Введение: триада CIA и управление рисками

Так, запись у нас началась. Сегодня у нас с вами 2 октября 2017 года, мы приступаем к нашему онлайн- курсу IINS 3.0. Это, ещё раз повторюсь, начальный курс по безопасности, такой вот CCNA Security, дальше сейчас увидим. Поэтому никакой ядерной физики не ждите и не бойтесь. Стоит представиться. Меня зовут Алексей Сапунов, в нашем учебном центре я читаю курсы по сетевым технологиям. На данный момент я действующий CCNP Routing & Switching и CCNA Security, который я сдал пару лет назад. О своих творческих планах говорить пока рано, но я двигаюсь по направлению Routing & Switching в первую очередь. Я работаю системным администратором на предприятии, я

занимаюсь сетью, занимаюсь инфраструктурой, доменом, железом. Кроме того, я работаю в одном из системных интеграторов, также как сетевой инженер, занимаюсь направлением Routing & Switching. И третье моё место работы — это наш замечательный учебный центр. Не только IT Education Academy, прошу прощения, здесь небольшая реклама. Как вы знаете, наших курсов — кто был у нас на курсах, в принципе знают все эти слова — что учиться онлайн удобно, здорово. Как разработан был этот курс: ни для кого не секрет, что за основу мы взяли программу курса компании Cisco, курса IINS 3.0, и немножечко его доработали, немножечко программу экзамена изменили, и я думаю, что получилось

очень неплохо. Дальше — на кого ориентирован курс. Курс необходим инженерам, всем, кто занимается сетями. Скажем так, что во многих отраслях нашей деятельности — я про сетевиков сейчас говорю — иногда безопасность, как бы это ни было обидно, сдвигается на задний план. Про безопасность зачастую вспоминают в последнюю очередь, хотя любой безопасник вам скажет, что безопасность должна стоять на первом месте, и так далее. Можно с этим спорить, можно не спорить, но безопасность — это важно. Поэтому все те, кто занимаются сетью, так или иначе будут связаны с безопасностью, так или иначе с безопасностью должны быть на «ты», должны в этом разбираться. Понятно, что курс ориентирован в первую очередь на оборудование Cisco, но я точно скажу,

что остальные вендоры не так далеко ушли в своих механизмах безопасности от того, о чём мы будем здесь разговаривать. Поэтому после нашего курса, скажем, взять пример — IPsec. IPsec — совершенно стандартная штука, которая реализована наверное у всех, в каждой мыльнице. Поэтому после нашего курса, скажем, с этим механизмом мы будем его просто знать, и нам не будет важно, на оборудовании какого вендора это настраивать. Вообще привязка к вендору — эта штука такая, сами понимаете, привязка к вендору для нас не важна. Предварительные требования: мы выяснили, что CCNA у нас у всех есть, мы это знаем, мы это умеем, и интерес к изучению, конечно, у нас у всех есть. Цели курса ещё раз

проговорим: общее представление о сетевой безопасности — это самая главная часть курса, моя самая любимая, я надеюсь, вам она тоже понравится. Мы поговорим с вами про встроенные механизмы безопасности, которые есть в операционной системе Cisco IOS, про которые может быть кто-то даже не знает, может быть кто-то про них постоянно забывает, но операционная система IOS действительно содержит кучу — если там покопаться, поковыряться, поразбираться — в ней огромное количество механизмов безопасности, которые нужно уметь применять. Нам нужно понимать, зачем они нужны, и ни в коем случае не обходить их стороной. Потому что просто так настроить роутер или коммутатор — это мы можем сделать после курса CCNA, и будет всё прекрасно работать. Но если подходить к этому с точки зрения безопасности, то там ещё очень-

очень много всего интересного. Мы с вами поговорим про канальный уровень, обязательно про коммутацию, про то, как мы можем обеспечить какую-то безопасность на уровне коммутации. Хотя на этом курсе мы не углубимся, если честно, в коммутацию — я могу кого-то разочаровать. Мы здесь не будем MACsec рассматривать или глубоко копать 802.1X. Эти механизмы рассматриваются на более старших курсах, на CCNP Security. Мы научимся работать с файерволом. Самое главное, что касается файерволов: мы поймём, какие бывают файерволы, как они устроены, как они работают. Потому что в настоящее время файервол — это уж очень жирное понятие, которое включает в себя не как 15 лет назад пакетный фильтр с сохранением состояния, а

действительно уже мощнейшие технологии. Мы с вами поговорим про VPN. Мы не будем рассматривать какие-то сложные сценарии VPN, потому что в настоящее время сценариев VPN не так много, но реализаций достаточно, и все их охватить на этом курсе мы тоже не сможем. Это опять же приглашение на более старшие курсы, на CCNP, где есть целый отдельный выделенный курс по VPN. Он раньше VPN назывался, сейчас, если честно, не помню, потому что там очень сложные для запоминания аббревиатуры. Мы с вами поговорим про шифрование, разберёмся с тем, зачем вообще это нужно и где это всё применяется. VPN в первую очередь — это наверное всё-таки про шифрование, а потом уже про всё остальное. Мы немножечко потрогаем с вами устройство Cisco ASA. ASA — это очень-очень классное устройство, но в нашем курсе я

может быть кого-то разочарую — это не курс по ASA, это курс по основам безопасности. Мы с вами научимся первоначальной настройке, разберём некоторые концепции, которые есть в ASA. Я постараюсь, насколько это возможно, не устроить холивар, а просто сравнить — насколько я могу наиболее объективно — ASA и роутеры, и их модели, скажем, модели файервола, в которых они используются. Кластеры, файловеры мы не будем точно делать. Я бы с удовольствием вам рассказал про то, как ASA работает в кластере, но у нас и времени нет, и это всё-таки более старшие курсы. Так что пока без этого. Я надеюсь, что когда-нибудь мы осилим программу CCNP Security — в том смысле «осилим», что мы создадим

по ней авторский курс, и когда-то тоже будем читать. Но сейчас просто сил не хватает и времени, честно скажу. Далее, я постараюсь подготовить вас каким-то образом к экзаменам. Скажите, пожалуйста, кто собирается сдавать экзамен по CCNA Security? Есть такие люди среди нас? Ага, даже не один человек. Давайте, я вам — я всегда совсем честно говорю, не будем кривить душой — скажу честно, что экзамен по безопасности цисковский он не такой простой, как кажется с первого взгляда. И как Андрей пишет: «После мультиков хватит ли знаний на экзамен?» — я боюсь, что нет. Я честно говорю, я не хочу вам врать.

Обычно как курсы построены: существует три таких сущности, которые я для себя уяснил. Я тоже сдавал немало экзаменов в своё время и сейчас готовлюсь к экзамену. Есть три большие сущности: это сам экзамен, есть курс, который должен готовить к этому экзамену, и третья большая сущность, самое наверное интересное — это официальное руководство к этому экзамену. Если мы говорим про CCNA Security, то есть экзамен, есть курс и есть официальное руководство. Официальное руководство наверное не заменит ничто, потому что ни в одном курсе, который я читал, и я слушал, и я видел, и смотрел, нельзя покрыть все темы официального руководства. Официальное руководство к экзамену — оно так основательно раздуто. Я сдавал прошлую версию экзамена, я могу точно сказать, что на прошлом экзамене официальное руководство

перекрывало даже темы, то есть, скажем, там было может быть 120 процентов нужного материала, то есть больше материала, чем требуется на экзамене. На курсе CCNA Security я не могу сказать в процентах, что чего нам не хватает, сколько нам не хватает, но что-то мы можем упустить. До Official Guide — я про это говорю — вполне возможно, что какие-то темы мы просто упустим в курсе. Это важно. Потом, те, кто сдавал экзамены Cisco, прекрасно знают, что в экзаменах могут попасться такие вопросы, просто дурацкие вопросы, скажем откровенно. И вроде бы и в курсе про это всё было, и в официальном руководстве, а вопрос такого порядка, что приходится открывать ещё раз официальное руководство после экзамена и думать: «А где же это было?» И там найдётся полстроки про это дело, а оказывается —

целый вопрос на экзамене. Поэтому я призываю тех, кто собирается сдавать экзамен, всё-таки после курса ещё почитать официальное руководство: может быть пролистать, может быть внимательно какие-то темы почитать. Мы можем что-то упустить, вот так скажу. Про сертификацию: текущий экзамен — это у нас 210-260. Официальное руководство называется точно так же. Курс, если мне не изменяет память, вышел, по-моему, два года назад, и я думаю, что эта версия курса и этого экзамена будет актуальна ещё примерно год, судя по динамике, потому как Cisco обновляет свои экзамены. CCNA Security обновляется примерно раз в три года. Иннокентий меня может поправить, если я ошибаюсь, но где-то вот такие

промежутки. Поэтому на данный момент курс ещё актуален. Связанные курсы и связанные темы в треке Security — вот они, эти самые. Так, мышку видно мою? Прошу прощения, сейчас секундочку. Так, ладно, сейчас разберёмся. Вот эти самые аббревиатуры. Так, что дальше. Дальше существует четыре курса из трека CCNP Security. Они довольно объёмные. Вообще сертификация по безопасности, если сравнивать её со стандартным Routing & Switching, она пожирнее, пообъёмнее. Я не могу сказать, поинтереснее или не поинтереснее — здесь уже зависит от настроя того человека, который готовится к определённому треку.

Но она довольно объёмная. Там целых четыре экзамена, целых четыре больших курса. Курс SENSS, который рассказывает про — если я правильно помню... Я неправильно помню, я вам врать не буду. Используем устройства Cisco для защиты периметра сети. Здесь я врать не буду, я не помню точно. Я точно помню, что SITS — это файервол, IPS. Раньше просто проще было: у них был курс по IPS, курс по файерволу, курс по VPN — три курса. Сейчас они немножко всё перемешали. Файервол и IPS попали в один курс. Курс SESA — он довольно специфический, он по большей части рассказывает про применение продукта Cisco ISE, если вы про такое слышали.

Он такой очень Cisco-ориентированный, я бы сказал. И SIMOS — это бывший курс VPN, довольно интересный. Но пока мы на это не замахиваемся, нам бы с основами разобраться. Сертификация Cisco: сейчас мы с вами в этой пирамидке находимся на самой нижней ступени. IINS подготавливает к уровню CCNA. После успешной сдачи этого экзамена желающий получает сертификат CCNA Security. Существует CCNP, как мы с вами поговорили, и существует также уровень CCIE сертификации в безопасности, который состоит из письменного экзамена и лабы. Я не готовился к CCIE Security,

поэтому рассказывать какие-то ужасы про лабу CCIE Security просто не имею права. Я не думаю, что она страшнее, чем остальные лабы. Программа курса — ещё раз сейчас бегло пробежимся по темам курса и посмотрим, что же нам будет интересно. Основы безопасности — это у нас наверное будут первые целые два дня. Защита от угроз, основные понятия про политики безопасности — обязательно поговорим. Вообще политика безопасности — штука невероятно важная и невероятно интересная, но её ни у кого нет, если честно говорить. Поговорим про основы криптографии в нашем таком вводном двухдневном блоке. Затем перейдём уже к технической части, поговорим про three planes —

про эту концепцию. Поговорим про защиту control plane, протоколов управления, management plane. Поговорим про защиту data plane. Потом мы с вами немножечко покопаемся с файерволами. В этом курсе, вообще во всём курсе, упор сделан не на Cisco ASA, а на IOS. Файервол на роутерах мы с вами будем, я думаю, достаточно подробно разбирать. Забегая вперёд, скажу, что ничего там сложного нет, но на первый взгляд он кажется совершенно каким-то монструозным, совершенно непонятным — что к чему. На самом деле там всё просто, и если разложить это по полочкам, если взять табличку в Excel — и мы с вами будем в Excel рисовать, я вас научу, если кому-то интересно — то всё становится логичным, понятным, классным. Я сам в своей

инфраструктуре у себя на работе использую этот самый Zone-Based Firewall, которого многие почему-то боятся. И разобравшись в принципе с ZBF, с этим файерволом, вы поймёте очень много таких интересных концепций, которые у Cisco будут применяться и дальше. Они применяются в ASA-файерволе, тем, кто будет работать потом с FirePOWER, например, в нём тоже те же самые механизмы — они очень похожи. Поэтому эту тему мы копнём поглубже. С ASA, я уже сказал, мы поиграемся, но опять же это CCNA, ничего сложного здесь не будет. Но кому-то покажется может быть непривычным после роутеров — там немножечко, совсем немножечко, всё не так. Поговорим про IPsec. К сожалению, у меня нет математического образования, поэтому — может быть, к счастью — у меня нет математического образования, как у некоторых из нас. Поэтому мы не будем уж совсем

углубляться в алгоритмы шифрования, но что-то про них нам обязательно нужно будет узнать, всё это дело проработать и понять. Соответственно, с IPsec мы с вами поработаем. Обзор технологии IPS: про IPS раньше, я скажу, в прошлой версии курса IINS 2.0 и в экзамене была очень большая толстая тема по IPS с настройкой IPS на роутере, там всё по-взрослому было. К сожалению, Cisco в этой версии курса IPS совсем сократила до минимума. Но так как тема интересная, тема прикольная, я думаю, что мы тоже её достаточно подробно — насколько позволяет CCNA — разберём. Я думаю, что лабу поделаем даже. На прошлом курсе там было очень весело, все тащились от IPS на роутере. Он это правда работает, это правда

здорово, так что я думаю, что вам понравится. И закончим наш курс тем, что, как всегда, ни для кого не секрет, Cisco в конце курса, в последний модуль, добавляет очень много материала, который является своеобразной такой, в кавычках, «рекламой» следующих курсов. Мы поговорим про тот же ASA чуть-чуть — совсем что это такое, зачем он нужен. Поговорим про MACsec, про что-то ещё. Много всяких тем обзорно с вами рассмотрим: что это бывает, зачем это нужно и вообще нравится нам это или не нравится, чтобы потом идти уже на CCNP Security. С этим, я думаю, вы знакомы. В лабораторных наших работах через пару дней со всем познакомитесь. Устройства: мы будем

работать с маршрутизаторами, с коммутаторами и с ASA. Ещё у нас есть Windows. В прошлой версии ещё был Linux, но так как Linux не все любят и наверное не все знают, мы решили с Linux в этот раз не связываться. Хотя если кто-то есть фанат — я могу и Linux запилить, но я бы не стал. Про лабораторные работы Иннокентий уже говорил. На этом курсе мы будем рассматривать 15-ю версию IOS и на коммутаторах, и на маршрутизаторах. ASA у нас сейчас 9-я — не буду врать по версии ASA, она одна из последних. У нас сейчас процесс подготовки, и мы не будем рассматривать

старую древнюю ASA какой-нибудь 8.4, которую иногда до сих пор любят. Мы будем на новой работать. Так, я ставлю на паузу. Первый модуль, в котором — запись идёт, Андрей, не волнуйтесь — первый модуль, в котором мы с вами говорим об основных понятиях безопасности. И сейчас отвлечёмся вообще от всего технического: от операционной системы IOS, Cisco ASA и так далее. Мы сейчас это можем всё забыть на ближайшие несколько часов и погрузиться в совершенно другой мир, где мы будем рассматривать интересные концепции в отрыве вообще от всякого железа — нам это не интересно сейчас. Но для начала — слово «риск». Вся безопасность — я не говорю только про информационную безопасность, я говорю

просто про слово «безопасность» — она связана с рисками. Прошу прощения, у кого проблемы со слайдами, кроме Кирилла? Кубики все видят? Технические проблемы решили? Давайте поговорим немножечко про риски. Риск — это то, с чем в первую очередь сталкиваются люди, завязанные на безопасности. Это самая наверное основная такая концепция безопасности — риск. Всё время мы слышим это слово: риск, рискуем, не рискуем чем-то. Но внятно объяснить и формализовать это понятие может не каждый. Кстати,

мы с вами сейчас примерно для себя уясним, что такое риск. Риск — это вероятность того, что какая-то конкретная угроза — смотрите, слово «конкретная» здесь ключевое. Нельзя говорить — хотя мы сейчас уйдём в область такой философии — можно говорить и про какие-то расплывчатые вещи, но вообще чем больше конкретики в нашем с вами деле, тем лучше. Так вот, риск — это вероятность того, что какая-то конкретная угроза, с использованием конкретной атаки, конкретных инструментов, используя определённую уязвимость активов — что такое активы, мы с вами сейчас будем говорить через пару минут — всё это может привести к каким-то нежелательным последствиям. Нежелательные последствия могут быть

абсолютно разные. Лучше их обозначить словом «потери». Это могут быть финансовые потери, потери данных, репутационные потери — какие угодно. То есть риск — это когда мы можем что-то потерять из-за чего-то. Риск означает то, что есть что-то такое, чем мы рискуем. Если говорить про сетевую безопасность: если у нас нет сети на предприятии, у нас просто стоят компьютеры отдельно, у нас нет никакой сети — соответственно, рисков, связанных с сетевой безопасностью, у нас тоже нет. Риск означает именно то, что нам действительно есть чем рисковать и ради чего рисковать. Стоимость риска, вероятность атаки, вероятность наступления каких-то событий — это всё формализуемо, это всё можно

посчитать. Последняя строчка слайда говорит, что это точная наука, это не казино. Мы можем посчитать практически всё, вообще всё. Если мы что-то посчитать, просчитать не можем — это уже не найти, это уже получается какой-то детский сад. Мы должны уметь всё это считать, и как считать те же самые риски — я тоже чуть-чуть объясню. Давайте сейчас от риска чуть-чуть отъедем и поговорим про терминологию. В безопасности существует огромное количество терминов, с которыми нам нужно свыкнуться, с которыми мы будем всё время работать. И самое главное — называть вещи своими именами. Итак, во-первых, это данные. Здесь наверно надо говорить не про данные, а про активы. Я немножко забегу вперёд: у нас есть слово «актив».

