• Содержание
• Программно-технические меры обеспечения информационной безопасности
  • Введение
  • Классификация программно-технических мер
  • Идентификация и аутентификация
    • Три фактора аутентификации
  • Парольная аутентификация
    • Атаки на пароли
    • Требования к паролям
  • Многофакторная аутентификация
    • Одноразовые пароли (OTP)
    • Аппаратные токены
    • Push-аутентификация
    • Биометрическая аутентификация
    • Протокол Kerberos
  • Управление доступом
    • Модели управления доступом
    • Принцип минимальных привилегий
    • Матрица доступа
    • Современные технологии управления доступом
  • Экранирование и сегментация сети
    • NGFW — межсетевой экран нового поколения
    • Ключевые возможности NGFW
      • Архитектурное размещение NGFW
  • Обнаружение вторжений (IDS/IPS)
  • DLP — предотвращение утечек данных
    • Архитектура DLP
    • Методы классификации данных
    • Режимы работы
    • Практические ограничения DLP
  • SIEM — управление событиями безопасности
    • Источники данных
    • Нормализация и обогащение
    • Корреляционные правила и use cases
    • SOAR — автоматизация реагирования
  • Антивирус и EPP
    • Методы обнаружения вредоносного ПО
    • Компоненты современного EPP
  • EDR — обнаружение и реагирование на конечных точках
    • Архитектура EDR
    • Возможности реагирования
    • Threat Hunting
    • XDR — расширенное обнаружение и реагирование
  • Что дальше

Программно-технические меры обеспечения информационной безопасности¶

Введение¶

Организационные и правовые меры задают правила — кто что может делать и что за нарушение последует. Программно-технические меры автоматически выполняют эти правила независимо от того, помнит ли о них пользователь и соблюдает ли он их намеренно.

Именно в этом принципиальное отличие: организационная мера — это инструкция «не записывать пароли на бумаге». Программно-техническая мера — это система, которая требует смены пароля каждые 90 дней, не принимает пароли короче 12 символов и блокирует учётную запись после трёх неудачных попыток. Первую меру можно нарушить, вторую — только обойти.

Эта тема охватывает технические контроли из Приложения А ISO 27001, выбор которых определяется результатами оценки рисков из темы 5. Управление рисками ИБ. Криптографические механизмы, упомянутые здесь, подробно рассмотрены в теме 10. Аудит и криптография.

---

Классификация программно-технических мер¶

Все программно-технические меры можно разделить по цели воздействия на четыре группы.

Цель	Меры	Примеры
Предупреждение нарушений	Не допустить реализацию угрозы	Идентификация и аутентификация, управление доступом, шифрование, экранирование (межсетевые экраны)
Обнаружение нарушений	Выявить атаку или аномалию	Протоколирование, аудит, системы обнаружения вторжений (IDS/IPS), SIEM
Локализация нарушений	Ограничить зону воздействия	Сегментация сети, контейнеризация, изоляция процессов
Восстановление режима безопасности	Вернуть систему в штатное состояние	Резервное копирование, откат ОС, механизмы высокой доступности

В рамках этой темы подробно рассмотрим наиболее фундаментальные сервисы: идентификацию и аутентификацию, управление доступом и многофакторную аутентификацию.

---

Идентификация и аутентификация¶

Идентификация и аутентификация — первая линия обороны информационной системы. Всё остальное — управление доступом, аудит, шифрование — имеет смысл только если система знает, кто именно совершает действие.

Идентификация — процесс, при котором субъект сообщает системе своё имя (предъявляет идентификатор). Это ответ на вопрос «кто ты?». Идентификатором может быть логин, номер карты, email, UUID процесса.

Аутентификация — процесс проверки того, что субъект действительно является тем, за кого себя выдаёт. Это ответ на вопрос «докажи, что ты — это ты». Аутентификация всегда следует за идентификацией и опирается на один или несколько факторов.

Авторизация — предоставление прав после успешной аутентификации. Это ответ на вопрос «что тебе разрешено». Часто путают с аутентификацией, но это принципиально разные процессы: аутентификация устанавливает личность, авторизация — полномочия.

