Итоги пентестов 2023

Уровень защищенности информационной инфраструктуры в организации нуждается в оценке со стороны опытных и квалифицированных специалистов. Прежде всего это необходимо для того, чтобы понять, сможет ли внешний или внутренний злоумышленник провести успешную атаку и реализовать недопустимое для бизнеса событие. Эта задача решается с помощью тестирования на проникновение.

Тестирование на проникновение, или пентест, — это работа по оценке защищенности информационной системы, которая подразумевает под собой моделирование реальных атак злоумышленников и подтверждение возможности нанести ущерб (финансовый, репутационный, или другой) организации во время настоящей атаки. Результаты проведения работ такого рода отражают текущие уязвимости и недостатки инфраструктуры и являются ключевыми для дальнейшего выстраивания системы защиты и организации мониторинга и реагирования на инциденты. Необходимо также уточнить, что поиск максимально возможного количества уязвимостей не является задачей классического тестирования на проникновения, потому что цель этой работы состоит в оценке возможности проникновения в систему или повышения привилегий с учетом выстроенной системы защиты информации, а для этого может быть достаточно одной уязвимости. Однако существует и анализ защищенности — другой вид работы по оценке защищенности, который решает задачу выявления максимального количества существующих недочетов, допущенных в ходе проектирования, разработки и эксплуатации систем или приложений.

Всего было проведено 28 проектов по тестированию на проникновение, 39% протестированных организаций входят в рейтинг RAEX-600.

В выборку для исследования вошли те проекты, в которых на действия пентестеров не накладывались существенные ограничения и границы работ были достаточны для получения объективной оценки уровня защищенности. Отметим, что учитывались только те организации, которые разрешили использовать полученные обезличенные данные.

В итоговые отчеты о проведении работ входят уязвимости, которые были обнаружены при поиске векторов атак и использованы для достижения целей. В каждой главе вы можете найти соответствующие рекомендации по безопасности.

В 96% проектов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. Лишь одна из них оказалась надежно защищена: исследователям удалось получить доступ только к демилитаризованной зоне (ДМЗ). Такой результат был достигнут благодаря ранее проведенным пентестам и качественной работе по устранению уязвимых мест.

Самое быстрое проникновение в ЛВС организации было осуществлено в первый день с момента начала работ. В среднем для специалистов нужно 10 дней, чтобы получить доступ в ЛВС.

Из организаций, в которых удалось провести внутреннее тестирование на проникновение, 100% не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой.

В 63% организаций злоумышленник с низкой квалификацией сможет проникнуть в ЛВС извне. Такую же долю составляют организации, в которых полный контроль над ИТ-инфраструктурой может получить внутренний низкоквалифицированный нарушитель.

В одном из проектов специалисты добились получения максимальных привилегий в домене Active Directory спустя 6,5 часов, в остальных этот показатель варьируется от 1 до 7 дней.

В 96% организаций удалось получить учетные данные сотрудников. В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации. В некоторых случаях эта информация являлась интеллектуальной собственностью или служебной перепиской сотрудников.

В каждом проекте удалось подтвердить возможность реализации как минимум одного недопустимого события, зачастую для этого не требовалось получения полного контроля над ИТ-инфраструктурой. Например, в организации, где специалисты не смогли получить доступ в ЛВС, была верифицирована возможность несанкционированного доступа к базе данных (БД) с персональными данными более 460 тысяч пользователей.

В 21% проектах были обнаружены следы компрометации, в том числе работающие веб-интерпретаторы командной строки или изменения в конфигурационных файлах. Это значит, что реальные злоумышленники ранее скомпрометировали ИТ-инфраструктуру организации.

В 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений. Столько же организаций были подвержены критически опасным уязвимостям парольной политики. В 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.

Уровень защищенности от внешнего и внутреннего нарушителя в проанализированных организациях оказался преимущественно низким. Это означает, что в результате работ было подтверждено множество векторов атак, которые направлены на получение доступа к критически важным ресурсам компании и для использования которых не требуется высокая квалификация атакующих. В рамках внутреннего пентеста в 81% организаций уровень защищенности был оценен как низкий. При тестировании инфраструктуры с позиции внешнего нарушителя ситуация оказалась чуть лучше: уровень защищенности в 74% организаций низкий, а еще в 15% — ниже среднего.

Показателем высокого уровня зрелости и защищенности организации служит применение подходов результативной кибербезопасности. А тестирование на проникновение — один из видов работ по оценке защищенности информационных систем. Всего их может быть три: анализ защищенности, тестирование на проникновение и аудит информационной безопасности.

Разработка перечня недопустимых событий и сценариев их реализации, а также определение целевых систем, взлом которых непосредственно повлечет недопустимые последствия, — первый шаг на пути к результативной кибербезопасности. На втором шаге необходимо выявить ключевые системы и потенциальные точки проникновения — это позволит «приземлить» недопустимые события на инфраструктуру организации и понять, над чем злоумышленнику нужно получить контроль, чтобы реализовать недопустимое событие.

