC-адресом и обновить кэш ARP
этим злоумышленническим MAC-адресом. Использование статических записей
ARP может свести к минимуму эту атаку в небольших сетях. В более крупных
сетях более эффективными могут быть такие стратегии, как блокировка одного
порта или сетевого устройства по определённому IP-адресу.

35.

Угрозы облачных вычислений 2024
включает:
Атаки на безопасность сетевого уровня
10. Атаки на систему доменных имен (DNS)
11. Захват домена
12. Подмена IP-адресов
a. Атаки типа "Отказ в обслуживании" (DoS)
б. Атака "Человек посередине" (MITM)
Атаки на уровне конечного пользователя / хоста
13. Заполнение учетных данных
14. Программы-вымогатели
15. Социальная инженерия
(по данным Cloud Security Alliance (CSA) 2024)
35

36. Атаки на безопасность сетевого уровня

36
Облачные вычисления во многом зависят от существующей сетевой
инфраструктуры, такой как локальные, региональные и глобальные сети, что
делает их уязвимыми для атак, исходящих от пользователей за пределами
облака или от злоумышленников внутри системы. В этом разделе мы
сосредоточимся на атаках на уровне сети и возможных мерах противодействия.
10. Атаки на систему доменных имен (DNS)
DNS-атаки используют уязвимости в системе доменных имён (DNS), которая
преобразует имена хостов в соответствующие IP-адреса. DNS-серверы
подвержены различным видам атак, поскольку DNS используется практически
во всех сетевых приложениях. К распространённым атакам относятся TCP-атаки
с переполнением буфера, UDP-атаки с переполнением буфера, атаки со
подменой исходного адреса/LAND-атаки, атаки с отравлением кэша и атаки
типа «человек посередине». Стратегии защиты включают DNSSEC (расширения
безопасности системы доменных имён) для обеспечения целостности и
подлинности данных DNS и ограничение скорости для снижения последствий
атак с переполнением буфера.

37. Атаки на безопасность сетевого уровня

37
11. Захват домена
Угон домена подразумевает изменение названия домена без ведома или
разрешения владельца или создателя. Это позволяет злоумышленникам
получать конфиденциальные бизнес-данные или осуществлять незаконные
действия, например фишинг. Меры противодействия включают в себя
соблюдение 60-дневного периода ожидания между изменением регистрации и
передачей домена другому регистратору, а также использование протокола
расширенной подготовки (EPP), который использует ключ авторизации только
для владельца домена, чтобы предотвратить несанкционированное изменение
названия.
12. Подмена IP-адресов
При подмене IP-адреса злоумышленник получает несанкционированный доступ
к компьютеру, притворяясь, что трафик исходит от легитимного компьютера.
Подмена IP-адреса используется для других угроз, таких как отказ в
обслуживании (DoS) и атаки типа «человек посередине» (MITM):

38.

Подмена IP-адресов
38
a. Атаки типа "Отказ в обслуживании" (DoS)
Цель DoS-атак – сделать веб-сайт или сетевой ресурс недоступным, перегрузив
хост огромным количеством пакетов, требующих дополнительной обработки.
Целевая система настолько занята обработкой вредоносных пакетов, что не
отвечает на легитимные входящие запросы, отказывая в обслуживании
законным
пользователям.
Для
смягчения
последствий
используются
ограничения скорости, брандмауэры и системы обнаружения вторжений (IDS)
для фильтрации и блокировки вредоносного трафика.
б. Атака "Человек посередине" (MITM)
Атаки типа «человек посередине» подразумевают, что злоумышленник
перехватывает и потенциально изменяет сообщения между двумя сторонами,
которые считают, что общаются напрямую друг с другом. Методы защиты
включают использование надёжного шифрования для передачи сообщений,
применение безопасных протоколов, таких как HTTPS, и взаимную
аутентификацию, чтобы убедиться, что обе стороны являются теми, за кого себя
выдают.

39.

Атаки на уровне конечного пользователя / хоста
39
Атаки на уровне конечного пользователя или хоста часто включают в
себя попытки фишинга с целью кражи идентификационных данных
пользователя, включая имена пользователей, пароли и данные
кредитных
карт.
Фишинг
обычно
заключается
в
отправке
электронного письма со ссылкой на поддельный веб-сайт, который
выглядит как настоящий. Когда пользователь вводит свои учётные
данные на поддельном веб-сайте, информация отправляется
злоумышленнику. Меры противодействия включают использование
фильтров
и
блокировщиков
спама,
обучение
пользователей
распознаванию и предотвращению попыток фишинга, а также
внедрение многофакторной аутентификации (MFA) для обеспечения
дополнительного уровня безопасности.