Три фактора аутентификации¶

Фактор	Суть	Примеры	Уязвимость
Знание (something you know)	То, что субъект знает	Пароль, PIN, кодовое слово, ответ на секретный вопрос	Можно подсмотреть, угадать, перехватить, передать другому
Владение (something you have)	То, чем субъект владеет	Смарт-карта, аппаратный токен, мобильный телефон с OTP-приложением, сертификат на USB	Можно украсть или потерять
Присущность (something you are)	Биометрические характеристики субъекта	Отпечаток пальца, сетчатка глаза, геометрия лица, голос	Нельзя заменить при компрометации; зависит от качества сканера

Использование двух или более факторов одновременно называется многофакторной аутентификацией (MFA). Её ключевое свойство: компрометация одного фактора не означает компрометацию всей аутентификации. Перехваченный пароль бесполезен без физического токена.

---

Парольная аутентификация¶

Пароль — наиболее распространённый, но и наиболее уязвимый способ аутентификации. Его главное достоинство — простота реализации и привычность для пользователей. Его главный недостаток — человеческий фактор: пользователи выбирают слабые пароли, записывают их, передают коллегам и используют повторно на разных сервисах.

Атаки на пароли¶

Брутфорс (Brute force) — последовательный перебор всех возможных комбинаций. При длине пароля 8 символов из строчных букв латиницы существует 26⁸ ≈ 200 млрд комбинаций. Современный GPU перебирает их за несколько часов. Пароль из 16 символов смешанного регистра с цифрами и спецсимволами при том же методе потребует миллионы лет.

Словарная атака (Dictionary attack) — перебор по словарю из наиболее употребимых паролей, слов, имён и их вариаций. Работает против паролей вида «Qwerty123» или «Иванов2024». База RockYou содержит более 14 млн реальных паролей, утёкших из взломанных сервисов — именно она используется как эталонный словарь для тестов.

Радужные таблицы (Rainbow tables) — предвычисленные хеши для миллиардов паролей. Позволяют мгновенно «восстановить» пароль из его хеша без перебора. Нейтрализуются применением соли (salt) — уникального случайного значения, добавляемого к паролю перед хешированием.

Фишинг — получение пароля напрямую от пользователя через поддельные страницы входа, письма с просьбой «подтвердить данные», телефонный звонок «от службы поддержки». Против этой атаки технические ограничения сложности пароля бессильны.

Credential stuffing — использование утёкших пар логин/пароль с одного сервиса для входа на другие. Работает потому, что пользователи применяют одни и те же пароли на разных сайтах.

Требования к паролям¶

Технические политики паролей задают минимальные требования, которые система применяет автоматически:

• минимальная длина — не менее 12 символов для корпоративных систем, 8 для менее критичных;
• сложность — обязательное сочетание прописных и строчных букв, цифр, специальных символов;
• история паролей — система запоминает последние N паролей и не разрешает их повторное использование;
• срок действия — принудительная смена через определённый период (дискуссионный вопрос: NIST SP 800-63B рекомендует отказаться от периодической смены в пользу смены только при компрометации);
• блокировка при неудачных попытках — защита от брутфорса; типично 5–10 попыток с последующей блокировкой на 15–30 минут или до разблокировки администратором.

Менеджеры паролей (Bitwarden, 1Password, KeePass) кардинально решают проблему сложности паролей: генерируют уникальные случайные пароли для каждого сервиса и хранят их в зашифрованном хранилище. Пользователю нужно помнить только один мастер-пароль.

---

Многофакторная аутентификация¶

Одноразовые пароли (OTP)¶

Одноразовый пароль (OTP) действителен только для одного сеанса аутентификации. Перехваченный OTP бесполезен — при следующем входе система ожидает другой код.

Стандарт TOTP генерирует код на основе текущего времени и общего секретного ключа, известного только устройству пользователя и серверу. Код действителен 30 секунд. Именно так работают приложения Google Authenticator, Яндекс.Ключ, Microsoft Authenticator.