Актив — это одно из ключевых понятий безопасности, которое будет обозначать всё то, чем мы дорожим, всё то, к чему мы применяем риски. Любая сущность: данные, бумажная документация, наша репутация, люди, которые у нас работают, наша недвижимость, наши деньги, наши плюшевые мишки, которые стоят на полке в спальне у детей — это всё активы. Актив — это то, что мы с вами будем защищать. В нашей епархии, в сетевой безопасности, актив, конечно, это данные. Какие бывают данные: все данные так или иначе можно разделить на две категории. Данные

бывают в состоянии покоя и в момент перемещения. Данные в состоянии покоя — это те данные, которые никуда не движутся, которые лежат где-то в одном месте: на жёстком диске, либо это данные, список, написанный от руки на бумаге с поставленной печатью — это тоже данные в состоянии покоя. Данные на магнитных лентах на складе с бэкапами — это данные в состоянии покоя. Почему мы разделяем вообще понятие таких данных и таких данных: каждый тип данных нуждается в своих механизмах защиты, в своей защите. И данные в момент перемещения — данные, которые прямо сейчас, в настоящий момент, у нас куда-то перемещаются — они выносятся в отдельную категорию. Их также нужно по-своему защищать и с ними нужно работать не так, как

с данными, которые лежат, скажем, на жёстком диске. Данные в момент перемещения — это любой битовый поток, который идёт по сети. Это бумаги в портфеле у курьера, который едет на другой конец города — это тоже данные в момент перемещения. Их тоже нужно защищать — там вооружённой охраной, например. Так что стоит разделять два типа данных, к ним применяются разные механизмы. Иногда эти механизмы могут пересекаться. Например, шифрование: шифрование мы можем применять и к данным, которые перемещаются по сети, и к данным, которые хранятся на жёстком диске. Либо какой-то свой уже совершенно конкретный механизм защиты, например, парольная защита. Парольную защиту — мы понимаем, что применить её к данным, которые перемещаются по сети, как-то непонятно: как поставить пароль на файл, который едет по сети, чтобы без этого пароля

файл не мог перемещаться по сети? Но, скажем, запаролить какие-то данные, какой-то раздел на жёстком диске — мы можем, почему нет, сделать парольный доступ к нему. Так что механизмы у нас есть совершенно разные. Дальше — главные задачи безопасности. Есть такая аббревиатура CIA. Она похожа немножко на Центральное разведывательное управление Соединённых Штатов, но это совершенно другое. Есть три главных задачи, которые будет решать безопасность. Давайте сразу будем разбирать их. Смотрите, главные задачи безопасности: почему они главные — любая сторона безопасности, любой механизм, любая технология будет так или иначе выполнять эти

задачи. Может быть сразу три задачи, может быть одну задачу. Но как только мы обсуждаем какую-то технологию безопасности, надо сразу говорить, какие задачи она выполняет. Этих задач на самом деле не так много — всего три. Так или иначе они могут пересекаться, могут быть по отдельности, но эти три буквы надо всегда в голове держать. Первое — это конфиденциальность. Конфиденциальность означает, что никто, кроме допущенных лиц — я говорю здесь «лица», имея в виду людей, но это могут быть не обязательно живые люди, это могут быть какие-то системы, почему нет — никто, кроме доверенных лиц, не может получить доступ к этим данным, никто не может прочитать эту информацию. Это называется конфиденциальность. Вторая задача, вторая главная концепция — это целостность. Почему целостность

важна? Целостность — это, грубо говоря, целостность данных, это наша уверенность в том, что данные не были изменены кем-либо. Как только нарушается целостность данных — она очень важна — как только мы видим нарушение этой целостности, значит, была нарушена и конфиденциальность каким-то образом. Может быть, если в файле изменена одна буква, один байт, один бит — целостность файла нарушена, мы уже не можем быть уверены, что наши данные в безопасности. Поэтому целостность — штука достаточно важная, и есть куча механизмов безопасности, которые будут опираться именно на целостность данных. Мы с вами дальше будем говорить, например, не про IPsec даже, будем говорить о защите протоколов динамической маршрутизации. К примеру, сообщения протокола OSPF —

их не обязательно шифровать, достаточно всего лишь просто проверить целостность этих сообщений, целостность передаваемой информации. И по изменению этой целостности мы с вами будем понимать: пришли от надёжного источника эти данные, либо эти данные были где-то по пути перехвачены, подделаны, и неизвестно, что с ними. Так что вторая штука — это целостность. И третья задача безопасности — это доступность. Доступность, как правило, не упоминают в числе главных задач. Многие даже — многие люди, которые говорят о безопасности в нашем секторе, может быть, на предприятии, когда кто-то рассказывает о безопасности, про доступность зачастую просто забывают. На самом деле штука действительно важная, и это одна из трёх главных задач.

Доступность данных означает всего лишь навсего, что нужная нам информация должна быть доступна для чтения, может быть для записи, для перемещения. Мы не должны потерять к ней доступ, мы не должны упустить её из виду. Сейчас я проговорю и потом ещё раз вернусь. Доступность информации — она доступна, может быть даже физически. Потому что если директор или главный бухгалтер потеряет ключ от сейфа, где хранятся деньги либо какая-то важная информация — любой актив, — то этот актив становится бесполезным. Зачем нам деньги, которые лежат в сейфе, или какие-то документы, ключ от которого потерян? Во-первых, актив становится бесполезным, а во-вторых, безопасность тоже страдает от этого, потому что

что может случиться с компанией, у которой нет прямо сейчас, в настоящий момент, денег, чтобы расплатиться с кредиторами? Что случится с какой-то важной системой, которая не получила вовремя свои данные? Что угодно может случиться, и на безопасность это влияет очень напрямую, даже не косвенно. Чем конфиденциальность отличается от целостности? Глеб, смотрите: конфиденциальность — это наша уверенность... Сейчас я попытаюсь сформулировать простыми словами. Конфиденциальность — это уверенность, что никто эти данные вообще не прочитает. Например, шифрование — шифрование обеспечивает именно конфиденциальность. Когда мы передаём файл зашифрованный по сети, мы точно знаем и точно уверены, что никто этот файл не прочитает. А

целостность — это уже проверка, если говорить про проверку, это проверка постфактум. Когда мы передаём файл по сети, например, не зашифрованный, то конечно мы будем проверять его целостность. И мы — может случиться так, что мы не можем зашифровать данные, мы не можем обеспечить конфиденциальность стопроцентно. Бывают и такие случаи. Нам остаётся проверить только целостность. В данном случае проверять целостность файлов — это очень полезная вещь. То есть конфиденциальность — когда мы пишем письмо любовнице: мы не хотим, чтобы жена прочитала — это конфиденциальность. А целостность — это когда мы написали письмо любовнице, но мы не хотим, чтобы жена его изменила каким-то образом. Можно в принципе и так сказать, с натяжкой, что конфиденциальность — это про чтение, а целостность — это про запись, про изменение.

Можно в принципе и так. Почему я в самом начале нашего с вами знакомства, нашей беседы, говорил, что эта часть курса она самая интересная — потому что здесь мы начинаем пускаться в такие рассуждения, и кто знает, куда приведёт нас беседа. Так, с этим всё понятно. Я вас очень прошу: если что-то вдруг становится непонятным — говорите сразу, и мы будем рассуждать, будем разбираться. Знаете, мем такой есть сетевой: «Давайте разбираться». Окей, с чем работают безопасники? Мы дальше всё про терминологию говорим. Мы работаем с вами с активами. Так, сейчас секундочку. Никита в чате пишет — целостность это про то, что письмо не было изменено, без подделок. Всё правильно, мы удостоверяемся, что мы получили ту информацию, которую нам отправили.

С чем работают безопасники? Активы. Мы поговорили про то, что актив — это то, что мы с вами защищаем. Активы могут быть материальные, могут быть нематериальные. Мы с вами чуть подальше поговорим про классификацию информации, про классификацию активов. Что такое актив, мы разобрались. Угрозы. Угрозы — это то, что угрожает нашему активу. Угрозы могут быть — мы дальше будем говорить про них очень подробно, но, скажем так, угроза может быть физическая: угроза наводнения, или угроза того, что злые хакеры проникнут в какую-то нашу систему, что-то сделают. Угроза — это то, что направлено на причинение вреда нашим активам. Мы так более широко, абстрактно разговариваем.

Уязвимости. Уязвимость — это то, что будет эксплуатировать угроза с целью нанести вред нашим активам. Я сейчас уже начинаю разговаривать в этих терминах. Может быть, это сразу так непонятно, то есть любой актив может иметь какие-то уязвимости. Это может быть плохой замок в серверной, который открывается зубочисткой, либо это может быть какая-то ошибка программистов, которую они допустили в корпоративном программном обеспечении, которую можно найти, можно использовать и направить угрозу на наш актив. Это называется уязвимости. Эксплойты — это уже штука более приземлённая. Эксплойт — это инструмент, с помощью которого мы будем эксплуатировать нашу уязвимость. Эксплойт — это может быть программа,

с помощью которой мы будем направлять какой-то вредоносный трафик. Используя известную уязвимость в нашем веб-сервере, эксплойт — это будет программа, которая будет долбиться в эту уязвимость, чтобы нашему веб-серверу — а веб-сервер это актив — причинить вред какой-то, чтобы мы потеряли деньги, потеряли наш актив. Да, Михаил, прошу прощения, оговорился. Здесь на самом деле в прошлой версии курса был такой интересный слайд, я не помню, что-то типа «Думай как твой противник», как-то он так назывался. И надо было ставить себя всё время на место злоумышленника. Так что если я здесь оговариваюсь, что мы используем эксплойты и мы эксплуатируем уязвимости, то это тоже нормально, потому что надо думать за двоих всё время в безопасности, так и

последний наш термин новый — это меры противодействия эксплойт нет, эксплойт не создаёт угрозу эксплойт — это конкретный инструмент, например замок в нашей серверной который имеет уязвимость, у которого там что-то внутри сломано, человек, который хочет взломать какой-то вор, злоумышленник — это будет угроза и сам взлом — это будет угроза взлома, а зубочистка, с помощью которой он будет ковырять наш замок серверный, открывать — это эксплойт, сама зубочистка эксплойт — это инструмент, с помощью которого будет эксплуатироваться наша уязвимость сейчас может Никита меня поправит и какое-то ещё определение придумает да, уязвимость — способ, которым можно применить эксплойт, уязвимость — как раз такое слово, она

достаточно понятна, это то, с помощью чего мы можем нанести какой-то вред нашему активу очень важно понимать, кстати, что уязвимость — это вещь, которая изначально содержится в нашем активе которая содержится с нашей стороны, уязвимость — это не то, что принёс нам злоумышленник что он будет там с какой-то своей стороны, уязвимость — она у нас, это дырка к нам основная концепция уязвимости — это то, чем мы с вами уязвимы не злоумышленник, не угроза, уязвимость не может исходить со стороны угрозы да, всё правильно, Никита пишет: мы сами виноваты, что поставили такой замок, который открывается зубочисткой, мы сами создали себе уязвимость и меры противодействия — это те меры, которые мы будем с вами принимать для того, чтобы

защищать наши активы здесь стоит оговориться, я честно вам скажу, не помню, будет ли дальше на слайдах такая фраза или не будет но стоит вот о чём оговориться каждый актив имеет свою стоимость, это понятно всем материальный, нематериальный — неважно какой, мы с вами говорили, что IT — это точная наука, это не казино и не что-то другое здесь всё имеет свою стоимость, и эта стоимость будет выражена в деньгах, как ни странно любой актив будет оцениваться в денежном эквиваленте хотя оценивать мы можем в любых единицах, но так принято у нас в мире вообще в мире, в бизнесе все активы оцениваются в деньгах, так вот меры противодействия никогда не должны быть дороже, чем сам актив

иначе они будут просто бесполезными мы можем с вами тратить на безопасность какие-то бешеные деньги вливать огромные суммы в безопасность нашей сети, давайте уж про сети говорить, но если в нашей сети информация стоит 100 рублей российских, обычных, а мы тратим на защиту этой самой информации миллион рублей ежегодно, то такие меры противодействия просто бессмысленны вообще бессмысленны, надо всегда чётко понимать, это не только должны понимать собственники предприятий, которые вкладывают деньги в безопасность, мы должны понимать в первую очередь и безопасники если наши активы стоят дешевле, чем меры противодействия, чем оборудование, там файрволы, которые мы можем купить за бешеные деньги

классные есть, дорогие, правда, то это бесполезно всё если информация стоит дёшево, то и защищать её надо такими доступными средствами, может быть бесплатными какими-то средствами, программными, я не знаю всегда можно на чём-то сэкономить поэтому здесь штука такая вопрос очень скользкий, вопрос интересный и обсуждать этот вопрос можно очень долго но надо просто уметь считать деньги даже если вы работаете системным администратором в очень маленькой компании, у которой стоит три компьютера надо уметь обсуждать с начальством именно денежные вопросы надо понимать, сколько стоят активы зачастую я много работаю в разных сферах бизнеса не как бизнесмен, как инженер

зачастую очень сложно выяснить, сколько стоят активы, и это не секрет для кого-то очень часто, когда ты приходишь к генеральному директору и говоришь: слушайте, у меня на этот год я запланировал поставить новый файрвол, потому что старый файрвол уже не справляется, у него и пропускная способность не такая, и как-то уже надо всё-таки развиваться, у нас было 10 компьютеров, а стало 200 компьютеров и очень сложно у директора спросить, сколько стоят наши активы, сколько мне закладывать денег на это я думаю, что многие с этим сталкивались, и директор просто скрывает, отговаривается, что это не стоит, это всё ерунда, вот тебе 10 рублей, иди отсюда, мальчик но потом возможно потом последствия могут быть разные, этот вопрос такой, или наоборот говорит, что у нас миллиард активов но денег всё равно не даёт

так что держите в уме просто этот момент, когда если вы будете заниматься каким-то проектированием в дальнейшем систем безопасности проектирование систем безопасности просто звучит громко, на самом деле закупка офисного антивируса на 10 компьютеров — это тоже проектирование систем безопасности, я говорю про любое проектирование если даже вы занимаетесь таким минимальным проектированием систем безопасности, всегда понимайте, сколько стоят ваши активы, активы должны оцениваться, и об этом люди, которые занимаются безопасностью, должны знать если они не знают этого, то здесь что-то может не срастись, давайте дальше тема интересная, такая животрепещущая тема про бумажки, кстати, Глеб, мы будем дальше разговаривать, я забегаю вперёд, скажу, что

в безопасности, сетевой безопасности, в любой вообще, бумага — это главное главнее бумаги нет ничего да Андрей очень правильно заметил: Алиса, Боб, Ева — кто все эти люди про это опять же термины терминологии в безопасности вы уже увидели, их на самом деле много, и эти люди — Алиса, Боб и Ева — это тоже термины, которые будут использоваться в безопасности эти термины придуманы не 10 лет назад и не 20, придуманы очень-очень давно я не буду врать когда кстати интересный вопрос кто эти люди, как правило, во всех вопросах, связанных с безопасностью фигурирует, упрощённо фигурируют два человека: А и Б, Алиса и Боб

например, когда передаёт кто-то кому-то какую-то информацию так принято во всём мире, эти два субъекта, да, не человека — субъекта, Иннокентий, спасибо так принято, вы везде встретите эти имена, что субъект А и субъект Б, которые передают какие-то данные, например, друг другу взаимодействуют как-то, они всегда будут называться Алиса и Боб к гадалке не ходи, откройте любой источник говорящий про что-нибудь про шифрование, это на любом языке всегда будет Алиса и Боб, так в мире сложилось, и есть ещё Ева именем Ева, как правило, всегда будет обозначаться злоумышленник, Алиса и Боб передают какие-то данные друг другу, Ева их всегда будет перехватывать, Ева — это кто-то плохой есть ещё Мэлори, на самом деле там их много

я, по-моему, в книге то ли у Брюса Шнайера по шифрованию, по криптографии, то ли ещё у кого-то, там очень много имён приведено, там для всех имена придуманы Иннокентий правильно говорит: Ева подслушивает, Мэлори активно модифицирует, как правило я часто вижу, что просто Еву пишут — злоумышленник, и всё, если мы видим Еву — это значит кто-то плохой система, человек, субъект, Алиса, Боб и Ева — это будет три таких вымышленных персонажа, с которыми мы весь курс будем работать, и потом вы будете сталкиваться ещё постоянно поехали дальше, ещё какие-то вопросы у нас остались Михаил говорит: в новых книжках Cisco их уже переименовали, а как, Миш? Бэтмен и Робин? Всё серьёзно, что ли? ох, ничего себе, это правда, что ли?

