0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p><a>#статьи</a></p>
1
<p><a>#статьи</a></p>
2
<ul><li>11 июн 2025</li>
2
<ul><li>11 июн 2025</li>
3
<li>0</li>
3
<li>0</li>
4
</ul><h2>Что такое угрозы информационной безопасности и как с ними бороться</h2>
4
</ul><h2>Что такое угрозы информационной безопасности и как с ними бороться</h2>
5
<p>Пока вы читаете этот подзаголовок, где-то в мире атакуют очередной сервер.</p>
5
<p>Пока вы читаете этот подзаголовок, где-то в мире атакуют очередной сервер.</p>
6
<p>Иллюстрация: Polina Vari для Skillbox Media</p>
6
<p>Иллюстрация: Polina Vari для Skillbox Media</p>
7
<p>Программист, консультант, специалист по документированию. Легко и доступно рассказывает о сложных вещах в программировании и дизайне.</p>
7
<p>Программист, консультант, специалист по документированию. Легко и доступно рассказывает о сложных вещах в программировании и дизайне.</p>
8
<p>Угроза информационной безопасности - это любое событие или действие, которое способно нанести вред информации. Она может возникнуть, когда данные попадают к посторонним, изменяются без разрешения или становятся недоступны. Например, злоумышленник может похитить клиентскую базу компании, подменить важную документацию или заблокировать доступ к системам с помощью вируса-шифровальщика.</p>
8
<p>Угроза информационной безопасности - это любое событие или действие, которое способно нанести вред информации. Она может возникнуть, когда данные попадают к посторонним, изменяются без разрешения или становятся недоступны. Например, злоумышленник может похитить клиентскую базу компании, подменить важную документацию или заблокировать доступ к системам с помощью вируса-шифровальщика.</p>
9
<p>В этой статье мы разберёмся, откуда берутся угрозы информационной безопасности и как их классифицируют, а ещё поговорим о базовых методах защиты. Материал будет полезен новичкам, которые задумываются о карьере в ИТ и присматриваются к профессии специалиста по кибербезопасности.</p>
9
<p>В этой статье мы разберёмся, откуда берутся угрозы информационной безопасности и как их классифицируют, а ещё поговорим о базовых методах защиты. Материал будет полезен новичкам, которые задумываются о карьере в ИТ и присматриваются к профессии специалиста по кибербезопасности.</p>
10
<p><strong>Содержание</strong></p>
10
<p><strong>Содержание</strong></p>
11
<ul><li><a>Понятие информационной безопасности</a></li>
11
<ul><li><a>Понятие информационной безопасности</a></li>
12
<li><a>Основные источники угроз</a></li>
12
<li><a>Основные источники угроз</a></li>
13
<li><a>Классификация угроз и способы их предотвращения</a></li>
13
<li><a>Классификация угроз и способы их предотвращения</a></li>
14
<li><a>Методы тестирования и оценки уязвимостей</a></li>
14
<li><a>Методы тестирования и оценки уязвимостей</a></li>
15
</ul><p>Информационная безопасность - это раздел кибербезопасности, специалисты которого защищают данные от утечек, краж, подмен, несанкционированного доступа, фишинга, вирусных атак и других угроз. Их главная задача - обеспечить контроль над информацией по трём ключевым параметрам. В них входят конфиденциальность, целостность и доступность.</p>
15
</ul><p>Информационная безопасность - это раздел кибербезопасности, специалисты которого защищают данные от утечек, краж, подмен, несанкционированного доступа, фишинга, вирусных атак и других угроз. Их главная задача - обеспечить контроль над информацией по трём ключевым параметрам. В них входят конфиденциальность, целостность и доступность.</p>
16
<p><strong>Конфиденциальность</strong>означает, что информация должна быть доступна только авторизованным пользователям и надёжно защищена от посторонних. Например, в банковском приложении лишь вы должны видеть данные о своих счетах и транзакциях. Если эта информация попадёт к мошенникам из-за слабой защиты или ошибки сотрудника банка, то это будет серьёзным нарушением принципа конфиденциальности.</p>
16
<p><strong>Конфиденциальность</strong>означает, что информация должна быть доступна только авторизованным пользователям и надёжно защищена от посторонних. Например, в банковском приложении лишь вы должны видеть данные о своих счетах и транзакциях. Если эта информация попадёт к мошенникам из-за слабой защиты или ошибки сотрудника банка, то это будет серьёзным нарушением принципа конфиденциальности.</p>
