Moduł 2

Threats, Vulnerabilities, and Mitigations

Cel

Po tym module masz umieć czytać scenariusze ataków i rozumieć, co się wydarzyło, dlaczego było możliwe i jaka mitygacja najlepiej ogranicza ryzyko.

Po module powinieneś umieć:

odróżnić zagrożenie, podatność, exploit, atak i incydent
rozpoznać typ aktora zagrożeń po motywacji i sposobie działania
odróżnić wektor ataku od powierzchni ataku
rozpoznać typowe ataki: phishing, ransomware, password spraying, SQL injection, cross-site scripting, on-path attack, Denial of Service
wskazać wskaźniki złośliwej aktywności
dobrać właściwą mitygację do scenariusza
unikać typowych pułapek egzaminacyjnych.

Wprowadzenie

W poprzednim module uczyłeś się, czym są kontrole bezpieczeństwa. Teraz przechodzimy do drugiej strony równania: co może pójść źle.

W Security+ rzadko wystarczy znać nazwę ataku. Egzamin często opisuje objawy: użytkownicy zgłaszają zaszyfrowane pliki, serwer ma nietypowy ruch wychodzący, logi zniknęły, konto działa z niemożliwej lokalizacji, aplikacja zwraca dane innych użytkowników albo pracownik kliknął link w wiadomości podszywającej się pod dział IT. Twoim zadaniem jest rozpoznać mechanizm, a potem dobrać najlepsze ograniczenie ryzyka.

[OBRAZ: IMG_M02_S01_THREAT_VULNERABILITY_RISK_FLOW]

1. Threat actor — aktor zagrożenia

Problem

Nie każde zagrożenie wygląda tak samo. Inaczej działa cyberprzestępczość zorganizowana, inaczej insider, inaczej państwowy zespół szpiegowski, a inaczej osoba bez dużych umiejętności używająca gotowych narzędzi. Jeśli nie rozumiesz aktora, możesz źle ocenić motywację, zasoby, cierpliwość i prawdopodobny cel ataku.

Wyjaśnienie od podstaw

Threat actor to osoba, grupa, organizacja lub podmiot, który może spowodować szkodę w systemie, danych lub procesie. Aktor może działać celowo albo niecelowo. Pracownik, który przypadkowo wysyła plik do złego odbiorcy, też może być źródłem zagrożenia, choć nie jest złośliwym atakującym.

Najważniejsze typy aktorów na Security+ to:

Aktor	Charakterystyka
Nation-state	Zasobny, cierpliwy, często nastawiony na szpiegostwo, sabotaż lub wpływ polityczny.
Organized crime	Nastawiony na zysk finansowy, np. ransomware, kradzież danych, fraud.
Hacktivist	Motywowany ideologią, polityką lub protestem.
Insider threat	Osoba wewnątrz organizacji; może działać złośliwie lub przypadkowo.
Unskilled attacker	Osoba używająca gotowych narzędzi bez głębokiej wiedzy.
Shadow IT	Systemy lub usługi używane bez wiedzy i kontroli działu IT.

Jak to działa krok po kroku

Czytasz scenariusz.

Szukasz motywacji: pieniądze, szpiegostwo, zemsta, ideologia, przypadkowy błąd.

Szukasz poziomu zasobów: prosty atak masowy czy długotrwała kampania.

Szukasz relacji do organizacji: zewnętrzny atakujący, dostawca, pracownik, były pracownik.

Dopasowujesz aktora i prawdopodobny cel.

Przykład praktyczny

Firma zauważa, że ktoś przez wiele miesięcy powoli wykrada dokumentację techniczną związaną z nowym produktem. Atak nie jest głośny, nie chodzi o szybki okup, a działania są ostrożne. Taki scenariusz może sugerować zaawansowanego aktora nastawionego na szpiegostwo przemysłowe lub państwowe.

Inny scenariusz: użytkownicy otrzymują masowe wiadomości phishingowe z linkiem do fałszywej strony logowania, a potem firma dostaje żądanie okupu za zaszyfrowane pliki. Tu bardziej pasuje zorganizowana cyberprzestępczość.

Przykład egzaminacyjny

Scenariusz

Organizacja non-profit krytykująca działania rządu doświadcza defacementu strony i publikacji manifestu politycznego. Który aktor jest najbardziej prawdopodobny?

Najlepsza odpowiedź:

Hacktivist, ponieważ motywacją jest przekaz ideologiczny lub polityczny.

Z czym nie mylić

Nie myl aktora z techniką. „Phishing” to wektor lub metoda, a nie aktor. Ten sam phishing może być użyty przez cyberprzestępców, państwowego aktora albo osobę bez dużych umiejętności.

Typowe błędy

Częsty błąd to zakładanie, że każdy atak pochodzi od zaawansowanego aktora. W praktyce wiele incydentów wynika z prostych błędów, skradzionych haseł, braku aktualizacji lub masowych kampanii.

Definicja do zapamiętania

Threat actor to podmiot mogący spowodować szkodę; jego motywacja, zasoby i relacja z organizacją pomagają przewidzieć cel oraz sposób działania.

2. Threat vector i attack surface

Problem

Żeby ograniczyć ryzyko, trzeba wiedzieć, którędy zagrożenie może wejść i ile miejsc może zaatakować. Bez tego organizacja zabezpiecza przypadkowe elementy, zamiast zmniejszać realną ekspozycję.

Wyjaśnienie od podstaw

Threat vector albo attack vector to droga, którą atakujący może dotrzeć do celu. Może to być e-mail, SMS, rozmowa telefoniczna, podatna aplikacja, złośliwy plik, niezabezpieczona sieć Wi-Fi, dostawca, urządzenie USB lub publicznie dostępna usługa.

Attack surface, czyli powierzchnia ataku, to suma miejsc, które mogą zostać zaatakowane. Im więcej publicznych usług, kont, integracji, urządzeń, aplikacji i dostawców, tym większa powierzchnia ataku.

Jak to działa krok po kroku

Identyfikujesz zasoby, np. aplikacje, konta, urządzenia, dane.

Sprawdzasz, jak można do nich dotrzeć.

Wypisujesz wektory: e-mail, Internet, VPN, dostawca, aplikacja webowa, urządzenia mobilne.

Oceniasz powierzchnię ataku.

Usuwasz niepotrzebne wejścia i zabezpieczasz pozostałe.

Przykład praktyczny

Firma ma publiczny panel administracyjny, nieużywane konto dostawcy, starą aplikację testową wystawioną do Internetu i brak MFA dla logowania zdalnego. Każdy z tych elementów zwiększa powierzchnię ataku. Wektorem może być phishing, użycie starego konta, wykorzystanie podatności aplikacji albo logowanie z użyciem skradzionego hasła.

Przykład egzaminacyjny

Scenariusz

Firma wyłączyła nieużywane usługi, usunęła stare konta, zamknęła publiczny panel administracyjny i ograniczyła dostęp do VPN. Co zrobiła?

Najlepsza odpowiedź:

Zmniejszyła attack surface.

Z czym nie mylić

Wektor ataku to droga. Powierzchnia ataku to suma możliwych dróg i punktów wejścia. Phishing jest wektorem. Wszystkie konta pocztowe, użytkownicy i procesy obsługi wiadomości są częścią powierzchni ataku.

Typowe błędy

Częsty błąd to koncentrowanie się tylko na systemach publicznych. Powierzchnię ataku tworzą też konta, dostawcy, urządzenia mobilne, chmura, repozytoria kodu, procesy biznesowe i ludzie.