кто-нибудь читал новые книжки Cisco? у меня появилось только желание, чтобы вечерком сейчас, как мы курс закончим, какую книжку открыть, я открою, посмотрю, да Бэтмен, Робин — это вообще непонятно, непонятно зачем такие переименования да, они будут негры нетрадиционной ориентации, инвалидами социально незащищённые, ладно, давайте дальше классификация, опять же, CIA — confidentiality, integrity, availability — конфиденциальность, целостность да, да, да, всё правильно давайте дальше, у меня такой стиль объяснения, я надеюсь, вас это не будет бесить, мне один человек на курсах

Cisco пару лет назад сказал, что его бесит, потому что я постоянно возвращаюсь назад, всё время говорю какую-то тему, говорю: помните, там пять минут назад мы говорили про это, а это вот это и есть, извините, я так всегда объясняю мы с вами говорили несколько слайдов назад про то, что IT — точная наука про то, что мы мы должны, не можем, а должны быть очень точными в своих определениях, в своей работе поэтому всё, что касается безопасности, мы с вами должны классифицировать классификация всего — это действительно важная штука если бы не было вообще такой штуки, как классификация, мы бы ничего объяснить не могли, мы бы не могли ничего ни защитить, ни заработать денег, ни потратить денег, вообще ничего невозможно поэтому

классификация действительно важна мы должны научиться с вами классифицировать вообще всё вы вы прекрасно знаете, на тех же курсах Cisco, или кто сейчас или до этого учился на Cisco, там тоже постоянно что-то классифицируется, если мы говорим про протоколы динамической маршрутизации, мы классифицируем: дистанционно-векторные, link state, мы постоянно, всё время какую-то классификацию в это вводим, иначе мы просто запутаемся и не будем отличать одно от другого поэтому в безопасности мы с вами тоже постоянно будем всё классифицировать во-первых, это классификация активов активы, мы уже с вами поговорили про то, что могут быть совершенно разными, всё, что мы защищаем, — всё активы: информация, не информация, люди, я не знаю, плюшевые мишки — это всё активы, и самое главное, что они поддаются классификации я думаю, что

классифицировать всё можно классифицировать, морскую воду можно в океане тоже классифицировать по химическому составу здесь она такая, здесь она такая информация информация — это самый главный наш актив, самый важный, и и любая информация должна быть классифицирована на следующих слайдах будем про классификацию именно информации говорить зачем её вообще нужно классифицировать? потому что мы должны понимать, как её защищать информация она сама по себе неоднородна может быть более важная, менее важная, значительная, незначительная устаревшая, свежая, какая угодно, этих классификаторов много, и любую информацию нужно защищать тоже по-разному, мы же не будем защищать какую-то информацию, которой 200 лет, кто-то кому-то сказал, точно так же, как бизнес-переговоры

нашего генерального директора с его партнёром то, что было 200 лет назад, — это же достояние истории, не надо защищать, наоборот, надо приумножать и тиражировать, а свежую информацию надо защищать поэтому и меры противодействия у нас тоже будут разные, разные средства защиты информации применяться, угрозы — угрозы также классифицируются мы с вами будем говорить тоже про классификацию угроз, и уязвимости — это тоже штуки, которые необходимо разложить все по полочкам чем мы и занимаемся в нашем первом занятии, меры противодействия — то же самое точно так же раскладываем по полочкам классифицируем только для того, чтобы понять, что чем защищать, если мы не понимаем, что к чему применить, зачем нужны все эти меры противодействия вся эта безопасность, и так, классификация информации я не буду повторяться, уже сто раз сказал, и это написано на слайде, что это действительно

важно, любая информация имеет разную ценность, и защищать всё одинаково просто нет смысла, пример я тоже приводил зачем, а про классификацию важно понимать, но здесь написано: обеспечение CIA, мы никак не могли слово правильное подобрать, я не могу подобрать, и при классификации важно понимать, как эти три наших задачи — целостность, конфиденциальность и доступность — они будут обеспечиваться сейчас будем дальше, например, это разбирать классифицировать информацию мы можем как самостоятельно, так и основываясь на требованиях регуляторов про требования регуляторов мы с вами тоже поговорим, а для начала — кто такие регуляторы регуляторы — это какие-то внешние силы я очень объёмно буду говорить, которые боги из машины, как говорит Иннокентий, какие-то внешние силы, которые

диктуют, что нам делать и как нам жить, например, это государство, я говорю сейчас не в каком-то отрицательном ключе, нет, это нормально, когда государство устанавливает какие-то правила какие-то пишет законы конституции, где написано, что нам делать, и как классифицировать ту же самую информацию, например, в нашей стране есть закон о персональных данных как бы кто к нему ни относился, но этот закон говорит нам о том, что является персональными данными, что не является персональными данными, это и есть самая настоящая прямая классификация именно основываясь на требованиях регуляторов это первый пример, либо мы можем самостоятельно классифицировать, как хотим, вообще придумать какую-то свою классификацию это там данные красные, жёлтые, голубые, зелёные, оранжевые, и взять

по папочкам распихать нужные документы — вот наша собственная классификация, и там вообще свою модель безопасности придумать на основе этих цветов, этих данных, нам никто не запрещает, пожалуйста, это наше внутреннее дело, с другой стороны если эти данные будут подпадать под какие-то требования регуляторов, под какие-то законы, то извините, пожалуйста, здесь уже наша классификация как-то не особо покатит, здесь всё-таки надо придерживаться каких-то принятых норм так что мы ещё будем про регуляторов говорить, но держите в голове: когда вы работаете с данными лучше понимать, в каком государстве вы работаете что вы с ними делаете и как вообще государство относится к этим данным, это действительно важно а здесь опять же повторяется та мысль, которую я вам уже говорил, что любая защита имеет смысл только когда на неё потрачено меньше

денег, чем стоит наша информация если тратим больше — такая защита бесполезна примеры классификации, смотрите я, если честно, попытался найти примеры в российской действительности, всё-таки у нас здесь 90 процентов слушателей из Российской Федерации с другой стороны, у нас международный учебный центр, и поэтому основываться на российских реалиях тоже было бы неправильно поэтому пример классификации я взял просто из учебной программы, которую предлагает Cisco, это американская компания, и я взял пример классификации американский, как бы кто ни относился к этому государству, но давайте просто возьмём для примера, это всего лишь пример плюс-минус вообще плюс-минус это работает везде, я сразу скажу

классификация, с которой я сталкивался в некоторых компаниях, не зарубежных, а российских, она чем-то похожа смотрите Роман да, говорит, что в принципе плюс-минус одинаковые законы у нас я постараюсь привести пример, хотя эта классификация она довольно такая условная, у меня сейчас просто нет всех примеров, чтобы вам привести, поэтому но я постараюсь это объяснить, итак надо понимать, что у нас есть два сектора вообще, где обитает информация, и классифицируется там эта информация немножечко по-разному: государственный сектор, это называется public sector в англоязычных источниках и других странах, иногда государственный сектор и частный сектор, private sector, бизнес

в бизнесе всё немножечко попроще потому что там, наверное, всё-таки меньше секретов если говорить такими простыми словами, чем в государственных государственных каких-то сферах да, кстати, Никита правильно заметил, в государственных сферах всё-таки секретов больше, и между государствами, и внутри самого государства секретов больше, и поэтому уровней этой классификации там, конечно, будет больше, чем в бизнесе Иннокентий правильно заметил, что действительно, много вопросов на экзамене могут быть связаны с знанием терминологии у нас предыдущий слайд так и назывался — термины, эти термины лучше запоминать, я думаю, что я понятно вам всё доношу объясняю, вы запомните совершенно точно, и я честно вам врать не буду

будут ли на эти термины вопросы на экзамене, но кто знает вполне возможно, и так, какие есть типы информации, классы информации в государственном секторе, мы сейчас будем про это говорить, во-первых, это неклассифицированная информация неклассифицированная информация — это та информация, которая не нуждается в какой-то особой защите, эта информация открытая и публичная для всех, например, давайте про госучреждения будем говорить Это на двери госучреждений есть вывеска, где написано: приёмная администрации президента, часы работы понедельник–пятница с 10 до 19. Это не классифицированная информация. Либо та информация государственного органа, которая представлена на его сайте. Любой желающий может зайти на веб-страницу Государственной думы, например, или любого госоргана и

прочитать информацию — какой-то там список депутатов, часы работы столовой, меню столовой. Это не классифицированная информация, и она не нуждается ни в какой защите, она просто доступна всем. Дальше. SBU-информация — sensitive but unclassified, то есть чувствительная, но не классифицированная информация. Чувствительная информация — здесь просто запомнить слово sensitive. Это не публичная информация, это та информация, к которой имеют доступ все внутри организации. Если unclassified, не классифицированная — это вывеска на дверях, то, например, график работы столовой, который вывешен внутри

Государственной думы — это уже будет sensitive-информация, потому что не надо другим людям знать, в какие часы работает столовая. Меню думской столовой может быть без указания цен или с ценами. Какая-то такая информация, которая имеет хождение только внутри организации. Она в принципе не особо секретная, но наружу её выпускать не надо. Это называется sensitive-информация. Если я ничего не путаю — я не должен это путать, я всё-таки тренер. Она требует чуть большего контроля по распространению. Также в классификации надо учитывать такую штуку: насколько критичной будет потеря этой информации. Если не классифицированная информация — тут про потерю вообще не говорится, это публичная информация, зачем её терять. Чувствительная информация —

она не нанесёт прямой урон активам, но может дать какие-то негативные последствия в будущем. Например, если меню из думской столовой попадёт в руки журналистам, то эти журналисты напишут какой-нибудь нехороший материал в газету, и люди, которые прочитают, потом будут говорить о том, что, блин, как всё-таки плохо, что там едят чёрную икру, а мы не едим. Или если меню существует в единственном экземпляре — опять же про доступность мы говорим — меню в столовой лежит в единственном экземпляре, кто-то подходит, читает, а тут его украли. Пробрался злоумышленник и украл. Информация стала недоступной. Соответственно активу нанесён какой-то урон — люди не могут пообедать. Нематериальному активу, людскому, нанесли урон. Это называется sensitive-информация.

Дальше — конфиденциальная информация. Здесь будет говориться о той информации, которая — всё, что ниже не классифицированного, должно иметь хождение внутри организации, надо это чётко понимать. Конфиденциальная информация — это та информация, которая будет иметь хождение внутри, и к ней уже будет доступ ограничен каким-то конкретным кругом лиц. Наверное, будет правильно сказать: утечка конфиденциальной информации будет представлять уже прямую угрозу. Может быть незначительную, но не косвенную угрозу, как если у нас меню спёрли из столовой, а уже какую-то прямую угрозу. Конфиденциальная информация содержит уже какие-то

секретики. Можно сказать — для служебного пользования, как у нас говорят. Она имеет только служебный характер, и передавать её — Иннокентий правильно писал — это информация, которая может уже нанести урон безопасности, если нарушена приватность. Если утекает конфиденциальная информация — это уже конкретная угроза. Дальше — secret и top secret. Здесь подразумевается, что к секретной информации будут иметь доступ конкретно обозначенные люди. Конфиденциальная информация для служебного пользования — к ней могут иметь доступ сотрудники какого-то конкретного отдела.

К секретной информации будут иметь доступ люди, совершенно чётко обозначенные по именам и фамилиям. Вот этим секретная информация будет отличаться от конфиденциальной информации. Здесь уже будет отслеживаться, кто и как эту информацию получил, кто и как с ней работает, кто и как уничтожает эту информацию. Иннокентий нам говорит, что это уже серьёзно — это может нанести уже серьёзный урон. Потеря секретной информации — это серьёзный урон, а top secret — это понятно, уже катастрофа. Top secret — соответственно, это та секретная информация, к которой имеет доступ ограниченный круг лиц, не просто именованный круг лиц, а совсем ограниченный круг лиц. Например, на уровне замминистров и выше. Может быть так. Глеб, я не знаю, что вы имеете в виду.

Я не работал никогда в российских госорганах и правда не знаю, как у нас — «особой важности», может быть. Я честно не знаю, как в наших госорганах классифицируется информация. Это, конечно, мне стыдно в этом признаться, но признаюсь честно. Так. Конфиденциальные данные — это персональные данные. Иннокентий правильно сказал. Про персональные данные я пару слов сказал. У нас есть — не только в России, вообще — персональные данные. Просто в России несколько последних лет очень большой ажиотаж вокруг этого словосочетания. Персональные данные — имена, фамилии, там всё что угодно — это конфиденциальные данные, и работать с ними надо сложно. С ними работать в России, скажем так. Окей, про государственный сектор мы чуть-чуть поговорили. Что же творится в частном секторе? В частном секторе на самом деле

в принципе всё то же самое. Эти категории соотносятся с вот этими категориями, они примерно одинаковые, просто их меньше и они попроще для объяснения. В бизнесе у нас — это ещё раз оговорюсь — это всего лишь пример классификации, это не то, как классификация утверждена каким-то стандартом, суперстандартом. Нет, это просто пример классификации, как принято в целом. В бизнесе у нас есть публичная информация — это то же самое, не классифицированная информация, которую нам не стоит защищать. И мы можем — вернее, даже как — защищать публичную информацию тоже надо. Почему? Мы говорили с вами про доступность —

доступность публичной информации тоже важна. Я неправильно сначала сказал, что не надо защищать — конечно, надо. Другое дело, что обеспечивать конфиденциальность этой информации не нужно. Например, веб-сайт компании, которая производит балалайки. У них есть публичная информация на их сайте, и её не надо защищать от каких-то посторонних глаз, но обеспечить доступность этой информации — эта штука на самом деле, если задуматься, важна, потому что если рухнет веб-сайт компании, эта информация перестанет быть доступной для широкой аудитории. Кто же придёт покупать балалайки? Люди просто не будут знать, когда магазин этой компании работает. Компания понесёт потери, понесёт убытки, и актив компании пострадает. Так что имейте в виду, что публичную информацию тоже надо классифицировать, надо понимать и уметь с ней работать.

Дальше. Чувствительная информация, sensitive — это та информация, которая имеет хождение внутри компании и она уже не публичная. Это то, что у нас для работы внутри компании. Такая информация — нежелательно, чтобы утекала куда-то вовне, хотя с другой стороны она не нанесёт какой-то огромный урон активам компании, но всё равно неприятно. К чувствительной информации внутри компании можно отнести, например, список сотрудников отдела или список сотрудников компании, если этот список не публикуется на сайте. Действительно, зачем людям, клиентам, знать, кто у нас работает. Кто у нас водит автомобили и вообще — наших сотрудников лучше не афишировать. Есть отдел менеджеров,

их телефоны представлены на сайте — это публичная информация. А вся остальная информация — телефоны сотрудников, например, где живёт наш курьер — не надо никому этого знать, это интересно только внутри компании. Поэтому это уже чувствительная информация, соответственно, к ней должно быть больше внимания. Приватная информация — это то же самое, что конфиденциальная информация. Это информация, к которой мы будем уже разграничивать доступ внутри компании. Она не просто доступна внутри компании, как список телефонов на внутреннем портале, а информация, которую уже не все могут почитать. Например, в бухгалтерии или в отделе кадров есть какая-то папка, где лежат больничные листы — как пример. Не надо никому внутри компании, кроме отдела кадров и генерального директора или бухгалтера, который начисляет больничный, — лучше не надо никому

знать, что есть больничные листы, что этот человек тогда болел, этот человек тогда болел. Это уже такая приватная информация, мы разграничиваем доступ к информации внутри компании. Это следующий уровень защиты. Иннокентий ещё классный пример привёл. Да, это тоже стоит упомянуть — это уже приватная информация, под неё как правило подпадают персональные данные. Коммерческая тайна — это тоже уже приватная информация, она может регулироваться законом, хотя может и внутренняя какая-то регуляция тоже быть, почему нет. Мы понимаем, что sensitive, чувствительная информация внутри компании — мы все знаем эту информацию, но не снаружи. А приватная — следующий уровень, когда уже не всем

можно до неё достучаться и получить доступ. И последняя — конфиденциальная. Это опять же можно сравнить с секретной информацией в государственном секторе. Это информация, к которой допущены совершенно конкретные субъекты. Мы обязаны не показывать её, и нас в этом поддерживает закон. Эта информация доступна совершенно конкретным лицам и недоступна больше вообще никому внутри компании. Например, какие-то результаты переговоров директоров или решение совета директоров, какие-то внутренние — это уже конфиденциальная информация, и никому не обязаны это показывать, наружу так точно. С классификацией более-менее мы разобрались. Я думаю, что

у нас остались какие-то вопросы про классификацию информации. У вас ещё не кружится голова от этого? Давайте дальше. Давайте сделаем перерыв, если хотите. Давайте продолжать. Про классификацию информации мы с вами уже сейчас примеры классификации проговорили, классы информации определили. Примерно на основании чего классифицируется информация — есть совершенно чёткие критерии, по которым мы будем классифицировать информацию, по которым эту информацию будем различать и уже распихивать по полочкам. Первое — ценность. Ценность информации. Здесь, наверное, всё-таки будет правильнее сказать — цена информации. Ценность —

хорошее слово, оно мне нравится, но может быть немножко не точное. И на следующем курсе, может быть, этот слайд даже поправим. Мы уже говорили, что каждый актив имеет свою цену, выраженную в денежном эквиваленте. Это нормально, когда всё оценивается в деньгах — наш мир так устроен. У каждой информации есть совершенно определённая цена. Сколько стоит эта информация, как оценивается эта информация — мы здесь с вами не будем говорить про экономическую составляющую, но мы просто должны понимать, что у каждой информации есть своя цена. Дальше — возраст информации. Возраст — это просто насколько старая информация. Я приводил пример уже старой информации — информация, которая была 30 лет назад какой-то

секретной, конфиденциальной. Когда две компании договорились о слиянии — вот как в бизнесе иногда происходит — и на момент этой сделки информация о слиянии совершенно секретна, это top secret, это защищается, чтобы никто не узнал раньше времени. Но через какое-то время, когда об этом объявлено, когда вышли новые акции на бирже или что-то такое, то это соглашение, которое было за семью печатями, — оно просто старое. Есть старая информация, и она уже классифицируется в соответствии с этим возрастом: она перестаёт быть секретной, это уже публичная информация. Поэтому это письмо можно опубликовать на сайте, всё будет нормально. Я говорил уже, что с течением времени классификация будет всегда меняться. Скажу ещё одну мысль: наши активы — любые активы, не только

информацию — активы должны постоянно подлежать какому-то пересмотру, какой-то новой классификации. Может быть, если активы не пересматриваются — нет чёткого понятия, как часто нужно пересматривать стоимость активов или их классификацию — это может быть раз в год. Пересматривается информация — например, в отделе кадров сидит человек, который занимается приёмом на работу сотрудников, он раз в год, например, эту информацию как-то классифицирует, подбивает итоги года, перекладывает по папочкам. Может быть каждый день, если это какая-то биржевая информация или ещё какая-то, где всё намного динамичнее. Так что возраст информации играет роль, но это не обязательно «прошло 10 лет» — это может

пройти пять минут, но через пять минут информация станет совершенно другой, она попадёт в другой класс. Вы опубликовали решение какой-то коммерческой сделки — всё, и уже в следующую минуту эта информация перестала быть секретной. Так что возраст — это второй критерий. Время жизни — опять же это соотносится с возрастом. Любая информация имеет свой срок жизни, ничто не вечно, вы сами знаете. С другой стороны, есть вечные какие-то вещи — музыка, искусство. Но, отбросив шутки в сторону, каждая информация имеет время жизни. Хорошая практика — когда при составлении документа, если брать конкретные вещи, при составлении документа указывается время его жизни. Как это, например, делается у военных:

существует какой-то документ, который был составлен в штабе округа, части, на котором написано «уничтожить через три года» или «уничтожить тогда-то». Прямо время жизни информации. Информация, время жизни которой подошло к концу, — она уже менее ценная. Информация, которая уже, в кавычках, «протухла» на нашем айтишном языке, — она уже вообще никому не нужна, и она попадает в другой класс. Всё очень просто. Ассоциация информации с конкретными людьми — это тоже важный критерий, потому что зачастую информация как-то персонализирована, она относится к какому-то конкретному человеку. И как пример: работал в фирме какой-то сотрудник, у этого сотрудника был адрес электронной

почты. Этот адрес электронной почты — это информация, которая выложена на внутреннем сайте компании, у нас sensitive-информация. Сотрудник уволился — информация о его адресе, который уже не актуален, перестаёт быть sensitive, она просто переходит в другой класс. Опять же классификация совершенно другая получается. Информация, привязанная к конкретному человеку, точно так же будет являться критерием оценки. Может быть, не обязательно даже временные изменения: эта информация относится к совету директоров, к этим людям, генеральному директору — мы эту информацию защищаем вот так. А информация про наш отдел продаж — это совершенно другая информация, мы её не

защищаем. Иннокентий говорит — а может быть, она становится слишком ценной. Может быть, наоборот: человек работал курьером в компании, и его домашний адрес не представлял никакой ценности, а потом этот человек вдруг подсказал генеральному директору какую-то гениальную бизнес-идею. Генеральный директор сделал его своим помощником — выделил личный автомобиль, целый отдел в подчинение. И соответственно информация о его домашнем адресе стала наоборот очень ценной. Персональные данные могут устареть, но они всё равно остаются персональными. Юрий, конечно — здесь не говорится про устаревание. Я говорю просто о том, что на основании конкретных персоналий — информация, привязанная, связанная с конкретными людьми — на основании этого тоже мы можем как-то классифицировать. Теперь давайте пару слов о ролях персонала по отношению к информации. Эта штука тоже

важная, и она тоже будет нам встречаться, хотя не так часто, но это знать нужно. Смотрите: по отношению к любой информации мы можем выделить три роли по отношению к данным — владелец, хранитель и пользователь. Owner, custodian и user. Владелец информации — это тот человек, который отвечает за эту информацию, по которому прежде всего ударит потеря этой информации либо какая-то угроза активу — она по этому человеку в первую очередь ударит. Это владелец, и он за неё отвечает. Либо если этот человек потерял информацию, может быть, предоставил кому-то доступ к этой информации — за все последствия будет отвечать именно владелец. Я не буду сейчас

приводить какие-то конкретные примеры, это, я думаю, и так всем понятно. Владелец — конкретный владелец информации. Например, главный бухгалтер создала файл в Excel, в котором записала какие-то важные данные, положила этот файл на сервер. И вдруг к этому файлу кто-то получил доступ, изменил его. Приходит генеральный директор, говорит: «Галина, что за фигня, что здесь такое написано?» Она: «Я ничего не знаю.» — «Нет, ты.» В данном случае она не может так отмазаться, не может так сказать, потому что это её файл, и она несёт за него ответственность. Она могла попросить системного администратора, чтобы он защитил как-то её файл — она должна была это сделать. И она отвечает за все последствия, которые из-за этого случились. Это владелец — он несёт ответственность. Дальше — хранитель.

Хранитель — это тот, кто будет хранить, можно сказать, кто будет обеспечивать доступность этого файла. Например, на предприятии это системный администратор — он является хранителем данных. Владелец эти данные, например, создал либо ими как-то владеет. Хранитель — это человек, которому будут даны инструкции, что с этим файлом делать, даже не что делать — каким образом обеспечивать к нему, например, доступ. Хранитель — это охранник. У нас есть актив — банковское хранилище, в котором лежат деньги. Владелец известен или, может быть, как часто бывает, неизвестен. Но есть хранитель — это охрана на входе. Они занимаются проверкой доступа, они проверяют документы, выписывают пропуска в это хранилище. Это хранитель. То же самое и в нашем цифровом мире сетевой безопасности.

И собственно пользователь — пользователь это просто человек, которому предоставили доступ к информации. Пользователь работает с этой информацией: он её может читать, может изменять — почему нет, если ему разрешили. Может украсть, что в принципе незаконно, но он тоже это может сделать. Но если он украдёт, то всё равно будет отвечать владелец, потому что какого чёрта он попросил хранителя дать недоверенному человеку, недоверенному пользователю, доступ к своей информации. Так что всё равно крайним окажется тот, кто наверху этого списка — владелец. Это ещё три термина, которые общеприняты в безопасности, в сетевой безопасности. Также — классификация уязвимостей. Мы с вами говорили про то, что уязвимости — это что-то нехорошее, на что может быть направлена угроза и, соответственно, нанесён урон нашему активу.

Уязвимости тоже нужно как-то классифицировать, потому что нам нужно понимать — я уже повторяюсь, извините — мы должны всё классифицировать, чтобы понимать, что с этим делать. Если мы не будем классифицировать уязвимости, мы просто тупо не будем понимать, как их закрывать и что с нами может произойти. Поэтому давайте просто пробежимся по уязвимостям, которые бывают. Во-первых, недостатки политики безопасности. У нас впереди будет разговор про политику безопасности. Я просто должен упомянуть, потому что у нас это слово уже встречается несколько раз. Политика безопасности — это бумага, это документ. Я уже говорил, что в безопасности всё начинается именно с бумаги. Политика безопасности — это верховный документ, это как конституция в государстве, в котором описано всё, что касается безопасности

например компании или госучреждения. В ней Отражены, по-хорошему, как это должно быть — в политике безопасности должны быть отражены все-все-все аспекты безопасности, все мельчайшие детали. Честно вам скажу, я видел немного компаний. Я не работал в крупных компаниях уровня нефтегазового сектора или банковского сектора, нет. Я работаю в среднем бизнесе, в малом бизнесе работал, но компании, у которых есть написанная политика безопасности, я знаю очень мало, помню таких единицы, правда, где была написана политика безопасности, где с ней работали и это документ, по которому живёт организация

в составляющей, касающейся безопасности. В этой политике рано или поздно, даже если она самая-самая идеальная, даже если там написано всё на свете, вплоть до того, как часто пароли менять, вплоть до того, через какое время утилизировать клавиатуры — это тоже может быть — даже если она самая идеальная, то через какое-то время всё равно найдётся какой-то недостаток, найдётся какой-то человек, который, как бы помягче сказать, хитрый человек, который всё равно найдёт изъян в этой политике, сделает что-то нехорошее и скажет: «А я не знаю, в политике про это не было написано, я всё сломал, и всё». Так вот, в политике безопасности, даже в самой классной, самой развесистой и самой подробной, может найтись какая-то уязвимость, и

эту уязвимость можно проэксплуатировать. Найдётся нехороший человек, который всё сделает плохо и потом скажет, что про это в политике не было написано: «Я ничего не знаю, я следовал политике безопасности, не знаю, почему всё сломалось». Вот, и поэтому политика подлежит пересмотру, мы дальше про это ещё подробно поговорим. Ошибки проектирования. Ошибки проектирования — это тоже одна из уязвимостей. Например, давайте попроще поговорим, всё-таки у нас сетевой курс. Например, мы спроектировали какую-то небольшую сеть для офиса, для кампуса, без разницы, большая она или небольшая, вообще без разницы. И например, мы не отразили в документации, что на портах доступа, которые смотрят на пользователей, должен быть отключён, зафильтрован spanning tree. Как пример — мы проектировали эту сеть,

даже это не так, хотя да, может быть в проектировании уже заложено было, что просто про это забыли и в документацию не внесли. Соответственно, потом начались проблемы. Я сейчас из головы такой пример вам выдумал. Проектирование может быть разным, но ошибки в этом проектировании рано или поздно превратятся в уязвимость, если кто-то эти ошибки увидит. Соответственно, кто-то их рано или поздно проэксплуатирует. Это касается и физической безопасности. Как угодно проектировали, серверную расположили в подвале — вот и всё. Дом затопило, серверную затопило — вот вам ошибка в проектировании. Уязвимость была, но про неё никто не думал. Дом затопило, все серверы — до свидания. Вот вам ошибка проектирования. Дальше — слабые места протоколов.

Здесь мы говорим не про реализацию протоколов, не про кривые руки программистов, которые писали реализацию SPF, например, а именно про слабые места протоколов. Изначально в каком-то протоколе у нас было какое-то слабое место, но не подумали. Иннокентий, подскажи — какой протокол? RIP версии 1, что-то такое, который просто принимает маршрутную информацию от всех подряд, и всё, и радостно эту маршрутную информацию ещё всем отдаёт. Вот это просто слабое место этого протокола. Я думаю, что все узнают, что такое RIP. Да, вот, такой протокол, придуман сто лет назад. Когда его придумали, никто и не думал ни про какую безопасность. В HSRP — да, вот, это слабые места протоколов.

Это просто так исторически было, не подумали в своё время. Вот это уязвимость, это совершенно конкретная уязвимость, которую можно проэксплуатировать. И что делать? Что делать — не использовать такие протоколы, как пример. Уязвимости в программном обеспечении — здесь долго рассказывать я не буду, вы сами прекрасно знаете, что это как раз кривые руки программистов, которые просто где-то ошибаются. Программисты ошибаются всегда. Я ошибался сто раз, я занимался этим немножко. Любой программист ошибается в силу человеческой своей природы. Потом эти ошибки превращаются в уязвимости. Дальше — неправильная настройка. Неправильная настройка — говорит само за себя. Когда может быть и используются хорошие протоколы, может быть и

проектирование было какое-то нормальное, но человек, который конфигурировал коммутатор, он просто забыл, что надо port security сделать. Забыл. Может быть, он просто не умеет. Мы будем с вами рассматривать port security на сессии, честно, не помню, должна была затрагиваться тоже чуть-чуть. Понимаете, да? Вот вам неправильные настройки — это тоже уязвимость, причём она такая конкретная, такая прикольная уязвимость. Вредоносный код. Вредоносный код — это уже не те программисты, которые сделали ошибки, а это те программисты, которые, сволочи такие, специально пишут что-то нехорошее. Вредоносный код — это могут быть и закладки в программах, которые кто-то оставляет, это могут быть и вирусы, спам, куки и троянские кони, если кто-то помнит

такой мем, такой прикол. И конечно, самая жирная уязвимость, самая-самая — это человеческий фактор. Человеческий фактор остаётся самой непоправимой и самой катастрофичной уязвимостью вообще везде. Так что, какими бы ни были идеальными наши протоколы, проектирования, политики безопасности, настройки и так далее — всегда будет человеческий фактор, и всегда найдётся какой-то творческий человек, который всё сделает плохо. Теперь про — не лишним будет всегда быть в курсе. Если говорить про уязвимости именно сетевые, но не только сетевые — программные уязвимости, не человеческий фактор и проектирование, а про совершенно конкретные уязвимости в продуктах, то есть

замечательные базы данных. Я надеюсь, что вы ими уже пользуетесь или знаете хотя бы про них, но надо будет упомянуть, что есть две таких признанных базы данных на планете, в которых собирается информация обо всех известных уязвимостях в продуктах, протоколах — да, во всём на свете. Это CVE, вот она, вот она, и NVD. NVD — это американская, CVE считается такая общемировая, я не знаю, как правильно сказать. Вот эти две базы — в принципе, в них вы можете найти всё, что известно на данный момент человечеству по уязвимостям. Необходимо сказать про так называемую уязвимость нулевого дня. Это тоже просто термин, который часто вы слышите и часто всеми используется. Это свежие уязвимости, которые не описаны ещё в публичном доступе. Эту уязвимость,

про которую никто не знает, которая вот только была открыта и, может быть, даже проэксплуатирована — это уязвимость нулевого дня. Если уязвимость попадает уже в эти базы, это уже не уязвимость нулевого дня, это уже всем известный факт. Давайте дальше. Классификация угроз. Мы говорили с вами про угрозы, а теперь давайте про угрозы чуть-чуть подробнее. На этом слайде мы собрали какой-то небольшой процент угроз, который можно придумать. Их намного больше, но опять же, про угрозы можно говорить несколько дней подряд и придумывать всё новые и новые примеры — это бесконечная тема. Классификация угроз. Во-первых, самая главная угроза — силы природы. Как ни странно, после человеческого фактора, который конечно и уязвимость, и угроза, и всё на свете, и кара небесная — хуже нельзя придумать человеческого фактора, — но есть ещё угроза:

силы природы. Это то, с чем в принципе очень сложно бороться, и то, от чего защищают, наверное, уже не мы, а страховые компании. Наводнение, лесные пожары и цунами — всё-таки область уже даже не сетевой безопасности, а область страхования. Мы, кстати, про это тоже будем с вами разговаривать. Атаки на физическую безопасность — взломы замков, не знаю, разрезание дверей болгаркой — это всё атаки на физическую безопасность. DoS и DDoS атаки. Мы с вами чуть подробнее про это поговорим на следующих слайдах, я сейчас не буду заострять внимание. DoS — это denial of service, и distributed denial of service. Это атаки, направленные на отказ оборудования, либо софта, либо канала.

Дальше, так, сейчас Иннокентий хочет поправить. Denial of service — всё правильно, прошу прощения. Спуфинг. Про спуфинг тоже поговорим с вами чуть подробнее. Спуфинг — нельзя сказать, что это прямо угроза, это механизм, который может использоваться в угрозах. Спуфинг — это когда что-то чем-то подменяется. Подмена. Это может быть очень-очень разным, вообще творческая очень тема. На ней подробнее дальше остановимся. Социальная инженерия — это тоже угроза. Фишинг, фарминг, тейлгейтинг и так далее — тоже мы с вами всё это рассмотрим. Про amplification будет, да, конечно, я объясню, что это такое. Визуальный хакинг. Визуальный хакинг — штука интересная.

Я как-то не задумывался о том, что это хакинг, но это на самом деле так. Что такое визуальный хакинг? Визуальный хакинг — это просто такое понятие прикольное, я включил слайд в своё время. Это когда кто-то подглядывает вам через плечо. Например, кто-то что-то подсмотрел, подсмотрел ваш пароль, подсмотрел номер телефона какого-то важного человека — это называется визуальный хакинг. Такое прикольное определение. Атака на пароли. Разведка. Про разведку пару слов хочется сказать. Это тоже угроза. Под разведкой здесь подразумевается — мы опять будем подробнее дальше про неё говорить — под разведкой подразумеваются какие-то подготовительные действия, предшествующие уже самой атаке. Вообще, атака — это эксплуатация уязвимости, и

перед тем как эксплуатировать уязвимость, перед атакой, эту уязвимость неплохо бы найти. Существует целый класс мероприятий, которые направлены именно на поиск уязвимостей, на поиск слабых мест в системе. Их можно объединить общим словом «разведка». Разведка — это тоже угроза. Это не прямой взлом, это не заражение системы каким-то вирусом, это всего лишь подготовка, но она уже в себе несёт угрозу. Так что к этому тоже надо относиться всерьёз. Атаки на софт. Атак на софт существует великое множество. Одна из них — переполнение буфера, когда область оперативной памяти, выделенную приложению, мы можем переполнить и получить несколько интересных — какой-нибудь memory leaking — несколько интересных таких

последствий. Man-in-the-middle, наш любимый man-in-the-middle — это когда Боб, когда Алиса и Боб обмениваются какой-то информацией, а посередине у нас сидит Ева, вот, классический man-in-the-middle, та самая Ева или Мэлори, когда кто-то находится посередине. Это угроза, с которой бороться очень трудно. Хотя, если порассуждать немножко, то с любыми угрозами бороться трудно, с ними нужно бороться, но очень сложно. Например, в этом списке сказать, какая угроза представляет... какая угроза мощнее, какая угроза представляет наибольший интерес для нас и на чём заострять внимание — каждая из этих угроз

равноценна. На самом деле можно сказать: «Какая фигня, там спуфинг, а вот DoS — это да, это пипец, это капец». С другой стороны, с DoS-ом бороться можно какими-то такими несложными средствами, а со спуфингом иногда и сложнее, чем с DoS-ом. Поэтому всё очень относительно. Я говорил, что повторяю: всё очень точно можно измерить, но есть какие-то относительные вещи, и вот именно угрозы — тут всё очень относительно, прежде всего потому, что у нас есть уязвимости. Мы говорили про уязвимости, и угрозы всегда сочетаются с уязвимостями. Поэтому здесь очень много комбинаций. Если взять этот список на данной

странице и взять список на предыдущей странице и подумать, какую угрозу к какой уязвимости можно применить — там комбинаций дофига. Поэтому вот эта относительность она пугает, наверное, даже в какой-то мере кого-то. Окей. Про вредоносный софт я думаю, мы не будем долго рассказывать. У нас есть вирусы, черви, троянские кони и так далее. Вредоносный софт — не слабая угроза. Хакинг железа. Хакинг железа — мы с ним в повседневной жизни, конечно, сталкиваемся не часто, всё-таки тема такая довольно специфическая, но она есть, её не стоит отрицать, и как угрозу можно рассмотреть очень серьёзно. Плюс ко всему, вот именно железный хакинг достаточно сложно диагностируется. Никто из нас не может

сейчас сказать, что в нашем железе всё нормально. Компьютер, который стоит у меня на столе, на который сейчас смотрю, — я не могу быть на сто процентов уверен, что там нет никаких закладок. Можно вспомнить историю — как он назывался — Stuxnet, да? Вся эта история с ядерными центрифугами в Иране. Да, вот, с иранскими центрифугами, Stuxnet, когда на уровне железа — по-моему, это были контроллеры Siemens — были сделаны специальные закладки, которые хрен ещё обнаружишь. Андрей, от вирусов отличается очень просто. Вирус — нет-нет-нет, Андрей, а здесь не ПО, которое работает на железе, а внутри железа уже какие-то закладки. То есть это хакинг конкретного железа, это не программное

обеспечение, это совершенно конкретная железка, контроллер, то есть это на самом низком уровне. Например, в хранилище денег в банке, которым управляют электромеханические замки, которые управляются какими-то контроллерами, — вот внутрь этого контроллера можно вшить какую-то закладку, которая в строго назначенный день и час откроет эти замки. Вот такой хакинг — это совершенно не зависит ни от чего другого, нет программного обеспечения, ничего. На уровне микросхем — вот это называется хакинг железа. Я думаю, что на вопрос, Андрей, я ответил. Дальше — атаки на виртуальную среду.

