Глоссарий

Хотя приведенный далее список не исчерпывающий, в него включены многие распространенные термины кибербезопасности, которые встречаются в этой книге или с которыми вы можете столкнуться в работе. Его цель — познакомить вас с общими концепциями, а изучить их подробнее вы сможете самостоятельно.

ARPANET — экспериментальная сеть сетей, созданная Агентством перспективных исследовательских проектов Министерства обороны США (DARPA); предшественница нынешнего интернета, она соединяла компьютерные сети различных независимых организаций.

DevOps — модель создания программного обеспечения, в рамках которой инженеры-программисты (разработчики, developers) взаимодействуют с командами, занимающимися поддержкой готового ПО (то есть операциями, operations), чтобы сделать процесс разработки максимально эффективным.

DevSecOps — интеграция методов обеспечения безопасности в модель DevOps.

Open Web Application Security Project (OWASP) — основанная в 2001 году некоммерческая организация, реализующая различные проекты и инициативы по повышению безопасности программного обеспечения.

Piggybacking — умышленный пропуск неавторизованного лица вместе с авторизованным лицом через пропускной пункт (например, запертую дверь или турникет).

Tailgating — прохождение неавторизованного лица через контрольный пункт (например, запертую дверь или турникет) без ведома авторизованного лица, идущего впереди него.

Аварийное восстановление (DR, disaster recovery) — вариант реагирования компании на события, отрицательно влияющие на ее системы или способность вести бизнес и восстанавливать работу сервисов.

Авторизация — процесс определения и/или проверки того, что субъекту разрешен доступ к конкретному ресурсу.

Агентство по кибербезопасности и защите инфраструктуры США (CISA, Cybersecurity and Infrastructure Security Agency) — правительственное агентство, подведомственное Министерству внутренней безопасности США. Было создано в 2018 году, чтобы обеспечить кибербезопасность государственных учреждений и критически важных объектов инфраструктуры страны.

Аутентификация — процесс определения того, является ли субъект тем, за кого себя выдает.

База данных управления конфигурациями (CMDB, configuration management database) — каталог с данными об ИТ-активах организации с подробными описаниями их конфигурации.

Безопасность приложений — совокупность методов, с помощью которых организация защищает программное обеспечение, созданное командами разработчиков.

Безопасность программного обеспечения — совокупность методов, разработанных для защиты всего программного обеспечения, развернутого в среде организации, вне зависимости от того, кто его создал — сама организация или сторонний поставщик.

Ботнет — группа компьютеров, которые скомпрометировал злоумышленник, чтобы проводить дополнительные атаки.

Брандмауэр (межсетевой экран) — сетевое устройство или программное обеспечение, которое контролирует доступ к сети или подключенным к ней ресурсам, анализируя сетевые запросы и применяя правила, определяющие, что разрешено, а что нет.

Брандмауэр веб-приложений (WAF, web application firewall) — особый вид брандмауэра, который анализирует запросы, направляемые веб-приложению, чтобы выявлять потенциальные атаки и обеспечивать защиту от них.

Взлом — событие, при котором злоумышленнику удается обойти средства защиты, чтобы получить несанкционированный доступ к ресурсу.

Вирус — подмножество вредоносных программ. Цель этого вредоносного кода — повлиять на функциональность системы или получить несанкционированный доступ к ней, а также распространиться на другие системы. Внедрение SQL-кода (SQLi, SQL injection) — тип атаки на приложение, при которой злоумышленник может манипулировать базой данных приложения, отправляя специально созданные данные в его пользовательский интерфейс.

Внутренняя угроза — люди внутри организации, которые могут причинить ей вред, преднамеренно или непреднамеренно скомпрометировав ее системы или данные.

Вредоносная программа — вредоносное программное обеспечение, цель которого — скомпрометировать компьютерную систему, предоставив злоумышленнику несанкционированный доступ к ней.

Входящий трафик — данные, поступающие в систему.

«Горшочек с медом» (honeypot) — система-приманка, призванная привлекать внимание злоумышленников, что дает защитникам время обнаружить их и начать действовать до того, как будут атакованы настоящие системы,

Группа реагирования на инциденты информационной безопасности (CERT, Computer Emergency Response Team) — подразделение Института разработки программного обеспечения Университета Карнеги — Меллона, которое изучает проблемы кибербезопасности и решает их совместно с различными правительственными и отраслевыми организациями.

Директор по информационной безопасности (CISO, chief information security officer) — руководитель, отвечающий за реализацию программы по кибербезопасности на уровне всей организации.

Жизненный цикл разработки программного обеспечения (SDLC, software development life cycle) — набор повторяющихся процессов, с помощью которых в организации группы разработчиков создают, тестируют и развертывают программное обеспечение.