Definicja do zapamiętania

Attack vector to droga ataku, a attack surface to całkowita liczba miejsc i sposobów, przez które organizacja może zostać zaatakowana.

3. Vulnerability, exploit, attack i mitigation

Problem

To jedno z najważniejszych rozróżnień egzaminacyjnych. Jeśli mylisz podatność z exploitem albo atak z ryzykiem, możesz źle wybrać odpowiedź.

Wyjaśnienie od podstaw

Vulnerability, czyli podatność, to słabość możliwa do wykorzystania. Może być techniczna, proceduralna albo organizacyjna.

Exploit to metoda lub kod wykorzystujący podatność.

Attack to faktyczne działanie przeciwko systemowi.

Mitigation to ograniczenie ryzyka. Mitygacja nie zawsze usuwa podatność całkowicie; czasem tylko zmniejsza prawdopodobieństwo lub wpływ.

Jak to działa krok po kroku

System ma słabość, np. brak aktualizacji.

Istnieje sposób wykorzystania tej słabości.

Atakujący próbuje użyć exploita.

Jeśli atak się powiedzie, może dojść do incydentu.

Organizacja wdraża mitygację: patch, segmentację, hardening, blokadę dostępu, monitoring lub kontrolę kompensacyjną.

Przykład praktyczny

Aplikacja webowa nie sprawdza poprawnie danych wejściowych. To podatność. Technika wykorzystania błędu do modyfikacji zapytania do bazy danych jest exploitem. Próba użycia tej techniki przeciwko aplikacji jest atakiem. Walidacja danych wejściowych, poprawka kodu i Web Application Firewall (WAF) mogą być mitygacjami.

Przykład egzaminacyjny

Scenariusz

Skaner wykrył krytyczną lukę na serwerze, ale nie ma dowodu, że ktoś ją wykorzystał. Co wykryto?

Najlepsza odpowiedź:

Vulnerability, czyli podatność, nie potwierdzony incydent.

Z czym nie mylić

Nie myl podatności z aktywnym naruszeniem. Podatność może istnieć bez ataku. Nie myl mitygacji z eliminacją. Segmentacja może ograniczyć skutki, nawet jeśli sama podatność nadal istnieje.

Typowe błędy

Częsty błąd to odpowiedź „patch wszystko natychmiast” w każdym scenariuszu. Patching jest ważny, ale czasem potrzebna jest kontrola tymczasowa, testy, okno serwisowe, wyjątek biznesowy albo segmentacja.

Definicja do zapamiętania

Podatność to słabość, exploit to sposób jej wykorzystania, atak to działanie, a mitygacja to ograniczenie ryzyka.

[OBRAZ: IMG_M02_S02_ATTACK_SURFACE_MAP]

4. Social engineering

Problem

Nie wszystkie ataki zaczynają się od technicznej podatności. Często najłatwiejszą drogą jest człowiek: kliknięcie linku, podanie kodu, zatwierdzenie płatności, otwarcie załącznika albo wpuszczenie osoby do budynku.

Wyjaśnienie od podstaw

Social engineering to manipulowanie ludźmi, aby wykonali działanie korzystne dla atakującego. Atakujący wykorzystuje zaufanie, pośpiech, strach, autorytet, ciekawość lub chęć pomocy.

Typowe formy:

Technika	Opis
Phishing	Fałszywa wiadomość e-mail nakłaniająca do kliknięcia, podania danych lub otwarcia pliku.
Spear phishing	Phishing ukierunkowany na konkretną osobę lub organizację.
Whaling	Atak na osoby wysokiego szczebla, np. zarząd.
Smishing	Phishing przez SMS lub komunikator.
Vishing	Phishing głosowy, np. telefon od „działu IT”.
Pretexting	Zbudowanie fałszywej historii lub roli.
Baiting	Użycie przynęty, np. „ważny dokument” lub pendrive.
Tailgating	Wejście za uprawnioną osobą do chronionej strefy.
Impersonation	Podszywanie się pod inną osobę lub funkcję.

Jak to działa krok po kroku

Atakujący wybiera cel.

Przygotowuje wiarygodny pretekst.

Kontaktuje się z ofiarą przez e-mail, telefon, SMS, komunikator albo osobiście.

Wywołuje presję: pilność, autorytet, strach lub okazję.

Ofiara wykonuje działanie.

Atakujący uzyskuje dostęp, dane, pieniądze albo punkt wejścia.

Przykład praktyczny

Pracownik finansów dostaje e-mail od osoby podszywającej się pod prezesa. Wiadomość zawiera prośbę o pilny przelew do nowego kontrahenta. Atakujący wykorzystuje autorytet i pilność. Najlepsze mitygacje to procedura weryfikacji płatności, szkolenia, oznaczanie wiadomości zewnętrznych, MFA i proces zatwierdzania zmian w danych kontrahentów.

Przykład egzaminacyjny

Scenariusz

Pracownik otrzymuje SMS z linkiem do „resetu konta firmowego”. Link prowadzi do fałszywej strony logowania. Jaki to typ ataku?

Poprawna odpowiedź:

Smishing.

Z czym nie mylić

Phishing dotyczy zwykle e-maila, smishing wiadomości SMS lub komunikatora, a vishing rozmowy głosowej. Spear phishing jest bardziej ukierunkowany niż masowy phishing.

Typowe błędy

Błąd pierwszy: traktowanie social engineering jako problemu wyłącznie szkoleniowego. Szkolenia są ważne, ale potrzebne są też kontrole techniczne i procesowe.

Błąd drugi: zakładanie, że tylko „naiwni” użytkownicy dają się nabrać. Dobre ataki wykorzystują presję, kontekst i wiarygodność.

Definicja do zapamiętania

Social engineering to atak na proces decyzyjny człowieka, a nie tylko na system techniczny.

5. Malware i złośliwa aktywność

Problem

Malware może kraść dane, szyfrować pliki, szpiegować użytkownika, przejmować system, ukrywać obecność atakującego albo rozprzestrzeniać się po sieci. Na egzaminie trzeba rozpoznawać rodzaj malware po objawach.

Wyjaśnienie od podstaw

Malware to złośliwe oprogramowanie. Nie każdy malware działa tak samo.

Typ	Mechanizm
Virus	Dołącza się do plików lub programów i wymaga uruchomienia.
Worm	Rozprzestrzenia się samodzielnie przez sieć.
Trojan	Udaje legalny program, ale wykonuje złośliwe działania.
Ransomware	Blokuje lub szyfruje dane i żąda okupu.
Spyware	Szpieguje aktywność użytkownika.
Keylogger	Rejestruje naciśnięcia klawiszy.
Rootkit	Ukrywa obecność lub daje głęboki dostęp do systemu.
Logic bomb	Uruchamia się po spełnieniu warunku, np. konkretnej daty.
Botnet malware	Włącza urządzenie do sieci kontrolowanej przez atakującego.

Jak to działa krok po kroku

Malware trafia do systemu przez wektor, np. załącznik, podatność, pobranie pliku lub zainfekowane urządzenie.

Uruchamia się jako proces, skrypt, usługa albo makro.

Próbuje utrzymać dostęp.

Wykonuje cel: kradzież, szyfrowanie, szpiegowanie, komunikację z serwerem command and control.

Może próbować rozprzestrzeniać się dalej.

Systemy detekcyjne mogą wykryć nietypowe procesy, połączenia, zmiany plików lub zachowanie.