Алгоритм: TOTP = HOTP (K, T), где K — секретный ключ, T = floor(текущее_время / 30). При регистрации сервер и устройство обмениваются секретным ключом один раз (обычно через QR-код), после чего генерируют идентичные коды синхронно.

Стандарт HOTP использует счётчик вместо времени — каждый запрос увеличивает счётчик на единицу. Применяется в аппаратных токенах (RSA SecurID, YubiKey в режиме OTP).

Аппаратные токены¶

Аппаратный токен — физическое устройство, реализующее один из факторов «владение». Типы:

OTP-токены (RSA SecurID, Gemalto) — генерируют одноразовые коды по TOTP или HOTP. Автономны, не требуют интернет-соединения.

FIDO2/WebAuthn токены (YubiKey, Google Titan Key) — реализуют криптографическую аутентификацию на основе асимметричной криптографии. Сервер никогда не видит закрытый ключ — устройство подписывает запрос сервера своим закрытым ключом. Устойчивы к фишингу: привязаны к конкретному домену и не сработают на поддельном сайте.

Смарт-карты — хранят сертификат и закрытый ключ в защищённом чипе. Широко используются в государственных системах (ЭП, карты ПИВ в США, ЕСИА в России).

Push-аутентификация¶

Пользователь вводит логин и пароль → на смартфон приходит push-уведомление с запросом подтверждения → пользователь нажимает «Разрешить». Реализуется через приложения (Duo Security, Microsoft Authenticator, Okta Verify). Удобнее OTP (не нужно вводить код), но требует смартфона с доступом в интернет.

Биометрическая аутентификация¶

Биометрия использует уникальные физиологические или поведенческие характеристики человека. В корпоративных системах применяются:

Отпечатки пальцев — наиболее распространённый метод. Скорость сопоставления — миллисекунды. FAR современных сканеров — менее 0,001%.

Распознавание лица — используется в мобильных устройствах (Face ID) и системах СКУД. Уязвимо к атакам с фотографией или 3D-моделью лица при слабой реализации.

Сетчатка и радужная оболочка глаза — высокая точность (FAR < 0,0001%), применяется в системах высокой степени защищённости.

Голосовая аутентификация — удобна для телефонных сервисов, но уязвима к записи голоса и синтезу речи.

Ключевая уязвимость биометрии: биометрические данные нельзя заменить при компрометации. Если утёк хеш пароля — достаточно сменить пароль. Если утёк биометрический шаблон — у пользователя нет новых пальцев. Именно поэтому биометрию рекомендуется использовать в сочетании с другими факторами, а шаблоны хранить в защищённых аппаратных модулях (HSM, TEE).

Протокол Kerberos¶

Kerberos — протокол сетевой аутентификации, разработанный в MIT в 1980-х годах. Решает фундаментальную задачу: как пользователь может доказать свою подлинность серверу в незащищённой сети, не передавая секретный ключ по этой сети?

Ответ — через доверенную третью сторону: Центр распределения ключей (KDC), которому доверяют все участники.

Процесс аутентификации по Kerberos состоит из шести шагов. Клиент запрашивает у AS билет на получение билетов (TGT). AS возвращает TGT, зашифрованный ключом клиента (производным от пароля), и ключ сессии. Клиент расшифровывает ответ — это доказывает знание пароля без его передачи по сети. Далее клиент предъявляет TGT TGS и запрашивает сервисный билет для конкретного сервера. TGS выдаёт сервисный билет, зашифрованный ключом целевого сервера. Клиент предъявляет этот билет серверу — сервер расшифровывает его своим ключом и получает подтверждение подлинности клиента.

Секретные ключи ни разу не покидают своих владельцев. Kerberos используется в Active Directory Microsoft, OpenLDAP, большинстве корпоративных сред.

---

Управление доступом¶

После того как личность субъекта установлена, система должна решить: что именно ему разрешено делать. Это задача управления доступом — логического контроля взаимодействия субъектов с объектами.

