Терминология на киберсигурността
Киберсигурността има собствен специфичен език. Тук събираме основните концепции, рамки и термини — за да разбереш какво четеш и какво чуваш на конференции.
Основни концепции
Фундаменталните термини, с които всеки специалист трябва да е запознат.
Слабост в система, код или конфигурация, която може да бъде exploited. CVE (Common Vulnerabilities and Exposures) е стандартизираната система за именуване.
Потенциален актьор или събитие, способно да exploitне уязвимост. Threat actor може да е хакер, нация-държава или вътрешен служител.
Likelihood × Impact. Вероятността заплаха да използва уязвимост × щетата от това. Управлението на риска е в основата на GRC.
Всички точки на вход в система. Включва: мрежови услуги, уеб приложения, имейл, физически достъп, хора (social engineering).
Код или техника, използваща конкретна уязвимост за постигане на резултат (изпълнение на код, ескалация на привилегии, достъп до данни).
Злонамленият код, носен от exploit-а. Може да е ransomware, backdoor, reverse shell или crypto miner.
Движение на атакуващия вътре в компрометирана мрежа след началния достъп. Цел: достигане до по-ценни ресурси.
Механизми, позволяващи на атакуващия да поддържа достъп след рестарт или смяна на парола. Registry keys, scheduled tasks, backdoors.
MITRE ATT&CK
MITRE ATT&CK е знанийна база от тактики, техники и процедури (TTP), използвани от атакуващите. Индустриален стандарт за описване на кибератаки.
Целите, преследвани от атакуващия: Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Exfiltration, Impact.
Конкретните методи за постигане на тактиките. Всяка техника има ID (напр. T1566 — Phishing). Описват „как" на атаката.
По-детайлно ниво под техниките. T1566.001 е Spearphishing Attachment — конкретна имплементация.
Разгледай пълната матрица на attack.mitre.org — незаменим ресурс за threat modeling и detection engineering.
Cyber Kill Chain
Разработена от Lockheed Martin, Kill Chain описва 7-те фази на таргетирана кибератака. Прекъсването на верига на всяко ниво предотвратява пробива.
Събиране на информация за целта. OSINT, Shodan, LinkedIn, Whois.
Създаване на exploit + payload (напр. Word документ с macro + shellcode).
Изпращане до целта: фишинг имейл, USB, watering hole.
Задействане на уязвимостта. Потребителят отваря файла, кодът се изпълнява.
Persistence механизъм. Атакуващият се „настанява".
Канал за комуникация с компрометирания хост.
Кражба на данни, ransomware, sabotage.
OWASP
OWASP (Open Web Application Security Project) е международна организация с нестопанска цел, посветена на сигурността на уеб приложенията. Разработва безплатни стандарти, инструменти и ръководства — достъпни за всички. Местната глава OWASP Sofia Chapter организира редовни срещи и уъркшопи в България.
OWASP Top 10 (2025) е списъкът на десетте най-критични класа уязвимости в уеб приложенията — актуализиран на всеки 3–4 години. Спрямо 2021: SSRF отпада, влиза новата категория за грешна обработка на изключения. Редът значително се е променил.
Потребители достъпват ресурси извън правата си. IDOR, privilege escalation, missing authorization checks. Запазва позицията си като най-честата уязвимост.
Прескача от A05 на A02. Default credentials, излишни услуги, verbose грешки, cloud storage misconfiguration, XXE. Изключително честа в облачни среди.
Еволюция на „Vulnerable Components" — разширена до цялата верига на доставки. Компрометирани зависимости, злонамерени пакети в npm/PyPI, атаки срещу CI/CD pipelines.
Слизане от A02 на A04. Чувствителни данни предавани или съхранявани без криптиране. Липса на HTTPS, MD5/SHA-1 за пароли, слаби TLS конфигурации.
SQL, NoSQL, OS Command, LDAP injection, XSS. Невалидирани входни данни, интерпретирани като команди от интерпретатора. Слиза от A03 на A05.
Липса на threat modeling и secure design patterns. Проблемите в архитектурата не могат да се поправят само с добра имплементация — трябват fundamental промени.
Слаби пароли, липса на MFA, некоректно управление на сесии, излагане на session tokens. Остава на A07 с леко разширен обхват.