17
<p><strong>Целостность</strong>предполагает, что информация сохраняет свою точность и не изменяется без разрешения. К примеру, если хакер подменит данные в финансовом отчёте, подделает электронную подпись или внесёт правки в медицинскую карту пациента, то всё это будет нарушением целостности данных. Особенно важно сохранять целостность там, где даже незначительные изменения могут привести к серьёзным последствиям, - например, в рецептах на лекарства, в системах управления воздушным движением или в документации по безопасности атомных электростанций.</p>
17
<p><strong>Целостность</strong>предполагает, что информация сохраняет свою точность и не изменяется без разрешения. К примеру, если хакер подменит данные в финансовом отчёте, подделает электронную подпись или внесёт правки в медицинскую карту пациента, то всё это будет нарушением целостности данных. Особенно важно сохранять целостность там, где даже незначительные изменения могут привести к серьёзным последствиям, - например, в рецептах на лекарства, в системах управления воздушным движением или в документации по безопасности атомных электростанций.</p>
18
<p><strong>Доступность</strong>означает, что авторизованные пользователи должны иметь бесперебойный доступ к информации и связанным ресурсам в тот момент, когда он им необходим. Например, недопустима ситуация, при которой сотрудники налоговой службы не могут подключиться к базе данных налогоплательщиков из-за DDoS-атаки на государственные серверы. Такой сбой может привести к задержкам в обработке деклараций, срывам отчётности и другим нежелательным последствиям для налоговой системы.</p>
18
<p><strong>Доступность</strong>означает, что авторизованные пользователи должны иметь бесперебойный доступ к информации и связанным ресурсам в тот момент, когда он им необходим. Например, недопустима ситуация, при которой сотрудники налоговой службы не могут подключиться к базе данных налогоплательщиков из-за DDoS-атаки на государственные серверы. Такой сбой может привести к задержкам в обработке деклараций, срывам отчётности и другим нежелательным последствиям для налоговой системы.</p>
19
На схеме выше в центре расположены три важнейших свойства, которые необходимо сохранить: конфиденциальность, целостность и доступность.Внешние уровни схемы показывают, как именно реализуется защита информации - через программные и аппаратные средства, защищённые каналы связи, физическую охрану серверных, обучение сотрудников и организационные меры (например, через введение политики безопасности). Все эти элементы работают как единое целое, и сбой в любом из них может стать источником проблемы<em>Изображение: Michel Bakni /<a>Wikimedia Commons</a></em><p>Чтобы защищаться от угроз, сначала важно понять, откуда они берутся. Все источники можно условно разделить на три группы. Это антропогенные - то есть связанные с действиями человека, технологические - возникающие из-за сбоев в оборудовании и программном обеспечении, а также природные - вызванные стихийными бедствиями и другими внешними факторами.</p>
19
На схеме выше в центре расположены три важнейших свойства, которые необходимо сохранить: конфиденциальность, целостность и доступность.Внешние уровни схемы показывают, как именно реализуется защита информации - через программные и аппаратные средства, защищённые каналы связи, физическую охрану серверных, обучение сотрудников и организационные меры (например, через введение политики безопасности). Все эти элементы работают как единое целое, и сбой в любом из них может стать источником проблемы<em>Изображение: Michel Bakni /<a>Wikimedia Commons</a></em><p>Чтобы защищаться от угроз, сначала важно понять, откуда они берутся. Все источники можно условно разделить на три группы. Это антропогенные - то есть связанные с действиями человека, технологические - возникающие из-за сбоев в оборудовании и программном обеспечении, а также природные - вызванные стихийными бедствиями и другими внешними факторами.</p>
20
