Что такое CSRF, XSS, SQL-инъекция: глоссарий по книге по кибербезопасности
Изучение кибербезопасности требует чёткого понимания множества специализированных терминов. Этот глоссарий, составленный на основе ключевых понятий из профессиональной литературы, поможет новичкам и практикующим специалистам ориентироваться в мире защиты информации. Чёткие определения — первый шаг к построению эффективной системы безопасности.
Уязвимость (Vulnerability)
Слабое место в системе, программном обеспечении, сетевом протоколе или конфигурации, которое может быть использовано злоумышленником для нарушения конфиденциальности, целостности или доступности данных. Уязвимости возникают из-за ошибок в процессе программирования, неверных настроек или устаревших компонентов. Обнаружение и устранение уязвимостей — одна из основных задач специалистов по безопасности.
Эксплойт (Exploit)
Фрагмент программного кода, последовательность команд или набор данных, которые целенаправленно используют конкретную уязвимость для реализации атаки. Эксплойт — это инструмент, который превращает потенциальную угрозу в реальный инцидент. Существуют как публичные (публикуемые для устранения уязвимости), так и приватные (используемые для целевых атак) эксплойты.
SQL-инъекция (SQL Injection)
Одна из самых опасных и распространённых атак на веб-приложения. Заключается во внедрении злонамеренного SQL-кода в запросы, отправляемые к базе данных через поля ввода на сайте. Это позволяет атакующему читать, изменять или удалять данные, обходя механизмы аутентификации. Защита от SQL-инъекций включает валидацию входных данных и использование параметризованных запросов.
Межсайтовый скриптинг (XSS, Cross-Site Scripting)
Атака, при которой в контент доверенного веб-сайта внедряется вредоносный клиентский скрипт (обычно JavaScript). Когда другой пользователь загружает эту страницу, скрипт выполняется в его браузере, что может привести к краже сессионных куки, подмене контента или перенаправлению на фишинговый сайт. XSS-уязвимости делятся на хранимые (постоянные), отражённые и на основе DOM.
Межсайтовая подделка запроса (CSRF, Cross-Site Request Forgery)
Атака, заставляющая авторизованного пользователя выполнить нежелательное действие на веб-сайте, где он аутентифицирован. Злоумышленник создаёт специальную ссылку или форму, которая при открытии жертвой отправляет запрос от её имени (например, на смену пароля или перевод денег). Защита строится на использовании уникальных токенов подтверждения для каждого сеанса.
Фишинг (Phishing)
Социально-инженерная атака, целью которой является получение конфиденциальной информации (логинов, паролей, данных банковских карт) путём маскировки под доверенное лицо или организацию. Осуществляется через поддельные письма, сообщения или веб-сайты. Фишинг часто служит первым этапом для более сложного взлома.
Ботнет (Botnet)
Сеть компьютеров, заражённых вредоносным ПО и управляемых злоумышленником (бот-мастером) без ведома их владельцев. Ботнеты используются для распределённых атак на отказ в обслуживании (DDoS), рассылки спама, кражи данных или майнинга криптовалюты. Каждый заражённый компьютер в такой сети называется «зомби» или «бот».
Шифрование (Encryption)
Процесс преобразования читаемых данных (открытого текста) в нечитаемый формат (шифротекст) с использованием специального алгоритма и ключа. Шифрование является краеугольным камнем защиты данных, обеспечивая конфиденциальность информации как при хранении, так и при передаче по сети. Для прочтения зашифрованных данных необходим соответствующий ключ дешифрования.
Хэширование (Hashing)
Одностороннее криптографическое преобразование входных данных произвольной длины в строку фиксированной длины (хэш). В отличие от шифрования, процесс необратим — по хэшу нельзя восстановить исходные данные. Хэширование используется для безопасного хранения паролей (с добавлением «соли»), проверки целостности файлов и создания электронных подписей.
Аутентификация (Authentication)
Процесс проверки подлинности пользователя или системы, подтверждение заявленной идентичности. Обычно осуществляется с помощью комбинации факторов: знания (пароль), владения (токен, смартфон) или свойства (биометрия). Двухфакторная аутентификация (2FA) значительно повышает уровень безопасности по сравнению с простым паролем.
Авторизация (Authorization)
Процесс определения прав и разрешений аутентифицированного пользователя или системы на доступ к определённым ресурсам или выполнение операций. Даже после успешной аутентификации пользователь может быть авторизован только для чтения данных, но не для их изменения. Управление доступом на основе ролей (RBAC) — распространённая модель авторизации.
Брандмауэр (Firewall)
Программный или аппаратный барьер, который контролирует и фильтрует сетевой трафик между сетями с разным уровнем доверия (например, между локальной сетью и интернетом) на основе заданных правил безопасности. Брандмауэр является первой линией обороны, блокируя нежелательные соединения и потенциально опасные данные.
