# SOC-center SOC (Security Operations Center) — это команда ИБ-специалистов, ответственная за мониторинг безопасности и реагирование на инциденты. Быстро реагировать на киберугрозы, комплексно защищать компьютерные сети и управлять безопасностью организации в режиме реального времени – лишь малая часть задач, которые решают с помощью SOC .  1)SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба Решаемые задачи -сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников; -обнаружение в режиме реального времени атак и нарушений критериев и политик безопасности; -оперативная оценка защищенности информационных, телекоммуникационных и других критически важных ресурсов; -анализ и управление рисками безопасности; -проведение расследований инцидентов; -принятие эффективных решений по защите информации; -формирование отчетных документов. Источники данных -Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий. -DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа. -IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам. -Антивирусные приложения. Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде. -Журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности. -Межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем. -Сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика. -Сканеры уязвимостей. Данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры. -Системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых. -Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов. Самая дорогая составляющая капитальных затрат – это лицензии SIEM. Схема лицензирования основных производителей SIEM определяется потоком EPS (количество событий в секунду, которое поступает в SIEM от информационных систем и средств защиты), который в свою очередь зависит от количества и типов подключаемых источников. В целом связь простая: чем больше и разнообразнее инфраструктура, в рамках которой планируется выявлять инциденты безопасности, тем выше затраты – дороже лицензии, больше объем работ. Мы рассматриваем SOC в самом узком понимании и не учитываем весь возможный скоуп технических средств для обнаружения атак и угроз, такие как IPS, сканер уязвимостей, UEBA, honeypot и пр. Основные статьи капитальных затрат для нашего примера приведены в таблице Табл.1., нужно обратить внимание, что помимо закупки техсредств, для организации SOC требуется серьезный объем работ, про который нужно помнить и учитывать в оценке. Табл.1. CAPEX 1. Техническое оснащение 1.1. SIEM, программная платформа. Стоимость лицензий зависит от ожидаемого потока событий – EPS и доп. опций, рассматриваем ~ 50 источников событий ___ млн. руб. 1.2. Инфраструктура для SIEM-системы в отказоустойчивом исполнении. Aппаратные ресурсы HW; Cреда виртуализации VM,OC; Bидеостена; Pезервное копирование; Cетевое оборудование; пр. ____ млн. руб. 2. Работы на старте 2.1. Затраты на внедрение тех. средств (стоимость работ). Oбследование и проектирование; внедрение и настройка SIEM- системы, подключение 50 источников, разработка и реализация правил корреляции для 30 сценариев выявления инцидентов. ____ млн. руб. 2.2. Затраты на процессное обеспечение (стоимость работ). Определение ключевых ролей, сроков подключения, типовых настроек; разработка регламента расследования и реагирования на инциденты ИБ; разработка инструкций оператора/аналитика/пользователя; пр. ____ млн. руб. Итого разовые затраты: _____ млн. руб. Итоговое значение CAPEX даже для нашего примера может варьироваться от 10 млн. рублей условно до бесконечности. Табл. 2. Стоимость сотрудника для компании - Оператор группы мониторинга ИБ (средняя з/п одного сотрудника в месяц, net, в руб) 75 000 руб./месяц - НДФЛ, 13 % от з/п net 11 207 руб./месяц - Взносы в пенсионный фонд, соц. страх., ФМС, страх. от НС и ПЗ (22%, 2,9%, 5,1%, 0,5%) от з/п gross 26 293 руб./месяц Итого: 112 500 руб./месяц Дополнительные расходы на сотрудника - Стоимость обучения (из расчета 10% от з/п net) 7 500 руб./месяц - Затраты на поиск персонала HR (из расчета 5% от з/п net) 3 750 руб./месяц - Организация и обслуживание рабочих мест: аренда помещения, компьютерная техника, электричество, бэкофис и пр. (из расчета 25% от з/п net) 18 750 руб./месяц - Премии, бонусы, оплата переработок (из расчета 20% от з/п net) 15 000 руб./месяц - Социальный пакет, ДМС и пр. 1 667 руб./месяц Итого стоимость сотрудника для компании в месяц: 159 167 руб. Итого стоимость сотрудника для компании в год: 1 910 004 руб. 2) EDR (endpoint detection and response) - Специальный инструмент для обнаружения сложных угроз на хостах. Сложные угрозы и целенаправленные атаки с использованием неизвестного вредоносного кода, скомпрометированных учетных записей, бесфайловых методов, легитимных приложений и