Очень часто специалисты службы безопасности плохо понимают "язык" на котором говорит IT служба или ИБ. Это не очень хорошо, потому что современная СБ должна работать с ИБ в очень плотной связке и, главное, без противоречий. Старые модели "разделения поляны" надо похоронить и забыть как страшный сон, потом что картина преступлений и атаки в целом изменились до неузнаваемости.
В этом небольшом тексте мы разберем 10 важных терминов из ИБ (на мой субъективный взгляд), которые должен хотя бы верхнеуровнево понимать каждый специалист современной службы безопасности.
PS: Чтобы чуть-чуть быть в контексте того, что я подразумеваю под "современным специалистом СБ", рекомендую прочитать мою статью "Образ современного безопасника"
▪︎ ▪︎ ▪︎
1. OWASP Top-10
Изначально OWASP (Open Web Application Security Project) - это некоммерческая организация, которая занимается изучением различных уязвимостей ПО. Одним из самых популярных "продуктов" организации является список из 10 основных угроз безопасности веб-приложений, который обновляется примерно каждые 3-4 года (пример самого последнего обновления от ноября 2025 года).
Что дает этот список в практическом смысле? Понимание того, что злоумышленники активно эксплуатируют в качестве уязвимостей по всему миру в тот или иной период времени (тренды и спрос). Это позволяет лучше выстраивать защиту, анализировать конкретные тактики и техники и становится чуть проще закладывать бюджет на защитные средства.
2. APT
Advanced Persistent Threat - это длительная, целенаправленная и скрытая кибератака, при которой злоумышленники получают доступ к инфраструктуре и различным системам внутри нее. При этом, одной из ключевых особенностей таких атак является то, что злоумышленники остаются незамеченными и находятся "внутри контура" довольно долго (лично знаю примеры от 6 до 12 месяцев).
Такой тип атак очень сложен в исполнении, дорогой и обычно осуществляется целой хак-группировкой (поэтому вы можете встретить термин APT группировки). Чаще всего целью становятся крупные организации или что-то около государственное. Можно сказать, что это полноценная операция с длительным этапом подготовки, разведки, созданием специфического ПО для конкретных систем внутри конкретной организации и т.д.
Подробнее об этом можно прочитать тут
3. SOC
Security Operations Center - это одно из подразделений внутри информационной безопасности, которое занимается непрерывным мониторингом, анализом и реагированием на инциденты и киберугрозы в инфраструктуре организации. Это своего рода "радар" на внешние и внутренние угрозы, а также SOC занимается расследованием инцидентов.
На мой субъективный взгляд, SOC - это ключевой "поставщик данных" для СБ в рамках различных расследований и это основное подразделение в ИБ, с которым нужно взаимодействовать постоянно. Иначе, в современных реалиях, вы будете просто "слепыми".
Детальнее про SOC можно почитать тут
4. SIEM
Security Information and Event Management - логичное "продолжение SOC".
Это система управления информацией и событиями безопасности, которая централизованно собирает, анализирует и коррелирует данные о событиях (логи) из различных IT-систем (серверов, приложений, сетей) в реальном времени. Является ключевым инструментом в SOC.
Если попробовать объяснить на примере, то в голову приходит такое сравнение: представим, что компания - это большой загородный дом, в котором есть разные датчики, камеры, умные светильники и прочие устройства. Чтобы всем этим управлять, нужно какое-то единое место, в которое будут собираться данные со всех устройств. Но помимо простого сбора, хранения и централизации логов, SIEM позволяет анализировать и связывать различные события между собой и, главное - выделять аномалии и предупреждать аналитиков о потенциальных инцидентах безопасности.
Подробнее о SIEM можно почитать тут
5. Ransomware
Это тип вредоносного ПО, который по другому называют "программами-вымогателями". Эффект от заражения очень простой: у вас полностью шифруется система (либо только отдельные ее части) и вы теряете доступ к данным. Дальше злоумышленники вымогают деньги за обещание расшифровать ваши данные (далеко не всегда они выполняют свое обещание).
Самые известные примеры атак программ-вымогателей: WannaCry, Petya, Bad Rabbit, BlackBit и т.д. О них можно найти кучу информации в сети. Для примера, атака на СДЭК в мае 2024 года была тоже с использованием ransomware.
Подробнее о программах-вымогателях можно почитать тут
6. Threat Intelligence
Относительно новый термин, сокращенно TI (или киберразведка) - это комплексный поход к сбору, анализу и обработке информации в контексте киберпреступлений по всему миру. Иными словами, это целое направление на стыке аналитики данных и ИБ. В качестве источников для анализа используется все, куда возможно дотянуться (особенно, в дарквебе).