Przykład praktyczny

Użytkownik otwiera załącznik z fałszywej faktury. Po chwili pliki na dysku i udziale sieciowym zmieniają rozszerzenia, a na pulpicie pojawia się żądanie okupu. Objawy wskazują na ransomware.

Najlepsze mitygacje obejmują: backup offline lub immutable backup, EDR, blokowanie makr, filtrowanie poczty, szkolenia, ograniczenie uprawnień, segmentację i szybkie izolowanie zainfekowanego hosta.

Przykład egzaminacyjny

Scenariusz

Stacje robocze zaczynają generować dużo ruchu do losowych adresów, a infekcja szybko rozprzestrzenia się bez udziału użytkowników. Jaki typ malware najbardziej pasuje?

Najlepsza odpowiedź:

Worm, ponieważ rozprzestrzenia się samodzielnie.

Z czym nie mylić

Nie każdy malware to wirus. „Wirus” to konkretny typ malware. Ransomware, trojan, worm i spyware mają różne mechanizmy i różne najlepsze mitygacje.

Typowe błędy

Częsty błąd to skupianie się wyłącznie na usunięciu malware z jednego komputera. W praktyce trzeba sprawdzić wektor wejścia, zasięg, konta, logi, ruch sieciowy i możliwość ponownej infekcji.

Definicja do zapamiętania

Malware to złośliwe oprogramowanie; jego typ rozpoznaje się po sposobie infekcji, utrzymania, działania i rozprzestrzeniania.

6. Ataki na hasła i konta

Problem

Konta są jednym z najważniejszych celów ataku. Przejęcie konta często daje atakującemu legalnie wyglądający dostęp. Wiele incydentów nie zaczyna się od „włamania do serwera”, ale od użycia poprawnych danych logowania.

Wyjaśnienie od podstaw

Najważniejsze ataki na hasła:

Atak	Mechanizm
Brute force	Próbowanie wielu haseł dla jednego konta.
Password spraying	Próbowanie jednego lub kilku popularnych haseł na wielu kontach.
Credential stuffing	Użycie par login/hasło wyciekłych z innych serwisów.
Dictionary attack	Próbowanie haseł ze słownika.
Offline cracking	Łamanie hashy haseł poza systemem po wycieku bazy.
MFA fatigue	Wielokrotne wysyłanie próśb MFA, aż użytkownik zatwierdzi.

Jak to działa krok po kroku

Atakujący zdobywa listę użytkowników lub haseł.

Wybiera metodę.

Próbuje logowania lub łamania offline.

Jeśli konto zostanie przejęte, sprawdza dostęp.

Może eskalować uprawnienia albo poruszać się lateralnie.

Organizacja wykrywa nietypowe logowania, blokady kont, impossible travel lub nietypowe próby MFA.

Przykład praktyczny

W logach widać po jednym nieudanym logowaniu dla setek kont z tym samym hasłem. To bardziej pasuje do password spraying niż brute force. Brute force zwykle oznacza wiele prób wobec jednego konta.

Przykład egzaminacyjny

Scenariusz

Analityk widzi próby logowania do wielu kont z tym samym popularnym hasłem. Blokady kont nie występują, bo każde konto ma tylko jedną próbę. Co to jest?

Poprawna odpowiedź:

Password spraying.

Z czym nie mylić

Password spraying to nie to samo co brute force. Brute force intensywnie atakuje jedno konto lub małą liczbę kont. Password spraying rozkłada próby na wiele kont, aby uniknąć blokad.

Credential stuffing nie polega na zgadywaniu od zera. Wykorzystuje wcześniej wyciekłe dane logowania.

Typowe błędy

Częsty błąd to uznanie MFA za pełne rozwiązanie problemu. MFA bardzo pomaga, ale trzeba też monitorować logowania, blokować ryzykowne próby, stosować hasła odporne na zgadywanie, wykrywać MFA fatigue i usuwać nieużywane konta.

Definicja do zapamiętania

Ataki na hasła próbują uzyskać dostęp przez zgadywanie, ponowne użycie lub nadużycie mechanizmów logowania; ich objawy często widać w logach uwierzytelniania.

7. Ataki aplikacyjne i webowe

Problem

Aplikacje webowe są częstym celem, bo są dostępne dla użytkowników, obsługują dane i często łączą się z bazami. Błąd w aplikacji może dać dostęp do danych bez konieczności przejmowania całego serwera.

Wyjaśnienie od podstaw

Najważniejsze ataki aplikacyjne na poziomie Security+:

Atak	Sens
SQL injection	Wstrzyknięcie danych wpływających na zapytanie do bazy.
Cross-site scripting (XSS)	Wstrzyknięcie skryptu wykonywanego w przeglądarce użytkownika.
Cross-site request forgery (CSRF)	Nakłonienie zalogowanego użytkownika do wykonania niezamierzonej akcji.
Directory traversal	Próba dostępu do plików poza dozwolonym katalogiem.
Buffer overflow	Przekroczenie bufora pamięci, potencjalnie prowadzące do awarii lub wykonania kodu.
Insecure API	Źle zabezpieczony interfejs aplikacyjny.
Race condition	Błąd wynikający z nieprawidłowej kolejności lub czasu wykonania operacji.

Jak to działa krok po kroku

Aplikacja przyjmuje dane od użytkownika.

Jeśli nie waliduje danych poprawnie, dane mogą wpłynąć na logikę aplikacji.

Atakujący próbuje spowodować niezamierzone zachowanie.

Skutek może obejmować ujawnienie danych, zmianę danych, wykonanie akcji albo awarię.

Mitygacje obejmują walidację danych wejściowych, bezpieczne kodowanie, parametryzowane zapytania, testy bezpieczeństwa, WAF, kontrolę sesji i właściwe uprawnienia.

Przykład praktyczny

Aplikacja sklepu internetowego przyjmuje identyfikator zamówienia w adresie URL. Jeśli użytkownik zmieni numer zamówienia i zobaczy dane innego klienta, problemem może być brak właściwej autoryzacji po stronie serwera. To nie musi być zaawansowany exploit; czasem to prosty błąd kontroli dostępu.

Przykład egzaminacyjny

Scenariusz

Aplikacja zwraca dane z bazy w sposób sugerujący, że dane wejściowe użytkownika zmieniły zapytanie do bazy. Jaka mitygacja jest najlepsza?

Najlepsza odpowiedź:

Walidacja danych wejściowych i parametryzowane zapytania.

Z czym nie mylić

Nie myl XSS z SQL injection. SQL injection wpływa na zapytania do bazy danych. XSS wpływa na przeglądarkę użytkownika i wykonywanie skryptów.

Nie myl WAF z poprawą kodu. WAF może ograniczyć ryzyko, ale źródłową naprawą jest bezpieczna aplikacja.

Typowe błędy

Częsty błąd to zakładanie, że filtrowanie po stronie przeglądarki wystarczy. Walidacja musi być po stronie serwera, bo użytkownik lub atakujący może ominąć klienta.

Definicja do zapamiętania

Ataki aplikacyjne wykorzystują błędy w logice, walidacji, kontroli dostępu lub obsłudze danych wejściowych aplikacji.

8. Ataki sieciowe

Problem

Komunikacja sieciowa jest potrzebna, ale tworzy ryzyko: podsłuch, przechwycenie, przekierowanie, przeciążenie lub manipulację ruchem.