<p><strong>Антропогенные источники угроз.</strong>К ним относятся как преднамеренные действия, так и случайные ошибки сотрудников. Например, в 2012 году у сотрудника компании Coplin Health Systems<a>украли</a>из автомобиля ноутбук с данными 43 тысяч пациентов. Хотя на устройстве был установлен пароль, жёсткий диск не был зашифрован, и злоумышленники могли получить доступ к личной информации. К счастью, утечка не привела к последствиям.</p>
20
<p><strong>Антропогенные источники угроз.</strong>К ним относятся как преднамеренные действия, так и случайные ошибки сотрудников. Например, в 2012 году у сотрудника компании Coplin Health Systems<a>украли</a>из автомобиля ноутбук с данными 43 тысяч пациентов. Хотя на устройстве был установлен пароль, жёсткий диск не был зашифрован, и злоумышленники могли получить доступ к личной информации. К счастью, утечка не привела к последствиям.</p>
21
<p>А в 2024 году злоумышленники<a>создали</a>видео, в котором с помощью технологии дипфейк сымитировали внешность и голос топ-менеджеров компании Arup. Во время видеозвонка они обманули сотрудника финансового отдела, и тот перевёл им 20 миллионов фунтов стерлингов.</p>
21
<p>А в 2024 году злоумышленники<a>создали</a>видео, в котором с помощью технологии дипфейк сымитировали внешность и голос топ-менеджеров компании Arup. Во время видеозвонка они обманули сотрудника финансового отдела, и тот перевёл им 20 миллионов фунтов стерлингов.</p>
22
<p>Особую опасность представляют инсайдерские угрозы - когда утечка происходит по вине сотрудников с доступом к конфиденциальной информации. Так, в 2023 году двое бывших сотрудников Tesla<a>передали</a>немецкому изданию Handelsblatt производственные секреты, финансовые отчёты, жалобы клиентов на автопилот и персональные данные коллег. Конечно, Tesla подала судебные иски и начала внутреннее расследование, но на тот момент важные данные уже оказались в открытом доступе.</p>
22
<p>Особую опасность представляют инсайдерские угрозы - когда утечка происходит по вине сотрудников с доступом к конфиденциальной информации. Так, в 2023 году двое бывших сотрудников Tesla<a>передали</a>немецкому изданию Handelsblatt производственные секреты, финансовые отчёты, жалобы клиентов на автопилот и персональные данные коллег. Конечно, Tesla подала судебные иски и начала внутреннее расследование, но на тот момент важные данные уже оказались в открытом доступе.</p>
23
<p><strong>Технологические источники угроз.</strong>Это всё, что связано с отказами техники и программ. Например, поломка сервера, сбой системы резервного копирования или неисправность в канале связи могут привести к потере данных или остановке работы. Кроме того, любые уязвимости в программном обеспечении могут использоваться хакерами для атак.</p>
23
<p><strong>Технологические источники угроз.</strong>Это всё, что связано с отказами техники и программ. Например, поломка сервера, сбой системы резервного копирования или неисправность в канале связи могут привести к потере данных или остановке работы. Кроме того, любые уязвимости в программном обеспечении могут использоваться хакерами для атак.</p>
24
<p>Так, в июне 2022 года один из сервисов на платформе Google Cloud<a>подвергся</a>одной из крупнейших зафиксированных DDoS-атак на уровне приложений - её пик достиг 46 миллионов запросов в секунду. Система Google Cloud Armor справилась с атакой, но даже для такой технологически развитой инфраструктуры это стало серьёзным испытанием. Если бы на месте Google оказалась компания с менее масштабной и распределённой системой защиты, она, скорее всего, не выдержала бы такую нагрузку.</p>
24
<p>Так, в июне 2022 года один из сервисов на платформе Google Cloud<a>подвергся</a>одной из крупнейших зафиксированных DDoS-атак на уровне приложений - её пик достиг 46 миллионов запросов в секунду. Система Google Cloud Armor справилась с атакой, но даже для такой технологически развитой инфраструктуры это стало серьёзным испытанием. Если бы на месте Google оказалась компания с менее масштабной и распределённой системой защиты, она, скорее всего, не выдержала бы такую нагрузку.</p>
25
<p><strong>Природные источники угроз.</strong>К этой категории относятся наводнения, землетрясения, пожары и другие стихийные бедствия. Это всё, что может привести к физическому уничтожению серверов и носителей информации, нарушению электроснабжения дата-центров и потере данных. Кроме того, в условиях чрезвычайной ситуации возрастает риск утечек из-за сбоев в стандартных процедурах безопасности и общего организационного хаоса.</p>