действий, не несущих под собой ничего подозрительного, требуют многоуровневого подхода к обнаружению с использованием передовых технологий. В зависимости от того или иного вендора, EDR обычно может включать, различные технологии обнаружения, работающие в автоматическом, полуавтоматическом режиме, и встроенные инструменты, требующие постановки задач вручную, с привлечением высококвалифицированных кадров. Например, это может быть: антивирус, движок поведенческого анализа, песочница, поиск индикаторов компрометации (IoC), работа с индикаторами атак IoA, сопоставление с техниками MITRE ATT&CK, а также автоматическое взаимодействие с Threat Intelligence и ручные запросы в глобальную базу данных об угрозах, ретроспективный анализ, возможность проактивного поиска угроз (Threat Hunting). Дополнительная видимость. В первую очередь, технология EDR способна предоставить команде SOC видимость там, где большинство организаций остаются сегодня слепы, так как в большинстве своем ориентированы на контроль активностей в сети. Такие компании, в рамках функционирования центра мониторинга и оперативного реагирования на инциденты, редко или только частично подключают конечные точки в качестве источников событий в SIEM систему.   3) APT (advanced persistent threat) — «развитая устойчивая угроза»; также целевая кибератака ) — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и обманных). Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической инфраструктуры целевой организации для осуществления намерений извлечения информации, срыва или создания помех критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем. APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень проникновения в целевой инфраструктуре, требуемый для осуществления намерений. Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии» APT-атака может преследовать самые разные цели. А именно, хищение денежных средств или персональных данных; манипулирование бизнес-процессами, ослабление в конкурентной борьбе, шантаж и вымогательство.  4) IDS/IPS системы — это уникальные инструменты, созданные для защиты сетей от неавторизованного доступа. Они представляют собой аппаратные или компьютерные средства, которые способны оперативно обнаруживать и эффективно предотвращать вторжения. Среди мер, которые принимаются для достижения ключевых целей IDS/IPS, можно выделить информирование специалистов по информационной безопасности о фактах попыток хакерских атак и внедрения вредоносных программ, обрыв соединения со злоумышленниками и перенастройку сетевого экрана для блокирования доступа к корпоративным данным. все IDS системы выполняют следующие функции: -сбор и запись информации; -оповещения администраторам администраторов сетей о произошедших изменениях (alert); -создание отчетов для суммирования логов Технология IPS -обрывать вредоносные сессии и предотвращать доступ к важнейшим ресурсам; -менять конфигурацию «подзащитной» среды; -производить действия над инструментами атаки (например, удалять зараженные файлы).  5) Anti DDoS - DDoS-атаки выводят из строя ваши сайты и интернет-инфраструктуру и наносят непоправимый финансовый и репутационный урон бизнесу. Атаки организуют хакеры, в том числе и по заказу ваших конкурентов. Они могут произойти в самый неподходящий момент и парализовать всю интернет-инфраструктуру.  6) WAF - защитный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS. Вот какие функции отличают WAF от защитных систем предыдущих поколений: - Multiprotocol Security продвинутые модели WAF могут анализировать XML, JSON и другие протоколы современных порталов и мобильных приложений - IP Reputation опирается на внешние чёрные и белые списки ресурсов, и одинаково доступна любым периметровым средствам защиты. - Сигнатуры атак Сигнатурный подход к обнаружению атак применяется повсюду, но только грамотный препроцессинг трафика, доступный для WAF, может обеспечить адекватное применение сигнатур. -Автоматическое обучение и поведенческий анализ - Взаимодействие со сканерами уязвимостейЛучшие образцы WAF имеют в своем распоряжении интегрированные сканеры уязвимостей, работающие в режиме чёрного ящика, или динамического анализа (DAST). Такой сканер может использоваться в режиме реального времени для быстрой проверки тех уязвимостей, которые «прощупывают» злоумышленники. - Виртуальный патчинг Для этого используется анализатор исходных кодов приложения (SAST, IAST), который не просто показывает в отчёте строки уязвимого кода, но тут же генерирует эксплойт, то есть вызов с конкретными значениями для эксплуатации обнаруженной уязвимости. Эти эксплойты передаются в WAF для автоматического создания виртуальных патчей, которые обеспечивают немедленное «закрытие бреши» ещё до исправления кода. - Корреляции и цепочки атак Современный WAF может группировать сходные срабатывания и выявлять цепочку развития атаки — от разведки до кражи важных данных или установки закладок. В результате вместо списка из тысяч подозрительных событий ИБ-специалисты получают несколько десятков действительно важных сообщений.   