Информационная безопасность
Что такое информационная безопасность
2017. Equifax. Один незапатченный Apache Struts сервер - $700 миллионов штрафов, данные 147 миллионов американцев утекли. 2020. SolarWinds. Бэкдор в обновлении IT-менеджера - $40 млн на урегулирование, 18 000 организаций взломаны включая Пентагон. 2021. Log4Shell - одна строчка в библиотеке логирования Java - 3.5 миллиарда устройств под угрозой за 48 часов. Информационная безопасность - не опциональный навык, это базовая грамотность для любого, кто пишет код.
- **OWASP Top 10 (2023)** - Broken Access Control, Cryptographic Failures, Injection - знание этого списка закрывает подавляющее большинство реальных атак на веб-приложения
- **Zero Trust (Google BeyondCorp, 2014)** - вместо «доверенного периметра» каждый запрос верифицируется; сегодня это стандарт для enterprise: Microsoft, Cloudflare, Zscaler
- **ML для anomaly detection** - CrowdStrike Falcon и Darktrace используют нейросети для обнаружения угроз без сигнатур в реальном времени; традиционный AV умер
CIA Triad: три столпа безопасности
В 2017 году кредитное бюро Equifax потеряло персональные данные **147 миллионов** американцев. Номера социального страхования, даты рождения, адреса - всё утекло. Акции компании рухнули на 35%, CEO ушёл в отставку, штрафы превысили $700 миллионов. Один незапатченный сервер - и компания стоимостью $17 млрд оказалась на грани краха.
Информационная безопасность держится на трёх столпах, известных как **CIA Triad** (не путать с разведкой). Каждый инцидент безопасности - нарушение хотя бы одного из них. CrowdStrike Falcon и Darktrace используют ML для обнаружения аномалий, которые нарушают именно эти три свойства - в реальном времени, без сигнатур.
| Столп | Что защищает | Пример нарушения |
|---|---|---|
| **Confidentiality** | Данные видят только авторизованные лица | Хакер прочитал базу паролей Equifax |
| **Integrity** | Данные не изменены несанкционированно | Злоумышленник подменил сумму банковского перевода |
| **Availability** | Система доступна когда нужна | DDoS-атака положила сайт больницы на 3 дня |
**Баланс важнее максимума.** Военная база с отключённым интернетом имеет идеальную конфиденциальность, но нулевую доступность. Публичная Wikipedia - максимальная доступность, но целостность статей под постоянной угрозой. Задача - найти правильный баланс для конкретной системы.
Каждое решение в безопасности - это trade-off между тремя столпами. Двухфакторная аутентификация повышает конфиденциальность, но снижает доступность (пользователь без телефона не войдёт). Резервное копирование повышает доступность, но создаёт ещё одну точку, где конфиденциальность может быть нарушена.
Частая ошибка: думать о безопасности только как о конфиденциальности. Если сервер лежит 6 часов из-за атаки - это тоже инцидент безопасности (нарушение **Availability**), даже если ни один байт данных не утёк.
Хакер изменил оценки студентов в базе данных университета, не взломав ничьих паролей. Какой столп CIA Triad нарушен?
Типы угроз
**Угроза (Threat)** - это потенциальное событие, которое может нанести ущерб системе. Не каждая угроза реализуется, но каждую нужно учитывать. Угрозы делятся по нескольким осям.
**APT (Advanced Persistent Threat)** - это хорошо финансированная группа (часто государственная), которая месяцами сидит внутри сети жертвы, собирая данные. В отличие от script kiddie, который ломает ради забавы, APT действует тихо и целенаправленно.
| Тип атакующего | Мотивация | Ресурсы | Пример |
|---|---|---|---|
| Script kiddie | Развлечение, самоутверждение | Низкие (готовые инструменты) | Школьник с Kali Linux |
| Hacktivists | Идеология, политика | Средние | Anonymous, атаки на госсайты |
| Организованная преступность | Деньги | Высокие | Ransomware-группы (LockBit, REvil) |
| APT / Государства | Шпионаж, саботаж | Очень высокие | SolarWinds 2020 (предположительно SVR) |
| Insider threat | Обида, деньги, шантаж | Уже внутри! | Сотрудник Snowden (NSA) |
**SolarWinds 2020:** атакующие внедрили бэкдор в обновление IT-менеджера, которым пользовались 18,000 организаций, включая Минфин США, Пентагон и Microsoft. Атака оставалась незамеченной **9 месяцев**. Это показало, что атаки на supply chain - одна из самых опасных угроз современности.
