Источники киберразведки. TIF Источники киберразведки. tif. Источниками киберразведки
 Скачать 385.92 Kb.
|
|
Министерство науки и высшего образования Российской Федерации ФГБОУ ВО «Кубанский государственный технологический университет» (ФГБОУ ВО «КубГТУ») Институт компьютерных систем и информационной безопасности. Кафедра компьютерных технологий и информационной безопасности. Направление 10.04.01 Информационная безопасность Аналитический обзор на тему «TIF. Источниками киберразведки»
Краснодар, 2022 СодержаниеВведение 4 1.Threat intelligence (TI) 6 1.1 Кибератаки 8 2.Индикаторами компрометации и их значимость в киберразведке 10 2.1 Стандарты IOC 11 3.Сравнение TIP имеющихся на рынке 13 Заключение 18 Объединение усилий против злоумышленников, использование общих знаний и обмен данными об угрозах — то, ради чего создаются и внедряются платформы Threat Intelligence. С их помощью выстраивается процесс, позволяющий грамотно распоряжаться как информацией о способе возможной атаки, так и имеющимся временем для подготовки к ней, обеспечивая при этом полноту сведений об угрозе. 18 Платформа киберразведки отвечает за сбор, первичную обработку и централизованное хранение таких данных, за детектирование индикаторов компрометации и ретроспективную проверку, являясь помощником аналитика ИБ при принятии решений. 18 Рынок платформ Threat Intelligence ещё молод, но развивается (и будет развиваться) стремительными темпами. В настоящее время на зарубежном рынке представлено множество решений как от компаний, давно специализирующихся на разработках в области информационной безопасности, так и от молодых участников рынка, специализирующихся на киберразведке. 18 Что касается российского рынка платформ Threat Intelligence, то представленные на нём в настоящее время решения ничем не уступают зарубежным. 18 Предпочтительно выбирать ту платформу, которая подходит организации с точки зрения категории получаемой информации, способов предоставления данных, их релевантности, объёма и формата. Также важны удобство для пользователей, практичность администрирования, эффективность встраивания в бизнес-процессы и операционную деятельность по обеспечению информационной безопасности. Кроме этого при выборе платформы необходимо учитывать актуальные для организации дополнительные функциональные возможности — например, потребность в интеграции с НКЦКИ или планируемое развёртывание системы для автоматизации расследования инцидентов и реагирования на них. Это может сократить спектр возможных вариантов. Бесплатных баз данных и фидов может быть достаточно для построения простой платформы Threat Intelligence или дополнения к платформе с открытым исходным кодом. 18 Для выявления более сложных и комплексных угроз необходимо рассмотреть приобретение подписок у ведущих вендоров в отрасли. В любом случае, какую бы платформу Threat Intelligence организация ни выбрала, необходимо тщательно подходить к выбору поставщиков фидов, настройке взаимодействия между платформой и средствами защиты, внимательно относиться к заданию пороговых значений для недопущения ложных срабатываний и т.д. 19 Введение Итак, сам термин киберразведка появился путем перевода англоязычного словосочетания cyberthreat intelligence, который стал популярен примерно 10-12 лет назад. Именно тогда западные ИБ-вендоры стали активно публиковать свои отчеты о некоторых хакерских киберпреступных APT-группировках (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») и кибероперациях, которые они проводили. В то время общее количество зарегистрированных APT-групп не превышало 2-3 десятков (по некоторым данным, на сегодняшний день их уже несколько сотен), и эксперты-аналитики присваивали им порядковые номера, например APT-1 или APT-12 (список группировок, не претендующий на полноту, приведен на сайте проекта MITRE ATT&CK ). По мере исследования различных сложных кибератак у экспертов сформировалось убеждение в том, что для осуществления успешной атаки APT-группировки должны обладать не только ресурсами, но и определенным опытом и наработками. Так, они должны владеть информацией об ИТ-инфраструктуре атакуемой компании и используемом ПО и средствах защиты, а также разработать или приобрести «рабочие» эксплойты под уязвимости, которые планируют эксплуатировать при атаке. Кроме того, предварительно должны быть настроены хакерские Command&Control-серверы (C&C или C2), которые принимают информацию с зараженных компьютеров и контролируют их с помощью отправляемых атакующими команд, а также должны быть разработаны шаблоны фишинговых писем, с которых как правило и начинаются такие атаки, причем для увеличения вероятности «пробива», т.