NetCase Day
Первый Митап честных кейсов по сетевой безопасности
Пользовательский опыт PT Sandbox и PT NAD
Ранее мы выпустили исследование, в котором рассказали о результатах внешних и внутренних пентестов в 2022 году. Один из артефактов исследования — топ 10 распространенных техник и подтехник MITRE ATT&CK®, которые успешно применялись пентестерами. Тестирование на проникновение — это имитация атаки, поэтому на примере этого списка мы научимся противодействовать реальным злоумышленникам. В этом исследовании мы поделимся советами о том, как обнаруживать техники и подтехники из этого списка, а также предложим превентивные меры, которые значительно усложнят атаку для злоумышленников или вовсе сведут к минимуму вероятность ее проведения в вашей организации. Для удобства все техники и подтехники сгруппированы по тактикам.
В каждой главе вы найдете рекомендации по обнаружению атаки с использованием техники и подтехники из нашего списка топ 10, а также советы по тому, как укрепить систему защиты, чтобы такие инциденты не происходили. Помимо этого, в разделе «Матрица D3FEND» Данная модель позволяет подобрать СЗИ для обнаружения, реагирования, в том числе блокировки скомпрометированных ресурсов, укрепления системы защиты организации и выставления приманок для злоумышленников. Проект D3FEND набирает популярность и активно развивается. можно ознакомиться с перечнем функций средств защиты информации (далее – СЗИ) для обнаружения, предотвращения инцидентов и реагирования на них с использованием техник из топ 10.
Также в исследовании будет рассмотрен вопрос, связанный с реализацией подходов результативной безопасности и выполнением требований регуляторов. Мы сопоставили превентивные меры защиты В рамках сопоставления были проанализированы меры защиты от десяти наиболее популярных техник и подтехник матрицы ATT&CK, которые успешно применялись пентестерами. , предлагаемые сообществом экспертов по ИБ, с требованиями Приказа ФСТЭК России от 11.02.2013 № 17. В результате оказалось, что меры, предложенные сообществом, коррелируют с требованиями приказа регулятора.
В рамках исследования были рассмотрены десять техник MITRE ATT&CK®, которые были успешно применены пентестерами в реальных проектах; все они перечислены в таблице 1.
Таблица 1. Перечень рассмотренных тактик и техник
ID | Тактика | Техника |
---|---|---|
T1190 | Initial Access | Exploit Public-Facing Application |
T1059 | Execution | Command and Scripting Interpreter |
T1098 | Persistence | Account Manipulation |
T1110 T1003 T1552 |
Credential Access |
Brute Force OS Credential Dumping Unsecured Credentials |
T1087 T1083 | Discovery |
Account Discovery File and Directory Discovery |
T1550 | Lateral Movement | Use Alternate Authentication Material |
T1071 | Command and Control | Application Layer Protocol |
В качестве основных источников событий, анализ которых поможет обнаружить факт применения той или иной техники, выступают:
Чтобы облегчить предотвращение и обнаружение атак с использованием техник из топ 10, можно использовать следующие СЗИ:
Также можно использовать встроенные в Windows механизмы обеспечения безопасности, например ПО для защиты от атак, направленных на кражу учетных данных (Credential Guard).
Основной набор функций средств защиты информации, которые помогут специалистам по ИБ обнаружить атаки или могут быть применены в качестве превентивной меры, представлен в главе «Матрица D3FEND». Отметим, что полученный список возможностей СЗИ лишь частично покрывает потребности специалистов по ИБ. Это связано с тем, что этот инструмент новый, однако он активно развивается. Многие современные СЗИ обладают гораздо большим количеством полезных возможностей, которые могут быстрее выявить инцидент ИБ или среагировать на него.
Мы сопоставили превентивные меры по недопущению рассматриваемых техник атак с требованиями Приказа ФСТЭК России № 17. Предложенные меры для основных десяти техник покрывают 33 из 113 требований Приказа. Более подробно вы можете ознакомиться с сопоставлением в главе Сопоставление мер защиты информации.
