11 клас · Урок 28

Виявлення атак і периметр

Виявлення атак. Захист периметра комп'ютерних мереж. Керування механізмами захисту. Міжнародні стандарти інформаційної безпеки.

1. Виявлення атак (IDS/IPS)

IDS (система виявлення вторгнень) — виявляє підозрілу активність, сповіщає.
IPS (система запобігання вторгненням) — блокує підозрілу активність у реальному часі.
Підходи: сигнатурний, поведінковий, на основі аномалій.

Пояснення: датчики й правила виявляють шкідливі шаблони, IPS може розривати з’єднання.
Приклад: спрацювання на спроби брутфорсу SSH з автоматичним блокуванням.
Порада: регулярно оновлюйте підписи/моделі та мінімізуйте хибні спрацювання тюнінгом.

2. Логи та моніторинг

Журнали подій (системні/мережеві), централізація і кореляція у SIEM (система збору та кореляції журналів безпеки).
Індикатори компрометації (IoC), сповіщення, дашборди.

Пояснення: зведення логів у SIEM (система збору та кореляції журналів) дозволяє бачити ланцюжки подій попри різні джерела.
Приклад: кореляція входів з незвичної країни та масових 401 на веб‑додатку.
Порада: визначте критичні джерела логів (AD, VPN, FW, AV/EDR) і забезпечте їх цілісність.

3. Захист периметра

Брандмауери (packet filter, stateful, application proxy), NAT, DMZ (демілітаризована зона).
Проксі, веб‑фільтри, поштові шлюзи, антиспам/антифішинг.

Пояснення: периметр відокремлює внутрішнє середовище від Інтернету й контролює трафік.
Приклад: веб‑сервери розміщені у демілітаризованій зоні (DMZ), внутрішні БД — у закритому сегменті.
Порада: застосовуйте принцип deny‑by‑default і мінімізуйте відкриті сервіси.

4. Сегментація і Zero Trust

VLAN/мікросегментація для обмеження поширення атак.
Мінімальні довіри: перевіряй кожен доступ, найменші привілеї.

Пояснення: поділ мережі на ізольовані домени з окремими політиками доступу.
Приклад: виділення IoT‑пристроїв в окремий VLAN без доступу до журналів оцінок.
Порада: перевіряйте міжсегментні правила і журналюйте всі міжзонні доступи.

5. Керування механізмами захисту

Патч‑менеджмент, базові конфігурації (baseline), контроль змін.
Регулярні перевірки правил брандмауерів, тестування оповіщень.

Пояснення: процеси забезпечують актуальність контролів і зменшують помилки конфігурацій.
Приклад: квартальний перегляд «мертвих» правил та усунення тіньових правил у FW.
Порада: запровадьте change‑advisory і тестові середовища для безпечних змін.

6. Міжнародні стандарти

ISO/IEC 27001/27002 — система менеджменту ІБ, практики контролів.
NIST CSF — ідентифікувати, захищати, виявляти, реагувати, відновлювати.
CIS Controls — пріоритетні технічні заходи.

Пояснення: стандарти дають каркас для побудови програми безпеки і вимірювання зрілості.
Приклад: мапування локальних політик на пункти ISO 27001 Annex A.
Порада: починайте з CIS топ‑контролів і поступово розширюйте охоплення.

7. Розвідка загроз (Threat Intelligence)

Пояснення: IoC (індикатори компрометації)/IoA (індикатори дій) допомагають збагачувати події та будувати кореляції.
Приклад: автоматичне співставлення IP з відомими ботнет‑списками.
Порада: фільтруйте фіди за якістю та релевантністю до вашого середовища.

8. Базові профілі трафіку (Baseline)

Пояснення: нормальний рівень активності використовується для виявлення аномалій.
Приклад: різкий ріст вихідного DNS‑трафіку вночі як ознака атак.
Порада: будьте обережні з сезонністю/канікулами — калібруйте базові лінії.

9. Тюнінг оповіщень

Пояснення: зменшення шуму й чіткі пороги підвищують точність реагування.
Приклад: агрегація однакових подій у «бурсти» замість сотень алертів.
Порада: переглядайте алерти, що не ведуть до дій, і вимикайте/налаштовуйте їх.

10. Плейбуки і тренування

Пояснення: плейбуки описують стандартні дії SOC (операційний центр безпеки); навчання скорочують час реагування.
Приклад: плейбук на brute‑force: блок IP, форензика, примусова зміна паролів.
Порада: проводьте настільні тренування (Table‑Top Exercise) раз на семестр.