е. успешного открытия фишингового письма невнимательным пользователем, злоумышленники должны изучить особенности ведения документопроизводства в конкретной компании и обладать списком валидных email-адресов сотрудников компании, по которым будет осуществлена рассылка. Эксперты, проанализировав все эти факты, пришли к выводу, что злоумышленники стараются повторно использовать свои техники и методы взлома, C2-серверы и уязвимости для экономии и повышения своего «профита» от нелегальной деятельности. Глубокий продолжительный анализ киберпреступной деятельности различных группировок позволил сформировать наборы атрибутов, т.е. характерных для APT-группировок признаков атак, которые образуют своеобразный почерк конкретных киберпреступников. Например, разные APT-группировки используют различные освоенные ими фреймворки для управления атаками (самыми популярными являются Metasploit Framework и Cobalt Strike - платформы для проведения тестов на проникновение), определенные излюбленные и уже обкатанные способы первичного проникновения (как правило, фишинг, атаки на веб-сервисы, эксплуатация уязвимостей на периметре сети и подкуп инсайдеров), разнообразные способы взаимодействия между соучастниками, а также различные профили компаний - целей атак. На последнем пункте остановимся подробнее: было бы легкомысленно считать, что крупные APT-команды, обладающими существенными ресурсами, будут тратить их впустую на цели, которые не принесут им никакого результата.. Материально замотивированные атакующие подойдут к вопросу совершения атаки с позиции экономической целесообразности, т.е. получения максимальной выгоды при минимальных затратах: если у киберпреступной группировки есть немалый опыт успешных атак на организации промышленности, то они будут продолжать атаковать этот сектор; если у злоумышленников есть выход на инсайдеров из телеком-компаний, то они и станут жертвами новых атак; если же у некой APT-группировки есть понимание работы современного кредитно-финансового учреждения, то и атаковать она будет в основном банки. Threat intelligence (TI) Итак, в результате исследования совершенных кибератак и использовавшихся в них техник и методов аналитики сделали вывод, что для успешного противодействия взломам надо проводить атрибуцию атакующих путем исследования поведения APT-группировок. Стали появляться и использоваться различные методы такой атрибуции: анализ сэмплов вредоносного ПО (поиск характерных паттернов в коде вирусов или использования типичных эксплойтов), анализ инфраструктур и взаимосвязей C2-серверов (IP-адресация, данные из SSL-сертификатов, используемые хостинги и облачные провайдеры), оценка профилей атакуемых компаний (сектор экономики, используемый софт и системы, общие собственники/акционеры) и способов вывода похищенных денежных средств (выкуп в криптовалюте, вывод на счета фирм-однодневок, перечисление украденных денег на банковские карты физических лиц - «дропов»). Кроме того, аналитики ИБ стали мониторить крупные теневые форумы и интернет-площадки, поскольку некоторые киберпреступники активно общаются на закрытых Даркнет-ресурсах, где ищут сообщников и партнеров по нелегальному бизнесу, покупают и продают украденные данные, вредоносное ПО и эксплойты, нанимают программистов-вирусописателей, предлагают инсайдерам незаконно подзаработать, наконец, просто общаются на специфические темы. Многочисленные аспекты такого мониторинга и анализа, включая технические, инфраструктурные, экономические и даже психологические аспекты слежки за APT-группировками, и стали образовывать составные части нового направления в кибербезопасности - киберразведки (threat intelligence). С технической точки зрения, ИБ-специалист, который только погружается в тему киберразведки, скорее всего первоначально обратит внимание на источники данных киберразведки - Threat Intelligence Feeds, или TI-фиды для краткости. В этих наборах данных могут фигурировать такие детали, как хэши вредоносных файлов, фишинговые URL, IP-адреса и имена C2-доменов, даже названия специфических веток реестра или имена файлов. При этом также важно понимать и учитывать актуальность и срок жизни полученных индикаторов: зачастую использовавшийся в 1-2 атаках несколько лет назад какой-либо IP-адрес будет до настоящего времени помечаться как «потенциально