**80% утечек данных** связаны с человеческим фактором (отчёт Verizon DBIR). Не хакер в капюшоне, а сотрудник, кликнувший по фишинговой ссылке, или админ, забывший сменить дефолтный пароль.
Insider threats особенно опасны, потому что у инсайдера уже есть легитимный доступ. Никакой firewall не поможет, если сотрудник с правами администратора решил навредить.
Сотрудник компании случайно отправил файл с данными клиентов на личный email. Как классифицировать эту угрозу?
Уязвимости: слабые места системы
**Уязвимость (Vulnerability)** - это слабое место в системе, которое угроза может эксплуатировать. Угроза без уязвимости - просто шум. Уязвимость без угрозы - просто баг. Вместе они создают **реальный риск**.
Индустрия использует стандартизированные системы для описания уязвимостей:
| Система | Что делает | Пример |
|---|---|---|
| **CVE** | Уникальный ID уязвимости | CVE-2021-44228 (Log4Shell) |
| **CWE** | Классификация типов слабостей | CWE-79 (XSS), CWE-89 (SQL Injection) |
| **CVSS** | Оценка критичности (0.0–10.0) | Log4Shell: 10.0 (Critical) |
**OWASP Top 10 (2023)** - ежегодно обновляемый список самых распространённых уязвимостей веб-приложений: 1) Broken Access Control, 2) Cryptographic Failures, 3) Injection (SQL, XSS, etc). Знание Top 10 закрывает подавляющее большинство реальных атак. Log4Shell (CVE-2021-44228, CVSS 10.0) - уязвимость в библиотеке логирования Java, затронула 3.5 миллиарда устройств и стоила индустрии 3.5 млрд на устранение.
**Zero-day** - уязвимость, о которой вендор ещё не знает. На чёрном рынке zero-day для iOS стоит до **2.5 миллионов** (Zerodium, 2024). Это самый опасный тип уязвимостей, потому что патча ещё не существует.
Проверяйте свои зависимости! Команда `npm audit` (Node.js) или `pip-audit` (Python) покажет известные CVE в используемых библиотеках. Большинство реальных взломов происходит через уже известные, но незапатченные уязвимости.
Log4Shell (CVE-2021-44228) получил CVSS 10.0 из 10.0. Уязвимость позволяла выполнить произвольный код на сервере через специальную строку в логах. Почему именно 10.0?
Управление рисками
Теперь мы знаем три компонента: **угрозы** хотят навредить, **уязвимости** дают им возможность, а **CIA Triad** определяет что мы защищаем. Осталось собрать это в систему принятия решений - **управление рисками**.
Когда риск определён, есть **четыре стратегии** работы с ним:
| Стратегия | Что делаем | Пример |
|---|---|---|
| **Avoid** (избежать) | Убираем источник риска | Не хранить данные кредиток - делегировать Stripe |
| **Mitigate** (снизить) | Уменьшаем вероятность или ущерб | Шифрование, firewall, бэкапы, MFA |
| **Transfer** (передать) | Перекладываем на третью сторону | Киберстрахование, SLA с облачным провайдером |
| **Accept** (принять) | Осознанно не делаем ничего | Риск слишком мал или защита дороже потерь |
**Реальный пример:** стартап решает - тратить $50,000 на пентест или нет? Если стартап обрабатывает медицинские данные (HIPAA), штраф за утечку - до $1.9 миллиона. Risk > Cost = **Mitigate**. Если это pet-project без пользовательских данных - **Accept**.