После выполнения этих шагов можно первично проверить систему на устойчивость к проникновению во внутреннюю сеть и получению полного контроля над внутренней инфраструктурой — на эти вопросы можно ответить с помощью проведения классического тестирования на проникновение или непрерывного тестирования на проникновение. Разница этих работ в том, что непрерывное идет целый год в несколько этапов, и в том, что в итоге формируется несколько отчетов по оценке защищенности от внешнего и внутреннего нарушителя (по каждому из них). Во время этих работ возможно верифицировать реализацию недопустимых событий.

В 75% проектов цели проведения работ были определены по умолчанию. В оставшейся четверти, заказчики определили их самостоятельно и наши исследователи верифицировали 90% таких недопустимых событий.

Если рассматривать действия пентестеров с точки зрения матрицы MITRE ATT&CK, то можно получить следующую таблицу для 20 самых популярных тактик, техник и подтехник, которые использовались при проведении анализа защищенности и верификации недопустимых событий.

Результаты исследования отчетов по тестированию на проникновение показали, что уязвимыми к внешнему нарушителю оказались 96% исследуемых ИТ-инфраструктур. В оставшихся 4% удалось получить доступ только в ДМЗ. В этих организациях неоднократно осуществлялись пентесты и была проведена тщательная работа над ошибками.

Было установлено, что 27% векторов проникновения в ЛВС состояли из одного или двух шагов, однако в среднем требуется четыре шага.

Так как в одном проекте могли быть найдены несколько векторов доступа в ЛВС, то стоит рассмотреть каждую группу векторов для отдельного проекта и выбрать из нее тот, который содержит минимальное количество шагов.

42% протестированных систем оказались уязвимы к доступу в ЛВС за один или два шага. Среднее значение — четыре шага.

Векторы низкой сложности были обнаружены в 58% проектов. Вектор низкой сложности — это последовательность действий, при которой потенциальный злоумышленник может использовать стандартные и свободно доступные инструменты анализа защищенности для реализации недопустимого события.

Наибольшее количество критически опасных уязвимостей было вызвано наличием устаревшего ПО в информационных системах организаций, в то же время недостатки парольной политики и небезопасный код веб-приложений также довольно частые причины их возникновения.

Основными причинами успешного проникновения во внутреннюю сеть стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящиеся на периметре сети (например, VPN, Citrix). Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей.

Чтобы реализовать недопустимое событие, необязательно нужен доступ в ЛВС: для этого злоумышленнику достаточно проэксплуатировать одну или несколько уязвимостей, чтобы добраться до критически важных систем и реализовать недопустимое для бизнеса событие. Каждая уязвимость в информационной системе должна быть найдена и исправлена. В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% имели критический и высокий уровень опасности.

Стоит отметить, что уязвимости, возникшие вследствие использования устаревшего ПО (в том числе ПО с веб-интерфейсами), зачастую приводили к получению доступа в ЛВС и к последующим угрозам безопасности.

Использование популярных продуктов, содержащих уязвимости, может поставить под угрозу любую компанию, поэтому оперативное устранение уязвимостей играет решающую роль: информация о трендовых уязвимостях, применяющихся злоумышленниками в атаках, в течение 12 часов поступает в систему управления уязвимостями MaxPatrol VM. Это позволяет вовремя среагировать и принять меры по устранению наиболее опасных из них, тем самым защитить инфраструктуру компании.

Если посмотреть на долю уязвимостей, связанных с небезопасной конфигурацией, среди всех уязвимостей с высокой и критической степенью опасности — эта категория не представлена в таком же отношении (8%), как она же среди всех уязвимостей с любым уровнем опасности (28%). В то время как уязвимости нулевого дня, доля которых составляет от всех чуть менее 4%, среди опасных имеют уже 8%.

Тем не менее каждая уязвимость должна быть исправлена. Для примера приведена атака с эксплуатацией недостатков парольной политики, которая может привести потенциального злоумышленника к получению данных учетной записи и к последующему развитию атаки вплоть до доступа в ЛВС.

Скачать рисунок вектора

Во время каждой атаки проводится разведка и исследование внутренней инфраструктуры, что выглядит как легитимные действия — сами по себе они не являются вредоносными или деструктивными. Надо отметить, что такой результат достигается путем очень точных и аккуратных действий со стороны пентестеров.

В 63% векторах наши исследователи получили необходимую информацию для дальнейшего развития атаки, используя технику System Network Configuration Discovery («исследование сетевой конфигурации»), в 48% — System Information Discovery («просмотр текущей конфигурации системы»), в 40% — File And Directory Discovery («исследование файловой системы»).

Обычные пользователи и системные администраторы могут совершать эти действия в повседневной жизни и в рамках своих обязанностей, однако они могут являться частью вектора атаки. Выделить среди подобных событий те, которые были инициированы атакующими, — непростая задача для специалиста по информационной безопасности. Для этого следует внедрить обязательный мониторинг активности всех пользователей и систем, которые находятся в инфраструктуре. Такое возможно с помощью:

• журнала событий ОС, в том числе событий, связанных с аудитом безопасности и входом в систему;
• журнала событий приложений;
• журнала событий контроллера домена.