40.

Атаки на уровне конечного пользователя / хоста
40
13. Заполнение учетных данных
При атаке с использованием учётных данных злоумышленники используют
списки скомпрометированных имён пользователей и паролей для получения
несанкционированного доступа к учётным записям пользователей. Эта атака
использует тот факт, что многие пользователи повторно используют пароли на
нескольких
сайтах.
Меры
противодействия
включают
внедрение
многофакторной аутентификации, использование CAPTCHA для предотвращения
автоматических попыток входа в систему и побуждение пользователей
использовать надёжные уникальные пароли для каждой из своих учётных
записей.
14. Программы-вымогатели
Программы-вымогатели – это вредоносные программы, которые шифруют данные
пользователя и требуют выкуп за ключ для расшифровки. Чтобы защититься от программвымогателей, организациям следует внедрять надёжные стратегии резервного
копирования и восстановления, использовать современное антивирусное и антишпионское
программное обеспечение, а также информировать пользователей о рисках, связанных с
загрузкой вложений или переходом по ссылкам из неизвестных источников.

41.

Атаки на уровне конечного пользователя / хоста
41
15. Социальная инженерия
Социальная инженерия – это манипулирование людьми с целью получения
конфиденциальной информации или совершения действий, которые ставят под
угрозу безопасность. Тактика может включать в себя фишинговые электронные
письма, претекстинг (создание вымышленного сценария для получения
информации) и приманки (оставление физических носителей, например USBнакопителей, в общественных местах). Меры противодействия включают в себя
регулярное обучение сотрудников правилам безопасности, внедрение строгих
процедур проверки конфиденциальных запросов и формирование в
организации культуры безопасности.
Понимая и устраняя эти распространённые угрозы безопасности в облаке и
меры по их предотвращению, организации могут лучше защищать свои данные
и поддерживать целостность и доступность своих облачных сервисов.

42.

42
Вирусы и черви – наиболее распространенная сетевая угроза,
которая способна инфицировать сети в течение нескольких
секунд.
Мобильные угрозы – фокус атак сместился в сторону
мобильных устройств, в связи с их активным внедрением в
бизнесе и личных целях и сравнительно меньшим контролем
безопасности.
Ботнет (зомби-сеть) (Botnet) – огромная сеть взломанных
компьютеров, используемых злоумышленниками для выполнения
различных сетевых атак.
Инсайдерская атака – выполняется в корпоративной сети или
на одном компьютере доверенным лицом (инсайдером), который
имеет санкционированный доступ к сети.

43. Вопросы лекции

1. Общие понятия безопасности
2. Атаки нарушающие ИБ
3. Угрозы информационной
безопасности
4. Классы угроз ИБ
02.03.2026
43

44.

44
Классы угроз информационной безопасности
Сетевые угрозы
Угрозы для компьютера
Угрозы для приложений
Сбор информации
Вредоносное ПО
Неправильные данные
Прослушивание сети и
перехват данных
Спуфинг
Перехват сеанса и атака
посредника
Отравление кэша DNS
(ARP)
Атаки, основанные на
паролях
Атаки DoS
Использование
скомпрометированного
ключа
Атаки на сетевые экраны и
IDS
Получение отпечатка
Атаки на пароли
Атаки DoS
Выполнение произвольного
кода
Атаки аутентификации и
авторизации
Небезопасная
конфигурация
Раскрытие информации
Недочеты управления
сеансами
Несанкционированный
доступ
Переполнение буфера
Повышение привилегий
Криптографические атаки
Бэкдор, лазейка
SQL инъекция
Физические угрозы
Неправильная обработка
ошибок

45. Классы угроз информационной безопасности

45
Сетевые угрозы:
Сбор информации;
Прослушивание сети (Sniffing) и перехват данных;
Спуфинг (Spoofing) – имитация соединения, подмена, получение доступа
путём обмана.
В ситуации спуфинга злоумышленник изменяет адрес отправителя в
отправляемом пакете, чтобы он воспринимался как отправленный другим
пользователем
Многие из протоколов TCP/IP не обеспечивают механизмы для
аутентификации источника или получателя сообщения, вследствие чего они
уязвимы для спуфинга, если только приложениями не будут приняты
дополнительные меры предосторожности для идентификации отправителя и
получателя.