вредоносный», несмотря на то, что веб-ресурс, который хостится на данном адресе, уже несколько раз поменялся. Также важно понимать контекст полученных индикаторов, например: какой APT-группировкой в настоящий момент используется вредоносный файл с поступившим через TI-фид хэшем, является ли наша компания целевой для данной APT-группы, и если да, то с помощью каких тактик, техник и процедур (Tactics, Techniques and Procedures, TTPs) данная APT-группировка обычно атакует своих жертв, какой метод атаки выбрала эта группировка для проведения своей новой вредоносной кампании (например, целенаправленный фишинг, эксплуатация новой уязвимости в установленном у нас веб-сервере, атака путем перебора паролей из свежей утечки) - все эти данные помогут нам подготовиться к возможной атаке и корректно осуществить процедуру реагирования на киберинцидент. Полезной опцией будет также возможность проведения ретроспективного анализа, когда новые поступившие TI-данные сравниваются с накопленными ранее артефактами из нашей ИТ-инфраструктуры и затем делается вывод о возможно уже произошедшей незамеченной атаке, характерные индикаторы компрометации которой были ранее неизвестны. Кроме того, если в системе управления кибербезопасностью компания применяет IRP/SOAR-решение, то для проведения корректной процедуры реагирования на киберинцидент будет необходимо интегрировать механизм получения и обработки TI-фидов, например, с использованием решения класса TIP - Threat Intelligence Platform, такого как модуль TIP платформы Securtiy Vision. Такие решения позволяют агрегировать разрозненные данные киберразведки, приводить их к единому формату для удобства использования, обогащать релевантным контекстом, а также непосредственно выявлять признаки взлома инфраструктуры компании путем сравнения получаемых от СЗИ данных с индикаторами компрометации. С точки зрения бизнес-пользы, оказываемой системами киберразведки, можно условно выделить несколько уровней Threat Intelligence. На первом уровне - оперативном - осуществляется техническая обработка индикаторов компрометации: обогащение, агрегация, нормализация и загрузка в системы и средства защиты. Это дает возможность аналитикам SOC-центра оптимизировать процессы реагирования на киберинциденты, улучшив таким образом показатели MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент), что в свою очередь напрямую ведет к снижению ущерба от реализации кибератаки. На втором уровне - тактическом - происходит анализ тактик, техник и процедур атакующих, что помогает руководителю департамента ИБ выстроить экономически обоснованную современную систему управления кибербезопасностью с учетом актуальных угроз и возможностей продвинутых атакующих. На верхнем уровне - стратегическом - руководство компании получает возможность принимать риск-ориентированные управленческие решения на основе сведений о современных кибератаках и возможностях APT-группировок, таким образом демонстрируя ситуационную осведомленность в вопросах прогнозирования деятельности и развития компании с учетом результатов анализа актуальных киберрисков, привлекательности компании для конкретных групп злоумышленников, экономически обоснованных затрат на обеспечение кибербезопасности. 1.1 Кибератаки Разумеется, средства киберразведки не являются «серебряной пулей» от всех угроз, и нельзя переоценивать возможности лишь одного их аспектов выстраивания системы управления ИБ. Например, следует учитывать возможные ошибки ложной атрибуции, когда APT-группировки намеренно меняют элементы своей атаки и методы взлома, чтобы ввести в заблуждение системы ИБ и аналитиков, которые могут неверно атрибутировать произошедшую кибератаку с другой группировкой. Также следует учитывать возможность перепродажи доступа к взломанной инфраструктуре, когда APT-группировка, которая никогда «не работала» в вашей сфере экономики, всё же успешно осуществляет атаку и решает перепродать украденные учетные данные вашей инфраструктуры уже более заинтересованной в вашей деятельности кибергруппировке. Также атакующие могут нарочно пустить киберразведку по ложному следу: осуществить попытку взлома с использованием легко обнаруживаемого инструментария, попутно проводя скрытную вторую атаку, которая может остаться незамеченной на фоне «быстрой победы» над первой, отвлекающей.  