Ненадеждни CI/CD pipelines, insecure deserialization, auto-update без верификация на подписа. SolarWinds и XZ Utils са реални примери за тази категория.
Липса на логване и алерти при аномалии. Атаките остават незабелязани средно 207 дни. Преименувано от „Monitoring" на „Alerting" за по-ясен акцент.
Нова за 2025. Заменя SSRF. Неправилна обработка на грешки, null pointer dereferences, race conditions и необработени изключения — водят до непредвидено поведение и уязвимости.
Официален OWASP Top 10 (2025): owasp.org/Top10/2025 · OWASP Testing Guide — безплатен методологичен наръчник · OWASP Sofia Chapter — местната общност.
Ключови стандарти и рамки
Международните стандарти и регулаторни рамки, задаващи правилата на играта за организациите в сферата на киберсигурността.
Международен стандарт за управление на информационна сигурност (ISMS). Сертификацията доказва зрялост на сигурността.
NIST Cybersecurity Framework. 5 функции: Identify, Protect, Detect, Respond, Recover. Широко приложен в САЩ, навлиза в ЕС.
EU директива, приета в България 2026. Задължителна за 10,000+ организации. GDPR за оперативна сигурност.
Стандарт за сигурност на карт данни. Задължителен при обработка на плащания.
За задълбочена терминология: NIST Glossary на csrc.nist.gov/glossary и ENISA's Cybersecurity Glossary.
CWE — Common Weakness Enumeration
CWE е каталог на типовете слабости в програмния код и системния дизайн, поддържан от MITRE. Разграничай: CVE описва конкретна уязвимост в конкретен продукт (напр. Log4Shell); CWE описва класа на проблема — коренната причина (напр. Improper Input Validation). Едно CWE може да е корена на стотици CVE-та.
| CWE ID | Наименование | Типичен пример |
|---|---|---|
CWE-79 | Cross-site Scripting (XSS) | Инжектиране на JS в страница, изпълнявано в браузъра на жертвата |
CWE-89 | SQL Injection | ' OR '1'='1 в поле за вход достъп до база данни |
CWE-22 | Path Traversal | ../../etc/passwd — достъп извън предназначената директория |
CWE-20 | Improper Input Validation | Приемане на данни без проверка на формат, тип или граници |
CWE-287 | Improper Authentication | Заобикаляне на login форма чрез манипулация на параметри |
CWE-352 | CSRF | Принудителна заявка от автентикиран потребител към друг сайт |
CWE-502 | Insecure Deserialization | Изпълнение на код при десериализация на недоверени данни |
CWE-798 | Hardcoded Credentials | Парола или API ключ директно в сорс кода |
Пълен каталог с над 900 слабости: cwe.mitre.org · CWE Top 25 Most Dangerous Software Weaknesses се публикува ежегодно от MITRE.
NVD, CVE и CVSS оценка
NVD (National Vulnerability Database) е официалната база данни на NIST за публично известни уязвимости. Всяка уязвимост получава CVE идентификатор и CVSS оценка — стандартизирана числова мярка за тежест.
Common Vulnerabilities and Exposures. Формат: CVE-ГОДИНА-НОМЕР. Пример: CVE-2021-44228 е Log4Shell. Уникален идентификатор за всяка известна уязвимост.
Common Vulnerability Scoring System v3.1. Скала 0–10, изчислена от 8 метрики. Оценява се от три групи: Base Score (неизменни характеристики), Temporal (актуалност на exploit) и Environmental (специфика на средата).
Организациите следят NVD за нови CVE-та, засягащи използваните от тях компоненти. Интеграция с vulnerability scanners (Nessus, Qualys, Trivy) за автоматично засичане.
CVSS v3.1 Калкулатор
Избери стойностите за всяка метрика — Base Score се изчислява автоматично. Официален калкулатор: first.org/cvss/calculator/3.1
Официална NVD база данни: nvd.nist.gov · CVSS спецификация: first.org/cvss · Следи нови CVE-та: cvedetails.com
CIS Controls и Hardening
Center for Internet Security (CIS) разработва два ключови ресурса: CIS Controls v8 — 18 приоритетни мерки за защита, и CIS Benchmarks — конкретни конфигурационни ръководства за стотици продукти. И двата са безплатни за ползване.