Захват флага (CTF, capture the flag) — мероприятие, где участники должны найти в системе различные индикаторы (флаги), как правило, выполняя атаки той или иной формы. Часто такие мероприятия представляют собой соревнования, в рамках которых хакеры пытаются взломать разные аспекты системы.

Индикаторы компрометации (IOC, indications of compromise) — данные, обнаруженные с помощью методов цифровой криминалистики и указывающие на потенциально вредоносную активность в системе.

Интернет вещей (IoT, Internet of Things) — бытовые устройства, которые не были созданы для вычислений, но предусматривают возможности компьютерной обработки, позволяющие им подключаться к сетям и взаимодействовать с другими цифровыми системами (например, умные холодильники и фитнес-трекеры).

Информационная безопасность (ИБ) — функция бизнеса, связанная с защитой ИТ-активов от угроз.

Информационные технологии (ИТ) — совокупность цифровых систем (включая компьютеры, сети и периферийные устройства), используемых организацией для ведения бизнеса.

Исходящий трафик — данные, покидающие систему.

Командование и управление (С2, command and control) — централизованная система или сеть, контролирующая участников ботнета и позволяющая злоумышленникам реализовывать атаки.

Компрометация — получение неавторизованным злоумышленником доступа к ресурсу.

Контроль — средство защиты или контрмера, применяемая для того, чтобы снизить риск компрометации системы.

Конфиденциальность, целостность и доступность, триада (CIA, confidentiality, integrity, availability) — модель для обсуждения мер по обеспечению безопасности, Под «конфиденциальностью» понимается защита ресурсов от просмотра неавторизованными лицами. «Целостность» подразумевает защиту ресурсов от несанкционированной модификации. А «доступность» — обеспечение бесперебойного доступа к ресурсу для авторизованных пользователей.

«Красная команда» — специалисты по кибербезопасности, которые выявляют уязвимости в системах и программном обеспечении, используя типичные тактики и методы злоумышленников.

Криптография — практика защиты данных от несанкционированного доступа; к данным применяется сложное математическое правило, без знания которого их нельзя расшифровать.

Межсайтовый скриптинг (XSS, cross-site scripting) — тип атаки на веб-приложение, позволяющей злоумышленнику внедрить вредоносный код в браузер жертвы. Входит в десятку ключевых рисков для веб-приложений, согласно OWASP.

Менеджер службы информационной безопасности (BISO, business information security officer) — руководитель программы обеспечения кибербезопасности, реализуемой на уровне подразделения, группы или бизнес направления внутри организации.

Минимальная привилегия — структура, гарантирующая, что пользователям разрешен доступ к минимальным функциям и ресурсам, которые им необходимы для конкретной цели, задачи или работы.

Многофакторная аутентификация (MFA, multifactor authentication) — использование нескольких форм (факторов) для подтверждения личности пользователя. Пример двухфакторной аутентификации — комбинация того, что пользователь знает (пароль), с тем, что у него есть (код, отправленный на телефон).

Моделирование угроз — анализ системы, проводимый для того, чтобы изучить угрозы, которым она подвержена, и заранее разработать меры противодействия им.

Модель взаимодействия открытых систем (OSI, Open Systems Interconnection) — семиуровневая модель, которая описывает разные функции, позволяющие компьютерам обмениваться данными по сети.

Национальный институт стандартов и технологий (NIST, National Institute of Standards and Technology) — нерегулирующее агентство правительства США, основанное в 1901 году как часть Министерства торговли; оно устанавливает различные стандарты, в том числе в отношении кибер безопасности.

Нулевое доверие — модель реализации защитных мер, где все компоненты системы рассматриваются всеми другими компонентами как ненадежные, так что все взаимодействия требуют прохождения аутентификации и авторизации.

Облако — сервис, который предоставляет отдельным людям и организациям вычислительные ресурсы, освобождая их от необходимости создавать и обслуживать собственные ИТ-системы.

Обратный инжиниринг — деконструкция части программного обеспечения до уровня исходного кода, чтобы проанализировать функциональность без его выполнения.

Общая ответственность — идея о том, что две группы несут некоторую долю ответственности за успешное достижение бизнес-цели. В рамках концепции DevSecOps под этим подразумевается, что все три дисциплины должны обеспечивать эффективную разработку стабильного и безопасного ПО. Модель общей ответственности за защиту облака предполагает разделение обязанностей по обеспечению безопасности развернутых в облаке систем между поставщиком облачных сервисов и клиентом.

Оперативная группа по обеспечению кибербезопасности — группа, отвечающая за мониторинг и управление средствами защиты, работающими в ИТ-системах организации.

Отказ в обслуживании (DoS, denial of service) — тип атаки, при которой злоумышленник пытается сделать конкретную систему или ресурс недоступными для использования.

