Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Ответы на вопросы 5

.pdf
Скачиваний:
0
Добавлен:
03.07.2026
Размер:
154.82 Кб
Скачать

1. Дайте определение вредоносному программному обеспечению

(ПО) с точки зрения его ключевых целей (конфиденциальность,

целостность, доступность). Ответ: Вредоносное программное обеспечение — это совокупность программных средств,

предназначенных для несанкционированного воздействия на информационные ресурсы, вычислительные процессы или инфраструктуру с целью нарушения конфиденциальности, целостности или доступности данных.

2.В чём заключается принципиальное различие между компьютерным вирусом и сетевым червем? Ответ: Вирус требует участия пользователя и внедряется в существующие файлы, тогда как сетевой червь распространяется самостоятельно по сети, используя уязвимости программного обеспечения.

3.Назовите и охарактеризуйте три основных типа вредоносного ПО, выделяемых в международных стандартах (помимо вирусов и червей). Ответ: Трояны — маскируются под легитимное ПО,

выполняют скрытые функции; руткиты — скрывают присутствие злоумышленника и обеспечивают привилегированный доступ;

программы-вымогатели — шифруют данные и требуют выкуп за их восстановление.

4. Почему проблема распространения вредоносного ПО приобрела стратегический характер в современной цифровой экономике? Назовите ключевые социально-экономические последствия. Ответ: Из-за взаимосвязанности систем кибератаки приводят к экономическим убыткам, утрате доверия, репутационным потерям и угрозе национальной безопасности. Примеры: SolarWinds, MOVEit.

5.Что такое 'атака на цепочку поставок программного обеспечения'? Приведите известный пример из лекции. Ответ: Это внедрение вредоносного кода в процесс разработки или обновления легитимного ПО. Пример — атака на SolarWinds, когда вредоносный модуль был внедрён в обновления системного ПО.

6.Опишите жизненный цикл файлового вируса. Каковы ключевые артефакты для его обнаружения? Ответ: Этапы:

проникновение, закрепление, исполнение, распространение,

сохранение доступа. Артефакты: изменённые файлы, контрольные суммы, аномалии в процессах и автозапусках.

7. Чем опасны загрузочные (boot) вирусы и вредоносные компоненты UEFI по сравнению с файловыми? Почему их сложнее обнаружить и обезвредить? Ответ: Они действуют до загрузки ОС,

закрепляются в прошивке и контролируют систему на уровне ядра. Их сложно выявить, так как они обходят стандартные механизмы защиты

ипереживают переустановку ОС.

8.Каков механизм действия макровирусов и почему они остаются актуальной угрозой, несмотря на простоту? Ответ: Они используют макрокод в офисных документах и активируются при их открытии. Угроза сохраняется из-за распространённости макросов и социальной инженерии.

9.Почему скриптовые вредоносные компоненты (например,

использующие PowerShell) представляют серьёзную проблему для традиционных антивирусов? Ответ: Скрипты исполняются в памяти без создания файлов, используют легитимные системные средства, что делает их невидимыми для сигнатурного анализа.

10.В чём основное тактическое преимущество сетевого червя перед другими типами вирусов? Ответ: Самостоятельное распространение по сети без участия пользователя, что обеспечивает высокую скорость заражения.

11.Чем мотивация и цели создателей разрушающего вредоносного ПО отличаются от мотивации создателей программ-

вымогателей? Ответ: Разрушающее ПО нацелено на саботаж и уничтожение данных, а программы-вымогатели — на получение финансовой выгоды.

12. Опишите типичные этапы поведения шпионского ПО. Какие методы и средства наиболее эффективны для его обнаружения и противодействия? Ответ: Этапы: разведка, сбор данных, локальное хранение, эксфильтрация. Методы: DLP-системы, мониторинг трафика,

поведенческая аналитика, контроль привилегий.

13.Что такое 'двойной шантаж' в контексте современных программ-вымогателей? Ответ: Это тактика, при которой злоумышленники сначала крадут данные и угрожают их публикацией,

азатем шифруют их, требуя выкуп.

14.Какую основную функцию выполняют руткиты и стелс-

вирусы? Почему их обнаружение представляет наибольшую

сложность? Ответ: Они скрывают присутствие вредоносных процессов

ифайлов. Сложность в том, что они модифицируют системные вызовы

имогут действовать в ядре ОС.

15.Объясните, почему реальная вредоносная программа часто сочетает в себе признаки нескольких поведенческих классов.

Приведите гипотетический пример. Ответ: Современные угрозы

комбинируют функции для устойчивости и скрытности. Например,

троян, который устанавливает руткит и модуль шифрования данных.

16.В чём разница между полиморфизмом и метаморфизмом вредоносного ПО? Как методы обнаружения эволюционируют в ответ на эти техники? Ответ: Полиморфизм изменяет внешний вид кода через шифрование, метаморфизм — структуру кода. Детекторы переходят от сигнатур к поведенческому и семантическому анализу.

17.Какую цель преследуют злоумышленники, используя упаковщики и крипторы? Каковы индикаторы упакованного файла?

Ответ: Цель — скрыть вредоносный код от анализа. Признаки: высокая

энтропия, аномальные заголовки, малое число импортов, распаковка в

памяти.

18.Дайте определение безфайловому вредоносному ПО. Какие источники телеметрии становятся критически важными для его обнаружения? Ответ: Безфайловое ПО действует в памяти без записи на диск. Важны логи PowerShell, события создания процессов, сетевые соединения, данные SIEM/EDR.