Рисунок 1 - Классификация Threat Intelligence по влиянию на уровень принятия решений Как видно из рисунка, решения тесно взаимосвязаны между собой и каждое предыдущее влияет на последующее. Стратегический уровень в большей степени связан с решениями, принимаемыми руководством. На данном уровне рассматриваются отчёты, предоставляемые подразделением информационной безопасности, формируются цели и стратегии, а также новые задачи и нужды (люди, процессы и инструменты). Индикаторами компрометации и их значимость в киберразведке Индикаторами компрометации (Indicator of Compromise, IoC) называют объект или активность, которые могут указывать на то, что осуществляется несанкционированный доступ к защищаемой системе. IOC принято делить на три основных типа: Атомарные. К ним относятся IP-адреса, e-mail-адреса, DNS-адреса, полные URL и даже статические фрагменты в управляющих (Command & Control, C2) каналах вредоносного кода или ботнетов. Такая информация является первичной информацией, позволяющей идентифицировать что-то нехорошее, происходящее в сети или на отдельных компьютерах. Да, IP– или DNS-адреса, с которых может распространяться вредоносный код, могут меняться и меняться часто (до нескольких раз в день). Но и индикаторы компрометации, содержащие эту информацию, могут также распространяться по мере появления новой информации. Вычисляемые. К такому типу индикаторов относятся хэши (контрольные суммы) вредоносных файлов по стандартам MD5 или SHA1, ключи реестра, списки процессов или информация для декодирования протоколов, по которым работает вредоносный код. Поведенческие. Это уже не отдельные индикаторы, а их наборы, описывающие профиль поведения чего-либо или кого-либо — злоумышленника, узла, подсети и т. п. Например, таким индикатором может служить формализованное описание следующего профиля — «неизвестный часто использует IP-адреса в диапазоне <таком-то> для попытки подключиться к Web-сайту <такому-то> в <такое-то> время» или «неизвестный отправил вложение в формате MS Word в сообщение e-mail с почтового сервера, созданного 10 минут назад в Ватикане». Таблица 1 - Набор данных IOC (основной, дополнительный)
2.1 Стандарты IOC TLP (Traffic Light Protocol) — простой протокол, предложенный американским центром реагирования на инциденты US CERT, и позволяющий «раскрасить информацию в 4 «цвета». От цвета зависит, кому можно передавать информацию об угрозах — всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Протокол очень прост в реализации, и его можно применить даже к обычной электронной почте. Протоколы и стандарты рабочей группы MILE (Managed Incident Lightweight Exchange), включающие: Стандарт Incident Object Description and Exchange Format (IODEF), описанный в RFC5070, и содержащий в формате XML свыше 30 классов и подклассов инцидентов, включая такую информацию как контакт, финансовый ущерб, время, пострадавшие операционные системы и приложения и т. д. IODEF — стандарт достаточно проработанный и уже немало где используется. Из организаций его использует Anti-Phishing Working Group, а также многие CERT/CSIRTы. Да и с вендорской поддержкой не так все плохо — SIEM постепенно интегрируют его внутрь себя. Стандарт IODEF for Structured Cyber Security Information (IODEF-SCI), который является расширением для IODEF, позволяя добавлять к IODEF дополнительные данные — шаблоны атак, информация о платформах, уязвимостях, инструкциях по нейтрализации, уровень опасности и т. п. Также предлагается включить в состав IODEF-SCI часть стандартов американской корпорации MITRE, предназначенных для описания тех или иных нюансов, связанных с ИБ, — уязвимостей, атак, конфигураций, ошибок и т. п. (это стандарты CAPEC, CEE, CPE, CVE, CVRF, CVSS, CWE, CWSS, OCIL, OVAL, XCCDF, XDAS). Протокол Real-time Inter-network Defense (RID), который позволяет взаимодействовать различным системам ИБ-аналитики. Построенный на базе HTTP/HTTPS, он, хотя и описан в RFC6545, не является очень уж популярным. OpenIOC — это открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), который первоначально был закрытой разработкой американской компании Mandiant, но потом был открыт для публичного использования. Также как и IODEF построен на базе XML и содержит свыше 500 различных индикаторов, преимущественно узловых (хостовых) — файл, драйвер, диск, процесс, реестр, система, хэш и т. п. Пока OpenIOC — это преимущественно епархия продуктов Mandiant, но постепенно начинает проникать и в решения других компаний-разработчиков средств защиты информации. VERIS (Vocabulary for Event Recording and Incident Sharing) — стандарт американской компании Verizon, ориентированный стратегически, в