46.

Сетевые угрозы:
46
Перехват сеанса (Session hijacking) и атака посредника (атака
"человек посередине") (Man- in-the-Middle attack).
Перехват сеанса – использование действительного сеанса связи
между двумя компьютерами для получения несанкционированного
доступа к информации или сервисам в удаленном компьютере.
Перехват сеанса использует особенности установления
соединения в протоколе TCP.
Атака "человек посередине" или атака посредника – атака
методом перехвата и подмены злоумышленником сообщений,
которыми обмениваются корреспонденты, не подозревающие о его
присутствии в канале.

47.

Сетевые угрозы:
47
Отравление кэша DNS или ARP
Отравление кэша DNS – повреждение целостности данных в системе
DNS путём заполнения кэша DNS-сервера данными, не исходящими от
авторитетного DNS-источника (объяснение DNS!).
Отравление кэша ARP – аналогичное повреждение кэша ARP.
Атаки, основанные на паролях – атака на компьютерную систему или
сеть, из которой пароль украден и расшифрован.
Управление доступом на основе учетных записей, защищенных
паролем – общий приём, используемый для обеспечения безопасности
в ОС и сетях.
Злоумышленник, получивший доступ к действительной учетной
записи пользователя и паролю, получает права этого пользователя и
может выполнить различные действия, разрешенные для законного
пользователя.

48.

Сетевые угрозы:
48
Атака "отказ от обслуживания" (Denial-of-Service, DoS) – это агрессивное
внешнее воздействие на вычислительную систему с целью доведения её до
отказа.
Под отказом понимается недоступность ресурсов вычислительной системы
для добросовестных пользователей.
Цель DoS-атаки – обрушить на целевую систему огромное количество
фальшивых сообщений, чтобы жертва атаки была занята их обработкой и не
смогла обрабатывать полезный трафик.
Атака с использованием скомпрометированного ключа – происходит, когда
злоумышленник определяет ключ, который является секретным кодом или
числом и используется для шифрования, расшифровки или проверки
секретной информации.

49.

Сетевые угрозы:
49
Атаки на сетевые экраны (файерволы) и системы обнаружения
вторжений (Intrusion Detection System, IDS).
Сетевой экран ограничивает поступление на хост или подсеть
определенных видов трафика для предотвращения вторжений и не
отслеживает вторжения, происходящие внутри сети.
IDS, напротив, пропускает трафик, анализирует его и сигнализирует при
обнаружении подозрительной активности [Dr.Web ,Comodo].
Обнаружение
нарушения
безопасности
проводится
обычно
с
использованием эвристических правил и анализа сигнатур известных
компьютерных атак
Если злоумышленник обнаружит сетевой экран, он может запустить DoSатаку против сетевого экрана, а не против расположенной за ним сети.
Успешная DoS-атака против сетевого экрана равнозначна успешной атаке
против защищаемой сети в том, что противодействует попыткам легитимного
трафика через сетевой экран.

50.

Атаки на сетевые экраны и системы
обнаружения вторжений (IDS).
50
Атаки на сетевые экраны и системы обнаружения вторжений (IDS).
Пример: IP-спуфинг
Брандмауэры работают путем фильтрации сетевого трафика на основе IPадресов.
Компьютеры, расположенные за брандмауэром, обычно имеют
возможность выполнять больше функций, чем ненадежные компьютеры
снаружи.
Злоумышленник отправляет пакеты с подмененными IP-адресами
отправителя. Эти пакеты воспринимаются брандмауэром как исходящие из
внутренней зоны, что позволяет получить больше доступа, чем разрешается
компьютерам снаружи .

51.

Атаки на сетевые экраны и системы
обнаружения вторжений (IDS).
51
Пример: Firewall session table flood
Лавинная отправка пакетов с установленным флагом SYN (подробности
позднее) на диапазон адресов за сетевым экраном с целью исчерпать ресурсы
таблицы сеанса сетевого экрана и, тем самым, лишить ресурсов законный
трафик, проходящий через сетевой экран.
Таблица сеанса сетевого экрана включает в себя записи, содержащие IPадреcа и номера портов отправителя и получателя.
Брандмауэр ищет для каждого полученного пакета соответствующую
запись в таблице сеанса.
Пакеты уже установленного сеанса проверяются по таблице сеанса
постоянно на протяжении всего общения.
Производительность брандмауэра зависит от производительности
обработки таблицы сеанса.