Среди техник, используемых для получения первоначального доступа в инфраструктуру, чаще всего в успешных векторах атак пентестеров мы встречали применение техники Exploit Public-Facing Application (T1190). Эта техника была применена в 100% проектов по внешнему тестированию на проникновение.
Обнаружить атаку с использованием этой техники можно:
Применение экслойтов может вызвать ошибки или спровоцировать неуспешные попытки аутентификации, которые будут отображены в журнале событий приложения, например в access.log, или в логах транзакций в базах данных;
Обнаружить факт успешной эксплуатации уязвимости можно, например, по запуску команд, связанных с разведкой;
Для того чтобы выявить следы известных эксплойтов в сетевом трафике, можно воспользоваться сетевыми сенсорами систем NTA, IDS, WAF или NGFW. Если злоумышленники используют неизвестные (новые) эксплойты, обнаружить атаку можно только в том случае, если в новом эксплойте есть фрагменты старых нагрузок.
Предотвратить атаку с использованием этой техники возможно, если:
Среди всех техник, которые использовались для выполнения команд на скомпрометированных узлах, наиболее успешной оказалась техника, связанная с применением интерпретаторов командной строки
(Command and Scripting Interpreter). Эта техника приводила к успеху в 93% проектов по пентестам.
Обнаружить использование техники Command and Scripting Interpreter можно среди событий, связанных:
Отслеживайте загрузки библиотек и другие события, связанные со скриптовыми языками (например, JScript.dll или vbscript.dll).
Предотвращение атаки с использованием этой техники возможно, если:
Для закрепления в инфраструктуре в 82% исследованных компаний пентестеры успешно использовали технику Account Manipulation (T1098).
Обнаружить факт использования злоумышленниками техники Account Manipulation можно:
Советы по предотвращению атаки с использованием техники Account Manipulation:
Среди всех методов, направленных на кражу ученых данных, самой успешной техникой была OS Credential Dumping. Она встречалась в 93% исследованных организаций. Существует несколько методов для получения дампа учетных записей; мы остановимся на самых часто используемых: DCSync (93%) и LSASS Memory (68%).
Обнаружить атаку с использованием метода OS Credential Dumping: DCSync (T1003.006) можно, проанализировав:
Анализируйте протокол DCE/RPC и ищите запросы с opnum = 3 (DRSGetNCChanges), свидетельствующие о начале репликации контроллера домена.
Превентивные меры по защите от атак с использованием OS Credential Dumping: DCSync:
В этом случае будет также актуальна рекомендация, связанная с организацией работ с привилегированными учетными записями.
Для обнаружения атаки с использованием подтехники OS Credential Dumping: LSASS Memory (T1003.001) необходимо просмотреть:
Собирайте и анализируйте аргументы, передаваемые в строках запуска. Атакующие часто изменяют название утилит для дампа, однако ключи параметров остаются теми же — по таким паттернам можно выявлять попытки дампа.
Для предотвращения атак с использованием подтехники OS Credential Dumping: LSASS Memory необходимо:
Мы проанализировали результаты пентестов и выяснили, что техника Brute Force успешно применялась пентестерами во всех организациях. Среди всех подтехник наибольшую успешность при подборе учетных данных показали Password Spraying (82%) и Password Guessing (75%).
Познакомиться со всеми проблемами, выявленными в парольных политиках крупных отечественных компаний различных отраслей, можно в аналитическом отчете «Итоги пентестов – 2022» в разделе «Проблемы в парольной политике». Там же вы сможете познакомиться с рекомендациями по организации парольной политики в компании.
Обнаружение подтехник Brute Force: Password Guessing (T1110.001) и Spraying (T1110.003):
Для предотвращения использования подтехник Brute Force: Password Guessing и Spraying необходимо:
Усложнить задачу перебора паролей можно, настроив политику блокировки учетных записей при достижении некоторого порогового значения неуспешных попыток аутентификации за определенный промежуток времени, однако эта мера сработает только для атак с использованием подтехники Password Guessing.