25
<p><strong>Природные источники угроз.</strong>К этой категории относятся наводнения, землетрясения, пожары и другие стихийные бедствия. Это всё, что может привести к физическому уничтожению серверов и носителей информации, нарушению электроснабжения дата-центров и потере данных. Кроме того, в условиях чрезвычайной ситуации возрастает риск утечек из-за сбоев в стандартных процедурах безопасности и общего организационного хаоса.</p>
26
<p>Так, в США после ураганов Харви, Ирма и Мария, а также лесных пожаров в Калифорнии в 2017 году Федеральное агентство по управлению в чрезвычайных ситуациях (FEMA)<a>допустило</a>утечку персональных данных 2,3 миллиона пострадавших. В результате подрядчик, предоставлявший временное жильё, получил их полные имена, номера социального страхования и банковские реквизиты. Это нарушение Закона о конфиденциальности поставило людей под угрозу кражи личных данных.</p>
26
<p>Так, в США после ураганов Харви, Ирма и Мария, а также лесных пожаров в Калифорнии в 2017 году Федеральное агентство по управлению в чрезвычайных ситуациях (FEMA)<a>допустило</a>утечку персональных данных 2,3 миллиона пострадавших. В результате подрядчик, предоставлявший временное жильё, получил их полные имена, номера социального страхования и банковские реквизиты. Это нарушение Закона о конфиденциальности поставило людей под угрозу кражи личных данных.</p>
27
<p>В предыдущем разделе мы выделили три основные группы источников угроз: антропогенные, технологические и природные. Однако на практике специалисты по информационной безопасности используют более детальную классификацию внутри каждой группы. Это помогает точнее оценить возможные риски и выбрать подходящие способы защиты.</p>
27
<p>В предыдущем разделе мы выделили три основные группы источников угроз: антропогенные, технологические и природные. Однако на практике специалисты по информационной безопасности используют более детальную классификацию внутри каждой группы. Это помогает точнее оценить возможные риски и выбрать подходящие способы защиты.</p>
28
<p>При этом важно понимать, что таких классификаций существует довольно много, и выбор подхода зависит от множества факторов. Например, в корпоративной среде угрозы часто делят на внутренние и внешние, в государственных системах - по степени критичности, а в медицинских учреждениях особое внимание уделяют защите персональных данных.</p>
28
<p>При этом важно понимать, что таких классификаций существует довольно много, и выбор подхода зависит от множества факторов. Например, в корпоративной среде угрозы часто делят на внутренние и внешние, в государственных системах - по степени критичности, а в медицинских учреждениях особое внимание уделяют защите персональных данных.</p>
29
<p>Поэтому далее мы рассмотрим лишь несколько примеров классификаций - чтобы показать, как специалисты по информационной безопасности группируют угрозы и на основе этого выбирают подходящие меры защиты.</p>
29
<p>Поэтому далее мы рассмотрим лишь несколько примеров классификаций - чтобы показать, как специалисты по информационной безопасности группируют угрозы и на основе этого выбирают подходящие меры защиты.</p>
30
<p><strong>По масштабу воздействия</strong>угрозы делятся на локальные и глобальные. Локальные затрагивают отдельные элементы инфраструктуры - например, заражение вирусом одного компьютера или компрометация конкретной учётной записи. Глобальные охватывают ИТ-систему целиком, как это бывает при вирусных атаках вымогателей или при эпидемиях вредоносного ПО, которое способно парализовать работу всей компании.</p>
30
<p><strong>По масштабу воздействия</strong>угрозы делятся на локальные и глобальные. Локальные затрагивают отдельные элементы инфраструктуры - например, заражение вирусом одного компьютера или компрометация конкретной учётной записи. Глобальные охватывают ИТ-систему целиком, как это бывает при вирусных атаках вымогателей или при эпидемиях вредоносного ПО, которое способно парализовать работу всей компании.</p>
31