7) AST (Application Security Testing )- Инструменты анализа и тестирования приложений, которые позволяют не упустить из виду уязвимости, действующие на уровне ПО. Gartner выделяет четыре основных вида AST: -Static AST (SAST) – тестирование методом белого ящика. Позволяет находить уязвимости исходного кода на ранних этапах разработки. -Dynamic AST (DAST) – тестирование методом черного ящика. Помогает находить уязвимости и слабости безопасности в работающем приложении. Подобные инструменты моделируют заранее известный список внешних атак на приложение. -Interactive AST (IAST) – сочетает в себе некоторые из элементов двух предыдущих подходов. Тестирование происходит в режиме реального времени, пока приложение работает в среде контроля качества или тестовой среде. Проверяется в том числе и сам код, но уже после сборки. -Mobile AST – выявляет и анализирует уязвимости мобильных приложений во время разработки и после нее. 8) DLP (Data Leak Prevention или Data Loss Prevention) - Системы предотвращения утечки данных строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При обнаружении конфиденциальной информации срабатывает активный компонент системы, и передача сообщения (пакета, потока, сессии) блокируется или сохраняется копия трафика для постанализа на случай проведения расследования возможной утечки.  9) UEBA (User and Entity Behavior Analytics) - Системы анализа поведения пользователей и сущностей позволяют обнаруживать подозрительное поведение пользователей и узлов сети в корпоративной инфраструктуре, которое выпадает из поля зрения SIEM-решений. 10) BI/SI (Business Intelligence/Security Intelligence): Security Intelligence – это сбор и анализ данных от различных приложений и устройств, которые влияют на информационную безопасность и связанные с ней рисками на предприятии. Business intelligence (BI) — обозначение компьютерных методов и инструментов для организаций, обеспечивающих перевод транзакционной деловой информации в человекочитаемую форму, пригодную для бизнес-анализа, а также средства для массовой работы с такой обработанной информацией. Цель BI — интерпретировать большое количество данных, заостряя внимание лишь на ключевых факторах эффективности, моделируя исход различных вариантов действий, отслеживая результаты принятия решений.   11) CM(compliance management) - Комплаенс-система - это набор политик и регулирований, которые направлены, на предотвращение и митигацию рисков, которые возникают в деятельности компании  12) Software Asset Management Управление активами-это систематический процесс разработки, эксплуатации, технического обслуживания, модернизации и утилизации активов наиболее эффективным с точки зрения затрат способом (включая все затраты, риски и характеристики эффективности). Этот термин обычно используется в финансовом секторе для описания людей и компаний, которые управляют инвестициями от имени других. 13) change & configuration management - Конфигурация – это совокупность версий рабочих продуктов. Ключевые слова – «версий продуктов». В любом проекте есть рабочие продукты – это может быть маркетинговая документация, требования к конечному продукту, исходные коды, тесты, вспомогательные инструменты. Что считать рабочим продуктом, зависит от проекта. Версия – это состояние рабочего продукта, которое может быть восстановлено в любой момент времени независимо от истории изменения. управление конфигурацией – это управление наборами рабочих продуктов и их версиями. Этот процесс и есть область действия CM. 14) risk & (Vulnerability Management) Vulnerability Management — это непрерывный циклический процесс, в основе которого лежит инвентаризация всех элементов сети предприятия. Это — качественное сканирование и постобработка результатов: приоритизация, сортировка, изучение. Это — исправление недостатков, составление отчётов и возвращение снова к началу цикла. Vulnerability Management — это эволюция обычного сканирования уязвимостей, более совершенный процесс, призванный существенно повысить безопасность организации. 15 ) log management system    16) Адаптивный кейс-менеджмент ACM (англ. Adaptive Case Management, Dynamic Case Management, Advanced Case Management) — концепция динамического управления бизнес-процессами предприятия. Системы ACM предназначены для решения задач коллективного взаимодействия сотрудников, выдачи задач и поручений и контроля сроков их исполнения. Система адаптивного кейс-менеджмента позволяет управлять всеми текущими корпоративными проектами и сотрудниками, в них участвующими, полностью контролируя исполнение проекта на каждом этапе и формируя реальную библиотеку «лучших практик» в процессе реальной работы.  