Субъект — активная сторона: пользователь, процесс, служба, устройство. Объект — пассивная сторона: файл, база данных, директория, порт, устройство вывода, сетевой ресурс. Операция — действие субъекта над объектом: чтение, запись, выполнение, удаление, изменение прав.

Модели управления доступом¶

Дискреционное управление доступом (DAC) — владелец объекта самостоятельно определяет, кому и какой доступ предоставить. Реализуется через списки управления доступом (ACL). Большинство файловых систем (NTFS, ext4) и СУБД используют именно DAC. Достоинство — гибкость. Недостаток — высокий риск ошибок: пользователь может случайно предоставить избыточные права или намеренно передать их злоумышленнику.

Мандатное управление доступом (MAC) — уровень доступа определяется системой на основе меток безопасности субъектов и объектов, а не решением владельца. Субъект с уровнем допуска «Секретно» не может получить доступ к объекту с меткой «Совершенно секретно» и не может предоставить свой уровень другому субъекту. Реализовано в SELinux, AppArmor, классических военных КСЗИ. Достоинство — высокая надёжность. Недостаток — сложность администрирования.

Ролевое управление доступом (RBAC) — права назначаются не пользователям, а ролям; пользователи получают права через членство в ролях. Роль «бухгалтер» имеет доступ к финансовой документации, роль «разработчик» — к репозиторию кода. RBAC значительно упрощает администрирование в крупных организациях: при смене должности сотрудника достаточно изменить его роль, а не перебирать все индивидуальные права.

Атрибутное управление доступом (ABAC) — решение о доступе принимается на основе совокупности атрибутов: пользователя (должность, отдел, уровень допуска), ресурса (классификация, владелец), контекста (время суток, IP-адрес, устройство). Пример политики ABAC: «разрешить доступ к финансовым отчётам, если пользователь — финансовый директор И подключается из корпоративной сети И время входа — рабочие часы». ABAC — наиболее гибкая модель, используется в современных IAM-системах (AWS IAM, Azure AD Conditional Access).

Принцип минимальных привилегий¶

Принцип минимальных привилегий (PoLP(Principle of Least Privilege)) — каждый субъект получает ровно те права, которые необходимы для выполнения его задач, и ничего сверх этого. Это фундаментальный принцип проектирования систем безопасности.

Практические следствия: разработчики не должны иметь доступ к производственным базам данных с реальными данными пользователей; сервисные учётные записи работают с минимально необходимыми правами, а не под администратором; права доступа к уволенных сотрудников аннулируются немедленно; привилегированный доступ (root, Administrator) используется только для выполнения административных задач, а не для повседневной работы.

Матрица доступа¶

Формальное представление модели управления доступом — матрица, где строки — субъекты, столбцы — объекты, ячейки — разрешённые операции.

На практике матрицу хранят по столбцам — для каждого объекта ведётся список контроля доступа (ACL, Access Control List) с перечнем субъектов и их правами. Хранение по строкам — список возможностей (Capability List) — менее распространено.

Современные технологии управления доступом¶

PAM — системы управления привилегированным доступом. Контролируют, протоколируют и ограничивают действия администраторов и сервисных учётных записей. Примеры: CyberArk, BeyondTrust, Thycotic. Обязательный элемент ИБ-инфраструктуры в зрелых организациях: именно привилегированные аккаунты становятся целью атак после первоначального проникновения.

IAM — комплексное управление цифровыми идентичностями и правами доступа на уровне организации. Включает управление жизненным циклом учётных записей (создание при найме, изменение при смене роли, блокировка при увольнении), единый вход (SSO), федеративную аутентификацию (SAML, OAuth 2.0, OIDC). Примеры: Microsoft Entra ID (Azure AD), Okta, Keycloak.

Zero Trust — модель безопасности, основанная на принципе «никому не доверяй по умолчанию — ни внутри периметра, ни снаружи». Каждый запрос доступа верифицируется независимо от местонахождения субъекта. Реализуется через непрерывную аутентификацию, микросегментацию сети, ABAC-политики и постоянный мониторинг поведения. Zero Trust — ответ на устаревшую модель «надёжный периметр»: в эпоху облаков и удалённой работы у сети нет чёткой границы.