Wyjaśnienie od podstaw

Najważniejsze ataki sieciowe:

Atak	Mechanizm
Denial of Service (DoS)	Próba uniemożliwienia działania usługi.
Distributed Denial of Service (DDoS)	DoS z wielu źródeł.
On-path attack	Atakujący znajduje się między komunikującymi się stronami.
DNS poisoning	Manipulacja odpowiedziami DNS.
ARP poisoning	Manipulacja mapowaniem adresów w sieci lokalnej.
Rogue access point	Nieautoryzowany punkt dostępowy.
Evil twin	Fałszywa sieć Wi-Fi podszywająca się pod legalną.
Replay attack	Ponowne użycie przechwyconych danych transmisji.

Jak to działa krok po kroku

Atakujący znajduje punkt w komunikacji.

Próbuje podsłuchać, przekierować, przeciążyć albo zmanipulować ruch.

Ofiara może nie zauważyć problemu, jeśli ruch wygląda normalnie.

Kontrole obejmują szyfrowanie, segmentację, bezpieczne protokoły, filtrowanie DNS, monitoring, zabezpieczenia Wi-Fi i ochronę przed DDoS.

Przykład praktyczny

Pracownik łączy się z fałszywą siecią Wi-Fi w miejscu publicznym, bo nazwa wygląda jak legalna sieć firmowa lub hotelowa. Atakujący może próbować przechwycić ruch albo nakłonić użytkownika do logowania na fałszywej stronie. Mitygacje obejmują VPN, certyfikaty, szkolenia, bezpieczną konfigurację Wi-Fi i unikanie automatycznego łączenia z nieznanymi sieciami.

Przykład egzaminacyjny

Scenariusz

Użytkownicy są przekierowywani na fałszywą stronę mimo wpisania poprawnej nazwy domeny. Który atak najbardziej pasuje?

Najlepsza odpowiedź:

DNS poisoning lub inna manipulacja rozwiązywaniem nazw, zależnie od szczegółów scenariusza.

Z czym nie mylić

Nie każdy problem z dostępnością to DDoS. Może to być awaria, błąd konfiguracji, przeciążenie legalnym ruchem albo problem z dostawcą. Na egzaminie szukaj wskazówek: wiele źródeł, nagły wzrost ruchu, przeciążenie usługi.

Typowe błędy

Częsty błąd to wybieranie szyfrowania jako mitygacji dla każdego ataku sieciowego. Szyfrowanie pomaga przy poufności i integralności transmisji, ale nie zatrzyma DDoS ani nie usunie nieautoryzowanego punktu dostępowego.

Definicja do zapamiętania

Ataki sieciowe wykorzystują komunikację między systemami, aby podsłuchać, przekierować, zakłócić lub zmanipulować ruch.

9. Wskaźniki złośliwej aktywności

Problem

Analityk rzadko widzi od razu „pełny atak”. Zwykle widzi objawy: nietypowy proces, ruch, logowanie, błąd, zmianę pliku albo brak logów. Musi umieć powiązać objawy z możliwą aktywnością.

Wyjaśnienie od podstaw

Indicator of Compromise (IoC) to ślad sugerujący możliwe naruszenie. Może to być adres IP, domena, hash pliku, nietypowy proces, nowe konto administratora, zmiana konfiguracji, nietypowy ruch lub znikające logi.

Typowe wskaźniki:

Wskaźnik	Możliwe znaczenie
Impossible travel	Logowania z lokalizacji niemożliwych do pogodzenia czasowo.
Nietypowy ruch wychodzący	Możliwa eksfiltracja danych lub command and control.
Brakujące logi	Próba ukrycia aktywności.
Nowe konto administratora	Możliwa eskalacja lub utrzymanie dostępu.
Wiele nieudanych logowań	Password attack.
Nagły wzrost CPU/dysku	Malware, mining, szyfrowanie plików, awaria.
Zmiana rozszerzeń plików	Możliwe ransomware.
Nieznane procesy	Malware lub nieautoryzowane narzędzia.

Jak to działa krok po kroku

System generuje zdarzenia i logi.

Narzędzie lub analityk zauważa nietypowy wzorzec.

Wskaźnik jest porównywany z kontekstem.

Analityk szuka powiązanych zdarzeń.

Jeśli dowody są wystarczające, sprawa może zostać uznana za incydent.

Zespół reaguje zgodnie z procesem incident response.

Przykład praktyczny

Użytkownik loguje się o 09:00 z Warszawy i o 09:07 z kraju oddalonego o tysiące kilometrów. To może być impossible travel. Nie jest to jeszcze pełny dowód przejęcia konta, bo użytkownik mógł używać VPN, ale wymaga sprawdzenia.

Przykład egzaminacyjny

Scenariusz

Analityk zauważa, że logi bezpieczeństwa z krytycznego serwera zniknęły tuż przed utworzeniem nowego konta administratora. Co jest najbardziej podejrzane?

Najlepsza odpowiedź:

Możliwa próba ukrycia aktywności i utrzymania dostępu.

Z czym nie mylić

IoC to wskaźnik, nie pełna diagnoza. Jeden wskaźnik wymaga kontekstu. Wiele wskaźników razem daje silniejszy obraz incydentu.

Typowe błędy

Częsty błąd to ignorowanie „braku danych”. Brak logów też może być sygnałem. Jeśli system zwykle logował zdarzenia, a nagle przestał, trzeba sprawdzić, czy to awaria, zmiana konfiguracji czy działanie atakującego.

Definicja do zapamiętania

IoC to techniczny lub behawioralny ślad sugerujący możliwe naruszenie bezpieczeństwa, który wymaga weryfikacji w kontekście.

10. Mitygacje

Problem

Rozpoznanie ataku to dopiero połowa zadania. Egzamin Security+ często pyta o najlepszą mitygację. Dobra odpowiedź zależy od przyczyny, ryzyka, ograniczeń i czasu.

Wyjaśnienie od podstaw

Mitigation to działanie zmniejszające ryzyko. Może usuwać podatność, ograniczać możliwość wykorzystania, zmniejszać skutki albo poprawiać wykrywanie.

Najważniejsze mitygacje:

Mitygacja	Kiedy pomaga
Patching	Gdy istnieje znana podatność z poprawką.
Hardening	Gdy trzeba zmniejszyć powierzchnię ataku przez bezpieczną konfigurację.
Segmentation	Gdy trzeba ograniczyć ruch i skutki kompromitacji.
Access control	Gdy problemem jest zbyt szeroki dostęp.
Least privilege	Gdy konta lub usługi mają nadmierne uprawnienia.
Isolation	Gdy host lub system może być zainfekowany.
Configuration enforcement	Gdy systemy odchodzą od bezpiecznego baseline’u.
Monitoring	Gdy trzeba wykrywać aktywność i reagować.
Allow list	Gdy chcesz dopuścić tylko zatwierdzone aplikacje, adresy lub działania.
Disable unused services	Gdy nieużywane usługi zwiększają powierzchnię ataku.
Input validation	Gdy aplikacja przyjmuje niebezpieczne dane wejściowe.
Backup	Gdy trzeba odtworzyć dane po awarii lub ransomware.

Jak to działa krok po kroku

Określasz problem.

Rozróżniasz, czy chodzi o podatność, aktywny atak, zły dostęp, malware, awarię czy brak monitoringu.

Wybierasz mitygację źródłową, jeśli jest możliwa.

Jeśli nie jest możliwa od razu, wybierasz kontrolę kompensacyjną.

Weryfikujesz, czy ryzyko spadło.