17) Incident Response Platform (IRP) — система автоматизации реагирования на инциденты информационной безопасности. Система IRP помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию (англ. contain) и устранению (англ. eradicate) угрозы, восстановить (англ. recover) атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Кроме того, IRP позволяет роботизировать и автоматизировать однотипные действия оператора-специалиста ИБ, которые он производит при реагировании на инциденты информационной безопасности, что помогает снизить нагрузку сотрудника в части выполнения рутинных операций. 18) computer security incident response team, CSIRT - названия групп экспертов по компьютерной безопасности, занимающихся сбором информации об инцидентах, их классификацией и нейтрализацией. 19) CERT (computer emergency response team) – схожа с CSIRT по своему назначению 20) Threat Hunting появился несколько лет назад. Сама технология довольно интересная, но еще не имеет никаких общепринятых стандартов и правил. Также осложняет дело разнородность источников информации и малое количество русскоязычных источников информации по этой теме. 21) Threat Intelligence — это регулярно и системно собирать информацию об угрозах, улучшать и обогащать её, применять эти знания для защиты и делиться ими с теми, кому они могут быть полезны. TI — это не только базы сигнатур для IDS или наборы правил для SIEM. TI — это процессы, у которых есть владельцы, цели, требования и понятный и измеримый (насколько это возможно) результат. TI я буду понимать именно в этом смысле. 22) malware analysis - Анализ вредоносного ПО - это исследование или процесс определения функциональности, происхождения и потенциального воздействия данного образца вредоносного ПО, например вирус , червь , троянский конь , руткит или бэкдор . Вредоносное ПО или Вредоносное программное обеспечение - это любое компьютерное программное обеспечение, предназначенное для нанесения вреда операционной системе хоста или кражи конфиденциальных данных у пользователей, организаций или компаний. Вредоносное ПО может включать программное обеспечение, которое собирает информацию о пользователях без разрешения. Существует три типичных варианта использования, которые вызывают необходимость анализа вредоносных программ: - инцидент с компьютерной безопасностью менеджмент : если организация обнаруживает или подозревает, что в ее системы могло проникнуть какое-то вредоносное ПО, группа реагирования может пожелать выполнить анализ вредоносных программ на любых потенциальных образцах, обнаруженных в процессе расследования, чтобы определить, являются ли они вредоносными программами и, если Итак, какое влияние это вредоносное ПО может оказать на системы в среде целевой организации. - Исследование вредоносного ПО : академические или отраслевые исследователи вредоносного ПО могут выполнять анализ вредоносного ПО просто для того, чтобы понять, как ведет себя вредоносное ПО, и новейшие методы, используемые при его создании. . - Индикатор взлома extr Действие: поставщики программных продуктов и решений могут проводить массовый анализ вредоносных программ для определения новых потенциальных индикаторов компрометации; эта информация может затем использоваться в продукте или решении безопасности, чтобы помочь организациям лучше защищаться от атак вредоносных программ. Программное обеспечение Инструменты двоичного анализа: Pestudio, PEiD, exeinfope, PEView, Resource hacker : бесплатный редактор ресурсов для Windows от Ангуса Джонсона HxD : для Windows от Маэля Хёрца, Detect It Easy. Дизассемблеры: IDA Pro : дизассемблер от Hex-Rays, Radare2 : Дизассемблер от Pancake, Binary Ninja : Дизассемблер от Vector 35 Ghidra : Дизассемблер от NSA. Отладчики GNU Debugger, WinDbg, OllyDbg 23) Испытание на проникновение (жарг. Пентест) — метод оценки безопасности информационных систем или сетей средствами моделирования атаки злоумышленника. Метод включает в себя активное исследование системы на наличие уязвимостей, которые могут спровоцировать неправильную работу целевой системы, либо полный отказ в обслуживании. Исследование ведётся с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Итогом работы является отчёт, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать советы по их устранению. Цель испытаний на проникновение — оценить возможность его осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности. Специалист, проводящий испытание на проникновение, называется пентестером. 