---

Экранирование и сегментация сети¶

Межсетевой экран (firewall) — программное или аппаратное средство, фильтрующее сетевой трафик на основе заданных правил. Реализует принцип «запрещено всё, что явно не разрешено».

Пакетные фильтры анализируют заголовки пакетов (IP-адреса, порты, протокол) без понимания контекста соединения. Быстро, но поверхностно.

Stateful inspection отслеживает состояние соединений — разрешает только ответные пакеты для установленных соединений, блокирует пакеты, не принадлежащие ни одному активному соединению.

NGFW добавляет глубокую инспекцию пакетов (DPI), идентификацию приложений, фильтрацию по пользователям, встроенный IPS и анализ SSL/TLS-трафика. Примеры: Palo Alto Networks, Fortinet, Check Point.

WAF специализируется на защите веб-приложений: блокирует SQL-инъекции, XSS, CSRF и другие атаки из OWASP Top 10.

Сегментация сети разделяет инфраструктуру на изолированные сегменты (VLAN, DMZ) — компрометация одного сегмента не даёт автоматического доступа к остальным. DMZ — отдельный сегмент для публично доступных сервисов (веб-серверы, почта): они изолированы как от интернета, так и от внутренней сети.

NGFW — межсетевой экран нового поколения¶

NGFW — межсетевой экран, расширяющий возможности классического stateful inspection глубокой инспекцией пакетов (DPI), идентификацией приложений и пользователей, встроенным IPS и анализом зашифрованного трафика.

Классический межсетевой экран видит: «TCP-пакет с порта 80 на порт 443». NGFW видит: «пользователь Иванов использует приложение Telegram для передачи файла размером 50 МБ» — даже если Telegram работает через нестандартный порт или маскируется под HTTPS-трафик.

Ключевые возможности NGFW¶

Идентификация приложений (App-ID) — определение приложения по поведению трафика, а не по номеру порта. Это критично: тысячи приложений работают через порт 443 (HTTPS), и классический firewall не различает между корпоративным Salesforce и запрещённым TeamViewer.

Идентификация пользователей (User-ID) — привязка трафика к конкретному пользователю через интеграцию с Active Directory, LDAP или RADIUS. Политики формулируются как «запретить Иванову доступ к социальным сетям», а не «запретить IP 192.168.1.5».

Встроенный IPS — анализ трафика на наличие эксплойтов, вредоносного кода и атак прямо в потоке, без отдельного устройства.

SSL/TLS-инспекция — расшифровка HTTPS-трафика для анализа содержимого, повторное шифрование и отправка клиенту. Без SSL-инспекции NGFW «слеп» к 80-90% современного трафика. Требует установки корневого сертификата NGFW как доверенного на рабочих станциях.

URL-фильтрация — блокировка доступа к категориям сайтов (фишинг, вредоносные, азартные игры, социальные сети) с постоянно обновляемыми базами категорий.

Sandboxing — отправка подозрительных файлов в изолированную среду (песочницу) для динамического анализа поведения перед пропуском в сеть. Позволяет обнаруживать zero-day угрозы, которые не имеют сигнатур.

Архитектурное размещение NGFW¶

NGFW размещается на периметре сети (между интернетом и DMZ, между DMZ и внутренней сетью) и на сегментных границах внутри сети (между финансовым отделом и разработкой, между ОТ-сетью и корпоративной). В облачных средах NGFW разворачивается как виртуальный аплайанс или cloud-native сервис (AWS Network Firewall, Azure Firewall Premium).

Российские решения: UserGate, «Континент» (Код Безопасности), ViPNet Coordinator. Зарубежные: Palo Alto Networks PA-Series, Fortinet FortiGate, Check Point, Cisco Firepower.

---

Обнаружение вторжений (IDS/IPS)¶

IDS — система обнаружения вторжений. Анализирует сетевой трафик или активность на хостах и генерирует оповещения при выявлении подозрительной активности. Только детектирует — не блокирует.