Dokumentujesz decyzję i monitorujesz skutki.

Przykład praktyczny

Serwer ma krytyczną podatność, ale nie można go zaktualizować do weekendu. Najlepsze działania tymczasowe mogą obejmować ograniczenie dostępu, segmentację, reguły WAF, zwiększony monitoring i przygotowanie patchingu w oknie serwisowym.

Przykład egzaminacyjny

Scenariusz

Firma wykryła, że użytkownicy mają lokalne uprawnienia administratora bez potrzeby biznesowej. Jaka mitygacja jest najlepsza?

Najlepsza odpowiedź:

Zasada najmniejszych uprawnień i odebranie niepotrzebnych uprawnień administracyjnych.

Z czym nie mylić

Nie myl backupu z mitygacją infekcji. Backup pomaga odzyskać dane, ale nie usuwa źródła infekcji. Nie myl monitoringu z blokowaniem. Monitoring wykrywa, ale sam może nie zapobiegać.

Typowe błędy

Częsty błąd to wybieranie mitygacji, która jest prawdziwa, ale nie najlepsza dla scenariusza. Security+ często ma kilka odpowiedzi technicznie poprawnych, ale jedna najlepiej rozwiązuje konkretny problem.

Definicja do zapamiętania

Mitygacja to działanie zmniejszające prawdopodobieństwo lub wpływ ryzyka przez usunięcie podatności, ograniczenie dostępu, zmniejszenie powierzchni ataku, wykrywanie albo odzyskiwanie.

[OBRAZ: IMG_M02_S03_MITIGATION_DECISION_TREE]

Kluczowe pojęcia

Pojęcie	Znaczenie
Threat actor	Podmiot mogący spowodować szkodę.
Motivation	Powód działania aktora, np. pieniądze, szpiegostwo, ideologia.
Attack vector	Droga, którą atakujący dociera do celu.
Attack surface	Całkowita liczba punktów możliwego ataku.
Vulnerability	Słabość możliwa do wykorzystania.
Exploit	Metoda wykorzystania podatności.
Malware	Złośliwe oprogramowanie.
Phishing	Podszywanie się w wiadomości e-mail w celu oszustwa.
Smishing	Phishing przez SMS lub komunikator.
Vishing	Phishing głosowy.
Password spraying	Próbowanie popularnego hasła na wielu kontach.
Credential stuffing	Używanie danych logowania z wcześniejszych wycieków.
SQL injection	Atak wpływający na zapytania do bazy danych.
XSS	Atak skryptowy wykonywany w przeglądarce użytkownika.
DDoS	Rozproszony atak na dostępność usługi.
On-path attack	Atakujący znajduje się między stronami komunikacji.
IoC	Wskaźnik możliwej kompromitacji.
Mitigation	Działanie ograniczające ryzyko.
Hardening	Bezpieczne utwardzanie konfiguracji.
Segmentation	Podział środowiska w celu ograniczenia ruchu i skutków ataku.
Isolation	Odseparowanie systemu, np. zainfekowanego hosta.

Przykłady

Przykład 1: Password spraying

W logach widać po jednej lub dwóch próbach logowania dla setek kont z tym samym hasłem. To wskazuje na password spraying. Najlepsze mitygacje to MFA, wykrywanie wzorca logowań, blokowanie ryzykownych źródeł, polityka haseł, ograniczenie prób i edukacja użytkowników.

Przykład 2: Ransomware

Pracownicy zgłaszają, że pliki mają nowe rozszerzenia, a system pokazuje żądanie okupu. To wskazuje na ransomware. Najważniejsze działania defensywne to izolacja zainfekowanych hostów, analiza zasięgu, ochrona kopii zapasowych, odtwarzanie z bezpiecznego backupu i usunięcie wektora wejścia.

Przykład 3: SQL injection

Aplikacja zwraca dane, których użytkownik nie powinien widzieć, po nietypowych danych wejściowych. Problemem może być brak walidacji i niebezpieczne budowanie zapytań. Mitygacje to bezpieczne kodowanie, parametryzowane zapytania, walidacja po stronie serwera, testy bezpieczeństwa i WAF jako warstwa pomocnicza.

Przykład 4: Insider threat

Pracownik przed odejściem z firmy pobiera dużą liczbę dokumentów projektowych poza normalnymi godzinami pracy. To może być insider threat. Mitygacje obejmują least privilege, monitoring dostępu, Data Loss Prevention (DLP), proces offboardingu i ograniczenie dostępu po zmianie roli.

Praktyczne zastosowania

Analiza scenariuszy egzaminacyjnych typu „jaki atak wystąpił?”.

Dobieranie mitygacji do podatności i wektora.

Rozpoznawanie wzorców w logach uwierzytelniania.

Ocena powierzchni ataku organizacji.

Priorytetyzacja działań: izolacja, patching, hardening, monitoring, segmentacja.

Przygotowanie do modułów Security Architecture i Security Operations.

Częste pomyłki

Pomyłka	Dlaczego jest błędna	Poprawne rozumienie
„Podatność to atak.”	Podatność jest słabością, nie działaniem.	Atak może wykorzystać podatność.
„Phishing, smishing i vishing to to samo.”	Różnią się kanałem komunikacji.	E-mail, SMS/komunikator i głos.
„Każdy atak na logowanie to brute force.”	Password spraying i credential stuffing działają inaczej.	Patrz na wzorzec prób.
„WAF naprawia aplikację.”	WAF może ograniczyć ryzyko, ale nie usuwa błędu w kodzie.	Naprawa kodu jest źródłową mitygacją.
„Backup zatrzymuje ransomware.”	Backup pomaga odtworzyć dane, ale nie blokuje infekcji.	Potrzebne są też prewencja, detekcja i izolacja.
„Nietypowy ruch zawsze oznacza incydent.”	Może mieć legalne wyjaśnienie.	IoC wymaga kontekstu.
„Zero-day oznacza każdy krytyczny błąd.”	Zero-day to podatność nieznana lub bez dostępnej poprawki w momencie wykorzystania.	Nie każda podatność krytyczna jest zero-day.
„Shadow IT to atakujący.”	Shadow IT to nieautoryzowane użycie technologii.	Może zwiększać ryzyko, nawet bez złej intencji.

Typowe błędy

Rozpoznawanie ataku po jednym słowie kluczowym

Egzamin może używać podobnych objawów dla różnych ataków. Trzeba patrzeć na cały scenariusz.

Wybieranie mitygacji bez zrozumienia przyczyny

Patching nie rozwiąże problemu nadmiernych uprawnień, a szkolenie nie zastąpi kontroli technicznej.

Ignorowanie kont i tożsamości

Przejęte konto może wyglądać jak legalna aktywność. Dlatego ważne są MFA, monitoring, least privilege i analiza logów.

Mylenie detekcji z prewencją

SIEM wykrywa, ale zwykle sam nie blokuje. Firewall może blokować, ale jeśli tylko loguje, pełni funkcję detekcyjną.

Zakładanie, że jedna kontrola wystarczy

Skuteczna obrona jest warstwowa: technologia, procesy, ludzie, monitoring i reakcja.

Co trzeba umieć na egzamin

W domenie 2.0 trzeba umieć:

rozpoznać threat actor i jego motywację
odróżnić attack vector od attack surface
wyjaśnić różnicę: vulnerability, exploit, attack, mitigation
rozpoznać social engineering po kanale i technice
rozpoznać typ malware po objawach
odróżnić brute force, password spraying i credential stuffing
odróżnić SQL injection od XSS
rozpoznać DDoS, on-path, DNS poisoning i rogue access point
wskazać IoC w logach i zachowaniu systemów
dobrać mitygację: patching, hardening, segmentation, isolation, access control, configuration enforcement, monitoring.