24) public relations - Свя́зи с обще́ственностью, PR (англ. Public Relations — публичные отношения, связи с общественностью, отношения с общественностью, общественные связи, общественное взаимодействие; сокращённо: PR — пи-ар) — технологии создания и внедрения при общественно-экономических и политических системах конкуренции образа объекта (идеи, товара, услуги, персоналии, организации — фирмы, бренда) в ценностный ряд социальной группы, с целью закрепления этого образа как идеального и необходимого в жизни. В широком смысле — управление общественным мнением, выстраивание взаимоотношений общества и государственных органов или коммерческих структур, в том числе для объективного осмысления социальных, политических или экономических процессов. Как и в любой деятельности связанной с коммуникацией, в пиар есть объект и субъект. В своей работе «Паблик рилейшнз в системе социального управления» М. А. Шишкина вводит следующие определения: - Базисный субъект PR — это та организация, на решение проблемы которой направлена PR-кампания. - Технологический субъект — это PR-структура, планирующая и реализующая кампанию. Технологический субъект может быть внутренним (собственная PR-служба) и внешним (PR-агентство). - Объектом PR-кампании является сознание и поведение членов целевых аудиторий организации, функционирующих в рамках конкретной проблемной ситуации. 25) digital forensics - Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства. Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников. **Фреймворки:** dff — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных. PowerForensics — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков. The Sleuth Kit — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков. **Реал-тайм утилиты:** grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов. mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов. **Работа с образами (создание, клонирование):** dc3dd — улучшенная версия консольной утилиты dd. adulau/dcfldd — еще одна улучшенная версия dd. FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows. Guymager — просмотр и клонирования носителей данных в среде Linux. **Извлечение данных:** bstrings — улучшенная версия популярной утилиты strings. bulk_extractor — выявления email, IP-адресов, телефонов из файлов. floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ. photorec — утилита для извления данных и файлов изображений. **Работа с RAM:** inVtero.net — фреймворк, отличающийся высокой скоростью работы. KeeFarce — извлечение паролей KeePass из памяти. Rekall — анализ дампов RAM, написанный на python. volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти. VolUtility — веб-интерфейс для Volatility framework. **Сетевой анализ:** SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей. Wireshark — известнейший сетевой сниффер. **Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.):** FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.) FRED — кросплатформенный анализатор реестра Windows. MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table). MFTExtractor — MFT-парсер. NTFS journal parser — парсер журналов NTFS. NTFS USN Journal parser — — парсер журналов USN. RecuperaBit — восстановление NTFS данных. python-ntfs — анализ NTFS данных. **Исследование OS X:** OSXAuditor — OS X аудитор. **Internet Artifacts:** chrome-url-dumper — извлечение информации из Google Chrome. hindsight — анализ истории Google Chrome/Chromium. **Анализ временных интервалов:** plaso — извлечение и агрегация таймстапов. timesketch — анализ таймстапов. **Hex редакторы:** 0xED — HEX редактор OS X. Hexinator — Windows версия Synalyze It. HxD — маленький и быстрый HEX редактор. iBored — кросс-платформенный HEX редактор. Synalyze It! — HEX редактор в тимплейтами. wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов. **Конверторы:** CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных. DateDecode — конвертирование бинарных данных. **Анализ файлов:** 010 Editor Templates — тимплейты для редактора 010. Contruct formats — парсер различных видов файлов на python. HFSPlus Grammars — HFS+ составляющие для Synalysis Sleuth Kit file system grammars — составляющие для различных файловых систем. Synalyse It! Grammars — файловые составляющие для Synalyze It! WinHex Templates — файловые составляющие для WinHex и X-Ways **Обработка образов дисков:** imagemounter — утилита командной строки для быстрого монтирования образов дисков libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01. xmount — конвертирования образов дисков. 26) Honeypot (с англ. — «горшочек с мёдом») — ресурс, представляющий собой приманку для злоумышленников. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков. Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними. Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.