<p>Например, если вредоносное ПО заразит компьютер сотрудника бухгалтерии, то специалисты по информационной безопасности немедленно отключат устройство от корпоративной сети. Затем они проведут полное антивирусное сканирование в изолированной среде и проверят все финансовые операции за последние несколько суток - это поможет выявить источник заражения и не допустить распространения угрозы.</p>
31
<p>Например, если вредоносное ПО заразит компьютер сотрудника бухгалтерии, то специалисты по информационной безопасности немедленно отключат устройство от корпоративной сети. Затем они проведут полное антивирусное сканирование в изолированной среде и проверят все финансовые операции за последние несколько суток - это поможет выявить источник заражения и не допустить распространения угрозы.</p>
32
<p><strong>По преднамеренности</strong>угрозы делятся на преднамеренные и непреднамеренные. К преднамеренным относятся целенаправленные действия злоумышленников - фишинговые атаки, использование вредоносного ПО, кража данных и прочее. Непреднамеренные угрозы возникают случайно: когда администратор по ошибке удаляет важные файлы или сервер выходит из строя из-за перегрева в жаркий летний день.</p>
32
<p><strong>По преднамеренности</strong>угрозы делятся на преднамеренные и непреднамеренные. К преднамеренным относятся целенаправленные действия злоумышленников - фишинговые атаки, использование вредоносного ПО, кража данных и прочее. Непреднамеренные угрозы возникают случайно: когда администратор по ошибке удаляет важные файлы или сервер выходит из строя из-за перегрева в жаркий летний день.</p>
33
<p>Например, хакер может разослать поддельное письмо якобы от службы поддержки, чтобы получить доступ к паролям сотрудников. Чтобы защититься от таких угроз, компании используют многоуровневую защиту: фильтры спама, обучение персонала, двухфакторную аутентификацию и системы мониторинга подозрительной активности.</p>
33
<p>Например, хакер может разослать поддельное письмо якобы от службы поддержки, чтобы получить доступ к паролям сотрудников. Чтобы защититься от таких угроз, компании используют многоуровневую защиту: фильтры спама, обучение персонала, двухфакторную аутентификацию и системы мониторинга подозрительной активности.</p>
34
<p>Если такие меры настроены правильно, то фишинговое письмо сразу попадёт в спам или будет помечено как подозрительное. А если сотрудник всё же перейдёт по ссылке и попробует ввести данные, то сработает запрос на подтверждение входа через мобильное приложение или другая проверка.</p>
34
<p>Если такие меры настроены правильно, то фишинговое письмо сразу попадёт в спам или будет помечено как подозрительное. А если сотрудник всё же перейдёт по ссылке и попробует ввести данные, то сработает запрос на подтверждение входа через мобильное приложение или другая проверка.</p>
35
<p><strong>По способу реализации</strong>угрозы делятся на технические, социальные и физические. Технические используют уязвимости в программном обеспечении и оборудовании - например, вирусы или эксплойты. Социальные основаны на обмане сотрудников, как в случае с телефонным скамом. Физические связаны с непосредственным доступом к технике: кража устройств, проникновение в серверную или затопление помещения.</p>
35
<p><strong>По способу реализации</strong>угрозы делятся на технические, социальные и физические. Технические используют уязвимости в программном обеспечении и оборудовании - например, вирусы или эксплойты. Социальные основаны на обмане сотрудников, как в случае с телефонным скамом. Физические связаны с непосредственным доступом к технике: кража устройств, проникновение в серверную или затопление помещения.</p>
36
<p>При технической атаке хакер может воспользоваться уязвимостью на сайте и с помощью специального запроса (<a>SQL-инъекции</a>) получить доступ к базе данных с логинами и паролями пользователей. Чтобы предотвратить такую угрозу, разработчики используют методы валидации и фильтрации данных, блокируют прямое попадание пользовательского ввода в запросы к базе, применяют защитные фреймворки и проверяют код на уязвимости.</p>
36
<p>При технической атаке хакер может воспользоваться уязвимостью на сайте и с помощью специального запроса (<a>SQL-инъекции</a>) получить доступ к базе данных с логинами и паролями пользователей. Чтобы предотвратить такую угрозу, разработчики используют методы валидации и фильтрации данных, блокируют прямое попадание пользовательского ввода в запросы к базе, применяют защитные фреймворки и проверяют код на уязвимости.</p>