52.

Угрозы для компьютера
52
Атаки при помощи вредоносного программного обеспечения.
Вирусы, черви, троянские кони и др. Распространение через
съемные носители, социальные сети, электронную почту, webсайты, пиратское ПО.
Получение отпечатка (Footprinting) – процесс получения общих
данных о цели атаки: карты компьютерной сети, содержащей
список хостов, их доменные имена, адреса, открытые порты,
используемые ОС и т.п.
Процесс непрерывный и итеративный, является первым
активным шагом на этапе разведки безопасности внешней сети
Атаки на пароли – похищение и раскрытие пароля с помощью
специальной программы

53.

Угрозы для компьютера
53
Атаки «отказ от обслуживания».
Выполнение произвольного кода (Arbitrary code execution) –
способность атакующего выполнить по своему усмотрению
любую команду на целевой машине или в целевом процессе.
Уязвимость выполнения произвольного кода – ошибка в
программном обеспечении, позволяющую злоумышленнику
выполнить произвольный код.
Программа, предназначенная
уязвимости, называется
для
использования
эксплойтом произвольного выполнения кода.
См. периодически выпускаемые исправления Microsoft
такой

54.

Угрозы для компьютера
54
Несанкционированный доступ – получение пользователем или программой
доступа к ресурсу в нарушение правил разграничения доступа,
установленных в соответствии с политикой безопасности.
Повышение привилегий (Privilege escalation) – тип проникновения, который
использует ошибки программирования или недостатки дизайна, чтобы
предоставить злоумышленнику повышенный доступ к сети и связанным с
ней данным и приложениям.
Функция или дефект, который позволяет скрытый доступ к данным. Метод
обхода обычной проверки подлинности для получения доступа к
операционной системе или сложному приложению. Часто создается для
различных целей в процессе разработки ОС или приложения и удаляется в
готовой версии программного продукта –
Бэкдор (Backdoor, лазейка)

55.

Угрозы для приложений
55
Неправильные данные – данные, не соответствующие
требованиям; данные, представленные в неподходящем
формате.
Пример.
По
данным
лаборатории
Касперского
(https://threats.kaspersky.com/ru/vulnerability/KLA10850/) в движке
Blink, применяемом в браузере Google Chrome (версий более
ранних, чем 52.0.2743.116) для отображения web-страниц,
содержится уязвимость, вызванная неправильным копированием
буферов данных
Указанная уязвимость может быть использована удаленно с
помощью специально разработанного сценария JavaScript, чтобы
вызвать отказ в обслуживании или какое-либо иное воздействие

56.

Угрозы для приложений
56
Атаки аутентификации и авторизации.
Целью атак данного типа является процесс аутентификации,
который приложение использует для проверки подлинности
пользователя, сервиса или приложения.
Типичный объект атак указанного типа – web-приложение,
выполняющееся на web-сервере.
В этом случае можно выделить следующие типы атак
аутентификации.

57.

Угрозы для приложений
57
Атаки аутентификации и авторизации
Атака грубой силы – позволяет злоумышленнику угадать имя
пользователя, пароль, номер кредитной карты или криптографический
ключ, используя автоматизированный перебор методом проб и ошибок
Недостаточная аутентификация – данная уязвимость возникает
тогда, когда приложение (веб-сервер) позволяет атакующему получать
доступ к важной информации или функциям сервера без должной
аутентификации
Небезопасное
восстановление
паролей

позволяет
злоумышленникам получить доступ к web-сайту, который предоставляет
им возможность незаконно получать, изменять или восстанавливать
пароль другого пользователя

58.

Угрозы для приложений
58
Небезопасная конфигурация
В самых различных программных компонентах – операционной
системе, web-серверах, серверах баз данных, почтовых серверах
и т.д. – постоянно находят различные уязвимости.
Поэтому программное обеспечение должно быть в актуальном
состоянии.
Пример. Настройки по умолчанию компонентов web-сервера
зачастую небезопасны и открывают возможности для атаки.

59.