Стоит учитывать, что весьма жесткая политика блокировки может привести к нарушению бизнес-процессов из-за блокировки подбираемых учетных записей. В этом случае система не перестанет функционировать, а вот легитимный пользователь не сможет получить к ней доступ, так как его учетная запись будет заблокирована.
Техника Unsecured Credentials (T1552) была успешно применена в 79% исследованных организаций.
Для того чтобы обнаружить факты использования техники Unsecured Credentials, нужно проанализировать:
Предотвращение техники Unsecured Credentials: для того чтобы свести к минимуму шансы на успешное применение данной техники следует регулярно проводить поиск файлов, содержащих пароли, и обучать пользователей тому, как нужно подходить к хранению конфиденциальной информации. Также следует разграничить доступ к общим файловым ресурсам: права доступа к определенным папкам должны быть только у выделенного круга лиц. Помимо этого, следует установить организационную политику в компании, запрещающую хранение паролей в файлах.
Техника File and Directory Discovery (T1083) была успешно применена во всех компаниях, а Account Discovery — в 96% проектов.
Попытки обнаружения данной техники будут порождать большое количество ложных срабатываний правил на легитимную активность. Чтобы уменьшить их количество, мы рекомендуем обращать внимание не на конкретное событие, связанное с тактикой discovery, а на общую ситуацию в инфраструктуре. Злоумышленники не ограничатся только поиском файлов или исследованием привилегии учетной записи, они будут провоцировать и другие события в журналах безопасности. Поэтому, если других подозрительных событий нет, но есть, например, доступ к файлу, не стоит бить тревогу
Также стоит обратить внимание на то, как часто возникают похожие события, ведь в целом эти действия относятся к легитимной активности и могут быть следствием действий администраторов или легитимных скриптов.
Обнаружить факты применения техники File and Directory Discovery можно:
Настройте мониторинг событий запуска процессов с расширенным аудитом строк запуска. Ищите запуск команд, направленных на перечисление файлов и каталогов.
Обычно для листинга директорий и поиска файлов и папок в Windows используется команда dir стандартной командной оболочки cmd.exe. В Linux для тех же целей используются утилиты ls и find соответственно.
В целом техника Discovery: File and Directory Discovery связана с техникой Credential Access: Unsecured Credentials. Как и в тактике Credential Access, злоумышленники, применяющие эту технику, зачастую нацелены на получение учетных данных, которые хранятся в пользовательских файлах. Поэтому рекомендации по обнаружению и превентивные меры для этих двух техник схожи.
Предотвращение техники File and Directory Discovery:
Данный тип атаки сложно предотвратить, поскольку он основан на использовании легитимных функций операционной системы. Для того чтобы минимизировать шансы злоумышленников, мы рекомендуем не хранить и не передавать чувствительную информацию в открытом виде. Используйте для этих целей шифрование.
Обнаружить факт использования подтехники Account Discovery: Domain Account (T1087.002), Local Account (T1087.001) можно:
Предотвращение подтехники Account Discovery: Domain Account, Local Account:
Данный тип атаки сложно предотвратить, поскольку он основан на использовании легитимных функций операционной системы.
Точечная рекомендация, которая может усложнить атаку для злоумышленников:
Если в реестре Windows включена настройка EnumerateAdministrators, то атакующие могут получить список локальных администраторов, вызвав диалог UAC. Отключите эту настройку, чтобы атакующие не могли воспользоваться данным способом получения списка локальных администраторов. Параметр находится по пути: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\ EnumerateAdministrators.
Среди всех техник тактики Lateral Movement, которые пентестеры использовали для перемещения внутри сетевого периметра, наиболее результативной была Use Alternate Authentication Material. Это связано с тем, что пароль в открытом виде не всегда удается найти, а если пароль был сложный, то восстановить из хеша тоже не просто, при этом получить сам хеш или билет TGT или TGS легче.