37
<p>При надёжной защите попытка SQL-инъекции ни к чему не приведёт, поскольку сервер распознаёт вредоносный запрос как некорректный ввод. В ответ система выдаст сообщение об ошибке или просто проигнорирует такой запрос - в любом случае база данных останется в безопасности.</p>
37
<p>При надёжной защите попытка SQL-инъекции ни к чему не приведёт, поскольку сервер распознаёт вредоносный запрос как некорректный ввод. В ответ система выдаст сообщение об ошибке или просто проигнорирует такой запрос - в любом случае база данных останется в безопасности.</p>
38
<p>Мы уже разобрали, откуда берутся угрозы, как специалисты по информационной безопасности их классифицируют и какие меры применяют для защиты. Но есть ещё один элемент - оценка уязвимостей, без которой невозможно построить надёжную систему безопасности.</p>
38
<p>Мы уже разобрали, откуда берутся угрозы, как специалисты по информационной безопасности их классифицируют и какие меры применяют для защиты. Но есть ещё один элемент - оценка уязвимостей, без которой невозможно построить надёжную систему безопасности.</p>
39
<p>Уязвимость - это слабое место в системе, которое злоумышленник может использовать для реализации угрозы. К таким уязвимостям относятся, например, ошибки в коде, неправильные настройки сервера или открытые сетевые порты. Своевременная оценка уязвимостей позволяет выявить наиболее критичные из них и принять необходимые защитные меры.</p>
39
<p>Уязвимость - это слабое место в системе, которое злоумышленник может использовать для реализации угрозы. К таким уязвимостям относятся, например, ошибки в коде, неправильные настройки сервера или открытые сетевые порты. Своевременная оценка уязвимостей позволяет выявить наиболее критичные из них и принять необходимые защитные меры.</p>
40
<p>Поиск уязвимостей можно проводить разными способами. Вот некоторые из наиболее распространённых:</p>
40
<p>Поиск уязвимостей можно проводить разными способами. Вот некоторые из наиболее распространённых:</p>
41
<ul><li><a><strong>Аудит безопасности</strong></a> - комплексная проверка системы на наличие слабых мест и нарушений политики безопасности. Например, аудитор может выявить, что сотрудники используют простые пароли или что компания редко выполняет резервное копирование данных.</li>
41
<ul><li><a><strong>Аудит безопасности</strong></a> - комплексная проверка системы на наличие слабых мест и нарушений политики безопасности. Например, аудитор может выявить, что сотрудники используют простые пароли или что компания редко выполняет резервное копирование данных.</li>
42
<li><a><strong>Сканеры уязвимостей</strong></a> - специальные программы, которые автоматически проверяют систему на наличие известных уязвимостей. К примеру, такие сканеры могут обнаружить устаревшую версию Apache или незащищённый порт 3389 (RDP) с доступом в интернет.</li>
42
<li><a><strong>Сканеры уязвимостей</strong></a> - специальные программы, которые автоматически проверяют систему на наличие известных уязвимостей. К примеру, такие сканеры могут обнаружить устаревшую версию Apache или незащищённый порт 3389 (RDP) с доступом в интернет.</li>
43
<li><a><strong>Тестирование на проникновение (пентест)</strong></a> - имитация реальных хакерских атак, которые проводятся с разрешения компании. Во время пентеста специалист может попытаться получить доступ к внутренней сети через Wi-Fi, обнаружить слабые места на корпоративном сайте или разослать фишинговые письма сотрудникам.</li>
43
<li><a><strong>Тестирование на проникновение (пентест)</strong></a> - имитация реальных хакерских атак, которые проводятся с разрешения компании. Во время пентеста специалист может попытаться получить доступ к внутренней сети через Wi-Fi, обнаружить слабые места на корпоративном сайте или разослать фишинговые письма сотрудникам.</li>
44
<li><a><strong>Фаззинг (fuzzing)</strong></a><strong></strong>- метод тестирования, при котором в систему подаются случайные или некорректные данные для выявления сбоев и уязвимостей. Например, программа-фаззер может автоматически генерировать тысячи вариантов входных данных для веб-формы, пытаясь вызвать переполнение буфера или инъекцию кода.</li>