Угрозы для приложений
59
Раскрытие информации – открытие информации лицам, которые обычно
не имеют к ней доступа.
Раскрытие информации позволяет злоумышленнику получить ценную
информацию о системе, поэтому всегда следует обдумывать, какую
информацию можно показывать, и может ли она быть использована
злоумышленником.
Пример.
При передаче сообщений по протоколу HTTP следует помнить, что
безопасность на уровне сообщений не защищает заголовки HTTP
Единственный способ защитить заголовки HTTP — использовать протокол
HTTPS вместо HTTP
При передаче данных по HTTPS шифруется всё сообщение, включая
заголовки HTTP, с использованием протокола Secure Sockets Layer (SSL)

60.

Угрозы для приложений
60
Недочеты системы аутентификации и хранения сеансов.
Cookie.
Пример.
Протокол HTTP не отслеживает состояние сеанса.
Для того, чтобы различать пользователей, web-приложение
использует так называемые сеансовые куки (session cookie)

61.

Угрозы для приложений
61
Пользователь проходит авторизацию на web-сервере, вводя логин и
пароль.
Web-приложение
посылает
пользователю
специальный
идентификатор – cookie, который сохраняется в хранилище браузера.
Браузер в дальнейшем предъявляет полученный cookie серверу при
каждом запросе страницы web-приложения – так web-приложение
понимает, что пользователь уже был аутентифицирован ранее.
В
случае,
если
идентификатор
пользователя
украдет
злоумышленник, а в системе не были реализованы проверки, например,
IP-адреса сессии, или проверки наличия более одного соединения в
одной сессии, злоумышленник сможет получить доступ в систему с
правами аккаунта данного пользователя.

62.

Переполнение буфера
62
Компьютерные программы часто читают блоки данных с диска,
из сети, с клавиатуры и размещают их в выделенных блоках
памяти – буферах. Переполнение буфера происходит, когда
выполняется запись или чтение объёма данных большего, чем
вмещает буфер.
Основная причина переполнения буфера – плохой стиль
кодирования (особенно это касается C и C++), отсутствие
защищенных и простых в использовании строковых функций.

63.

Переполнение буфера
63
Многие языки программирования высокого уровня
(BASIC, Java, Perl, C# и др.) во время исполнения
проверяют границы массива, многие из них имеют ещё и
собственный удобный строковый тип данных.
Но! Большинство операционных систем написаны на C,
т.е. подвержены угрозе переполнения буфера.

64.

Переполнение буфера
64
Проблемы, связанные с переполнением буфера
включают в себя:
1. Переполнение стека;
2. Переполнение кучи;
3. Ошибки индексации массива;
4. Ошибки в строках форматирования;
5. Несовпадение размеров буфера при использовании
Unicode и ANSI.

65.

Переполнение буфера
Стек
Динамически распределяемая
область памяти (куча, heap)
Глобальные переменные
Код программы
65
Стек
используется
для
хранения текущего состояния
процессора, адресов возврата
функций, аргументов функций,
локальных переменных и т.п.
Куча – область памяти,
используемая для размещения
динамически
создаваемых
структур данных.

66.

66
Пример использования переполнения стека
для
выполнения
произвольного
кода
(StackOverrun.c).
(Комментарий к тексту примера)
Локальные
переменные f()
Аргумент функции f()
Адрес возврата
Стек до вызова
функции f()
Стек содержит адрес возврата, аргументы
и
локальные
переменные
вызываемой
функции
Стек до вызова
функции f()

67.

67
Угрозы для приложений
Переполнение буфера
Комментарий к тексту примера
Запускаем программу
StackOverrun.exe
и
передаем ей в качестве
аргумента
строку,
содержащую не более 10
символов:

68.

Если программе StackOverrun передать строку размером больше 10
символов, то часть её символов, не поместившаяся в буфер buf, может
перезаписать исходное содержимое стека, в том числе и адрес возврата
Наша задача подобрать такую входную строку, чтобы адрес возврата
совпадал с адресом функции malware().
Запустим программу StackOverrun, передав ей длинную строку:
StackOverrun.exe ABCDEFGHIJKLMNOPQRSTUVWXYZ
Программа
завершится
аварийно:
68

69.

69

70.

Откроем оснастку Администрирование\Просмотр событий и в ней
журнал Журналы Windows\Приложение.
В нем найдем сообщение об аварийно завершившимся приложении:
70

71.