отличие от тактического OpenIOC, на информацию об угрозах и инцидентах. По сути это некий единый язык для описания и обмена информацией об инцидентах. Схема VERIS состоит из пяти частей — отслеживание инцидента, описание инцидента, демография жертвы, оценка ущерба и реагирование, каждая из которых в свою очередь делится на различные типы данных и переменные. Большой популярности данный стандарт пока не снискал. Стандарт CybOX (Cyber Observable Expression), разработанный американской корпорацией MITRE, предназначенный для описания индикаторов наблюдаемых событий безопасности. Сегодня уже представлено свыше 70 различных описываемых объектов — файл, сетевое соединение, HTTP-сессия, сетевой поток (Netflow), сертификат X.509 и т. п. Стандарт STIX (Structured Threat Information Expression), также разработанный MITRE и позволяет унифицировать описание различных угроз. Несмотря на его активное продвижение в США, он достаточно сложен в реализации и поэтому уступает по популярности OpenIOC и IODEF. Сравнение TIP имеющихся на рынке  На данный момент существует большое количество платформ киберразведки, но логично, что каждая компания будет использовать какую-то одну, наиболее подходящую для ее деятельности. С этой целью было решено обзор TIP решений и рассмотреть преимущества и недостатки каждого.  Также хотелось бы выделить отдельные преимущества каждой из платформ.Anomali STAXX бесплатная версия для небольших компаний; простая установка, не требующая высокой квалификации специалистов; автоматическая загрузка фидов по расписанию; встроенный поисковый движок, позволяющий получать полные сведения о собираемых системой индикаторах компрометации (Indicator of compromise, сокр. IoC). Anomali ThreatStream + Enterprise интеграция с решениями SIEM, Firewall, IPS, Endpoint и поддержка интеграции по API; извлечение индикаторов компрометации из фишинговых писем; динамический анализ вредоносных программ в песочнице; бренд-мониторинг, позволяющий осуществлять поиск ресурсов, незаконно использующих бренд компании. детектирование алгоритмов генерации домена (Domain Generation Algorithms, сокр. DGA), используемых вредоносными программами с помощью механизмов машинного обучения. ThreatConnect Platform Динамическая автоматизация и управление на базе Intel для более эффективного принятия решений Рациональная и расширяемая интеграция для распространения информации среди других инструментов безопасности поддержка тегов, атрибутов для сегментации и дальнейшего анализа данных; гибкий модуль аналитики, позволяющий не только видеть список событий, но и всесторонне визуализировать данные; создание правил Yara на основе полученных индикаторов компрометации. ThreatQ Существует возможность агрегировать, дедуплицировать, нормализовать и обогащать Существует возможность расставлять приоритеты, исходя из ваших требований Автоматическая отправка данных в инфраструктуру безопасности EclecticIQ Platform +EclecticIQ Fusion Center Интеграция с существенным анализом угроз Комплексный рабочий процесс Глобальное сообщество пользователей Релевантная сортировка данных для фокусировки на самых актуальных угрозах. Your Everyday Threat Intelligence (YETI) Простая установка в несколько строк Bash; Хорошо задокументированная настройка, установка, API-интеграция; Возможность связывать события, визуализируя информацию графами; Одна из самых простых в настройке и поддержке TIP с открытым исходным кодом Malware Information Sharing Platform (MISP) Визуализация графами, обогащение и классификация инцидентов; Огромное сообщество профессионалов, множество обучающих материалов, книга по использованию, установке, настройке и администрированию; Ежемесячные обновления и поддержка разработчиков. R-Vision Threat Intelligence Platform Интеграция с R-Vision IRP Автоматическое обогащение индикатора компрометации Для отечественных пользователей имеется русский язык Подводя итоги сравнения, следует выделить несколько особенностей. Первое, это то, что большая часть широко используемых платформ являются коммерческими. Второе – большинство компаний имеют штаб-квартиры в США, показывая, что наибольшее развитие отрасль TI получила именно там. Третье – Open Source платформы не уступают, а в некоторых критериях и превосходят коммерческие платформы. Благодаря своим сообществам они получают развитие, постоянно дорабатываются, устраняют проблемные места. Четвертое – все платформы поддерживают стандарты STIX/TAXII, использование CSV-файлов и JSON-файлов