44
<li><a><strong>Фаззинг (fuzzing)</strong></a><strong></strong>- метод тестирования, при котором в систему подаются случайные или некорректные данные для выявления сбоев и уязвимостей. Например, программа-фаззер может автоматически генерировать тысячи вариантов входных данных для веб-формы, пытаясь вызвать переполнение буфера или инъекцию кода.</li>
45
</ul><p>Недостаточно просто зафиксировать уязвимость - важно оценить, насколько она опасна. Для этого есть разные системы, и одна из самых универсальных -<a>CVSS</a>. Она определяет критичность уязвимости по десятибалльной шкале: чем выше балл, тем серьёзнее угроза и тем быстрее нужно реагировать.</p>
45
</ul><p>Недостаточно просто зафиксировать уязвимость - важно оценить, насколько она опасна. Для этого есть разные системы, и одна из самых универсальных -<a>CVSS</a>. Она определяет критичность уязвимости по десятибалльной шкале: чем выше балл, тем серьёзнее угроза и тем быстрее нужно реагировать.</p>
46
<p>Представьте сайт, на котором есть поиск: пользователь вводит запрос, сервер обрабатывает его и возвращает страницу с результатами. Если сайт не проверяет введённые данные, он может воспринять их как программный код. В таком случае злоумышленник может внедрить вредоносный JavaScript через поле поиска - и этот код окажется на странице результатов.</p>
46
<p>Представьте сайт, на котором есть поиск: пользователь вводит запрос, сервер обрабатывает его и возвращает страницу с результатами. Если сайт не проверяет введённые данные, он может воспринять их как программный код. В таком случае злоумышленник может внедрить вредоносный JavaScript через поле поиска - и этот код окажется на странице результатов.</p>
47
<p>Затем хакер создаёт ссылку на эту страницу и рассылает её другим пользователям. Когда жертва переходит по ней, вредоносный код автоматически выполняется в браузере. Такая атака называется<a>отражённым XSS</a>(межсайтовый скриптинг) и позволяет злоумышленнику похищать куки, пароли или захватывать контроль над аккаунтами.</p>
47
<p>Затем хакер создаёт ссылку на эту страницу и рассылает её другим пользователям. Когда жертва переходит по ней, вредоносный код автоматически выполняется в браузере. Такая атака называется<a>отражённым XSS</a>(межсайтовый скриптинг) и позволяет злоумышленнику похищать куки, пароли или захватывать контроль над аккаунтами.</p>
48
<p>Теперь давайте попробуем оценить такую уязвимость по системе CVSS:</p>
48
<p>Теперь давайте попробуем оценить такую уязвимость по системе CVSS:</p>
49
<ul><li><strong>Вектор атаки:</strong>злоумышленник может проводить атаку удалённо через интернет. Оценка: максимально опасно (Сеть).</li>
49
<ul><li><strong>Вектор атаки:</strong>злоумышленник может проводить атаку удалённо через интернет. Оценка: максимально опасно (Сеть).</li>
50
<li><strong>Сложность атаки:</strong>достаточно отправить специально составленный текст в поле поиска. Оценка: низкая, поскольку требуются лишь базовые знания о формировании вредоносных HTTP-запросов.</li>
50
<li><strong>Сложность атаки:</strong>достаточно отправить специально составленный текст в поле поиска. Оценка: низкая, поскольку требуются лишь базовые знания о формировании вредоносных HTTP-запросов.</li>
51
<li><strong>Требуемые привилегии:</strong>атакующему не нужен ни аккаунт, ни специальный доступ к сайту. Оценка: привилегии не нужны.</li>
51
<li><strong>Требуемые привилегии:</strong>атакующему не нужен ни аккаунт, ни специальный доступ к сайту. Оценка: привилегии не нужны.</li>
52
<li><strong>Взаимодействие с пользователем:</strong>для успешной атаки жертва должна перейти по вредоносной ссылке или открыть заражённую страницу. Оценка: требуется взаимодействие с пользователем.</li>
52
<li><strong>Взаимодействие с пользователем:</strong>для успешной атаки жертва должна перейти по вредоносной ссылке или открыть заражённую страницу. Оценка: требуется взаимодействие с пользователем.</li>
53
<li><strong>Область действия:</strong>код выполняется в браузере жертвы, а не на сервере, и это позволяет атаке распространяться за пределы уязвимого компонента. Оценка: возможно расширение области воздействия.</li>
53