Достаточно новый класс атак. Мы понимаем, что виртуализация бурно расцвела только несколько лет назад, понятно, что не два, не три года — 15 лет назад, я не знаю, примерно 10–15, пусть так будет. Достаточно новый класс атак, который — просто как пример приведу — это когда, получив доступ к виртуальной машине, которая работает в виртуальной среде, на каком-то гипервизоре, на каком-то хосте, злоумышленник может получить доступ к гипервизору, выбраться из виртуальной машины наружу. Вот это атаки на виртуальную среду, как один из примеров. Атаки на какую-то виртуальную

инфраструктуру, на виртуальную сеть, взлом гипервизора с целью прослушки виртуального трафика, трафика, который идёт между виртуальными машинами — просто как такой вымышленный пример. Это именно атаки на виртуальную среду, не старомодные атаки на конкретную софтину, или на железо, или на пароли, а это атаки, которые уже подразумевают новые сущности — виртуальные. И здесь как отдельный класс у нас атаки на IPv6. IPv6 мы все любим благодаря одному уважаемому человеку, IPv6 мы все знаем. Могу сказать, что атаки именно на IPv6 тоже есть. Они постепенно уходят в прошлое, новые — я думаю, что появятся, конечно, появятся новые, но они

есть, мы про них ещё тоже пару слов скажем. Давайте дальше продолжать, пока не будем делать перерыв, мы с вами дальше поговорим. Окей, продолжаем про классификацию угроз. Мы сегодня, я думаю, целый день будем классифицировать всё. Вы скажите мне честно — чуть-чуть по полочкам что-то начало раскладываться? Я просто так хвалил вот эти первые слайды, вот эти первые мысли — они мне очень нравятся именно потому, что раньше о многих вещах даже не задумывались. Я вот правда сам, когда первый раз готовился к этому экзамену CCNA Security, я даже на некоторые... просто не задумывался о некоторых вещах. Интересно, классно, давайте продолжать. Скучно? Кому-то скучно? Мне, например, не скучно, мне интересно, надеюсь, вам тоже.

Поехали. Про уязвимости. DoS-атаки. Denial of service — атака на отказ в обслуживании. Это попытка вывести из строя единичную систему, либо сеть, сервис. Вообще, мне нравится — я не знаю, насколько это правильно, но мне нравится называть всё словом «сервис». У нас можно многие вещи представить как сервис. Сеть — это сервис, сервер, предоставляющий какую-то услугу, — это конкретный сервис, можно называть их сервисами. DoS-атака — это атака, которая именно выводит из строя сервис. Как происходит — мы чуть-чуть дальше рассмотрим. Они довольно существенно сказываются на функционировании систем, функционировании бизнеса и так далее.

Активы от DoS-атак страдают очень сильно, прежде всего, если вспоминать CIA — конфиденциальность, целостность, доступность. Я, кстати, буду постоянно это напоминать, во всех аспектах безопасности можете вот эти три слова вспоминать и подставлять их куда угодно, это везде и всегда всплывает. DoS-атаки направлены на доступность в первую очередь. Именно доступность сервисов. Вывели из строя сервис — он стал недоступен, наш актив начинает стремительно удешевляться. Как пример — компания начинает нести какие-то потери, любые потери. Если это была DoS-атака на какой-то биржевой сервис, то всё, кранты — это миллиарды, не знаю, то есть это может быть напрямую связано с деньгами, а может и нет. Если это DoS-атака на какой-то маленький хостинг, где два с половиной сайта крутится — один сайт детского сада, другой сайт

там цветочной мастерской, где работает один человек, это тоже обесценивание активов, репутационные может быть потери. DoS-атаки отбирают все системные ресурсы, они на это и направлены, именно на забитие всех системных ресурсов. Они очень простые, как пример здесь: SYN flood, TCP SYN и UDP ping of death. Наверно SYN flood будет более релевантен. Я думаю, что они достаточно просты в обслуживании. DoS-атака — для неё особо ресурсов и не требуется. Взял веб-сервер, какой-то стоит, взял на него открыл миллион соединений. Не миллион, а сколько сокетов TCP свободных — на открывал ещё столько же. Открыл просто SYN flood, сейчас немножко дальше поподробнее поговорим. Отправил пакетики с флагом SYN — и всё, и

сиди кури, и больше ничего не надо. А сервер — он получил пакетик, создал область в оперативной памяти под этот сокет, и понеслась. И ресурсы сервера постепенно-постепенно истощаются, и в результате он потом скажет: «Ребят, у меня ни оперативки нет, ни сокетов нет, у меня закончились порты, я уже не могу ничего принимать». Это такой простейший на пальцах пример DoS-атаки, когда веб-сервер — он живой, может быть у него памяти дофига ещё есть, и процессор в порядке, загрузка 0 процентов, а сокет открыть не может — порты закончились TCP-шные. И всё. Очень простая атака, очень эффективная, офигенно эффективная. И как с ними бороться — это для отдельного курса разговор. Бороться с DoS-атаками лучше посредством профессионалов. Самостоятельно, если вы занимаетесь защитой не

очень крупной сети, если у вас нет ресурсов — и аппаратных, и программных, и даже финансовых — то лучше доверить каким-нибудь профессиональным людям. Дальше — подвид любых DoS-атак — это распределённые DoS-атаки, когда в атаку вовлечён не один компьютер, а несколько систем, множество. DDoS рекомендуется произносить зажатым носом — «ДДоС». Спасибо. Так что DDoS-атаки — это просто тот же самый DoS, в который вовлечены много систем. Как правило, здесь используется так называемый ботнет — это группа хостов, заражённых, может быть, каким-то программным обеспечением, либо, может быть, это, как мы говорили, какой-нибудь hardware hacking — хакинг железа, когда выпустили на рынок миллион веб-камер заражённых, у которых в чип что-то прошито

нехорошее, а потом эти веб-камеры через полгода стали просто пинговать какой-нибудь один-единственный хост в интернете, принадлежащий компании-конкуренту. И такое бывает. Это распределённая DoS-атака. Дальше — спуфинг. Спуфинг, как я уже говорил, это не атака, это просто механизм, который может быть использован в различных атаках. Спуфинг — просто понятие подмены, когда мы притворяемся, что-то одно притворяется чем-то другим, и так далее. Спуфингов может быть огромное количество: подмена IP-адреса, подмена MAC-адреса, на уровне приложения может быть DNS-спуфинг, DHCP-спуфинг, протоколы маршрутизации — там что угодно можно придумать. Целый конкретный огромный класс угроз, где используется механизм спуфинга, когда что-то нехорошее притворяется хорошим — это спуфинг.

Телефонный спуфинг — как пранкеры. Кто помнит — телефонный спуфинг: Лексус и Вован. Это пример телефонного спуфинга, когда Лексус и Вован звонят кому-то по телефону и представляются совершенно другими людьми и делают какие-то нехорошие, может быть, вещи, может, хорошие. Но как пример — никаких претензий к Лексусу и Вовану, их лично не знаю, но просто как пример телефонного спуфинга. Спуфинг может быть по SMS, когда кто-то представляется вашим другом, просит у вас положить 100 рублей на телефон. Примеров огромное количество. Дальше — кто спрашивал у меня про amplification, про reflection — это всё дальше, про DoS-атаки продолжение. Просто два новых термина, с которыми мы познакомимся. Reflection — это отражение по-русски, когда атакующий отправляет какой-то пакет-запрос, но адрес

отправителя ставит не свой, а адрес жертвы. Andy, Глеб — что это такое, я не знаю, написали здесь у нас. Смотрите, reflection — это на самом деле спуфинг, который, например, может применяться в DoS-атаках. У нас два класса угроз, они такие синергичные, у них такая получилась — они срослись в одну. Когда мы подменяем любой — ping, я не знаю — пакет, подменяем адрес отправителя, и отвечает какая-то система не нам, а ответный пакет отправляет нашей жертве. И там может быть что угодно. Amplification — это подразумевается усиление. Сейчас у нас картинка есть, сейчас дальше покажу. Amplification — это когда мы отправляем какой-то небольшой запрос, чуть-чуть данных отправляем.

Сейчас, Михаил, картинка — вот, да, картинка спуфинга, это reflection. А почему у нас перепрыгнула картинка — ладно, неважно. Это reflection, когда мы отправляем пакет не со своим адресом отправителя, и ответ приходит совершенно другому человеку, который об этом даже не подразумевает. Amplification — это в принципе то же самое, но здесь мы отправляем сравнительно небольшой кусочек данных, например один пакет пинга, но обратно на нашу жертву будет сыпаться лавина. Как правило, эти механизмы используются совместно. Всё правильно. Сейчас я на следующем слайде покажу. Эти атаки очень сложные в отслеживании. Они очень простые, офигенно простые — отправить пакет не со своим адресом отправителя достаточно просто, совершенно просто. Можно

много оговорок сделать — если по пути этого пакета никто не борется со спуфингом, и так далее. Но это действительно очень простая атака, и amplification на самом деле тоже простая атака. Но сложно отследить, кто же был причиной этой атаки. Поэтому они заслуживают отдельного внимания. Здесь пример — smurf-атака, так называемая, как раз reflection и amplification сразу, когда злодей отправляет ICMP-запрос с чужим адресом отправителя. Вот мы сейчас уже немножко мозг переключаем — это может быть проще говорить, вспоминайте CCNA. Уже сетевая часть у нас вклинилась. Злодей отправляет нехороший — вернее, как нехороший — обычный легитимный пакет с чужим адресом отправителя. Но адрес получателя какой? Адрес

получателя — кто? Ладно, чем не в детском саду — что я бы вас спросила бы, вы мне ответили бы — что на самом деле directed broadcast. Ладно, он отправляет directed broadcast. Конечно, надо оговориться, что такой пакет через интернет может никуда не дойти, потому что directed broadcast по умолчанию должны быть запрещены. Но на самом деле, если говорить про вот такие направленные бродкасты в конкретную сеть, на самом деле, скажем, древние маршрутизаторы наоборот по умолчанию этот directed broadcast разрешали. Если кто-то об этом не знает, я думаю, что на CCNA все про это слышали от Иннокентия. В такой атаке, если вдруг такой пакет проскакивает в какую-то сеть, он направляется всем компьютерам сети — конкретный бродкаст, и все компьютеры сети будут отвечать бедной несчастной жертве ICMP-

ответом. Вот здесь мы видим и reflection — когда мы использовали спуфинг, подменили адрес отправителя, и ответ пришёл на жертву, и amplification — когда мы отправили всего лишь один-единственный пакет, один-единственный пакет, но жертва получила кучу ответов. Почему — что-то новенькое? Directed broadcast? Я неправильно термин сказал? Но смотрите, наверно на новых сессиях CCNA просто это штука древняя. Directed broadcast — у нас какие два бродкаста бывают? Какие знаете бродкасты? 255.255.255.255 — да, это у нас обычный бродкаст, широковещательный. Ещё направленный бродкаст — это вот Миша правильно команду в чате сейчас кинул. IP directed broadcast в настройках. А есть направленный бродкаст — это когда маршрутизатор, приняв пакет с широковещательным адресом конкретной

сети, с этим адресом он направляет его всем участникам сети, по всей сети рассылает, в широковещательную среду. Вот это направленный бродкаст. Если вы говорите, что на курсе CCNA вы это не слышали — эта штука древняя. На самом деле все современные роутеры по умолчанию такие пакеты не обрабатывают. Когда он получает пакет с таким бродкастом, он его просто прибивает — это поведение современных роутеров по умолчанию. Но я боюсь ошибиться, врать не буду — у той же Cisco в каком-нибудь там 12-м, не знаю, каком-то древнем IOS это поведение было ровно наоборот. Андрей, раньше было так, раньше поведение по умолчанию было другим — раньше роутер был обязан обрабатывать directed broadcast и

рассылать его. Всё это было очень давно. Я думаю, что Иннокентий, если напряжётся, он сейчас какой-нибудь, как он любит, RFC найдёт на эту тему. Вполне возможно, что даже в России было написано в каком-то — я сейчас не буду отрываться от курса и гуглить, я в перерыве на эту тему посмотрю. Кстати, раньше было. Тогда, Михаил, нет, это не тонкости CCNA точно, это просто старые вещи, про которые все забыли. На самом деле smurf получается — Роман, в принципе да, smurf можно делать и в одной сети. Даже нет, только там smurf-атака будет ещё проще — там не надо делать directed broadcast, просто 255.255.255.255, и всё, все единички в адресе. Направил пакет — широковещательный пинг, и все компьютеры взяли и на жертву отправили

ответ. Смысл amplification в том, что отправляется маленькая порция данных, как на предыдущем слайде сказано — малюсенькая, один пакетик отправили, а здесь какая-нибудь сетка там по /24, а может быть там по /20 — нет, так уже давно не делают — но по /24 маски, и 200 компьютеров — фигакс — и отправили ответы. Так что вот это smurf-атака, такая классическая. Но сейчас, конечно, сложно осуществима, скажем так. Это не значит, что вы не должны знать, что это. Это было давно. У нас, кстати, в курсе ещё будут — мы будем несколько атак рассматривать, которые устаревшие, которые уже некрофильские, и очень много условий должно быть, чтобы всё срослось, трудно воспроизводимые. Но это всё равно знать надо, потому что это основы, мы сейчас основами занимаемся. Дальше —

давайте так, дальше социальная инженерия. Давайте про весёлые вещи поговорим чуть- чуть. Про социальную инженерию тоже — мы про угрозы же говорим. Что такое социальная инженерия? Это игра на ожидаемых реакциях людей. Это психология прежде всего. Я бы не сказал, что это техническая угроза какая-то — это больше психологические вещи, в которых замешан человеческий фактор. Просто мы собрали на слайде несколько примеров, которые тоже нужно знать. Я не исключаю, что вдруг вам попадётся на экзамене какой-нибудь такой вопрос, потому что термины общеупотребимые, но редко, иногда в источниках встречаются. Некоторые примеры: phone scams — это мошенничество по телефону, фишинг,

фарминг — это мы сейчас будем ещё с вами говорить про это. Фишинговые письма — вы про это слышали, я думаю, и тысячу раз получали, когда в письме приходят неправильные ссылки. Фарминг — это разновидность фишинга, подробнее ещё дальше будет разговор. Tailgating — я думаю, что многие из вас это встречали и даже сами этим занимались. Я, когда был студентом, мы этим tailgating занимались каждый день, бедные были. Это когда ты за кем-то куда-то проходишь. Мы в метро проходили друг за другом по одному билетику. На самом деле tailgating можно осуществить и на какой-нибудь секретный объект, когда увязаться за кем-нибудь и пройти прицепом за кем-нибудь через какие-то секретные двери. Так что это тоже социальная инженерия, когда вы кого-то обманываете. Социальная инженерия — это просто большой обман. Потерянные флешки — тоже один из

хороших примеров социальной инженерии. Я где-то встречал статистику, я не помню источник, но статистика гласила о том, что какой-то огромный процент людей, чуть ли не 80–90 процентов людей, если находят флешку на улице, они обязательно вставляют её в свой компьютер. Вы представляете, какие могут быть последствия? Последствия могут быть просто катастрофичные для компьютера этого человека, который нашёл флешку. С другой стороны, флешку можно потерять в правильном месте. Злоумышленник может оставить флешку в госучреждении, например, или ещё где-то и тем самым получить какой-то интересный доступ. В сериале «Мистер Робот» — я не смотрел, к сожалению, сериал «Мистер Робот», я его собираюсь посмотреть уже не первый год, у меня просто нет времени, я думаю, найду время и посмотрю.

Визуальный хакинг — мы с вами про это говорили. Это shoulder surfing — подглядывание через плечо, подсмотры — это всё визуальный хакинг. И социальная инженерия в социальных сетях — я думаю, что с этим тоже многие сталкивались, когда в социальных сетях от твоего друга приходит сообщение, чтобы ты ему денег одолжил, и так далее. Это всё социальная инженерия. Примеров можно выдумать огромное количество, и здесь фантазия злоумышленников просто безгранична, и каждый год, каждый день появляется что-то новенькое, на которое все ведутся. Поэтому такой класс атак, к сожалению, я уже говорил — всё, что связано с человеческим фактором, это всё — это труба, туши свет, сливай воду. Дальше — давайте перерыв устроим, хорошо? Час у нас ещё прошёл.

Продолжаем. Про социальную инженерию мы с вами чуть-чуть поговорили. Фишинг. Фишинг, как я уже говорил, — это завлечение пользователей на какой-то свой поддельный ресурс. Это действительно одна из самых распространённых атак, которая использует социальную инженерию в том числе и является серьёзной угрозой, потому что опять же — социальная инженерия, человеческий фактор и всё такое. Просто осветим небольшой обзор по фишингу: что такое фишинг и какие они бывают. Во-первых, просто классический фишинг — это когда, как начинался фишинг, когда по электронной почте приходило письмо,

неважно сейчас какого содержания, это всё работает — социальная инженерия. Самое важное, что в этом письме содержалась ссылка на поддельный ресурс. Я думаю, что даже не «те кто», а просто все — каждый из вас знает, как строится любая ссылка в интернете: где есть текст и есть сама ссылка. И текст и ссылка совершенно не обязаны друг другу соответствовать. Но для нас это очевидно, а для тёти Маши из бухгалтерии это совсем не очевидно. Она даже не представляет, что текст и то, куда ведёт эта ссылка, — это разные вещи. Поэтому фишинг и работает, и сейчас работает, и будет работать всегда. Какие есть виды фишинга, как он эволюционировал? Если раньше фишинг был подобен широковещательной рассылке, когда письма приходили от кого попало кому попало, то

через некоторое время появился такой spear phishing — это работа по таргет-группам, когда именно вы получите именно то письмо, которое хотите. Таргет-группы вычислить несложно, и можно — я не знаю — море способов вычислить конкретную группу пользователей, чтобы направить на них конкретно конкретные лучи своего обаяния. Можно взять рассылку какого-то интернет-магазина, который продаёт котиков, и именно этим пользователям отправить письмо про новую выведенную породу котиков со ссылкой, которая будет вести куда-то на сайт злоумышленников. Эта работа по таргет-группам называется spear phishing. Дальше — pharming. Pharming — это эволюционированный фишинг, который выглядит немножечко по-другому для конечного пользователя. Если в обычной

фишинговой ссылке текст ссылки и сама ссылка — это разные вещи, и в принципе по тому, куда ведёт ссылка, можно уже понять, что вы получили фишинговое письмо, и сейчас начнутся неприятности, то pharming — это подмена ответов DNS. Вы можете получить письмо с совершенно легальной ссылкой — она действительно будет вести на ваш интернет-банк, на интернет-страницу вашего банка, например. Но следующий механизм, который начинает работать после нажатия на ссылочку, — это механизм DNS. Все его разбирали на CCNA, и ответ от DNS-сервера может быть каким-то образом подделан. Это может быть левый DNS-сервер, который вдруг оказался в сети предприятия, это может быть скомпрометированный, взломанный DNS-сервер в предприятии.