18 контрола, наредени по приоритет и разделени в 3 Implementation Groups (IG). IG1 — 56 safeguards за всяка организация; IG2 добавя 74; IG3 — допълнителни 58 за критична инфраструктура.
Детайлни конфигурационни ръководства за Windows, Linux, macOS, Docker, Kubernetes, AWS, Azure, GCP и 100+ продукта. Дефинират "secure baseline" за всяка система.
Hardening е процесът на намаляване на attack surface чрез деактивиране на излишни услуги, затягане на конфигурации, прилагане на принципа на минималните привилегии и редовно patch management.
| # | CIS Control | Описание |
|---|---|---|
| 1 | Inventory of Enterprise Assets | Знай какво имаш — всеки неизвестен актив е потенциален вектор |
| 2 | Inventory of Software Assets | Одобрен софтуерен списък — блокирай неоторизирани приложения |
| 3 | Data Protection | Класификация, криптиране и DLP политики |
| 4 | Secure Configuration | Прилагай CIS Benchmarks; деактивирай default credentials |
| 5 | Account Management | MFA, принцип на минималните привилегии, деактивация при напускане |
| 6 | Access Control Management | Role-based access, регулярни access reviews |
| 7 | Continuous Vulnerability Management | Сканиране + patch management с SLA по CVSS оценка |
| 8 | Audit Log Management | Централно логване, retention политика, SIEM интеграция |
Изтегли CIS Controls и Benchmarks безплатно: cisecurity.org/controls · CIS-CAT инструментът автоматизира audit срещу benchmarks.
Управление на риска
Управлението на риска е систематичният процес за идентифициране, оценяване и третиране на рисковете пред организацията. Рискът не може да се елиминира напълно — целта е информирано вземане на решения за приемливото ниво на остатъчен риск.
Приемане (Accept)
Организацията съзнателно решава да понесе риска без допълнителни мерки. Подходящо когато вероятността или въздействието са ниски, а цената на третирането надхвърля потенциалната щета.
Прехвърляне (Transfer)
Финансовите последици се прехвърлят на трета страна — киберзастраховка, аутсорсинг на услуга към MSP/MSSP. Рискът остава, но отговорността за щетите се споделя.
Намаляване (Mitigate)
Прилагане на контроли за намаляване на вероятността или въздействието: patch management, MFA, мрежова сегментация, обучение на служители. Най-честата стратегия.
Избягване (Avoid)
Прекратяване на дейността, която генерира риска. Напр. отказ от обработка на определени данни или спиране на уязвима услуга. Радикален, но понякога единственият правилен избор.
Методологии за управление на риска
| Методология | Организация | Накратко | Ресурс |
|---|---|---|---|
| ISO 31000 | ISO/IEC | Международен стандарт за управление на риска — принципи, рамка и процес. Приложим за всеки тип организация. | iso.org |
| NIST RMF | NIST (SP 800-37) | 6-стъпков процес: Categorize → Select → Implement → Assess → Authorize → Monitor. Задължителен за федерални агенции на САЩ. | csrc.nist.gov |
| FAIR | FAIR Institute | Factor Analysis of Information Risk — количествен модел, изразяващ риска в парични стойности. Помага при бизнес решения. | fairinstitute.org |
| OCTAVE | SEI / Carnegie Mellon | Operationally Critical Threat, Asset, and Vulnerability Evaluation — фокусиран върху организационния риск, не само техническия. | sei.cmu.edu |
| EBIOS RM | ANSSI (Франция) | Expression des Besoins et Identification des Objectifs de Sécurité — широко използван в ЕС; добра интеграция с NIS2. | ssi.gouv.fr |
| ISO/IEC 27005 | ISO/IEC | Специфично за информационна сигурност — надгражда ISO 31000 с контекст на ISMS (27001). Популярен при сертификация. | iso.org |
Рискът се формулира като: Риск = Вероятност × Въздействие. Остатъчен риск (residual risk) е рискът след прилагане на контролите — неизбежна реалност, която трябва да бъде документирана и приета от ръководството.