<li><strong>Область действия:</strong>код выполняется в браузере жертвы, а не на сервере, и это позволяет атаке распространяться за пределы уязвимого компонента. Оценка: возможно расширение области воздействия.</li>
54
<li><strong>Влияние на конфиденциальность:</strong>злоумышленник может украсть куки и получить доступ к аккаунту пользователя, но доступ к серверу остаётся закрытым. Оценка: низкая (влияние ограничено данными в браузере).</li>
54
<li><strong>Влияние на конфиденциальность:</strong>злоумышленник может украсть куки и получить доступ к аккаунту пользователя, но доступ к серверу остаётся закрытым. Оценка: низкая (влияние ограничено данными в браузере).</li>
55
<li><strong>Влияние на целостность:</strong>злоумышленник может изменить отображение страницы или выполнить действия от имени пользователя, но не может повлиять на данные на сервере. Оценка: низкая (влияние ограничено изменениями в пользовательском интерфейсе).</li>
55
<li><strong>Влияние на целостность:</strong>злоумышленник может изменить отображение страницы или выполнить действия от имени пользователя, но не может повлиять на данные на сервере. Оценка: низкая (влияние ограничено изменениями в пользовательском интерфейсе).</li>
56
<li><strong>Влияние на доступность:</strong>сайт продолжает работать в обычном режиме, поскольку атака затрагивает только отдельных пользователей и никак не влияет на сервер. Оценка: нет.</li>
56
<li><strong>Влияние на доступность:</strong>сайт продолжает работать в обычном режиме, поскольку атака затрагивает только отдельных пользователей и никак не влияет на сервер. Оценка: нет.</li>
57
</ul><p>Воспользуемся онлайн-калькулятором<a>CVSS v3 от NVD</a>и введём перечисленные параметры, чтобы получить базовую оценку уязвимости:</p>
57
</ul><p>Воспользуемся онлайн-калькулятором<a>CVSS v3 от NVD</a>и введём перечисленные параметры, чтобы получить базовую оценку уязвимости:</p>
58
Мы получили 6,1 балла из 10. Это означает, что отражённый XSS - не самая критичная уязвимость, поскольку для её срабатывания требуется действие пользователя (переход по ссылке). Однако она всё равно достаточно опасна: с её помощью злоумышленник может получить доступ к учётной записи пользователя или ввести его в заблуждение<em>Скриншот:<a>Калькулятор CVSS</a>/ Skillbox Media</em><p>Вы только что познакомились с основными аспектами работы специалистов по информационной безопасности. Как видите, это обширная сфера, где можно строить карьеру в самых разных направлениях - от тестирования на проникновение до аудита безопасности и расследования инцидентов.</p>
58
Мы получили 6,1 балла из 10. Это означает, что отражённый XSS - не самая критичная уязвимость, поскольку для её срабатывания требуется действие пользователя (переход по ссылке). Однако она всё равно достаточно опасна: с её помощью злоумышленник может получить доступ к учётной записи пользователя или ввести его в заблуждение<em>Скриншот:<a>Калькулятор CVSS</a>/ Skillbox Media</em><p>Вы только что познакомились с основными аспектами работы специалистов по информационной безопасности. Как видите, это обширная сфера, где можно строить карьеру в самых разных направлениях - от тестирования на проникновение до аудита безопасности и расследования инцидентов.</p>
59
<p>Чтобы вам было проще начать - рекомендуем прочесть нашу статью про специалиста по кибербезопасности, которую мы подготовили вместе с исполнительным директором компании Xilant Александром Симоненко.</p>
59
<p>Чтобы вам было проще начать - рекомендуем прочесть нашу статью про специалиста по кибербезопасности, которую мы подготовили вместе с исполнительным директором компании Xilant Александром Симоненко.</p>
60
<p>В статье Александр подробно объясняет, кто такой специалист по кибербезопасности, чем он занимается, насколько вообще это востребованная профессия, где можно выучиться и сколько получится зарабатывать.</p>
60
<p>В статье Александр подробно объясняет, кто такой специалист по кибербезопасности, чем он занимается, насколько вообще это востребованная профессия, где можно выучиться и сколько получится зарабатывать.</p>
61
<a>Курс: "Профессия Специалист по кибербезопасности + ИИ" Узнать больше</a>
61
<a>Курс: "Профессия Специалист по кибербезопасности + ИИ" Узнать больше</a>