Про DNS мы чуть-чуть ещё позже поговорим, несколько слов. Но с помощью DNS осуществляется завлечение пользователей на поддельный, на какой-то вредоносный ресурс. Так что pharming — это следующая ступень фишинга. Вот watering hole — здесь штука такая, немножечко непонятная с первого раза. Сейчас я попытаюсь вам её правильно объяснить. Watering hole — это используется поддельный веб-сервер. Здесь даже не обязательно таргет-группа, потому что сейчас весь фишинг идёт по таргет-группам. А здесь имеется в виду, что вместо какого-то легального

веб-сервера, вместо какой-то легальной веб-страницы вам предоставляют точно такую же веб-страницу, например, страницу вашего банка, которая будет выглядеть совершенно идентично, которая, может быть, в сочетании с подменой ответа DNS, может откликаться по такому же адресу. Вам пришло письмо, в котором написано, что надо зайти, перевести 100 рублей, и вы посмотрели ссылку — да, действительно, ссылка ведёт на адрес вашего банка, на его сайт. Вы зашли — действительно, выглядит всё точно так же. Вы перевели 100 рублей непонятно кому. Это называется watering hole, когда подменяют уже вообще веб-сервер, ещё дальше эволюция. Но ещё есть такие смешные термины, как vishing — телефонный фишинг, и smishing — SMS-фишинг.

Я думаю, с этим тоже сталкивались — это просто мошенничество по телефону и по SMS. И у нас в стране существует, и не только в нашей стране. Атаки на пароли — следующий вид угроз. Я напоминаю, что мы с вами всё ещё занимаемся классификацией угроз, мы говорим про угрозы, мы их уже перечислили огромное количество. Я думаю, что после такого перечисления угроз — только угроз — может быть, кто-то будет плохо спать ночью. Атаки на пароли — смотрите, их на самом деле ограниченное количество. Нельзя придумать там 100 способов получить пароль, их на самом деле очень мало. Есть три основных способа. Guessing — это когда мы пытаемся отгадать пароль. Как пример — дата рождения какого-то человека, который он поставил в качестве своего пароля. И, зная этого человека, можно попытаться подобрать его пароль — просто отгадать.

Второй тип — это атаки по словарю, когда, перебирая словарь, тоже можно подобрать пароль. Это можно сказать, конечно, устаревший способ, хотя он до сих пор работает. Раньше, 15 лет назад, например, даже крупные сервисы типа — я не знаю — Hotmail, если кто-нибудь помнит Hotmail, это Microsoft-овский почтовый сервис, — он разрешал использовать пароли словарные. Да, он просто раньше был очень популярен, его подвинул Gmail потом. Но, например, тот же Hotmail — я сам лично помню, я им пользовался в 2000-м, что ли, году, 2001-м, в общем, очень давно — он раньше позволял использовать словарные пароли. Берёшь из словаря слово — там по-английски, по-немецки, по-французски — и

позволял использовать. Сейчас, конечно, я думаю, что подавляющее большинство сервисов уже не позволяет использовать такие пароли. Но всё равно такие атаки возможны, и немало на свете творческих людей, которые используют такие простые пароли. И, конечно, brute force. Brute force мы про него ещё тоже будем говорить. Забегая вперёд, скажу: brute force — это использование грубой силы, можно перевести. Это атака, когда просто методично, медленно перебираются все возможные варианты. Все возможные варианты, начиная с одного символа, которых может быть огромное количество, два символа, три символа. Иннокентий написал правильно: brute force — это единственная атака, которая даст результат в 100 процентах случаев. От brute force не защищён ни один пароль. Да, тут даже не только про пароли можно говорить, мы дальше будем про шифрование с вами разговаривать.

Brute force — нет, Андрей, здесь такой философский немножко вопрос. Любую информацию — я думаю, что вы не можете со мной поспорить, вы со мной должны согласиться — любую информацию можно подобрать методом грубой силы. Зашифрованное сообщение, пароль, одну строку, две строки, 10 страниц текста — их можно подобрать таким образом. Другое дело, что за нормальное время это неосуществимо. За какое-то приемлемое — понятно, что пароль в 30 символов со спецсимволами, большими-маленькими буквами, цифрами и так далее — brute force можно взламывать сотни лет на мощном оборудовании. Но в идеальных условиях он всегда даст положительный результат. Так что запомните: brute force — это вещь, которая стопроцентно результат даст, в стопроцентных случаях обязательно положительный результат.

Дальше — как защищать пароли, мы с вами ещё, конечно, поговорим об этом и сейчас, и потом — у нас будет тема про пароли небольшая. По типу доступа атаки на пароли тоже можно классифицировать — это офлайн и онлайн атаки. Онлайн-атака — это когда мы на работающем сервисе пытаемся подобрать пароль, когда мы раз за разом на какой-нибудь странице сервиса электронной почты вводим имя пользователя — пароль не подошёл, один, другой, третий. Это онлайн, когда мы сразу же видим свой результат и сразу же понимаем, успешная попытка или неуспешная. Не мы, а злоумышленники — я так образно говорю «мы». Мы, конечно, не злоумышленники, вы же понимаете. Это онлайн. Офлайн — это более, я бы сказал, эффективный способ, потому что онлайн-подбор пароля — вы понимаете, что можно таймеры разные ставить, там после трёх попыток

блокировать на 10 минут, и так далее — с этим просто бороться. Но офлайн-взлом пароля — тут немножечко уже посложнее, потому что офлайн подразумевает, что злоумышленник получил какой-то файл, содержащий пароль, и с этим файлом он уже работает. Да, Игорь сказал, что тот же самый либо хэндшейк либо какие-то данные которые в состоянии покоя, мы с вами про это говорили, злоумышленник получил и он с ними спокойно работает, методично делает этот брутфорс, например по словарю перебирает он не ограничен во времени, что самое главное, и рано или поздно он достигнет своего результата поэтому как защититься во-первых усложнение пароля

вы помните, вы все пользуетесь интернет-сервисами и довольно давно, кто-то очень давно я привел пример Hotmail, который раньше позволял простые пароли сейчас есть использование минимальной длины комбинация символов когда должны быть спецсимволы какие-то введены, и большие, и маленькие буквы и запрет использования словарных форм то, про что я уже говорил — атаки по словарю использование этих трёх составляющих позволяет очень сильно усложнить пароли если вы проектируете какую-то систему с парольным доступом то вы должны держать это в голове, это очень важно по поводу смены пароля по поводу смены пароля есть я не хочу долго сейчас об этом рассуждать, потому что об этом рассуждать и холиварить можно всю ночь Иннокентий, сейчас я надеюсь, Иннокентий, можно попросить тебя просто там рекомендации же были

в своё время и сейчас как часто надо менять пароль Роман написал «раз в квартал», Иннокентий, я попрошу, он точно сейчас нам ответит потому что сейчас рекомендации немного изменились можно каждый день менять пароли можно менять пароли каждый месяц я небольшой специалист по Microsoft я небольшой специалист по Microsoft, но Active Directory у него тоже по умолчанию, по-моему, сколько — три месяца, наверное но тоже есть смена пароля 42 дня, Иннокентий, спасибо пароли по расписанию сейчас такой рекомендации нет вообще, я слышал, и я не знаю, как относиться к этому

доля правды в этом есть что пароль стоит менять только в том случае, если он был скомпрометирован Роман я кстати по поводу слова «скомпрометирован» ещё потом расскажу маленькое уточнение давайте, хотите — сейчас расскажу, мы там дальше будем про криптографию говорить, криптоанализ мы раз уж тут заморочились на терминологии есть очень правильное утверждение, я его прочитал в книге Брюса Шнайера «Прикладная криптография» где написано, что скомпрометированные данные именно слово «скомпрометированные» — это те данные, которые получены не методом криптоанализа не то, что взломали если пароль, например, подобрать брутфорсом — это называется не скомпрометированный пароль это называется взломанный пароль, а если пароль посмотреть у кого-то на бумажке — это

называется скомпрометированный пароль, так что вот про термин «криптоанализ» уловили эта суть — это, кстати, я думаю, отличает нас от людей несведущих: когда какие слова употреблять. Скомпрометированный пароль, скомпрометированные данные — это те данные, которые не в результате криптоанализа были получены, которые украли, как угодно получили, но не взломали. Если был применён крипто- анализ — мы будем дальше про это говорить, про криптографию — может быть перебор, взлом каких-то алгоритмов шифрования, это уже называется взломанные, а не скомпрометированные. Есть одна точка зрения, что менять пароль стоит только тогда, когда он был взломан или скомпрометирован, когда произошла какая-то попытка взлома, и только для того,

чтобы потом поймать злоумышленника, который конечно же попытается его повторно использовать. Для этого следует сменить пароль — тогда вы точно увидите, что кто-то попытался зайти с уже неправильным паролем. Здравый смысл в этих словах есть. Давайте продолжать. Про пароли мы тоже поговорили. Разведка боем — это мы с вами помните, я про разведку уже чуть-чуть говорил — это reconnaissance, так называется. Это угроза, это атака. Чем плоха разведка — это попытка узнать максимум информации о жертве перед осуществлением атаки. Сама разведка вроде бы как не называется угрозой или атакой, но если кто-то пытается получить какую-то информацию о системе

слишком активно, например, это уже можно рассматривать как угрозу. Что может быть использовано — может быть использовано огромное количество инструментов, на самом деле не только технических. Здесь мы перечислили не так много, но давайте то, что мы перечислили: стандартные сетевые инструменты — dig, nslookup, whois. Это когда нам нужна информация о каком-то домене, чтобы получить IP-адреса, которые принадлежат, которые скрываются за каким-то конкретным доменным именем, связаны с ним. Ping sweep — это для выяснения живых хостов сети. Это простой и безобидный ping, но который выглядит довольно легитимным со стороны, но на самом деле может быть хитрым, когда мы можем пинговать подсеть хитрым образом, изменяя интервалы между пингами,

изменяя может быть размер пакета так, чтобы система — мы будем говорить тоже про IPS, например — система ничего не заподозрила. Если мы будем тупо пинговать или злоумышленник будет тупо пинговать подсети с двухсот пятидесяти четырёх хостов все подряд с интервалом 1 миллисекунда, понятно, что любая система предотвращения вторжения, любая самая старая, самая слабая, она скажет, что здесь проблемы, здесь кто-то нехороший. Ping sweep — эта техника, когда простым пингом можно узнать, какие хосты живые, какие не живые, и не попасться — это очень важно. Такое пингование довольно сложное в обнаружении, потому что просто изменение временного интервала, даже не меняя размер пакетов, а просто изменяя временной интервал между пингами, не перебирая адреса один за

другим, а в каком-то случайном порядке, можно очень эффективно выяснить, какие хосты в данной сети сейчас живые. Следующий шаг — сканирование портов. Все знаете, наверное, инструмент тот же самый nmap, он довольно несложный в использовании, но эффективный, который будет выяснять, какие порты открыты на хосте, чтобы понять, какие сервисы работают. Затем сбор информации о сервисах, версиях. Очень часто сервис, который работает на хосте — как пример, где-нибудь почтовая система или FTP-сервис — очень часто сами представляются и говорят: «Привет, я Postfix версии 2.2.8, ля-ля-ля, поля, build номер такой-то» или «Привет, я ProFTPD». Эта информация очень ценная для разведки, для проведения

такой атаки — узнать конкретную версию какого-то сервиса, это на самом деле очень много, это бесценная информация, потому что, используя те же базы уязвимостей, про которые мы говорили не так давно — CVE — прекрасно можно сразу узнать, что там такое. Злоумышленник зашёл на сервер, постучался телнетом на 25-й порт, ему ответил какой-то Postfix, который представляется, который показывает свой баннер — их надо отключать, как правило, нужно отключать. И злоумышленник пошёл в ту же самую CVE и посмотрел, какие в этой версии уязвимости. Почтовые системы нагружены, они не так часто обновляются, не так часто, как хотелось бы администраторам, потому что там тоже временные окна устанавливаются. И собрать информацию об уязвимостях — это прекрасно, это вообще бесценно, и уже потом, имея всю

информацию об имеющихся уязвимостях, можно проводить атаки, есть куча эксплойтов. Так что не стоит недооценивать опасность уже таких действий разведки. Кирилл написал, что была ситуация — да, он тут про пароли пишет, чем почитать. Мы понимаем, что разведка — это тоже угроза, это серьёзная угроза, и, как правило, я могу сказать, что обнаружение атак — это намного важнее, мы ещё будем тоже про это говорить — это намного важнее даже, чем борьба с последствиями атаки. Меры

противодействия превентивные — они самые важные, но про противодействие тоже будет обязательно. Переполнение буфера — угроза, которая относится к софтовой части сервисов, к программному обеспечению, к клиентской стороне. Очень часто используется такой вектор атаки, очень распространённый — переполнение буфера. Выглядит, если совсем упрощённо объяснить, так: сервис, принимая слишком много входных данных, размещает их в памяти, и у него просто не хватает — операционная система выделяет какую-то память веб-серверу, например, веб-серверу запихивать данные в этот участок памяти, и просто заполняет полностью, и в таком случае может затереть соседние области памяти. Большой кусок данных пришёл, он пытается разместить, выделенная память закончилась, соседнюю память затирает и может

к краху системы привести либо к внедрению вредоносного кода — injection, — а дальше уже компрометация. Так что переполнение буфера — здесь работают уязвимости именно в программном обеспечении, и бороться нам, как людям, которые занимаются сетевой безопасностью, с этим тоже довольно сложно, потому что это уже даже не наша зона ответственности зачастую бывает, а зона ответственности людей, которые обслуживают именно сервисы. Но никто не отменяет того, что мы должны это очень хорошо знать. Дальше атаки man-in-the-middle. Мы говорили с вами про эту атаку — man in the middle, человек посередине. Она может быть применена в большом количестве разных сценариев, и не только в сети, кстати. Как пример — про сеть мы с вами

представляем себе более-менее: врезаться в Ethernet-кабель, поставить какой-нибудь хаб, активный, пассивный, без разницы какой, и получать копию сигнала на себя, например копию данных, либо эти данные изменять. Мы помещаем себя на пути следования информации. Но то же самое можно сказать и про не обязательно сетевую атаку. Man-in-the-middle — например, программа-перехватчик, которая стоит на вашем компьютере, перехватывает ваш трафик до какого-то сайта и отправляет уже поддельные данные. Это тоже man-in-the-middle можно назвать, с натягом, наверное, но это то же самое — перехват не где-то в сети, а на конечном хосте пользователя, и такое тоже может быть. Как пример — это атака на сетевые протоколы: может

быть ARP, DNS, протоколы маршрутизации. Эти протоколы, мы уже говорили, что существуют уязвимости, слабые места в самих протоколах, и man-in-the-middle здесь будет очень эффективен, когда данные протоколы можно перехватывать, подделывать, и что угодно может случиться. Как пример приведён неправильный выбор пути для трафика — действительно, можно завернуть трафик куда угодно, злоумышленник может завернуть его на себя, куда-то на левый сервер. Атака может быть пассивной или активной. Разложим по полочкам: пассивная — это когда атакующий только собирает конфиденциальную информацию, просто собирает, слушает, никак себя не проявляет и ничего не делает. Либо активная — когда он просто изменяет информацию, подменяет на свою в момент её передачи. Это то, что касается

man-in-the-middle на данный момент. Man-in-the-middle у нас будет всплывать ещё в нашем курсе не раз, мы ещё про это много поговорим. Вообще, по моим личным ощущениям, не по моей практике как безопасника, а просто по публикациям, которые я читаю, man-in-the-middle — одна из самых часто используемых вообще атак, и эта угроза занимает очень большой сегмент вообще в атаках. Векторы потери данных. Как мы можем потерять наши данные? Про угрозы мы поговорили, такие технические, не только технические, но ещё не стоит забывать о том, что наши данные могут уйти от нас не только под каким-то внешним воздействием, но и внутренним. Здесь я написал про правило 80/20, правило Парето,

как оно называется. Очень много вообще областей человеческой жизни этим правилом можно описать — 80 на 20, такое процентное соотношение волшебное. Касательно сетевой безопасности: если раньше — раньше я имею в виду пару десятков лет назад, может быть 10, 15, 20 лет назад — ещё раньше считалось, что 80 процентов угроз приходят извне нашей сети и только 20 процентов угроз приходят изнутри нашей сети, то в настоящий момент это соотношение перевернулось с ног на голову. Сейчас стоит ожидать 80 процентов угроз изнутри своей сети и только 20 процентов угроз извне. Понятно, что это всё очень

приблизительно, но соотношение такое в нынешнем мире. Если раньше все боялись злых хакеров, которые проникнут в вашу сеть, всё похакают и украдут ваши активы, то сейчас стоит бояться того, что происходит внутри сети. Не обязательно это будут злые хакеры, которые работают в соседнем с вами отделе. Нет. BYOD — BYOD это совсем такая штука, мы про неё тоже будем чуть-чуть касаться. Это не обязательно злые хакеры, не надо всё валить на хакеров — это американские средства массовой информации так делают. Это могут быть вирусы какие-нибудь, внедрённые закладки, это может быть что угодно — не обязательно живые люди внутри вашей сети, которые будут обеспечивать утечку данных. Вложения email — это человеческие вещи, когда сотрудники могут какую-то конфиденциальную информацию отправить наружу. Незашифрованное