IPS — система предотвращения вторжений. Дополняет IDS возможностью автоматической блокировки подозрительного трафика в реальном времени.

Методы обнаружения:

Сигнатурный анализ — сравнение трафика с базой известных сигнатур атак. Высокая точность для известных угроз, нулевая — для новых (zero-day).

Поведенческий анализ (аномалии) — построение базовой модели нормального поведения и выявление отклонений. Позволяет обнаруживать новые атаки, но генерирует больше ложных срабатываний.

SIEM — платформа, собирающая и коррелирующая события безопасности из всей инфраструктуры: межсетевые экраны, IDS/IPS, операционные системы, приложения, Active Directory. SIEM не просто хранит логи — он выявляет цепочки событий, указывающие на атаку, которая незаметна при анализе каждого источника по отдельности. Примеры: Splunk, IBM QRadar, Microsoft Sentinel, MaxPatrol SIEM.

---

DLP — предотвращение утечек данных¶

DLP — класс систем, предотвращающих несанкционированный вывод конфиденциальной информации за пределы организации. DLP контролирует не то, кто получил доступ к данным, а то, куда эти данные отправляются.

Ключевое отличие DLP от управления доступом: IAM/RBAC говорит «Иванов имеет право читать финансовые отчёты». DLP говорит «финансовые отчёты нельзя отправить на личную почту, скопировать на флешку или загрузить в Google Drive» — и блокирует эти действия вне зависимости от того, кто их совершает.

Архитектура DLP¶

DLP-системы перехватывают и анализируют данные в трёх точках.

Network DLP контролирует данные в движении (Data in Motion): анализирует трафик на периметре сети — электронную почту, HTTP/HTTPS, мессенджеры, FTP. Видит, что конфиденциальный документ пытаются отправить на внешний адрес, и блокирует передачу. Проблема: зашифрованный трафик (HTTPS) требует SSL-инспекции — расшифровки на прокси с последующим повторным шифрованием.

Endpoint DLP устанавливается непосредственно на рабочие станции и контролирует данные при использовании (Data in Use): буфер обмена, печать документов, копирование на USB-носители, скриншоты, запись экрана. Работает даже без подключения к сети — критично для ноутбуков вне офиса.

Storage DLP контролирует данные в покое (Data at Rest): сканирует файловые серверы, SharePoint, базы данных, облачные хранилища на наличие конфиденциальной информации в неположенных местах. Обнаруживает, что база персональных данных лежит в общей папке с открытым доступом.

Методы классификации данных¶

DLP не может защищать данные, не умея их распознавать. Используются три подхода.

Контентный анализ — поиск по шаблонам, регулярным выражениям и ключевым словам. Номер банковской карты (16 цифр определённого формата), СНИЛС (XXX-XXX-XXX XX), паспортные данные, медицинские термины. Быстро, но генерирует ложные срабатывания.

Контекстный анализ — анализ метаданных: откуда файл, кто его создал, какой гриф конфиденциальности проставлен. Работает совместно с системами маркировки документов (Microsoft Purview Information Protection, СёрфКонтроль).

Отпечатки документов (fingerprinting) — создание хеш-профиля для конкретных документов или шаблонов. Даже если сотрудник скопировал фрагмент договора в новый документ и переименовал его, DLP распознает содержимое по отпечатку.

Режимы работы¶

В режиме мониторинга DLP фиксирует инциденты, но не блокирует. Применяется при внедрении для накопления статистики и настройки политик без риска блокировки легитимных операций.

В режиме блокировки DLP активно прерывает несанкционированные операции: не даёт отправить письмо, заблокировать USB-порт, запретить печать. Требует тщательно настроенных политик — иначе парализует работу.

В режиме уведомления операция разрешается, но пользователь получает предупреждение («вы пытаетесь отправить файл с персональными данными»), а инцидент фиксируется для расследования.

Практические ограничения DLP¶

DLP эффективен против случайных и неосторожных утечек, но против целеустремлённого инсайдера — ограниченно. Опытный злоумышленник может сфотографировать экран, переписать данные от руки или использовать стеганографию. DLP — это не серебряная пуля, а один из рубежей эшелонированной защиты.