Тест (20 питань)

Чим відрізняється IDS від IPS?
- IDS виявляє, IPS може блокувати
- IDS блокує, IPS лише логує
- Обидва — текстові редактори
- Це види антивірусів
Для чого використовують SIEM?
- Централізація і кореляція журналів безпеки
- Малювання схем
- Дефрагментація дисків
- Оптимізація відео
Що таке DMZ?
- Зона, ізольована між зовнішньою і внутрішньою мережами
- Тип шифрування
- Назва вірусу
- Заміна пароля
Який підхід допомагає обмежити поширення атак у мережі?
- Сегментація VLAN/мікросегментація
- Відкриття всіх портів
- Вимкнення журналів
- Спільний Wi‑Fi без пароля
Що таке Zero Trust?
- Zero Trust модель мінімальної довіри
- Надання повних прав доступу всім користувачам системи
- Повна відсутність автентифікації логіна пароля
- Спеціальний режим для комп'ютерних ігор онлайн
Що НЕ належить до периметрових засобів?
- Простий текстовий редактор Notepad Windows
- Мережевий брандмауер фаєрвол для захисту
- Проксі‑сервер HTTP для фільтрації трафіку
- Веб‑фільтр контенту для блокування сайтів
Який стандарт описує систему менеджменту ІБ?
- ISO/IEC 27001 міжнародний стандарт безпеки
- JPEG формат стиснення зображень фотографій
- HTML мова гіпертекстової розмітки вебсторінок
- USB‑C порт універсальний роз'єм для підключення
Навіщо потрібен патч‑менеджмент?
- Патч‑менеджмент для закриття вразливостей ПЗ
- Видаляти всі системні логи журнали подій
- Підвищувати яскравість екрана монітора дисплея
- Повністю вимикати антивірусний захист системи
Що таке NAT?
- NAT трансляція адрес приватних у публічні
- Тип вірусу троян шкідливої програми
- Алгоритм хешування SHA-256 криптографічний
- Шаблон пароля складний для генерації
Що допомагає виявляти аномалії у поведінці мережі?
- SIEM моніторинг та кореляція подій
- Вимкнення журналів
- Відсутність оповіщень системи безпеки
- Випадкові зміни правил FW брандмауера
Що таке IoC?
- IoC індикатор компрометації ознака атаки
- Налаштування принтера HP лазерного
- Тип шифру AES-256 симетричний
- Формат архіву ZIP для стиснення файлів
Що означає «baseline» мережі?
- Baseline нормальний рівень активності мережі
- Максимальна швидкість мережі Ethernet 1Gb
- Список дозволених сайтів білий для фільтрації
- Середня довжина пароля символів для безпеки
Що таке «false positive»?
- False positive хибне спрацювання без загрози
- Загроза без спрацювання системи детекції
- Завжди критична подія інциденту безпеки
- Оновлення підписів антивірусу баз даних
Яка мета кореляцій SIEM?
- SIEM кореляція для виявлення складних сценаріїв
- Змінювати шпалери робочого столу Windows
- Оптимізувати зображення фото для вебу
- Керувати гучністю динаміків системи
Який лог‑джерело критично важливо збирати?
- FW/VPN/AD/EDR логи для аналізу подій
- Погода за вікном для прогнозування
- Плеєр музики Spotify для прослуховування
- Фотогалерея Windows для перегляду зображень
Навіщо тренувати плейбуки реагування?
- Плейбуки для скорочення часу MTTR та помилок
- Підвищувати яскравість екрана дисплея
- Оновити фірмовий стиль бренду компанії
- Змінити тему ОС Windows на темну
Що робити з надмірними/тіньовими правилами у FW?
- FW правила видаляти або об'єднувати після перевірки
- Ігнорувати правила FW брандмауера завжди
- Дублювати правила копіювати багато разів
- Виставляти на перше місце список правил
Який підхід зменшує шум алертів?
- Агрегація та тюнінг порогів для зменшення шуму
- Вимкнути всі алерти сповіщення системи
- Змінити заставку екрана на фотографію
- Збільшити гучність динаміків системи
Що таке SOC?
- SOC операційний центр безпеки компанії
- Сховище офлайн‑копій резервних даних
- Система резервного живлення UPS для серверів
- Редактор презентацій PowerPoint для слайдів
Для чого використовують плейбуки реагування?
- Плейбуки для опису кроків дій при інцидентах
- Зберігати відеофайли MP4 на диску
- Підвищувати яскравість екрана монітора
- Змінювати тему сайту веб на темну

Учень Вчитель

← Повернутися до переліку уроків