Checklista

User powinien umieć:

Wyjaśnić, kim jest threat actor.
Dopasować motywację do typu aktora.
Odróżnić attack vector od attack surface.
Odróżnić vulnerability, exploit, attack i mitigation.
Rozpoznać phishing, smishing, vishing, spear phishing i whaling.
Rozpoznać podstawowe typy malware.
Odróżnić brute force, password spraying i credential stuffing.
Wyjaśnić podstawowy sens SQL injection i XSS bez wykonywania ataków.
Rozpoznać typowe ataki sieciowe po objawach.
Wskazać IoC w krótkim scenariuszu.
Dobrać właściwą mitygację do problemu.
Uzasadnić, dlaczego dana mitygacja jest lepsza niż inne.
Pytania kontrolne
Czym różni się threat actor od attack vector?
Jaka jest różnica między attack vector a attack surface?
Czym różni się vulnerability od exploit?
Kiedy mówimy o insider threat?
Czym różni się phishing od spear phishing?
Czym różni się smishing od vishing?
Jaki malware samodzielnie rozprzestrzenia się po sieci?
Czym różni się password spraying od brute force?
Co oznacza credential stuffing?
Czym różni się SQL injection od XSS?
Co może wskazywać na ransomware?
Co może oznaczać impossible travel?
Kiedy najlepszą mitygacją jest segmentacja?
Kiedy stosuje się izolację hosta?
Dlaczego WAF nie zastępuje poprawy kodu aplikacji?
Odpowiedzi z wyjaśnieniami
Threat actor to podmiot, a attack vector to droga ataku.
Aktorem może być cyberprzestępca, a wektorem phishing.
Attack vector to konkretna droga, a attack surface to cała suma możliwych punktów wejścia.
E-mail jest wektorem, a wszystkie konta, skrzynki, procesy i użytkownicy tworzą część powierzchni ataku.
Vulnerability to słabość, exploit to sposób jej wykorzystania.
Brak aktualizacji jest podatnością, a kod wykorzystujący lukę jest exploitem.
Insider threat występuje, gdy źródłem ryzyka jest osoba wewnątrz organizacji.
Może działać złośliwie, przez zaniedbanie albo przypadkowo.
Phishing jest zwykle masowy, spear phishing jest ukierunkowany.
Spear phishing używa kontekstu konkretnej osoby lub organizacji.
Smishing używa SMS lub komunikatora, vishing używa rozmowy głosowej.
Worm.
Robak może rozprzestrzeniać się samodzielnie bez bezpośredniego działania użytkownika.
Brute force próbuje wielu haseł na jednym koncie, password spraying próbuje popularnych haseł na wielu kontach.
Credential stuffing to używanie loginów i haseł z wcześniejszych wycieków w innych systemach.
SQL injection wpływa na zapytania do bazy, XSS na wykonanie skryptu w przeglądarce użytkownika.
Zmiana rozszerzeń plików, żądanie okupu, masowe modyfikacje danych i nagły wzrost operacji dyskowych.
Impossible travel może wskazywać na przejęcie konta, ale wymaga weryfikacji kontekstu, np. VPN.
Segmentacja jest dobra, gdy trzeba ograniczyć ruch między częściami środowiska i zmniejszyć skutki kompromitacji.
Izolację stosuje się, gdy host może być zainfekowany albo aktywnie uczestniczy w incydencie.
WAF może ograniczyć ataki, ale źródłowy błąd w aplikacji nadal powinien zostać naprawiony.
Zadania praktyczne
Laboratorium 1: Klasyfikacja scenariuszy zagrożeń

Cel:

Nauczyć się rozpoznawać aktora, wektor, podatność i mitygację.

Kontekst:

Scenariusz	Twoje zadanie
Pracownik dostaje SMS z linkiem do fałszywego resetu hasła.	Rozpoznaj typ ataku i mitygacje.
W logach widać próby jednego hasła na wielu kontach.	Rozpoznaj atak na hasła.
Aplikacja testowa jest publicznie dostępna i nieaktualizowana.	Wskaż podatność i mitygacje.
Były pracownik nadal ma aktywne konto VPN.	Wskaż ryzyko i mitygację.
Pliki na udziale sieciowym zostały zaszyfrowane.	Rozpoznaj prawdopodobny malware i działania obronne.

Kroki:

Dla każdego scenariusza wskaż aktora, jeśli da się go określić.
Wskaż wektor ataku.
Wskaż podatność lub słabość procesu.
Wskaż możliwe IoC.
Zaproponuj minimum dwie mitygacje.

Oczekiwany rezultat:

Tabela: scenariusz → aktor → wektor → podatność → IoC → mitygacja.

Kryteria zaliczenia:

Nie pomylono wektora z aktorem.
Poprawnie rozpoznano smishing.
Poprawnie rozpoznano password spraying.
Wskazano offboarding jako mitygację aktywnego konta byłego pracownika.
Dla ransomware wskazano izolację, backup i analizę zasięgu.

To ćwiczenie wykonuj wyłącznie w legalnym, kontrolowanym środowisku laboratoryjnym. Nie stosuj go wobec cudzych systemów, sieci ani kont.

Laboratorium 2: Dobór mitygacji

Cel:

Ćwiczyć wybór najlepszej mitygacji do konkretnego problemu.

Kontekst:

Problem	Możliwe mitygacje
Nieaktualny serwer publiczny	patching, segmentacja, WAF, monitoring
Użytkownicy mają lokalne uprawnienia administratora	least privilege, PAM, usunięcie admin rights
Aplikacja podatna na błędne dane wejściowe	input validation, secure coding, WAF
Podejrzany host generuje ruch do nieznanej domeny	isolation, EDR analysis, DNS filtering
Stare konto dostawcy nadal działa	deprovisioning, access review, MFA

Kroki:

Wybierz najlepszą mitygację źródłową.
Wybierz jedną kontrolę tymczasową lub kompensacyjną.
Uzasadnij wybór.
Wskaż, jak sprawdzić, czy mitygacja zadziałała.

Oczekiwany rezultat:

Krótkie uzasadnienie wyborów, nie tylko lista narzędzi.

Kryteria zaliczenia:

Dla podatności wskazano patching lub poprawę kodu jako naprawę źródłową.
Dla aktywnego podejrzenia infekcji wskazano izolację.
Dla nadmiernych uprawnień wskazano least privilege.
Uwzględniono walidację skuteczności po wdrożeniu.

To ćwiczenie wykonuj wyłącznie w legalnym, kontrolowanym środowisku laboratoryjnym. Nie stosuj go wobec cudzych systemów, sieci ani kont.

Mini-test

Pytanie 1

Które stwierdzenie najlepiej opisuje attack vector?

A. Całkowita liczba podatnych systemów

B. Droga, którą atakujący może dotrzeć do celu

C. Osoba lub grupa przeprowadzająca atak

D. Mechanizm odtwarzania danych po awarii

Poprawna odpowiedź:

Wyjaśnienie:

Attack vector to droga ataku, np. e-mail, SMS, złośliwy plik, podatna aplikacja lub niezabezpieczona sieć.