71
Здесь смещение ошибки обозначает адрес, на который было
передано управление после завершения функции f().
Если преобразовать шестнадцатеричное число 0x5a595857 в
символьную форму, то получим последовательность символов
ZYXW — последние четыре символа введенной строки
ABCDEFGHIJKLMNOPQRSTUVWXYZ
перезаписали
адрес
возврата.
Если во входную строку вместо них подставить адрес функции
malware() — 0040137D, то можно ожидать, что он и будет адресом
возврата. Тогда по завершении работы функции f() будет вызвана
функция malware(), которая по логике программы никогда не
должна выполняться.

72.

72
Проблема: с клавиатуры нельзя ввести управляющий символ с
кодом 13 .
Возможное решение: написать скрипт на языке perl, который
формирует нужную входную строку, вызывает программу и
передает ей сформированную строку в качестве аргумента =>
необходимо иметь установленный в системе интерпретатор языка
perl.
Файл perl-сценария HackOverrun.pl для данного конкретного
случая может содержать следующий код:
$arg = "ABCDEFGHIJKLMNOPQRSTUV"."\x7D\x13\x40\x00";
$cmd = "StackOverrun ".$arg;
system($cmd);

73.

Запускаем сценарий HackOverrun.pl:
73

74.

Тот же пример, скомпилированный и запущенный в среде Linux CentOS 7:
74

75.

75

76.

Найдем точку в адресном пространстве программы StackOverrun, в которой
произошла ошибка.
Откроем в текстовом редакторе файл /var/log/messages и найдем в нем
запись, относящуюся к StackOverrun.
76

77.

77

78.

78
Из журнала видно, что ошибка в программе StackOverrun во время её
выполнения произошла в точке 315a59 (запись в шестнадцатеричной
системе счисления) – адрес, на который было передано управление
после завершения функции f().
Если преобразовать шестнадцатеричное число 0x315a59 в
символьную форму, то получим последовательность символов 1ZY –
последние
три
символа
введенной
строки
ABCDEFGHIJKLMNOPQRSTUVWXYZ1 перезаписали адрес возврата.
Если во входную строку вместо них подставить адрес функции
malware() — 0x4005f8, то можно ожидать, что он и будет адресом
возврата. Тогда по завершении работы функции f() будет вызвана
функция malware(), которая по логике программы никогда не должна
выполняться.

79.

Текст perl-сценария HackOverrun.pl, запускающего программу
StackOverrun, можно записать следующим образом:
#!/usr/bin/perl
$arg =
"ABCDEFGHIJKLMNOPQRSTUVWX"."\xf8\x05\x40";
$cmd = "./StackOverrun ".$arg;
system($cmd);
79

80.

Запускаем сценарий HackOverrun.pl:
80

81.

81
Подведем итог:
Рассмотренный программный код на языке Perl HackOverrun.pl – это
эксплойт, который использует уязвимость в программе StackOverrun,
позволяя исполняться вредоносному коду, который в обычных условиях
выполняться не должен.
Уязвимость в программе StackOverrun – использование небезопасной
функции strcpy(buf, input) языка C.
Эксплойт работает не всегда, а только при определенных условиях .
Если скомпилировать программу StackOverrun. другим компилятором, то
легко подобрать аргумент, вызывающий выполнение переполнение стека.
Пример: компилятор gcc 8.3.0 в Debian 10.

82.

Угрозы для приложений
82
Криптографические
атаки

призваны
нарушить
безопасность
криптографических алгоритмов и попытаться расшифровать данные без
предварительного доступа к ключу.
SQL инъекция – метод взлома сайтов и программ, работающих с базами
данных, основанный на внедрении в запрос произвольного SQL-кода
Данные, как правило, хранятся в базах данных
Приложения обращаются к системе управления базой данных (СУБД) для
добавления,
изменения,
удаления
данных,
используя
запросы,
сформулированные на языке SQL.
При недостаточной проверке данных от пользователя, злоумышленник
может внедрить в форму Web-интерфейса приложения специальный код,
содержащий фрагмент SQL-запроса.

83.

Активизация уязвимости "SQL Injection" с целью получения 83
несанкционированного доступа к ИС
В ряде случаях уязвимости " SQL Injection " могут иметь место в программах, которые
выполняют функции идентификации и аутентификации пользователя в ИС.
Активизация таких уязвимостей может позволить нарушителю получить
несанкционированный доступ системе путём обхода процедуры аутентификации. В
листинге приведён пример исходного текста уязвимой программы, которая проводит
аутентификацию пользователя на основе пароля.
SQLQuery = "SELECT Username FROM Users WHERE Username = '" &
strUsername & "' AND Password = '" & strPassword & "'"
strAuthCheck = GetQueryResult(SQLQuery)
If strAuthCheck = "" Then
boolAuthenticated = False
Else
boolAuthenticated = True
End If

84.