Под TI в бизнесе чаще всего мы сегодня подразумеваем некий программный комплекс (это уже отдельный класс решений в ИБ) с графическим интерфейсом, внутри которого у нас есть всякие дашборды, графики, таблицы и иные сущности, которые позволяют заранее понимать:
- тактики и техники конкретных злоумышленников;
- представляет ли наша компания интерес для каких-то хак группировок;
- "начали ли по нам работу";
- актуальные схемы обхода правил нашего антифрода;
- разные дампы утечек и многое другое.
Многие ИБ компании в России сегодня продают свои решения вместе с аналитиками, либо платформу отдельно для возможности делать то, что я описал выше.
Подробнее о Threat Intelligence можно почитать тут
7. Zero Trust
Концепция "нулевого доверия" - это принцип в безопасности компании, который очень по простому можно описать фразой: "никогда никому не доверяем и всегда всех проверяем". Ключевая мысль не в том, что мы ужасные параноики и хотим найти врага, а в том, что такой подход просто очень эффективен. Никакого личного отношения к сотрудникам эта концепция не предполагает.
В zero trust есть несколько очень простых и понятных правил:
- Минимально необходимый набор доступов у каждого сотрудника. Если необходимо получить что-то отдельно, не вопрос, проходим проверку, даем адекватное пояснение зачем именно и получаем.
- Никогда не доверяем, всегда проверяем. Хотим куда-то "пройти" внутри системы (или даже внутри офиса, неважно) - каждый раз подтверждаем, что мы - доверенное лицо. Не один раз, а всегда или на время активной сессии.
- Всегда предполагаем, что человек потенциально может быть уже взломан, а мы об этом просто еще не знаем (собственно, от этой мысли zero trust и получился, как концепция).
Теперь на примере. Предположим, злоумышленник, украл какие-то креды у сотрудника, например, логин и пароль от учетки в каком-то внутреннем сервисе. В случае, если у нас безопасность архитектурно устроена по zero trust, то злоумышленник не получает автоматически все остальные доступы в компании. Например, система увидит нестандартное для конкретного сотрудника подключение по гео и будет алерт в SOC. Даже если злоумышленник как-то пройдет дальше, ему каждый раз для получения новых данных нужно будет запрашивать новые доступы к отдельным файлам и папкам, потому что доступы сильно гранулированы. Возможно, у нас еще происходит разлогин внутри корпоративных сервисов раз в сутки, условно, как дополнительная мера. Ну и так далее, примеров может быть много.
Подробнее о Zero Trust можно прочитать тут
8. Supply Chain Attack
Так называемая "атака на цепочку поставок". Это такой тип кибератаки, когда злоумышленники не пытаются напрямую взломать конкретную компанию (как правило, крупные компании лучше защищены, хоть это и не всегда так), а ломают кого-то из доверенных поставщиков/подрядчиков этой компании (которые, зачастую, сильно меньше и менее защищены). Логично, что взломав, кого-то из подрядчиков, существует очень большая вероятность пробраться внутрь инфраструктуры кого-то очень большого. Собственно, так очень часто и происходит.
А вот тут рекомендую почитать реальные примеры такого типа атак за 2024 год
9. Bug Bounty
"Баг Баунти" - это программа для внешних исследователей (пентестеров / багхантеров) по поиску уязвимостей в инфраструктуре компании. Если исследователи что-то находят, компания платит им, в зависимости от условий и критичности уязвимости. Логика простая: лучше, чтобы вам приносили уязвимости легально за вознаграждение лояльные люди, а не чтобы вы узнавали о существовании дырок в момент, когда их проэксплуатируют злоумышленники и вы потеряете много денег.
Программа баг баунти есть далеко не у всех компаний. Это не дешево и в принципе возможно только в том случае, когда компания достаточно зрелая.
Подробнее о Баг Баунти можно почитать тут
10. Endpoint security
Безопасность конечных устройств - это набор решений, технологий и методов для обеспечения безопасности устройств, которые подключаются к корпоративной сети (ноутбуки, смартфоны, планшеты и т.д.) от различных киберугроз: вирусы, фишинг, сетевые атаки и прочее.
Сегодня существуют готовые решения "под ключ" (что, обычно супер дорого, но удобно), где из одного места у вас есть в очень удобном виде понимание всех процессов по устройствам, антивирусов на них, шифрованию и прочим вещам.
Детальнее об это концепции можно почитать тут
▪︎ ▪︎ ▪︎
В заключении хочу сказать, что можно было бы написать еще очень много о чем, но в начале я сказал, что решил подсветить именно то, что необходимо понимать современному специалисту СБ (по моему мнению). Именно поэтому такой выбор.
Возможно, когда-нибудь будет пост продолжение, потому что запихнуть все в один текст можно, но эффективность восприятия будет ничтожной.
▪︎ ▪︎ ▪︎