в качестве фидов. Особо стоит обратить внимание, что все платформы поддерживают интеграцию по REST API. Пятое – графическое изображение связей объектов feed’ов и внутренних артефактов, помогающее более точно и подробно изучить каждый индикатор имеет большая часть TIP, также хотелось бы особо отметить, что только две платформы имеют в наличии сформированные образы для платформ виртуализации. Заключение Объединение усилий против злоумышленников, использование общих знаний и обмен данными об угрозах — то, ради чего создаются и внедряются платформы Threat Intelligence. С их помощью выстраивается процесс, позволяющий грамотно распоряжаться как информацией о способе возможной атаки, так и имеющимся временем для подготовки к ней, обеспечивая при этом полноту сведений об угрозе. Платформа киберразведки отвечает за сбор, первичную обработку и централизованное хранение таких данных, за детектирование индикаторов компрометации и ретроспективную проверку, являясь помощником аналитика ИБ при принятии решений. Рынок платформ Threat Intelligence ещё молод, но развивается (и будет развиваться) стремительными темпами. В настоящее время на зарубежном рынке представлено множество решений как от компаний, давно специализирующихся на разработках в области информационной безопасности, так и от молодых участников рынка, специализирующихся на киберразведке. Что касается российского рынка платформ Threat Intelligence, то представленные на нём в настоящее время решения ничем не уступают зарубежным. Предпочтительно выбирать ту платформу, которая подходит организации с точки зрения категории получаемой информации, способов предоставления данных, их релевантности, объёма и формата. Также важны удобство для пользователей, практичность администрирования, эффективность встраивания в бизнес-процессы и операционную деятельность по обеспечению информационной безопасности. Кроме этого при выборе платформы необходимо учитывать актуальные для организации дополнительные функциональные возможности — например, потребность в интеграции с НКЦКИ или планируемое развёртывание системы для автоматизации расследования инцидентов и реагирования на них. Это может сократить спектр возможных вариантов. Бесплатных баз данных и фидов может быть достаточно для построения простой платформы Threat Intelligence или дополнения к платформе с открытым исходным кодом. Для выявления более сложных и комплексных угроз необходимо рассмотреть приобретение подписок у ведущих вендоров в отрасли. В любом случае, какую бы платформу Threat Intelligence организация ни выбрала, необходимо тщательно подходить к выбору поставщиков фидов, настройке взаимодействия между платформой и средствами защиты, внимательно относиться к заданию пороговых значений для недопущения ложных срабатываний и т.д. Список использованных источников Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. — М.: Акад. Проект, 2018. — 544 c. Глинская, Е.В. Информационная безопасность конструкций ЭВМ и систем: Учебное пособие / Е.В. Глинская, Н.В. Чичварин. - М.: Инфра-М, 2018. - 64 c. Глинская, Е.В. Информационная безопасность конструкций ЭВМ и систем: учебное пособие / Е.В. Глинская, Н.В. Чичварин. - М.: Инфра-М, 2018. - 160 c. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2018. - 256 c. Гасумова С. Е. Социальная информатика. Учебник и практикум для вузов. М.: Юрайт, 2019. 284 с. Аверченков, В. И. Аудит информационной безопасности органов исполнительной власти. Учебное пособие / В.И. Аверченков. - М.: Флинта, 2020. - 297 c. Аверченков, В. И. Аудит информационной безопасности. Учебное пособие / В.И. Аверченков. - М.: Флинта, 2021. - 679 c. Александр, Шилов und Владимир Мищенко Информационная безопасность финансового учреждения / Александр Шилов und Владимир Мищенко. - М.: LAP Lambert Academic Publishing, 2021. - 164 c. Артемов, А. Информационная безопасность. Курс лекций / А. Артемов. - Москва: РГГУ, 2018. - 788 c. Астахова, Людмила Герменевтика в информационной безопасности / Людмила Астахова. - М.: LAP Lambert Academic Publishing, 2020. - 296 c. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам: моногр. . - Москва: Мир, 2020. - 552 c. Афанасьев, Алексей Алексеевич Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. Учебное пособие для вузов. Гриф УМО МО РФ / Афанасьев Алексей Алексеевич. - М.: Горячая линия - Телеком, 2020. - 438 c. Бабаш, А. В. Информационная безопасность (+ CD-ROM) / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2021. - 136 c. |