Dlaczego pozostałe odpowiedzi są gorsze:

A: To bliższe powierzchni ataku.
C: To threat actor.
D: To recovery lub backup.
Pytanie 2

W logach widać jedną próbę logowania tym samym hasłem na setkach kont. Co to najprawdopodobniej jest?

A. Brute force

B. Password spraying

C. XSS

D. DNS poisoning

Poprawna odpowiedź:

Wyjaśnienie:

Password spraying polega na próbowaniu popularnego hasła na wielu kontach.

Dlaczego pozostałe odpowiedzi są gorsze:

A: Brute force zwykle oznacza wiele prób wobec jednego konta.
C: XSS dotyczy aplikacji webowych i skryptów.
D: DNS poisoning dotyczy manipulacji DNS.
Pytanie 3

Użytkownicy otrzymują SMS z linkiem do fałszywej strony logowania. Jaki to atak?

A. Vishing

B. Smishing

C. Whaling

D. Tailgating

Poprawna odpowiedź:

Wyjaśnienie:

Smishing to phishing przez SMS lub komunikator.

Dlaczego pozostałe odpowiedzi są gorsze:

A: Vishing używa głosu.
C: Whaling celuje w osoby wysokiego szczebla.
D: Tailgating dotyczy wejścia fizycznego.
Pytanie 4

Który malware najlepiej pasuje do szybkiego samodzielnego rozprzestrzeniania się po sieci?

A. Worm

B. Keylogger

C. Logic bomb

D. Spyware

Poprawna odpowiedź:

Wyjaśnienie:

Worm może rozprzestrzeniać się samodzielnie.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Keylogger rejestruje klawisze.
C: Logic bomb uruchamia się po warunku.
D: Spyware szpieguje użytkownika.
Pytanie 5

Aplikacja webowa nie sprawdza poprawnie danych wejściowych, co pozwala wpływać na zapytania do bazy. Jaka mitygacja jest najlepsza?

A. Parametryzowane zapytania i walidacja danych wejściowych

B. Większy monitor dla administratora

C. Wyłącznie backup raz w miesiącu

D. Zmiana nazwy serwera

Poprawna odpowiedź:

Wyjaśnienie:

To źródłowo ogranicza ryzyko SQL injection.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Nie dotyczy problemu.
C: Backup nie zapobiega podatności aplikacyjnej.
D: Zmiana nazwy nie usuwa błędu.
Pytanie 6

Które działanie najlepiej zmniejsza skutki kompromitacji jednego segmentu sieci?

A. Segmentacja

B. Steganografia

C. Większa liczba użytkowników

D. Wyłączenie wszystkich logów

Poprawna odpowiedź:

Wyjaśnienie:

Segmentacja ogranicza ruch między częściami środowiska i zmniejsza możliwość rozprzestrzeniania się ataku.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Steganografia ukrywa dane w nośniku.
C: Nie jest kontrolą bezpieczeństwa.
D: Wyłączenie logów pogarsza detekcję.
Pytanie 7

Firma wykryła podejrzany komputer generujący ruch do nieznanej domeny command and control. Co jest najlepszym pierwszym działaniem obronnym?

A. Izolować hosta od sieci

B. Usunąć wszystkie logi

C. Nadać użytkownikowi uprawnienia administratora

D. Wyłączyć backupy

Poprawna odpowiedź:

Wyjaśnienie:

Izolacja ogranicza dalszą komunikację i potencjalne rozprzestrzenianie.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Usuwanie logów niszczy dowody.
C: Zwiększa ryzyko.
D: Pogarsza możliwość odtworzenia.
Pytanie 8

Który przykład najlepiej opisuje credential stuffing?

A. Próbowanie wszystkich możliwych haseł do jednego konta

B. Użycie loginów i haseł z wycieku innego serwisu

C. Podszywanie się przez telefon pod dział IT

D. Ukrycie danych w obrazie

Poprawna odpowiedź:

Wyjaśnienie:

Credential stuffing wykorzystuje dane logowania pochodzące z wcześniejszych wycieków.

Dlaczego pozostałe odpowiedzi są gorsze:

A: To brute force.
C: To vishing/impersonation.
D: To steganografia.
Pytanie 9

Co jest najlepszym przykładem insider threat?

A. Botnet DDoS z tysięcy urządzeń

B. Pracownik pobierający niepotrzebnie dużą liczbę plików przed odejściem z firmy

C. Publiczna podatność w bibliotece open source

D. Błąd DNS u dostawcy Internetu

Poprawna odpowiedź:

Wyjaśnienie:

Insider threat pochodzi od osoby wewnątrz organizacji lub mającej zaufany dostęp.

Dlaczego pozostałe odpowiedzi są gorsze:

A: To zewnętrzny atak DDoS.
C: To podatność, nie insider.
D: To problem usługowy lub konfiguracyjny.
Pytanie 10

Które stwierdzenie najlepiej opisuje IoC?

A. Dowolna kontrola fizyczna

B. Wskaźnik sugerujący możliwe naruszenie bezpieczeństwa

C. Plan wycofania zmiany

D. Pełna gwarancja, że doszło do incydentu

Poprawna odpowiedź:

Wyjaśnienie:

IoC to ślad techniczny lub behawioralny, który wymaga analizy.

Dlaczego pozostałe odpowiedzi są gorsze:

A: Nie dotyczy IoC.
C: To element change management.
D: IoC nie zawsze samodzielnie potwierdza incydent.
Fiszki

Przód fiszki	Tył fiszki
Co to jest threat actor?	Podmiot mogący spowodować szkodę.
Co to jest attack vector?	Droga, którą atakujący może dotrzeć do celu.
Co to jest attack surface?	Całkowita liczba punktów i sposobów możliwego ataku.
Vulnerability vs exploit?	Vulnerability to słabość, exploit to sposób jej wykorzystania.
Attack vs incident?	Attack to działanie; incident to sytuacja bezpieczeństwa wymagająca reakcji.
Co to jest mitigation?	Działanie zmniejszające ryzyko.
Phishing vs smishing?	Phishing zwykle e-mail; smishing SMS lub komunikator.
Smishing vs vishing?	Smishing używa wiadomości tekstowych, vishing rozmowy głosowej.
Spear phishing vs phishing?	Spear phishing jest ukierunkowany na konkretną osobę lub organizację.
Co to jest whaling?	Phishing skierowany do osób wysokiego szczebla.
Co to jest ransomware?	Malware blokujący lub szyfrujący dane i żądający okupu.
Co to jest worm?	Malware samodzielnie rozprzestrzeniający się po sieci.
Co to jest trojan?	Malware udający legalny program.
Co to jest keylogger?	Malware rejestrujący naciśnięcia klawiszy.
Brute force vs password spraying?	Brute force wiele haseł na jedno konto; spraying jedno hasło na wiele kont.
Co to jest credential stuffing?	Użycie danych logowania z wcześniejszych wycieków.
SQL injection vs XSS?	SQLi wpływa na bazę; XSS na skrypty w przeglądarce użytkownika.
Co oznacza DDoS?	Rozproszony atak na dostępność usługi.
Co to jest on-path attack?	Atakujący znajduje się między komunikującymi się stronami.
Co to jest IoC?	Wskaźnik możliwej kompromitacji.
Kiedy stosować isolation?	Gdy host może być zainfekowany lub aktywnie uczestniczy w incydencie.
Kiedy stosować segmentation?	Gdy trzeba ograniczyć ruch i skutki kompromitacji.
Kiedy stosować patching?	Gdy istnieje znana podatność z poprawką.
Kiedy stosować hardening?	Gdy trzeba bezpiecznie ograniczyć konfigurację i powierzchnię ataku.