Активизация уязвимости "SQL Injection" с целью получения
несанкционированного доступа к ИС
84
Алгоритм работы приведённой выше программы выглядит следующим
образом. На основе регистрационного имени и пароля, введённого
пользователем, программа формирует SQL-запрос, текст которого
содержится в переменной SQLQuery. Далее при помощи
сформированного запроса программа проводит в таблице Users
поиск записи, содержащей имя и пароль, введённые пользователем.
Если такая запись находится в таблице, то делается вывод о том, что
аутентифицируемый пользователь зарегистрирован в системе и ему
разрешается доступ к содержимому ИС. Поиск и извлечение
информации из таблицы базы данных осуществляется при помощи
SQL -оператора " SELECT ".

85.

Активизация уязвимости "SQL Injection" с целью получения
несанкционированного доступа к ИС
85
Сущность уязвимости рассмотренной программы состоит в отсутствии
проверки корректности значений регистрационного имени и пароля, вводимых
пользователем. Эти значения содержатся в переменных strUsername и
strPassword, соответственно. Воспользовавшись этой ошибкой разработчика
программы, злоумышленник может путём манипуляциями со значениями
переменных strUsername и strPassword модифицировать SQL-запрос. Так,
например, в случае если нарушитель в качестве регистрационного имени и
пароля введёт значение "'OR ''='", то тогда будет сформирован следующий
SQL -запрос:
"SELECT Username FROM Users WHERE Username = '' OR ''=''
AND Password = '' OR ''='' "
(полужирным шрифтом выделены команды,
нарушителем в исходный SQL-запрос).
которые
внедряются

86.

Активизация уязвимости "SQL Injection" с целью получения
несанкционированного доступа к ИС
86
Поскольку в SQL -запрос были добавлены два новых параметра - "OR ''=''",
то одновременно с поиском пустой учётной записи пользователя в таблице
Users, будет возвращена первая строка таблицы. Поскольку в результате
выполнения функции GetQueryResult будет возвращено непустое значение,
то нарушитель сможет беспрепятственно пройти через процедуру
аутентификации и получить доступ к ИС как легальный пользователь.
Активизация уязвимости "SQL Injection" с целью несанкционированного
извлечения данных из СУБД
Активизация уязвимости "SQL Injection" с целью несанкционированного
изменения данных в СУБД
Активизация уязвимости "SQL Injection" с целью нарушения работоспособности
SQL-сервера

87.

Угрозы для приложений
87
Неправильная обработка ошибок:
Если злоумышленнику доступны для просмотра подробные
внутренние сообщения об ошибках – трассировки стека, дампы
базы данных, коды ошибок, они могут раскрыть такие детали
реализации, которые никогда не должны раскрываться.
Даже если сообщение об ошибках не содержит большого
количества подробностей, оно может раскрывать важные сведения
о том, например, как работает сайт или его структура.

88.

Неправильная обработка ошибок
88
Пример:
Пользователь пытается получить доступ к файлу, который не
существует – обычное сообщение об ошибке "file not found"
пользователь пытается получить доступ к файлу, на который у
него нет доступа – обычное сообщение "access denied"
Пользователь может даже не подозревать о существовании
файла, но сообщения об ошибке могут легко выявлять наличие
или отсутствие недоступных файлов или структуру каталогов
(copy $Bitmap a).

89.

Неправильная обработка ошибок
89
Различные ошибки, часто возникающие в процессе нормальной
работы web-приложения – нехватка памяти, нулевые указатели,
сбой системного вызова, недоступность базы данных, тайм-аут
сети – должны обрабатываться в соответствии с хорошо
продуманной схемой:
1. Пользователю – содержательное сообщение об ошибке.
2. Администратору – диагностическую информацию.
3. Злоумышленнику – никакой полезной информации!

90.

Этичный взлом
90
Этичный взлом (Ethical hacking), тестирование на
проникновение (Penetration Testing) – это процесс
проверки
безопасности
системы
и
обнаружения
уязвимостей,
выполняемый
с
предварительного
разрешения владельца системы…

91.

92.

93.

94.

95.

Благодарю за внимание!
понедельник, 2 марта 2026 г.
English     Русский Правила