Отказ / невозможность отказа — способность к отрицанию достоверности части данных (отказ) или гарантия того, что сомнения в их достоверности быть не может (невозможность отказа). Примером последнего может быть бесспорная идентификация пользователя, ответственного за выполнение определенного действия в компьютерной системе.

Отрасль кибербезопасности — сообщество людей и организаций, которые заинтересованы в защите цифровых систем, используемых во всех сферах общественной жизни.

Оценка и проверка безопасности — совокупность процессов, направленных на анализ надежности и отказоустойчивости систем и программного обеспечения.

Пентестер (специалист по тестированию на проникновение) — нанятый организацией хакер, который атакует ее системы, пытаясь выявить уязвимости и определить способы их устранения. Также известен как этичный хакер.

Переполнение буфера — тип атаки, при которой злоумышленник может перезаписать системную память и тем самым изменить данные или инструкции, выполняемые процессором компьютерной системы.

Перечень активов — каталог всех известных цифровых и физических информационных технологий, используемых в организации.

Постоянная серьезная угроза (APT, advanced persistent threat) — особые субъекты угроз или их группы, которые тайно получают доступ к системе и поддерживают его в течение длительного времени, чтобы скомпрометировать дополнительные системы и расширить свое влияние.

Предотвращение потери данных (DLP, data loss prevention) — методы и средства контроля, которые организация применяет, чтобы не допустить преднамеренную или непреднамеренную передачу пользователями конфиденциальной информации неавторизованным третьим лицам.

Призыв к подаче заявок на выступление с докладом (CFP, call for papers) — предложение участникам сообщества представить свои презентации и другие образовательные материалы на конференции или любом другом мероприятии.

Программа-вымогатель — особый тип вредоносного ПО, которое после компрометации системы шифрует файлы и данные, делая их недоступными для пользователя или организации, а затем требует выкуп за расшифровку и восстановление доступа.

Промышленные системы управления (ICS, industrial control systems) — ИТ-системы для управления такими физическими системами, как производственные машины, средства управления коммунальными услугами и так далее.

Псевдонимы (handles) — вымышленные имена, которыми люди представляются в социальных сетях и на других платформах. Часто применяются как способ сохранения анонимности.

Распределенный отказ в обслуживании (DDoS, distributed denial of service) — атака, при которой злоумышленник использует большое количество систем, часто в виде ботнета, чтобы провести DoS-атаку системы жертвы. Его цель — перегрузить целевую систему и сделать ее недоступной для использования.

Реагирование на инциденты (IR, incident response) — процесс или дисциплина реагирования на события, которые могут отрицательно повлиять (или уже повлияли) на поддерживаемые ими ИТ-системы и/или бизнес-процессы.

Риск — вероятность того, что из-за конкретной угрозы система окажется скомпрометирована. Как правило, при его определении учитывается вероятность компрометации и потенциального воздействия на систему или на бизнес в случае наступления этого события.

«Синяя команда» — специалисты по кибербезопасности, ответственные за защиту цифровых систем и пользователей от злоумышленников.

Система обнаружения вторжений (IDS, intrusion detection system) — система, которая отслеживает активность в сети или системе, чтобы выявлять потенциальные атаки и отправлять оповещения ее защитникам.

Система предотвращения вторжений (IPS, intrusion prevention system) — система, которая отслеживает активность в сети или системе, чтобы выявлять потенциальные атаки и предотвращать их, а также предупреждать о них защитников.

Сканирование портов — попытка определить службы, которые работают в системе, подключенной к сети; злоумышленник отправляет в систему невредоносный трафик и анализирует реакцию на него.

Смягчение рисков — подход к обеспечению безопасности, направленный не на устранение конкретной угрозы, а на снижение связанных с ней рисков.

Совместимая система разделения времени (CTSS, Compatible Time-Sharing System) — компьютерная система, созданная в Массачусетском технологическом институте в начале 1960-х годов, к которой в одно и то же время могли получить доступ сразу несколько пользователей. Помимо этого, она считается первой известной компьютерной системой, применяющей пароли для аутентификации нескольких пользователей.

Социальная инженерия — дисциплина, изучающая способы обмануть человека, чтобы манипулировать им и в результате получить доступ к защищенному ресурсу.

Список запретов — список известных значений, которые не пропускаются конкретным средством защиты. Также известен как черный список, хотя этот термин постепенно выходит из употребления.

Список разрешений — список известных значений, которые пропускаются конкретным средством защиты. Также известен как белый список, хотя этот термин постепенно выходит из употребления.

Спуфинг — маскировка источника конкретного запроса или действия, чтобы обойти средства защиты или скрыть, кто за это ответственен.

Тактики, техники и процедуры (TTP, tactics, techniques, and procedures) — совокупность типичных действий, составляющих схему атаки, которые затем можно отнести к определенному типу атаки или даже к конкретной группе злоумышленников.