Обнаружить факт использования подтехники Use Alternate Authentication Material: Pass the Hash (T1550.002) можно:
Например, выполненная проверка подлинности NTLM и LogonType 3, вызывает подозрение, потому что выполняется сетевой вход в систему без графической оболочки. Однако в этом случае нужно убедиться в том, что это не является типичным событием для рассматриваемой инфраструктуры, ведь иногда в крупных сетях присутствуют системы, в которых используются устаревшие механизмы аутентификации.
Для предотвращения атак с использованием подтехники Use Alternate Authentication Material: Pass the Hash необходимо сделать следующее.
Полностью исключить возможность атак с использованием этой техники невозможно из-за архитектурных особенностей ОС, но можно минимизировать вероятность ее проведения и повысить уровень сложности атаки для злоумышленников: для этого следует ограничить область использования привилегированных учетных записей. Например, учетная запись администратора домена должна быть задействована только при выполнении работ на контроллере домена и единичных сервисах, где требуются такие привилегии.
Точечная рекомендация: установить обновления безопасности KB2871997 для Windows 7 и выше. Данное обновление ограничивает доступ по умолчанию для учетных записей из группы локальных администраторов.
Обнаружить факт использования подтехники Use Alternate Authentication Material: Pass the Ticket (T1550.003) можно:
Если после двойного сброса пароля krbtgt на контроллере домена зафиксировано событие 4769 с кодом 0x1F, это означает вероятную попытку использования украденного или подделанного билета.
Для предотвращения атак с использованием подтехники Use Alternate Authentication Material: Pass the Ticket необходимо:
Полностью исключить возможность проведения атак с использованием этой техники невозможно из-за особенностей реализации ОС, но можно уменьшить шансы злоумышленников на успех. Для этого периодически выполняйте сброс пароля для учетной записи krbtgt. Смените пароль, запустите репликацию и затем смените пароль второй раз. Этот алгоритм поможет в случае, если учетные данные оказались в руках злоумышленников, но они по каким-то причинам не продолжили атаку либо если злоумышленники уже давно находятся в инфраструктуре. А также следуйте лучшим практикам администрирования корпоративной инфраструктуры и ограничьте использование привилегированных учетных записей пределами административных зон безопасности.
Пентестеры успешно использовали подтехнику Application Layer Protocol: Web Protocols (T1071) в 93% организаций.
Обнаружить атаку с использованием этого метода можно, проанализировав:
Необходимо проанализировать протоколы и пакеты на предмет аномалий, а также использовать средства защиты, которые позволяют выявить паттерны, соответствующие известным инструментам злоумышленников, даже если трафик зашифрован.
Для того чтобы обнаруживать подобные атаки, можно воспользоваться системами обнаружения вторжений (IDS) или средствами анализа сетевого трафика (NTA).
Предотвратить атаку можно:
Матрица D3FEND — удобный инструмент, с помощью которого можно выделить необходимые функции средств защиты информации. Модель D3FEND связана с MITRE ATT&CK, что значительно облегчает подбор мер, если модель угроз основана на классификации MITRE ATT&CK.
Разработчики этой методики выделили пять оборонительных тактик Ответные действия на атаку киберпреступника. : обнаружение (detect), сокрытие (harden), обман (deceive), очистка инфраструктуры от злоумышленника (evict) и изоляция (isolate). Каждой тактике соответствует свой набор техник, например для тактики Evict выделены две техники: Credential Eviction и Process Eviction. Конкретные функции СЗИ указаны ниже под техниками. Представленный набор функций на данный момент не исчерпывающий, однако инструмент активно развивается.
Мы отметили на матрице функции средств защиты, которые нужны для того, чтобы предупредить, обнаружить или отреагировать на атаки с использованием 10 техник из матрицы MITRE ATT&CK, которые чаще всего оказывались успешными в ходе тестирования на проникновение.