Obrazy do wygenerowania

IMG_M02_S01_THREAT_VULNERABILITY_RISK_FLOW

Miejsce w materiale:

Sekcja „Wprowadzenie”.

Cel obrazu:

Pokazać relację między aktorem zagrożenia, wektorem, podatnością, atakiem, wpływem i mitygacją.

Opis obrazu do wygenerowania:

Diagram przepływu: threat actor → motivation → attack vector → vulnerability → exploit/attack → impact on asset → mitigation. Przy każdym elemencie krótki przykład: cybercriminal, financial gain, phishing, weak password, account takeover, data theft, MFA/monitoring.

Styl:

Schemat blokowy techniczny.

Elementy obowiązkowe:

threat actor
motivation
attack vector
vulnerability
exploit/attack
asset impact
mitigation.

Elementy, których unikać:

instrukcji ofensywnych
kodu exploitów
dramatycznych grafik hakerskich
nadmiaru tekstu.
IMG_M02_S02_ATTACK_SURFACE_MAP

Miejsce w materiale:

Sekcja „Vulnerability, exploit, attack i mitigation”.

Cel obrazu:

Pomóc zrozumieć powierzchnię ataku organizacji.

Opis obrazu do wygenerowania:

Mapa organizacji z elementami powierzchni ataku: użytkownicy, poczta e-mail, aplikacja webowa, VPN, chmura, urządzenia mobilne, dostawcy, publiczne API, Wi-Fi, repozytorium kodu. Pokaż, że każdy element może być punktem wejścia. Dodaj boczną listę mitygacji: MFA, patching, access review, segmentation, monitoring, secure configuration.

Styl:

Mapa pojęć / diagram architektury wysokiego poziomu.

Elementy obowiązkowe:

użytkownicy
e-mail
VPN
aplikacja webowa
cloud
mobile devices
third party/vendor
public API
monitoring
mitigation list.

Elementy, których unikać:

szczegółów umożliwiających atak
realistycznych danych firmowych
skomplikowanych podsieci.
IMG_M02_S03_MITIGATION_DECISION_TREE

Miejsce w materiale:

Sekcja „Mitygacje”.

Cel obrazu:

Pokazać, jak dobierać mitygację do problemu.

Opis obrazu do wygenerowania:

Drzewo decyzyjne: „Czy problemem jest znana podatność?” → patching. „Czy nie można od razu załatać?” → compensating control/segmentation/WAF/monitoring. „Czy problemem są nadmierne uprawnienia?” → least privilege/access control. „Czy host jest podejrzanie aktywny?” → isolation/EDR analysis. „Czy problemem jest duża powierzchnia ataku?” → hardening/disable unused services. „Czy problemem są dane wejściowe aplikacji?” → input validation/secure coding.

Styl:

Algorytm decyzyjny / diagram edukacyjny.

Elementy obowiązkowe:

patching
segmentation
isolation
hardening
least privilege
access control
input validation
monitoring
compensating control.

Elementy, których unikać:

szczegółowych instrukcji ataku
kodu
nadmiaru tekstu.
Pokrycie wymagań egzaminacyjnych

Wymaganie egzaminacyjne SY0-701	Gdzie jest omówione	Poziom pokrycia	Uwagi
2.1 Threat actors and motivations	Threat actor — aktor zagrożenia	Pełny	Uwzględniono nation-state, organized crime, hacktivist, insider, unskilled attacker, shadow IT.
2.2 Threat vectors and attack surfaces	Threat vector i attack surface, social engineering	Pełny	Omówiono e-mail, SMS, głos, pliki, sieci, supply chain i ludzi.
2.3 Types of vulnerabilities	Vulnerability, exploit, attack i mitigation; ataki aplikacyjne	Pełny	Uwzględniono podatności aplikacyjne, systemowe, webowe, konfiguracyjne i procesowe.
2.4 Indicators of malicious activity	Malware, ataki na konta, sieć, IoC	Pełny	Uwzględniono ransomware, password attacks, network attacks i typowe objawy.
2.5 Mitigation techniques	Mitygacje	Pełny	Uwzględniono segmentację, access control, patching, hardening, isolation, monitoring i configuration enforcement.

Co warto powtórzyć przed przejściem dalej

Vulnerability vs exploit vs attack vs mitigation.

Attack vector vs attack surface.

Phishing vs smishing vs vishing.

Brute force vs password spraying vs credential stuffing.

SQL injection vs XSS.

Malware: ransomware, worm, trojan, spyware, rootkit.

Dobór mitygacji do przyczyny problemu.

IoC jako wskaźnik wymagający kontekstu.

Kontrola kompletności modułu

Zakres z konspektu pokryty:

aktorzy zagrożeń
motywacje
wektory ataku i powierzchnia ataku
podatności, exploit, atak i mitygacja
social engineering
malware
ataki na hasła
ataki aplikacyjne i webowe
ataki sieciowe
wskaźniki złośliwej aktywności
techniki mitygacji
ćwiczenia, mini-test, fiszki i opisy obrazów.

Zakres wymagający pogłębienia:

Szczegółowe logi i narzędzia detekcyjne pojawią się w Security Operations II.
Zarządzanie podatnościami jako proces pojawi się w Security Operations I.
Architektoniczne mitygacje, takie jak segmentacja i odporność, wrócą w Security Architecture.
Supply chain risk zostanie rozwinięty w Security Program Management and Oversight.

Najważniejsze rzeczy do zapamiętania:

Nie każdy alert jest incydentem, ale każdy podejrzany wzorzec wymaga kontekstu.
Podatność to słabość, exploit to sposób wykorzystania, atak to działanie.
Mitygacja musi odpowiadać przyczynie problemu.
Najlepsza odpowiedź egzaminacyjna to często ta, która zmniejsza ryzyko najtrafniej, a nie ta, która brzmi najbardziej technicznie.
Ataki na konta są bardzo częste i wymagają MFA, monitoringu, least privilege i dobrego lifecycle kont.

Czy materiał wystarcza do opanowania tej części:

Tak, jako pełne wprowadzenie do domeny 2.0 Threats, Vulnerabilities, and Mitigations na poziomie od zera do egzaminacyjnego.

Potencjalne luki:

Warto później zrobić osobną powtórkę z samych ataków aplikacyjnych.
Warto przećwiczyć więcej pytań scenariuszowych z mitygacji, bo tam łatwo wybrać odpowiedź poprawną technicznie, ale nie najlepszą.
Warto wrócić do IoC przy module o SIEM, EDR i analizie logów.

Rekomendowana powtórka:

Przerób fiszki.
Rozwiąż mini-test bez patrzenia w odpowiedzi.
Wykonaj laboratorium 1 i 2.
Dla każdego ataku zapisz: objaw → mechanizm → najlepsza mitygacja.
Kontrola głębokości wyjaśnień
Ważne pojęcia zostały wyjaśnione, a nie tylko wymienione.
Przy każdym kluczowym pojęciu pokazano problem, mechanizm, przykład praktyczny, scenariusz egzaminacyjny, częste pomyłki i definicję.
Dodano ćwiczenia, checklistę, pytania kontrolne, odpowiedzi, mini-test, fiszki i obrazy.
Ćwiczenia są defensywne i przeznaczone wyłącznie do legalnego, kontrolowanego środowiska.
Struktura odpowiada wymaganiom generowania właściwego materiału szkoleniowego.