Угроза — злоумышленник или действие, направленное на компрометацию системы с различными целями.

Удаленное выполнение кода (RCE, remote code execution) — результат использования уязвимости в системе, позволяющий злоумышленнику запускать в ней несанкционированные команды.

Управление идентификацией и доступом (IAM, identity and access management) — структура практик, процессов и технологий для обеспечения аутентификации и авторизации в ИТ-системах.

Управление инцидентами и событиями информационной безопасности (SIEM, security incident and event management) — система, которая собирает информацию из различных ИТ-систем и позволяет анализировать происходящие в них события и реагировать на них, часто в автоматическом режиме.

Управление уязвимостями — практика, применяемая организацией для выявления и устранения уязвимостей в системах и программном обеспечении,

Управление, риск-менеджмент и соблюдение требований (GRC, governance, risk, compliance) — стратегия контроля над различными аспектами подхода, применяемого организацией к информационным технологиям, гарантирующая, что он поддерживает функционирование бизнеса. «Управление» подразумевает использование политик и стандартов, гарантирующих, что процессы способствуют достижению бизнес-целей. Под «риск-менеджментом» понимается выявление факторов, которые могут негативно повлиять на достижение бизнес-целей, и реагирование на них. «Соблюдение требований» означает обеспечение соответствия деловой практики законам и правилам конкретного бизнеса.

Уязвимость — недостаток (или слабость) системы, который может позволить злоумышленнику обойти другие средства ее защиты.

Фаззинг — автоматизированный метод тестирования системы на уязвимости или ошибки кода, когда ей подаются на вход различные формы недопустимых или неожиданных данных.

«Фиолетовая команда» — команда из членов «красной команды» (атакующих сеть или систему), которые работают вместе с членами «синей команды» (защитниками), чтобы улучшить средства защиты и научиться предотвращать типы атак, увенчавшихся успехом.

Фишинг — отправка поддельных электронных писем, чтобы спровоцировать получателя на ответ, который раскрывает его личные данные или позволяет вредоносным программам или программам-вымогателям скомпрометировать его систему.

Хеширование — криптографический метод получения строки символов фиксированной ожидаемой длины, которую нельзя преобразовать обратно в исходные данные.

Целевой фишинг — отправка поддельных электронных писем, чтобы спровоцировать получателя на ответ, который раскрывает его личные данные или позволяет вредоносным программам или программам-вымогателям скомпрометировать его систему. Слово «целевой» здесь говорит о том, что злоумышленник использует конкретные сведения о жертве, чтобы создать более убедительное сообщение.

Центр обработки данных — физический объект, в котором размещены ИТ-системы организации и который обеспечивает необходимое питание, охлаждение и инфраструктуру для их непрерывной работы.

Центр оперативного управления информационной безопасностью (SOC, security operations center) — централизованное подразделение организации, отвечающее за мониторинг и управление средствами защиты, работающими в ИТ-системах данной организации. Этот термин также может обозначать определенное место или места, где работает оперативная группа по обеспечению кибербезопасности.

Цифровая криминалистика и реагирование на инциденты (DFIR, digital forensics and incident response) — сочетание двух связанных направлений, цифровой криминалистики и реагирования на инциденты.

Цифровая криминалистика — одно из направлений кибербезопасности, сосредоточенное на анализе различных аспектов системы для выявления произошедших в ней событий и сборе доказательств.

Цифровой сертификат — электронный ключ, также называемый открытым ключом, используемый для шифрования данных перед их отправкой или сохранением в каком-либо месте. Для расшифровки этих данных требуется закрытый ключ.

Червь — подмножество вредоносных программ, где ПО проникает из одной системы в другую через сеть. Она отличается от вируса тем, что далеко не всегда влияет на функциональность системы или получает дополнительный доступ.

Шифрование — применение криптографического алгоритма к данным, чтобы сделать их нечитаемыми для неавторизованных третьих лиц.

Шифротекст — результат применения алгоритма шифрования к некоторым данным.

Эксплойт — использование уязвимости, чтобы получить несанкционированный доступ к системе. Этим термином также описываются применяемые тактики взлома.

Электронные доски объявлений (BBS, bulletin board system) — компьютерное программное обеспечение, позволяющее пользователям подключаться к сети — как правило, с помощью модема — и взаимодействовать друг с другом в текстовой среде. Пользователи могут загружать/скачивать файлы, читать чужие сообщения и публиковать свои. Хакеры использовали BBS для обмена информацией до появления интернета.

Этичный хакер — нанимаемый организацией хакер, который атакует ее системы, пытаясь выявить уязвимости и определить способы их устранения. Также известен как «пентестер», или специалист по тестированию на проникновение.