Важное уточнение: представленный набор мер мы определили как минимальный, то есть современные СЗИ обладают гораздо более широким функционалом, который поможет быстрее обнаружить воздействие и отреагировать на него.
Мы проанализировали меры, предложенные сообществом, для десяти наиболее популярных техник из матрицы MITRE ATT&CK, которые были успешно использованы нашими пентестерами во внешних и внутренних тестах на проникновение, и провели параллель с мерами защиты, изложенными в Приказе ФСТЭК России от 11.02.2013 № 17; результат этого сопоставления представлен в таблице 2.
Таблица 2. Сопоставление мер защиты, предложенных сообществом MITRE и ФСТЭК России
ID | Мера по снижению вероятности реализации НС | УИН из приказа | Описание меры |
---|---|---|---|
M1048 | Application Isolation and Sandboxing |
ЗИС.19 ОПС.1 |
Изоляция процессов (выполнение программ) в выделенной области памяти Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
M1050 | Exploit Protection |
РСБ.5 ОПС.1 |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
M1030 | Network Segmentation |
УПД.3 ЗИС.17 ЗСВ.10 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
M1026 | Privileged Account Management |
УПД.4 ЗИС.1 УПД.5 УПД.2 ЗСВ.1 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
M1051 | Update Software | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
M1016 | Vulnerability Scanning | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
M1049 | Antivirus/Antimalware |
АВЗ.1 АВЗ.2 |
Реализация антивирусной защиты Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
M1045 | Code Signing | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения |
M1042 | Disable or Remove Feature or Program | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
M1038 | Execution Prevention | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
M1021 | Restrict Web-Based Content | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
M1017 | User Training | п.18.6 Приказа | Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия: информирование и обучение персонала информационной системы |
M1036 | Account Use Policies |
УПД.10 УПД.6 |
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
M1027 | Password Policies |
ИАФ.4 УПД.1 УПД.2 УПД.4 УПД.5 УПД.6 УПД.9 УПД.11 УПД.10 АНЗ.5 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
M1032 | Multi-factor Authentication | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора |
M1015 | Active Directory Configuration | ─ | Прямое соответствие отсутствует |
M1047 | Audit |
РСБ.5 РСБ.8 АНЗ.3 |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
M1041 | Encrypt Sensitive Information | ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
M1037 | Filter Network Traffic |
УПД.3 ЗИС.16 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов |
M1028 | Operating System Configuration | ─ | Прямое соответствие отсутствует |
M1022 | Restrict File and Directory Permissions | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
M1040 | Behavior Prevention on Endpoint | ─ | Прямое соответствие отсутствует |
M1043 | Credential Access Protection |
УПД.6 УПД.1 УПД.11 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
M1025 | Privileged Process Integrity | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
M1052 | User Account Control | ─ | Прямое соответствие отсутствует |
M1018 | User Account Management | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
M1031 | Network Intrusion Prevention |
СОВ.1 СОВ.2 |
Обнаружение вторжений Обновление базы решающих правил |
Превентивные меры для топ 10 тактик и техник покрывают 33 из 113 требований Приказа. Таким образом, если выполнять требования регулятора не формально, не для того, чтобы соответствовать им только на бумаге, — уровень защищенности в компании заметно вырастет.
Умение обнаруживать и предотвращать атаки, состоящие из топ 10 самых распространенных техник MITRE ATT&CK®, повышает эффективность системы защиты и таким образом позволяет обнаруживать еще больше атак. Для этого необходимо анализировать журналы событий ОС, сетевой трафик, журналы событий приложений, журнал событий на контроллере домена, а также использовать современные средства защиты, которые облегчат сбор данных и вовремя оповестят о действиях злоумышленников.
В этом исследовании мы продемонстрировали, что если изменить подход к выполнению требований регуляторов, то можно получить не просто их формальную реализацию, а полноценную систему защиты от реальных атак. Новый подход не только переведет ваши процессы ИБ на новый уровень зрелости, но и сделает систему безопасности вашей компании по-настоящему результативной.