19.Почему современные вредоносные программы часто используют комбинацию полиморфизма, упаковки и безфайловых техник? Какой общий принцип защиты следует применить против таких гибридных угроз? Ответ: Комбинация повышает скрытность.

Основной принцип — глубокая эшелонированная защита: мониторинг,

сегментация, ограничение привилегий, резервирование данных.

20. Перечислите и охарактеризуйте не менее трёх основных векторов первоначального доступа злоумышленника в систему. Ответ:

Фишинг (социальная инженерия), эксплуатация уязвимостей

публичных сервисов, компрометация цепочки поставок, использование похищенных учётных данных.

21. Что такое закрепление и какими способами оно достигается на разных уровнях системы (пользователь, система, ядро, прошивка)?

Ответ: Закрепление — обеспечение постоянного доступа. Реализуется через автозапуск, службы, драйверы, задачи планировщика,

модификацию UEFI.

22. Какие техники используются злоумышленниками для повышения привилегий в системе? Ответ: Эксплуатация уязвимостей,

неправильные права доступа, дамп учётных данных, использование токенов и сервисных аккаунтов.

23. Что подразумевается под 'латеральным движением'? Какие архитектурные меры защиты наиболее эффективны для его сдерживания? Ответ: Это перемещение злоумышленника внутри сети.

Меры: сегментация сети, контроль прав доступа, мониторинг аутентификации, NDR/SIEM.

24.Чем отличаются конечные цели атаки на этапах

'Эксфильтрация', 'Шифрование' и 'Уничтожение'? Какие меры защиты критически важны для минимизации ущерба на каждом этапе? Ответ:

Эксфильтрация — кража данных, шифрование — блокировка доступа,

уничтожение — саботаж. Защита: контроль трафика, резервные копии,

сегментация.

25. Опишите архитектуру классического антивирусного решения,

перечислив его ключевые компоненты и их функции. Ответ:

Компоненты: постоянный сканер, сканер по требованию, модуль обновления, карантин, восстановление, облачный репутационный анализ.

26. Назовите и сравните основные методы обнаружения угроз,

используемые в классических антивирусах. Ответ: Сигнатурный — точный, но не видит новые угрозы; эвристический — выявляет новые,

но ошибается; поведенческий и песочница — эффективны, но ресурсоёмки.

27. В чём заключается принципиальное отличие EDR (Endpoint Detection and Response) от традиционного антивируса? Ответ: EDR

отслеживает и реагирует на аномалии поведения, собирает телеметрию и поддерживает расследования, а не только блокирует угрозы.

28. Какую задачу решают NDR (Network Detection and Response)

системы и какие угрозы они помогают обнаружить? Ответ: NDR

анализирует сетевой трафик и выявляет аномалии, не видимые на конечных точках — например, латеральное движение и утечки данных.

29. Что такое XDR (Extended Detection and Response) и какова его основная ценность по сравнению с EDR и NDR? Ответ: XDR

объединяет данные EDR, NDR и других источников, обеспечивая сквозную корреляцию событий и автоматизированное реагирование.

30. Проследите эволюцию компьютерных вирусов: назовите ключевые этапы и по одному примеру для каждого. Ответ: 1980-е — файловые вирусы (Brain), 1990-е — макровирусы (Melissa), 2000-е — сетевые черви (ILOVEYOU), 2010-е — вымогатели (WannaCry).

31. Проанализируйте кейс WannaCry. Какие технические и организационные просчёты привели к его масштабному распространению? Какие уроки следует извлечь? Ответ:

Неустановленные обновления и слабая сегментация сети. Урок — необходимость патч-менеджмента и резервного копирования.

32. Чем атака NotPetya отличалась от WannaCry? Какой урок по управлению рисками цепочки поставок она демонстрирует? Ответ:

NotPetya был разрушительным и распространялся через компрометированное обновление ПО. Урок — контроль и верификация цепочки поставок.

33.Что такое 'EDR-kill' утилиты и как злоумышленники их применяют? Какие контрмеры можно реализовать? Ответ: Это инструменты для отключения систем защиты. Контрмеры — защита процессов безопасности, контроль целостности и изоляция агентов.

34.Почему атаки на уровне UEFI/прошивки представляют новый уровень угрозы? Какие меры защиты необходимы? Ответ: Они действуют до ОС и могут сохраняться после переустановки. Защита:

Secure Boot, TPM, проверка целостности и контроль обновлений прошивок.

35. Сформулируйте принцип 'глубокой эшелонированной защиты' применительно к борьбе с современным вредоносным ПО.

Ответ: Это использование многоуровневых мер: антивирус, EDR/NDR,

сегментация сети, резервные копии, обучение пользователей.

36.Почему наличие проверенных, изолированных и регулярно тестируемых резервных копий является одной из самых важных защитных мер? Ответ: Потому что они обеспечивают восстановление после атак шифровальщиков и разрушительных вирусов, минимизируя потери.

37.Как современные тенденции смещают фокус с 'обнаружения по IoC' на 'обнаружение по IoB'? Ответ: Из-за полиморфизма и бесфайловых атак индикаторы поведения (IoB) становятся надёжнее,

так как отражают реальные действия угрозы.

38. Составьте краткий план мероприятий для организации по повышению устойчивости к вредоносному ПО. Ответ: Технические меры: антивирус, EDR, сегментация, резервное копирование;

организационные: обновления, контроль доступа; обучающие:

тренинги по фишингу.