Антивирусное ПО (Antivirus Software)
Программа, предназначенная для обнаружения, блокировки и удаления вредоносного программного обеспечения (вирусов, червей, троянов, шпионского ПО). Работает на основе сигнатур (известных шаблонов вредоносного кода) и эвристического анализа (поиска подозрительного поведения). Современные решения часто называются «антивирусными комплексами», так как включают дополнительные функции вроде файрвола.
Пентест (Penetration Test, Ethical Hacking)
Управляемая и санкционированная имитация кибератаки на компьютерную систему с целью оценки её безопасности. Проводится этичными хакерами для поиска уязвимостей, которые могли быть упущены при разработке. Результатом является отчёт с описанием найденных слабостей и рекомендациями по их устранению.
Нулевой день (Zero-Day)
Уязвимость в программном обеспечении, которая неизвестна разработчику и, следовательно, не имеет выпущенного исправления (патча). Атаки, использующие такие уязвимости (zero-day exploits), являются крайне опасными, так как защиты от них не существует до момента обнаружения и фиксации. Термин указывает на то, что у разработчика было «ноль дней» на устранение проблемы.
Социальная инженерия (Social Engineering)
Метод несанкционированного доступа к информации или системам путём манипулирования людьми, а не взлома технических средств. Атакующий использует психологические уловки, доверие, страх или авторитет, чтобы заставить жертву добровольно раскрыть информацию или совершить определённые действия (например, запустить вредоносный файл).
DDoS-атака (Distributed Denial of Service)
Атака на отказ в обслуживании, целью которой является сделать сетевой ресурс (сайт, сервер) недоступным для легитимных пользователей. Достигается путём подачи огромного количества запросов с множества скомпрометированных устройств (часто из ботнета), что перегружает каналы связи или вычислительные мощности цели.
Инцидент безопасности (Security Incident)
Любое нарушение политик безопасности или успешная атака, которая привела или могла привести к несанкционированному доступу, использованию, раскрытию, изменению или уничтожению информации, либо к нарушению нормальной работы информационных систем. Реагирование на инциденты — ключевой процесс в управлении безопасностью.
Патч (Patch, Обновление безопасности)
Фрагмент программного кода, выпускаемый разработчиком для устранения уязвимости или ошибки в программе или операционной системе. Своевременная установка патчей — одна из самых важных и простых мер по повышению кибербезопасности любой системы. Игнорирование обновлений оставляет системы открытыми для известных атак.
Угроза (Threat)
Потенциальная возможность нарушения безопасности системы. Угроза может быть реализована путём использования одной или нескольких уязвимостей. Источниками угроз могут быть как злоумышленники (хакеры, инсайдеры), так и непреднамеренные действия персонала или стихийные бедствия.
Риск (Risk)
Вероятность того, что конкретная угроза воспользуется уязвимостью системы и нанесёт ущерб активам. Оценка рисков — фундаментальный процесс, который позволяет определить, какие угрозы наиболее опасны для организации, и распределить ресурсы на защиту соответствующим образом. Риск = Угроза × Уязвимость × Воздействие.
Сканер уязвимостей (Vulnerability Scanner)
Автоматизированный инструмент, предназначенный для обследования сетей, серверов и приложений на наличие известных уязвимостей, небезопасных конфигураций и слабых мест. Сканеры не осуществляют взлом, а лишь сравнивают полученные данные с базами известных проблем (например, CVE), формируя отчёт для дальнейшего анализа.
Сеть доверенных устройств (Zero Trust Network)
Современная концепция безопасности, которая предполагает, что угроза может исходить как извне, так и изнутри сети. Поэтому ни пользователям, ни устройствам по умолчанию не доверяют, а доступ к каждому ресурсу требует постоянной проверки подлинности и авторизации. Девиз модели: «Никогда не доверяй, всегда проверяй».
Шифрование трафика (Traffic Encryption)
Применение криптографических протоколов (таких как TLS/SSL) для защиты данных, передаваемых по сети, от перехвата и подмены. Гарантирует, что даже если злоумышленник получит доступ к каналу связи, он не сможет прочитать или изменить информацию. Наличие HTTPS (замочка в адресной строке браузера) — признак использования такого шифрования.
Резервное копирование (Backup)
Создание копии данных на дополнительном носителе с целью их восстановления в случае утери или повреждения оригинала из-за сбоя оборудования, вредоносного ПО (например, ransomware), ошибки пользователя или стихийного бедствия. Регулярное и проверяемое резервное копирование — последняя линия обороны и ключевой элемент стратегии восстановления.
Этот глоссарий охватывает лишь базовые, но критически важные термины из мира кибербезопасности. Для глубокого погружения в тему, изучения методик защиты и практических примеров рекомендуем обратиться к специализированной компьютерной литературе. В нашем интернет-магазине вы найдёте актуальные книги, которые помогут не только понять термины, но и освоить навыки их применения на практике. Для эффективного изучения больших объёмов информации полезны техники, описанные в статье «Как читать большие технические книги». Также следите за разделом «Акции и скидки на литературу», чтобы приобретать знания выгодно.
Комментарии (0)