Ключевой принцип: **defense in depth** (эшелонированная оборона). Один уровень защиты - недостаточно. Firewall упадёт, шифрование защитит данные. Шифрование взломают - мониторинг обнаружит аномалию. Google BeyondCorp (2014) радикально реализовал это: нет «доверенного периметра» вообще, каждый запрос проверяется - это архитектура Zero Trust, ставшая индустриальным стандартом.
Безопасность - это **процесс**, а не продукт. Нельзя один раз настроить firewall и забыть. Новые угрозы появляются ежедневно, системы обновляются, сотрудники меняются. Безопасность требует постоянного внимания.
100% безопасность возможна - нужно просто вложить достаточно денег и усилий
Абсолютная безопасность невозможна. Цель - управлять рисками до приемлемого уровня при разумных затратах
Каждая система имеет компромиссы: удобство vs безопасность, стоимость vs защита. SolarWinds 2020 потратили 40M на урегулирование - хотя атака шла через цепочку поставок, не через слабый периметр. Log4Shell ударила по 3.5 миллиарда устройств несмотря на enterprise-бюджеты на безопасность. Даже air-gapped системы без сети были взломаны через USB (Stuxnet, 2010). Цель не в идеале, а в снижении риска до уровня, который бизнес готов принять.
Небольшой интернет-магазин хочет принимать оплату картами. Какая стратегия управления рисками самая разумная для хранения данных карт?
Ключевые идеи
- **CIA Triad** - конфиденциальность, целостность, доступность - три столпа в балансе; Equifax 2017 (700M) нарушил все три одновременно через один незапатченный сервер
- **Угрозы**: 80% утечек - человеческий фактор (Verizon DBIR); APT-группы вроде SolarWinds-атакующих сидят в сети месяцами незамеченными
- **CVE/CWE/CVSS**: Log4Shell CVSS 10.0 - максимум за RCE без аутентификации; `npm audit` и `pip-audit` закрывают большинство N-day атак
- **Risk = Threat x Vulnerability x Impact** - четыре стратегии: avoid, mitigate, transfer, accept; Zero Trust (BeyondCorp) - архитектурный ответ на угрозу инсайдеров
- **Безопасность - процесс**: CrowdStrike Falcon и Darktrace применяют ML для обнаружения аномалий в реальном времени - потому что сигнатуры не успевают за 0-day
Связанные темы
Информационная безопасность - широкая область. Дальше мы углубимся в конкретные методологии и инструменты:
- Модели угроз и STRIDE — Как систематически находить угрозы, а не гадать
- Аутентификация и авторизация — Практическая реализация Confidentiality из CIA Triad
- Криптография — Математический фундамент конфиденциальности и целостности
Вопросы для размышления
- SolarWinds атака прошла через цепочку поставок, а не через периметр компании. Какой столп CIA Triad был нарушен - и почему Zero Trust могла бы (или не могла) это предотвратить?
- Log4Shell получил CVSS 10.0 за RCE без аутентификации в повсеместно используемой библиотеке. Какую стратегию управления риском применили компании, которые не были взломаны в течение первых 24 часов?
- CrowdStrike Falcon использует ML для обнаружения угроз без сигнатур. Какой CIA-столп это защищает в первую очередь - и почему традиционный антивирус на сигнатурах оказался недостаточен?
Связанные уроки
- sec-02 — Threat modeling (STRIDE) builds directly on the CIA Triad and threat taxonomy from this lesson
- crypto-01-intro — Cryptography is the mathematical foundation of Confidentiality and Integrity in the CIA Triad
- prob-01-intro — Risk quantification requires probabilistic reasoning identical to basic probability theory
- st-01-feedback-loops — Defense in depth creates layered feedback loops for threat detection
- alg-01-big-o — CVSS scoring provides the same kind of objective comparison as Big-O notation
- net-01-intro