устройство. Облачное хранение — в настоящее время облачное хранение, это конечно полный кошмар, потому что все хранят во всяких Dropbox, я не знаю, Google Drive используют на предприятиях сотрудники, и если об этом не думать безопаснику, то утечь может вообще всё что угодно с предприятия. Так что облачное хранение сейчас, в последние годы, представляет очень серьёзный вектор потери данных, реально очень серьёзный. Переносные устройства — то, что Михаил сказал: BYOD — Bring Your Own Device. На языке безопасников, как один тренер говорил, такие светящиеся буквы в небе: «геморрой, геморрой, геморрой». Это самое страшное вообще, что можно представить, потому что весь этот зоопарк — с точки зрения бизнеса, так, в первом

приближении, конечно, это прикольно, когда люди приходят со своими ноутбуками, планшетами, на них работают, уносят их домой, но с точки зрения потери данных, с точки зрения безопасности это какой-то кромешный ад. Так что это очень серьёзная вещь. Неправильный контроль доступа — мы с вами про это уже немножечко говорили. Действительно, это тоже один из таких главных векторов, когда просто по недосмотру либо по злому умыслу контроль доступа осуществлён таким образом, что данные утекают из сети. Как Глеб очень хорошо написал: во внешнем мире есть 100 человек, которые хотят получить данные, только 5 хакеров, грубо говоря, внешних как-то могут это сделать, а у вас внутри уже есть пять человек, и они уже сговорились, и они уже на это настроены — это сотрудники какие-нибудь. Штука печальная на

самом деле. И здесь существует множество мер противодействия, мы будем про них говорить дальше, но например то, что мы не осветили в нашем курсе точно, — это системы, как же они правильно называются... DLP правильно называются — DLP. Система предотвращения утечек, Data Loss Prevention или Protection, без разницы. Эти системы мы в курсе не будем рассматривать, потому что это совершенно отдельный класс систем, это даже больше не сетевые устройства, а программные комплексы, которые занимаются глубоким анализом документов. DLP-системы — собственно, первое, что приходит на ум, когда мы говорим про какие-то утечки данных. Как понять, что всё плохо? Здесь такой слайд

интересный. Есть несколько заблуждений, несколько таких основных заблуждений, которые тиражируются среди начинающих безопасников, начинающих администраторов, да и не только начинающих, и матёрых сисадминов. Эти заблуждения надо в себе как-то искоренять и бороться с этим. Давайте я вам расскажу. Во-первых, первое утверждение: «Моя сеть никому не нужна». Это фраза, которая очень часто слышится от всех: «Кому нужна моя сеть? Кому мы нафиг нужны? У нас ничего ценного нет», ещё говорят, и так далее. Но во-первых, кто вам сказал, что ничего ценного нет? Я хочу ответить таким людям, потому что во-первых

нужно поговорить с руководством и выяснить, есть ценное или нет ценного, и только потом будет понятно, нужна ваша сеть кому-то или не нужна. Даже если эта сеть небольшого офиса, где стоят 10 компьютеров без сервера, без единого — даже такие есть офисы, где там сидят три человека, занимаются продажами какими-нибудь, у них сетка стоит, один свитч, 3 компьютера воткнуты, там один провайдер на них, как-то всё работает, и приходит сисадмин раз в месяц, обновления какие-нибудь ставит, антивирус обновляет. И если этот сисадмин уверен, что эта сеть никому не нужна и в ней ничего ценного нет, то он глубоко заблуждается, потому что найдётся соседняя фирма на соседнем этаже, где тоже три компьютера, но которые конкуренты, и сразу становится немножечко уже можно поспорить с этим утверждением. Кто знает — вдруг нужна. Поэтому нельзя так говорить, что моя сеть никому не нужна. Следующее

заблуждение: «Нас только что взломали». Когда я, скажу честно, когда я был совсем начинающим сисадмином, я тоже так говорил. Нас не то что взломали — нет, у нас один сервер был взломан. Но это прям совсем на заре, когда у нас была фирма, 3 компьютера. Не год назад, а 16–17 лет назад. Я тогда только начинал, я не занимался раньше этим, я занимался другими вещами, графическим дизайном занимался и так далее. Но когда был молодым, горящим сисадмином, у меня действительно был такой случай, что мы развернули FTP-сервер, чтобы от одного заказчика принимать графические файлы. У нас не хватало компетенции, не хватало знаний, и этот сервер прожил буквально

две недели, затем был просто взломан, потому что мы не знали, как его правильно настроить. Мы создали пользователей, это была достаточно простая настройка, всё по умолчанию, всё очень просто, мы создали каких-то пользователей, разрешили доступ туда. В результате потом оказалось — это реальная история из жизни — мы пришли утром на работу, у нас много пропущенных звонков от нашего провайдера, который ругался благим матом, орал, что мы спам рассылали. Так как электронной почты, своего почтового сервера у нас не было, мы активно не пользовались и мы не могли понять, кто же рассылает спам, потому что почтовый трафик был маленький. Потом, когда стали разбираться — просто FTP-сервер был взломан, и там был почтовый relay — relay — это сервер, который пересылает почту, — короче, спам рассылал. И может быть, два или три дня.

У нас была такая же фраза: «Только что взломали, вот эту ночь у нас взломали». На самом деле нельзя говорить, что только что взломали. Никто не знает, кроме злоумышленника, когда начался процесс взлома, когда начался процесс вторжения. Это может растягиваться на годы. В случае с нашей системой мы были почти правы, потому что нашей системе было только две-три недели, и мы могли так сказать, но тоже не «только что», потому что этот сервер мог быть взломан неделю назад или две недели назад, подготовка могла начаться давно. В системах, которые работают много лет, нельзя быть на сто процентов уверенным, что взломали прям вчера. Может быть, злоумышленник укрепился в системе ещё год назад и год назад тырил ваши данные и внутреннюю переписку сотрудников. Это очень сложно сказать. Поэтому второй такой миф — «моя сеть никому не нужна» и «только что взломали» — это конечно

неправда, имейте это в виду. «За безопасность отвечает IT-отдел» — спорное утверждение, абсолютно спорное, потому что за всё, что происходит в компании, отвечать должно руководство в первую очередь. IT-отдел только исполняет решения руководства. Будем дальше говорить про политику безопасности. Я сейчас говорю про такую идеальную компанию в вакууме, а не про наш российский беспредел такой айтишный, с ним все знакомы. Про такую хорошую компанию — нельзя сказать, что за безопасность отвечает IT-отдел, потому что политика безопасности — тот самый главный документ, мы про него, наверное, завтра уже поговорим — этот документ всегда подписывается высшим руководством, и топ-менеджмент несёт ответственность в первую очередь за то, что происходит в плане безопасности. За то, что он не даёт денег IT-

отделу, он тоже будет нести ответственность. Здесь можно много причин придумать — не то, как свалить ответственность с сисадминов или сетевиков, здесь не про перекладывание ответственности, а именно про то, кто отвечает за безопасность. И отвечает за безопасность всегда руководство, прямо или косвенно. Если руководство зажало денег на антивирус, то взлом, который произойдёт через год и будет являться последствием отсутствия антивируса, — это всё ляжет на плечи руководства. IT-отдел здесь ни при чём. IT-отдел хотел купить антивирус, а денег не дали. Так что это тоже не слишком нормальное утверждение. Вы понимаете, что если у вас такие мысли есть в голове — значит, уже всё плохо. Если вы говорите, что «только что взломали» — значит, уже всё плохо. Если говорите «моя сеть никому не нужна» — это всё плохо. Дальше: «У нас есть firewall» — тоже такое утверждение, что у нас есть firewall и нас никогда

никто не взломает. На самом деле ерунда. Будем тоже дальше разговаривать про модели обеспечения безопасности. Я вам сразу подброшу ещё один термин: defense in depth — эшелонированная защита. В сети нельзя обойтись одним firewall, в сети нужно защищать системы на каждом из доступных уровней, на самом каждом. Чем больше средств безопасности в сети накручено, тем лучше. Нельзя просто поставить на границе, на бордере, куда мы на провайдера смотрим, какой-нибудь фаервол — пусть он даже будет самый прекрасный, самый лучший — и быть уверенным, что у нас всё отлично. А антивирус где? А где у нас безопасность на канальном уровне — 802.1X какой-нибудь, что угодно? На каждом из доступных нам уровней нам нужно

обеспечивать какую-то защиту. Одним firewall уже давно никто не обходится. Глеб написал: «У нас есть NAT» — да, было и такое: «У нас NAT есть — всё отлично, всё прекрасно», но антивирусов нет. «У нас есть NAT, у нас есть фаервол» — вы понимаете, что в сегодняшних реалиях эта фраза уже просто не прокатит. Одним фаерволом уже никто не отделается. И последнее утверждение: «Мы пишем логи». Мы пишем логи — это всё прекрасно. Я тоже пишу логи, я вам честно скажу, и работаю с ними недостаточно. Резервное копирование — это мы можем ещё углубляться. Глеб правильно сказал: писать логи мало, их нужно читать. Но читать человек логи не должен.

Логи не должны обрабатываться вручную ни в коем случае. Так что если пишутся логи — это прекрасно, но логи должны обрабатываться только автоматически, никак иначе. Всё остальное — это полная ерунда. Никакое ручное чтение, разбирание логов и так далее... Скажем так, после какого-то инцидента вручную разбирать логи — это нормально, потому что там приходится вчитываться и понимать, что произошло. Но как превентивная защита это не работает совершенно. Как превентивная защита — это только автоматическая обработка логов в полном объёме и автоматическая отправка отчётов, алертов и чего хотите. Так что просто писать логи — это конечно недостаточно. На этой радостной ноте

мы с вами закончили этот небольшой кусочек. Продолжаем. Работа с угрозами: мы с вами рассмотрели уже много вещей, классифицировали уязвимости, угрозы. Теперь немножечко поговорим, как всему этому делу противостоять. Будем говорить про меры противодействия. Слово, которое вам уже надоело — классификация — всплывает у нас ещё раз. Давайте говорить про меры противодействия. Их мы можем классифицировать по многим признакам, и сейчас шаг за шагом будем постепенно разбираться. Во-первых, какие бывают меры противодействия по типу контроля? Они могут различаться: административные, технические и физические. Если с техническими мерами

мы с вами более-менее знакомы как люди, которые занимаются сетью, — это сетевые устройства, firewall, IPS, не сетевые — антивирусы, системы предотвращения утечек и так далее, — это всё технические меры. Могут быть ещё административные меры и физические. Самые главные вообще из мер противодействия, как ни странно, будут административные. Мы здесь немножечко рвём шаблон в этом курсе, и я ставлю на первое место немного странные вещи. Казалось бы, всякие бумажки, административные вещи — на самом деле это главнее. Все наши технические меры, всякие наши firewall — всё ерунда, если не будет никакой нормальной административной политики. Административные меры — они самые

главные, вплоть до того, что, как пример, проще выпустить какое-то служебное письмо по организации и запретить всем сотрудникам заходить в «Одноклассники» в рабочее время, чем постоянно мучить сисадмина и кричать на него: «Какого хрена опять ты не мог заблокировать эти несчастные Одноклассники?» Так что здесь бумажка будет главнее, и ничего с этим не поделаешь. Да, пишет, что никакая бумажка не заменит port security, имеется в виду. Если немножечко подумать и порассуждать на эту тему, то всё-таки заменит, потому что грамотное управление организацией всё равно стоит на первом месте. Намного эффективнее какого-нибудь нехорошего сотрудника

поставить на место приказом руководства, а этот нехороший сотрудник, например, будет всё время притаскивать в офис какой-нибудь свой роутер домашний — не потому что он злоумышленник, а просто потому что он такой творческий. У меня был такой один человек, сотрудник в компании, где сейчас работаю. В одном из подразделений, не в головном офисе, а в соседнем, у нас был небольшой офис, такое рекламное агентство. И этот человек в один прекрасный момент принес из дома... У нас точки доступа нет, Wi-Fi нет. А это было давно, может быть лет 10 назад. У нас Wi-Fi нет, а мне Wi-Fi нужен по работе. Я говорю: старик, зачем тебе по работе Wi-Fi, если у тебя есть компьютер настольный, делай что хочешь, я тебе не закрываю никакие соцсети. Тогда мне нужен Wi-Fi и всё. Это я уже потом с ним

стал выяснять, что он сделал. Он принес домашний роутер, говорит: я хочу чтобы был Wi-Fi. Принес домашний роутер, он стал по DHCP раздавать какую-то ерунду, и всё легло. А я ещё был в небольшой внутренней командировке и туда смог приехать только на следующий день. И там всё лежало. Я не мог понять, в чём дело. У меня даже в голове не могло укладываться, что человек принёс какую-то ерунду. А так как это было такое подразделение, неважное, финансирующееся по остаточному принципу, там даже не port security, ничего не было, какое-то совершенно дешёвое оборудование, стоял один коммутатор, офис-то на три человека был. Там даже spanning tree не было, один коммутатор стоял, неуправляемый, простой. Это даже не я там строил, просто присоединили к нам рекламное агентство. И потом оказалось, что такая ерунда.

Поэтому административные меры — они, конечно, самые действенные. Настучать по шапке какому-нибудь не очень умному человеку — намного эффективнее. IP-телефон с проводами местами поменял и broadcast-ом сеть положил. Да, Михаил, у меня такое было. Много чего вообще. Творчество в людях — оно неубиваемо и неиссякаемо. Поэтому можно придумать сколько угодно способов, как всё сделать плохо, даже если у нас самые лучшие технические меры, всё самое лучшее на самом лучшем. Это всё придумает дурак — жвачку в порт запихнёт, в розетку настенную. И скажет: блин, жвачку некуда положить, я в порт запихнул, потому что она там красиво смотрится, она розовая в белой розетке, прям красота. И всё. Ну что с ним сделать? Какие тут технические меры? Здесь только, сами понимаете, администрация должна работать.

И есть физические меры противодействия — это физическая безопасность, она тоже важна. Мы говорили про замки в серверные — это всё относится именно к этому. По типу воздействия я уже касался немножко этой темы, когда Андрей про телефон привёл пример. Пример очень простой, это бывает во многих местах, и это было даже у меня когда-то, когда у человека стояло рабочее место, IP-телефон и компьютер. Два кабеля было — один в телефон, другой в компьютер. Это тоже было не в главном офисе, а в другом. У меня серьёзно было такое. Я на курсах всегда рассказываю про эту штуку, про такую глупость,

но я никогда лично не видел. Тут я увидел несколько лет назад сам, когда компьютер увезли в ремонт и болтался просто сетевой кабель отключённый. Человек мимо проходил, причём не из нашей страны, его приглашали работать на этих людей. Он ничего не понимает в технике, но не знаю зачем — он проходил мимо и взял во второй порт телефона воткнул второй кабель. Я не знаю зачем, может быть подумал, что так будет лучше слышно, или ещё что-то. Но петля — классическая петля, и всё. А площадка была достаточно удалённой, пришлось туда ехать. Я не мог понять — приехал туда, шторм. Я вижу шторм, а что со штормом делать? Там тоже оборудование было не самое лучшее. Стали разбираться, в результате я увидел такую картину. Я не мог представить, что такие люди бывают. Я слышал такие

истории на курсах — да, это всё байки. Это из разряда сетевых баек, которые мы на курсах рассказываем. Я думаю, Иннокентий тоже упоминает иногда такие вещи. Обычный IP-телефон, две розеточки, внутренний свитчик маленький, такая ерунда. У меня случилось. Так что, друзья мои, административные меры — они всё-таки... Если бы этому человеку кто-то сказал не трогать телефон, по шапке получишь — он бы не стал так делать. Но ему же никто это не говорил, и никто не мог представить, что такое бывает. Давайте дальше. По типу воздействия меры противодействия бывают какие — их можно классифицировать по времени, когда мы их применяем. Есть меры превентивные — это то, что мы применяем до того, как случилось что-нибудь плохое. Чтобы предотвратить взлом,

мы ставим firewall или антивирус. Это всё превентивные меры. По большей части, я думаю, что очень большой процент — я не могу сказать в процентном соотношении, но это будут, наверное, основные меры, превентивные, которые мы в сетевой безопасности, да и не только сетевой безопасности, будем применять, чтобы что-нибудь не случилось. Так что, наверное, самые важные меры — превентивные. Дальше — детективные. Детективные меры будут применяться, когда уже что-то случилось. Это уже грустные истории — расследование. Любой инцидент должен быть расследован. Любой. Если забивать на это дело, если не расследовать инциденты, когда они происходят, ничего хорошего не будет. Я честно скажу, в своей работе я

системным администратором работаю, я отвечаю за многое. У меня бывают инциденты, которые я, конечно, не расследую — ну, не знаю, принтер завис, заглючил, да хрен с ним, перегрузил, пошёл дальше. Он через неделю опять завис, так и виснет постоянно, я на него забиваю. Я тоже могу сказать, что я тоже иногда наплевательски отношусь к инцидентам. Расследовать инциденты надо. Понятно, что это всё про принтеры — не такие серьёзные примеры, но какие-то инциденты более серьёзные, чем зависание принтеров, всё-таки лучше расследовать. Даже если это просто зависание сервера. Зависание сервера на самом деле напрямую связано с безопасностью. Мы вспоминаем задачи безопасности — и если сервер завис один раз, мы на это забили, пошли в серверную, перезагрузили

его через KVM, и просто забыли про этот инцидент, то нет гарантии, что через неделю он опять не зависнет. А если вы уедете в отпуск, а он зависнет без вас и никому будет его перезагрузить, то работа компании встанет на какое-то время — не будет доступности. Мы говорили про доступность сервисов. Так что даже такие простые инциденты влияют на безопасность. Какие ещё бывают меры? Коррективные. Коррективные меры — это исправление ошибок после инцидента. Когда случился инцидент, когда мы провели какое-то расследование, конечно, мы должны что-то скорректировать, чтобы это не повторялось. Меры восстановительные — recovery. Никто с этим не спорит, что, конечно, хотелось бы, чтобы в нашей работе этого было как можно меньше, но бывает, что восстановление из backup решает очень

многие проблемы. Про backup много сказано, сейчас об этом рассуждать не будем. Это важная вещь, и никто спорить, я думаю, не будет. Есть ещё такие меры как deterrent. Deterrent — я всё время забываю правильный перевод, честно вам скажу — сдерживающие, по-моему. Сдерживающие, отпугивающие, как-то так. Deterrent — это тоже меры противодействия. Например, табличка «Не влезай — убьёт» на силовой подстанции — это самые настоящие меры противодействия, которые относятся к безопасности. Какое-то предупреждение при входе в серверную — это опять же баннеры. Если на CCNA — я честно не знаю, баннеры сейчас есть на CCNA. Я просто сдавал CCNA очень давно и

читал последний раз CCNA год назад, предыдущую версию. Поэтому я всё время вас спрашиваю, что сейчас в свежем. Те же самые баннеры — мы про баннер ещё поговорим, там на самом деле не один баннер, знаете. Deterrent и preventive — deterrent, если перевести буквально, — отпугивающий. Preventive — это совершенно конкретные технические или административные меры, когда мы что-то защищаем. Либо физически мы вешаем замки на двери, мы ставим бронированные двери. А deterrent — мы просто предупреждаем. Это может не сработать, имейте в виду, эта мера не стопроцентная, но она тоже важна. Тот же самый баннер. Deterrent — это не административная мера. Административная мера — это прежде всего управление персоналом, сотрудниками.