Российские решения: InfoWatch Traffic Monitor, Гарда Предприятие, СёрфКонтроль. Зарубежные: Symantec DLP, Forcepoint, Microsoft Purview.

---

SIEM — управление событиями безопасности¶

SIEM — платформа, которая собирает журналы событий из всей инфраструктуры, нормализует их в единый формат, коррелирует между собой и выявляет цепочки событий, указывающие на атаку или аномалию.

Ключевая ценность SIEM — корреляция. Одиночное событие «неудачная попытка входа» — норма. Сто неудачных попыток входа с одного IP за минуту — это брутфорс. Неудачные попытки входа на 50 разных учётных записей за час — это распыление паролей (password spraying). Ни один отдельный журнал не покажет эту картину — только SIEM, видящий всё сразу.

Источники данных¶

SIEM агрегирует события из гетерогенной инфраструктуры: межсетевые экраны и NGFW, IDS/IPS, операционные системы (Windows Event Log, syslog), Active Directory и LDAP, веб-серверы и приложения, СУБД, антивирусы и EDR, облачные платформы (AWS CloudTrail, Azure Monitor), физические СКУД. Данные передаются через агентов, syslog, API или прямые коннекторы.

Нормализация и обогащение¶

Каждый источник использует собственный формат журналов. SIEM нормализует их в единую схему (CEF, LEEF или собственный формат) и обогащает контекстом: IP-адрес разрешается в геолокацию и принадлежность к известным вредоносным сетям (threat intelligence), имя пользователя дополняется данными из Active Directory (должность, отдел), хеши файлов сверяются с базами репутации.

Корреляционные правила и use cases¶

Корреляционные правила — логические условия, при выполнении которых SIEM создаёт инцидент. Примеры правил: «пользователь аутентифицировался одновременно из России и Германии» (невозможное перемещение), «учётная запись заблокирована после брутфорса, а через 10 минут произошёл успешный вход» (возможная компрометация), «процесс PowerShell запустился из дочернего процесса Word» (признак эксплуатации макроса), «массовое обращение к файлам с последующим их шифрованием» (признак ransomware).

SOAR — автоматизация реагирования¶

Современные SIEM интегрируются с платформами SOAR, которые автоматически реагируют на выявленные инциденты по заранее заданным сценариям (playbooks): изолировать заражённый хост, заблокировать IP-адрес на межсетевом экране, отозвать токены доступа скомпрометированной учётной записи, создать тикет в системе управления инцидентами. SOAR снижает среднее время реагирования (MTTR) с часов до минут.

Российские решения: MaxPatrol SIEM, RuSIEM, KUMA (Kaspersky). Зарубежные: Splunk Enterprise Security, IBM QRadar, Microsoft Sentinel, Elastic SIEM.

---

Антивирус и EPP¶

Антивирус EPP — традиционное средство защиты конечных точек, выявляющее и нейтрализующее вредоносное программное обеспечение. Современные EPP объединяют несколько механизмов защиты в единый агент.

Методы обнаружения вредоносного ПО¶

Сигнатурный анализ — сравнение файлов с базой хешей известных вредоносных программ. Мгновенная и точная идентификация известных угроз. Полностью бессилен против новых вредоносных программ (zero-day) и модифицированных вариантов известных угроз — изменение одного байта даёт новый хеш.

Эвристический анализ — выявление подозрительных структур кода, не встречавшихся в известных вредоносных программах, но характерных для них: подозрительные вызовы API, попытки обхода защит, самомодифицирующийся код. Позволяет обнаруживать новые угрозы, но даёт ложные срабатывания.

Поведенческий анализ — мониторинг действий запущенного процесса в реальном времени: обращения к реестру, создание файлов, сетевые соединения, инъекции в другие процессы. Если безобидный на вид PDF-файл после открытия пытается запустить PowerShell, скачать файл из интернета и добавиться в автозагрузку — это явный признак вредоносной активности.