Мы же говорили, что угрозы могут исходить изнутри компании и извне компании — это прежде всего управление людьми. А deterrent — это просто предупреждение, отпугивающее. «Не влезай — убьёт», чувак, здесь очень опасно находиться, на твой страх и риск. Deterrent — это такие меры. Те же самые баннеры на самом деле обязательны в некоторых случаях, потому что я слышал историю — не помню от кого — что кто-то проходил какую-то сертификацию компании, и баннеры на сетевом оборудовании, предупреждающие, были обязательны для прохождения сертификации — какой-то аудит по безопасности. Эти баннеры на самом деле обязательны. Я не могу сказать — я просто не буду врать — где это было и когда, но такая штука есть. Иннокентий, правда, deterrent просто снижает желание

устроить атаку, а preventive мы вероятность атаки снижаем. А deterrent — просто пытаемся... Роман правильно сказал, да. Так что на эти меры тоже не надо плевать, про них надо помнить. Если есть такая возможность повесить баннер, сделать какие-то предупреждения — их надо делать, это очень полезная вещь. Дальше — как мы относимся к рискам. Здесь развитие темы с инцидентами и с рисками. Что можно вообще сделать в нашей работе? Даже не в нашей работе — пошире возьмём область рассуждения. Что можно делать с рисками? С рисками на самом деле можно поступить по-разному. Самое лучшее, что мы можем сделать, — это избежать риска. Правда, действительно самое лучшее. Если можно избежать драки, то

её надо избегать. Если у нас есть возможность — давайте придумаем что-то близкое к сетям. Если есть возможность не использовать какое-то оборудование, лучше его просто не использовать, если оно небезопасно. Прошу прощения, сходу какой-то яркий пример не приходит, но просто избегаем рисков. У нас нет автомобиля — всё прекрасно, значит, на нём не разобьёмся. Это avoidance. Дальше — уменьшение риска, reduction. Это в принципе то, чем занимаются превентивные меры — мы просто уменьшаем вероятность успешной реализации атаки. Все наши превентивные меры в принципе направлены именно на уменьшение наших рисков. Дальше — разделение, sharing. Это очень интересная вещь, и она действительно имеет

право на жизнь, когда мы наши риски можем с кем-то разделить. Самый наглядный пример — веб-сервер. Если у нас есть более-менее крупная компания, у этой компании свой какой-нибудь сайт или несколько сайтов, интернет-магазины — мы можем это всё хостить у себя на своём сервере в нашей серверной, просто содержать этот сайт. Но в таком случае мы на себя берём намного больше рисков, связанных с этим сервером. Веб-сервер — штука достаточно уязвимая, не только сам по себе серверный софт, Apache или другой, но и софт, который крутится на этом сервере, уязвимости в том, что написали программисты. С другой стороны, мы можем наши риски разделить — мы можем взять этот

веб-сервер и наши сайты просто разместить у любого хостера на профессиональном хостинге. И тогда часть рисков мы просто разделяем с ним. У нас не болит голова о том, чтобы обновлять постоянно веб-сервер, закрывать дыры, следить за уязвимостями — это делает хостер. Игорь, тут не единая точка отказа — нельзя говорить про единую точку отказа, это вообще такая штука аморфная немножко. Точек отказа их же множество. Просто разделяем наши риски — мы какую-то часть наших рисков отдаём кому-то ещё, кто об этом позаботится, бесплатно или за деньги — это уже не играет роли. Это разделение рисков. Ну и последнее — это принятие рисков. Бывают такие ситуации, когда есть такие риски, с которыми мы ничего поделать не можем. Мы можем только принять их. Мы же не можем как-то защититься

от того, что на серверную упадёт метеорит? У нас из Челябинска никого нет, но ребята подтвердили бы. Как мы от этого риска защитимся? Только застрахуемся в страховой компании, которая возьмёт немало денег за страхование такого риска от падения метеорита. Но мы этот риск принимаем. Купол построить? Глеб, здесь опять возникает вопрос соизмеримости затрат и активов. Понятно, что можно и купол построить, что угодно сделать от метеорита, но в этом случае проще принять этот риск. Обычно, по моему разумению, принимаются те риски, вероятность которых мала — всё-таки какие-то связанные с внешними силами природы, эти риски всё-таки принимаются. Надо сказать, что не всегда меры противодействия под одно определение подпадают — всё-таки у нас могут быть какие-то меры, которые в несколько классификаций

попадают. Давайте продолжать. Политика безопасности — добрались мы до этого дела. На самом деле про политику безопасности разговор такой немаленький, мы сейчас поговорим. Это самый главный документ, я уже про это говорил — без политики безопасности в более-менее серьёзной компании никуда. Самое главное, по моему разумению — я на курсах CCNA мы говорим про документацию в начале курса, но я от себя рассказываю, в курсе ничего нет про документацию, я рассказываю про то, что документация нужна, она важна. И это в принципе всё касается политики безопасности. Самое главное в политике безопасности — что сначала должна создаваться она, политика, а уже потом на основании неё должно всё остальное проводиться.

Это то же самое к документации относится. Даже в самом простом случае, когда у вас есть какая-то пусть даже самая маленькая сеть, вы её задокументировали, вы её построили, и потом вам надо пойти переткнуть провод из одного порта в другой на коммутаторе. Я себя приучил, и слушателям говорю, что неплохо бы сначала в документации это зафиксировать, а потом пойти с этой бумажкой в серверную и по этой документации переткнуть. Пусть даже это будет такое простейшее действие — какая фигня-то, да, но этим вы застрахуетесь от рисков, что вы забудете, вас кто-то отвлечёт, вы куда-то побежите и потом не вернётесь к этому вопросу. Игорь правильно писал. Так что такое небольшое лирическое отступление — сначала пишется документация, потом по ней проводится действие. То же самое с политикой безопасности: когда в

компании планируются какие-то действия по безопасности, либо внедряется новый проект, сначала пишется политика. Это самый главный документ. С помощью политики мы защищаем информацию, защищаем людей. Про защиту информации неплохо поговорили. Защищаем людей — здесь мы, наверное, говорим и о физической безопасности, она тоже будет описана. В общем, она относится ко всему, что происходит в компании. Обозначаем правила поведения — в политике безопасности должно быть описано всё, что касается не только бездушных систем и машин, но и конкретных людей — что им делать, зачем и так далее. Мы наделяем персонал полномочиями — именно в политике безопасности будет написано, кому куда можно, кому куда нельзя. Мы определяем действия в нестандартных

ситуациях — на каждую нестандартную ситуацию, которую мы предполагаем, людьми, которые составляют политику, должны быть описаны действия. Должны быть чёткие процедуры: что делать, если вылетел диск в сервере, что делать, если сгорел коммутатор, что делать, если обнаружена попытка подбора паролей и так далее — на все эти нестандартные ситуации тоже должны быть чёткие инструкции в политике. Вообще политика безопасности представляет из себя такой документ, очень-очень толстый, по идее. Я в одной компании, где работает порядка 300 человек, видел — у них политика безопасности такие два тома были. Это западная компания, работает по западным стандартам, и там безопасник — такой очень

замороченный мужик — он просто перевёл какую-то американскую политику безопасности какой-то американской компании на русский язык, адаптировал её. Там два тома были, такой документ, там было про всё, по-моему, написано. Но с другой стороны, всего тоже не опишешь на самом деле. Что делать, если работаешь в провинции, нет ничего? Игорь, очень просто — написать политику самому. Роман прав. Сейчас я расскажу про компоненты политики безопасности. Просто дело в том, что даже если у вас есть время — во-первых, потому что это время занимает очень много. Если вы работаете в небольшой компании в провинции, неважно, и вы никогда не задумывались о политике безопасности, можно заняться её написанием. Это невероятно сложный труд, я точно скажу.

Но даже написав какие-то основные тезисы, основные её части, вы очень сильно продвинетесь и как профессионал вырастете над собой. Это очень полезно — просто сесть и попробовать написать политику безопасности просто из головы. Из головы вспомнить все аспекты безопасности, которые сейчас в вашей каждодневной работе встречаются, и записать их на бумагу. Не обязательно это всё как-то оформлять, расписывать — начать с малого. Это очень интересно, если есть время и желание. Дальше о политике безопасности что хочется сказать — политика безопасности утверждается на самом верху. Мы говорили с вами про ответственность в безопасности — отвечает всегда верхушка за всё, за всё что происходит, потому что

только она может утверждать эту политику. Обычно, по тем источникам, которые я читал про политики безопасности, политику безопасности составляют люди, которым начальство доверяет. Большая компания — и топ-менеджмент не будет разбираться во всех нюансах безопасности. У топ-менеджмента под боком есть отдел безопасности, где сидят люди, которым они доверяют. Как правило, безопасники — они самые доверенные люди в компании, одни из самых доверенных, и к ним доверие такое серьёзное. Эти люди разрабатывают политику безопасности, но всё равно подпись под этим документом ставит топ-менеджмент — генеральный директор, владелец фирмы, не знаю кто, — кто-то на самом верху. И тогда она начинает работать. Если не будет подписи самого высшего руководства, она просто не заработает, потому что все на неё

забьют. В результате, только если стоит подпись генерального директора, тогда этот документ будет обязателен для всех. А политика безопасности — она на то и политика, что она обязательна к исполнению вообще всеми. Такая штука. Компоненты политики безопасности. На самом деле, кто собрался писать — я вам сейчас примерный план расскажу, что можно в неё включить. На самом деле компонентов можно придумать и написать огромное количество, просто если этим заняться. Во-первых, есть так называемые общие правила. Самый такой компонент, один из самых важных, — это AUP, Acceptable Use Policy. Это правила, которые будут приниматься конечными пользователями. Эта часть документа будет предназначена для обычных пользователей вашей сети.

Это правила, в которых какие-то общие правила, не только про пароли — здесь правила, которые будут относиться к людям. Нельзя засовывать жвачку в порт, в розетку на стене. Такие какие-то вещи будут написаны, и сотрудники, пользователи должны быть ознакомлены с этой частью политики, должны за неё расписаться. Естественно, обычные административные процедуры. Политики аудита — как будет проводиться аудит нашей сети, как часто, кем будет проводиться аудит. Политики классификации информации — мы с вами про классификацию уже много говорили. Это тоже всё описывается в политике: что мы считаем важным, что мы считаем публичным, что мы считаем вообще top secret и так далее. Политики паролей — про пароли мы тоже говорили, это тоже должно быть всё отражено.

Оценки рисков — как мы оцениваем риски. Оценка рисков — это всё-таки не очень техническая часть, поэтому, как правило, этот компонент создаётся людьми со специальным образованием, которые именно этим занимаются, специалистами. Зачастую привлекаются сторонние. Дальше, какие компоненты: всё что касается электронной почты, всё что касается удалённого доступа, телефонии, приложений на компьютерах, сетевые политики, беспроводная связь, политики серверов, то что касается backup, то что касается создания, про backup мы говорили, то что касается замены оборудования и так далее — то есть в них можно написать вообще очень многое.

Помимо основных положений, которые мы написали, ещё в политике безопасности есть такие штуки как стандарты, руководства и процедуры. Стандарты — это просто стандарты, которые приняты в этой компании. Не обязательно в этой компании — это могут быть какие-то ссылки на какие-то конкретные стандарты, на например, даже RFC. К примеру, какой-нибудь RFC для почтовых систем, где написано, что сервер обязан пытаться отправить это письмо пять дней. Такие указания в RFC. Стандарт — это RFC, и вообще неплохо бы, чтобы почтовый сервер работал по RFC. Это можно всё включать в политику. Стандарты не обязательны к исполнению. Есть руководства — в руководствах уже написано, как

применяются эти стандарты на практике. Написано, что сервер должен пытаться отправить сообщение пять дней — я по-моему не совру, если скажу, что пять дней, где-то так. В руководствах уже будет написано, как мы это достигаем, что мы должны настроить и так далее. Есть процедуры — это такие низкоуровневые документы. В процедурах — то есть в руководствах у нас написано, что сервер Postfix должен быть настроен, чтобы он отправлял сообщение пять дней, пытался отправить, в соответствии с таким стандартом. А в процедурах уже будет написано: открыть файл конфигурации master.cf и в нём прописать такую строку конфигурации. Процедуры — это то, что уже будут сисадмины исполнять. Это относится не только к почтовым серверам, это ко всему — то, что мы на предыдущем слайде смотрели: и к почте, и к

беспроводной сети, к сети, к паролям и так далее. И стандарт — да, там по паролям мы включили его, потом есть руководство, что нам необходимо следовать такому стандарту, и у нас написана процедура, где написано, что мы должны использовать такую конкретную программу для генерации, она лежит на таком-то сервере в такой-то директории. И молодые сисадмины будут знать: открыл процедуру — вот тут генерация паролей, у нас вот так. Это тоже компоненты политики безопасности. Ещё немножечко про политику безопасности, про ответственность. Мы уже говорили, что утверждается менеджментом компании. Она разрабатывается общими усилиями. Действительно хорошо, когда в больших компаниях к созданию политики безопасности привлекаются ещё какие-то специалисты, не только безопасники. Понятно, что безопасники занимаются конкретно созданием, они пишут, они

разрабатывают, им доверяют. Но они должны — вообще в любой компании должно быть налажено какое-то взаимодействие. И безопасники, понятно, не могут знать всего — они будут звонить администратору серверов, чтобы он рассказал, что да, есть такой стандарт, что пять дней письмо отправлять. Или звонить сетевому инженеру, который будет говорить: да, есть такой стандарт 802.1X, мы его внедряем, давайте его в политику включайте. Она общими усилиями разрабатывается. Конечно, обязательна к исполнению — я уже говорил, что как только её подписывает самый главный человек в компании, то все обязаны исполнять. Политика безопасности — живой документ, подлежащий периодическому пересмотру. Всё правильно. Есть такое утверждение, с которым сложно не согласиться, что безопасность — это процесс. Вообще,

если заниматься безопасностью, то надо заниматься постоянно. В малом бизнесе, когда один человек отвечает за всё — и за безопасность, и за сеть, и за серверы и так далее, — конечно, этим сложно заниматься постоянно. Не может один сисадмин заниматься всем на свете и ещё постоянно думать про безопасность. Но даже в такой ситуации к вопросам безопасности надо периодически возвращаться, время от времени. Так вот, политика безопасности — это тот документ, который должен постоянно пересматриваться. Безопасность — это процесс, и его нельзя остановить. Всегда надо что-то делать новое. Мы всегда должны следить за уязвимостями, заниматься контрмерами, узнавать о новых угрозах и так далее. Мир плохих людей очень динамичен, и

безопасникам надо всё-таки как-то успевать за ними — не успевать защищаться, а защищать активы. Всё это отражается в политике безопасности. Изменения в политике не должны оставаться на бумаге. Тренинги персонала помогают оставаться в рамках политики. Тренинги внутри компании — не всякая маркетинговая ерунда, как бывает в крупных компаниях, когда собирают менеджеров, втирают им две недели какую-то ерунду об увеличении продаж и так далее, а здесь говорится про технические тренинги, когда неплохо бы собрать всех менеджеров и объяснить, что нельзя в компьютер вставлять флешки, которые они нашли на улице. Вот такие тренинги по безопасности отдают конечно очень хороший эффект. Пусть это будет даже пять минут в месяц, или в полгода, или для новых сотрудников, которые только пришли,

но это очень полезно — общаться с людьми. Я знаю, что в нашей области работы очень много интровертов и людей, которые не любят общение, но мы без этого никакую безопасность не построим. Нам нужно общаться с людьми. Тренинги, в какой бы они ни были форме — пусть это будет даже периодическая рассылка электронных писем раз в полгода с напоминанием: не нужно открывать файлы, посмотрите телевизор — там вирус Петя сейчас по планете идёт, пожалуйста, будьте бдительны. Вот такую штуку делать нужно. Я, например, это делаю периодически, не часто, но и письма пишу, и так с людьми разговариваю, и по шапке даю. Политика не предполагает исключений. Всё правильно — если политику хотя бы один человек не соблюдает, то на ней можно ставить крест. Если

написано, что нельзя открывать незнакомые вложения в электронной почте, но находится один какой-нибудь дятел, который открыл это вложение, то сами понимаете, что ничего не работает. Всё уязвимо к человеческому фактору. Мы говорили про это — всё уязвимо. Всё уязвимо. Так что ещё одно утверждение, которое верно, которое подходит к нашему курсу: сто процентов безопасности быть не может, как бы это ни звучало. Не бывает. Стремиться нужно, но она невозможна в принципе. Стопроцентная безопасность — это я не знаю даже что это. Вот чая налил в кружку, закрыл, поставил на стол — я знаю, что чай в безопасности, он не разольётся. Но опять же риск — землетрясение. Видите, сто процентов безопасности быть не может.

Так давайте тогда на этой ноте