Облачная репутация (Cloud Lookup) — проверка хеша файла или URL в облачной базе репутации с миллиардами записей в реальном времени. Новый файл, которого нет в локальных базах, мгновенно проверяется глобально.

Машинное обучение — модели, обученные на миллионах образцов вредоносного и легитимного кода, классифицируют новые файлы без сигнатур. Эффективны против полиморфных вирусов и упакованного вредоносного ПО.

Компоненты современного EPP¶

Помимо антивирусного движка, EPP включает: персональный межсетевой экран, систему предотвращения вторжений на хосте (HIPS), контроль устройств (блокировка USB), веб-фильтрацию, защиту от эксплойтов (контроль целостности памяти процессов), шифрование диска.

---

EDR — обнаружение и реагирование на конечных точках¶

EDR — класс решений, пришедший на смену классическим антивирусам в корпоративном сегменте. EDR исходит из принципа «assume breach» — предположи, что атака уже произошла, и сосредоточься на её обнаружении и сдерживании, а не только на предотвращении.

Если EPP — это охранник у входа, то EDR — это система видеонаблюдения внутри здания с возможностью немедленного реагирования.

Архитектура EDR¶

Агент устанавливается на каждую конечную точку и непрерывно собирает телеметрию: запуск процессов с полным деревом родительских процессов, сетевые соединения, операции с файловой системой и реестром, загрузка DLL, обращения к LSASS, изменения в политиках безопасности. Это не выборочный аудит — это непрерывный поток событий объёмом тысячи записей в секунду на активном хосте.

Платформа анализа (облачная или on-premise) агрегирует телеметрию со всех хостов, применяет корреляционные правила, ML-модели и threat intelligence для выявления индикаторов атаки (IoA) и индикаторов компрометации (IoC).

Консоль расследования предоставляет аналитику SOC полный граф атаки: с какого письма началось заражение, какой процесс был запущен, что он сделал, куда распространился, какие данные были скомпрометированы. Вместо разбора разрозненных логов аналитик видит визуальное дерево атаки.

Возможности реагирования¶

EDR предоставляет аналитику инструменты для реагирования прямо из консоли без физического доступа к хосту: изолировать хост от сети (сохраняя управление через агент), завершить вредоносный процесс, удалить файл или ключ реестра, получить полный дамп памяти процесса, выполнить произвольную команду на хосте для сбора улик. Это радикально сокращает время реагирования: аналитик действует за минуты, а не часы.

Threat Hunting¶

EDR открывает возможность для threat hunting — проактивного поиска угроз, которые уже находятся в инфраструктуре, но ещё не сработали. Аналитик формулирует гипотезы об атаках и проверяет их через исторические данные телеметрии: «покажи все хосты, где PowerShell за последние 30 дней устанавливал base64-encoded команды и делал сетевые запросы». Обнаружение таких индикаторов может означать присутствие APT-группировки, действующей скрытно месяцами.

XDR — расширенное обнаружение и реагирование¶

XDR — эволюция EDR, объединяющая телеметрию с конечных точек, сети, облака и приложений в единую платформу анализа. Вместо изолированных инструментов (EDR + NGFW + CASB) аналитик видит полную цепочку атаки от фишингового письма до горизонтального перемещения по сети и эксфильтрации данных в одном интерфейсе. XDR автоматически коррелирует события из разных доменов — то, что казалось незначительными аномалиями в каждом инструменте отдельно, складывается в картину целенаправленной атаки.

Российские решения: Kaspersky EDR Expert, PT Sandbox + PT EDR, CICADA8. Зарубежные: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex XDR.

---

Что дальше¶

Технические меры управления доступом создают первый рубеж защиты. Следующий рубеж — протоколирование и криптографические механизмы, которые обеспечивают доказуемость действий и защиту данных при передаче и хранении.

• Следующая тема: 10. Аудит и криптография — протоколирование событий, шифрование, ЭЦП, контроль целостности
• Управление рисками: 5. Управление рисками ИБ — как выбрать приоритетные технические контроли
• Непрерывность: 11. Непрерывность бизнеса — технические меры обеспечения высокой доступности