Дальнейшая обработка этой информации и возможность обнаружить и предотвратить атаку осуществляется благодаря:

• системе управления событиями информационной безопасности (SIEM);
• системе анализа сетевого трафика (NTA);
• системе обнаружения вторжений (IDS);
• системе предотвращения вторжения (IPS);
• межсетевым экранам уровня приложений (WAF);
• межсетевым экранам нового поколения (NGFW);
• решению для обнаружения и реагирования на события, связанные с вредоносной активностью на конечных узлах (EDR), и их современной расширенной версии (XDR).

Как описано выше, большую угрозу безопасности для организации представляют решения, разработанные сторонними компаниями. Ниже приведены примеры уязвимого ПО, которое стало причиной проникновения специалистов в инфраструктуру заказчиков.

По нашим прогнозам, в 2024 году главным трендом станут атаки на цепочки поставок как следствие компрометации ПО в ИТ-компаниях. Это может затронуть предприятия из всех секторов экономики, где используется стороннее ПО.

В таблице приведены известные уязвимости продуктов сторонних поставщиков ПО, которые чаще других эксплуатировались исследователями для получения доступа к системам. Для всех этих уязвимостей были выпущены пакеты обновлений.

Кроме того, во время внешнего пентеста специалистами Positive Technologies было найдено 16 уязвимостей нулевого дня в ПО, из которых шесть имеют критический уровень опасности по системе оценки CVSS 3.1.

Помимо недостатков безопасности, возникающих из-за использования уязвимого стороннего ПО, исследователи обнаружили 37 уязвимостей в веб-приложениях заказчиков. Среди них 15 имели критическую и высокую степень опасности.

Проанализировав результаты работ по внешнему тестированию на проникновение, мы рекомендуем обратить особое внимание на своевременные обновления безопасности ПО, работающего в информационной системе, используемую парольную политику, исходный код веб-приложений, потенциально содержащий серьезные уязвимости, а также безопасную настройку сервисов, работающих в инфраструктуре. Все эти недостатки безопасности использовались исследователями для получения доступа во внутреннюю сеть организаций. С детальными рекомендациями по настройке парольной политики вы можете ознакомиться в главе «Проблемы в парольной политики».

Для того чтобы обеспечить безопасность веб-приложений, мы рекомендуем регулярно проводить анализ защищенности, внедрить процессы безопасной разработки и управления уязвимостями, использовать межсетевые экраны уровня приложений для защиты от атак. Для максимального снижения риска, который могут нести решения поставщиков, рекомендуем своевременно обновлять используемое ПО, отслеживать уведомления о новых обнаруженных уязвимостях и патчах безопасности.

Главная цель внутреннего тестирования на проникновение — оценить уровень защищенности ИТ-инфраструктуры от атак со стороны внутреннего нарушителя, имеющего возможность подключиться к локальной сети организации.

Самое быстрое получение максимальных привилегий в домене Active Directory — 6,5 часов после начала проведения работ по внутреннему пентесту.

Каждый вектор состоит примерно из 11 шагов. В среднем в каждом проекте было обнаружено два вектора, которые имели различные уровни сложности, поэтому для определения минимального количества шагов для получения управления над контроллером домена учитываются наиболее короткие векторы атаки.

В подавляющем большинстве проектов были обнаружены векторы атаки низкой (38%) и средней (50%) сложности.

Низкая сложность векторов атаки характеризуется тем, что нарушитель обладает лишь базовыми знаниями о проведении атак на информационные системы и использует общедоступные эксплойты и автоматизированное ПО.

Например, такие векторы атак могут быть основаны на эксплуатации двух уязвимостей в Microsoft Exchange — для удаленного выполнения кода (CVE-2022-41082) и для повышения привилегий (CVE-2022-41080) — с помощью общедоступных эксплойтов. В некоторых случаях инфраструктура оказывалась уязвимой к эксплуатации уязвимости Zerologon, что приводило к получению привилегий администратора в одно действие.

Основными причинами низкого уровня защищенности заказчиков стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов IT-систем и недостатки парольной политики. Важно отметить, что во время внутреннего пентеста исследователям безопасности удалось обнаружить критически опасную уязвимость в коде веб-приложений, что не является массовым явлением для подобного рода работ.

Несмотря на то что среди уязвимостей, которые вызваны небезопасной конфигурацией, критически опасных не так много (6%), комбинация из нескольких уязвимостей с меньшей степенью риска из этой категории может привести к получению максимальных привилегий в домене Active Directory. На рисунке ниже изображен вектор, где специалисты вначале обнаруживают работающую службу регистрации сертификатов, а потом проводят атаку PetitPotam. С лучшими практиками по настройке конфигурации, устойчивой к атакам, основанным на ретрансляции протокола NTLM на службы сертификации (AD CS), можно ознакомиться на сайте Microsoft.

Скачать рисунок вектора

Когда исследователи получили доступ во внутреннюю сеть, следующим этапом атаки для них стало закрепление в системе. Иначе говоря, им нужно было найти способ, при котором они без лишних усилий могли бы постоянно получать доступ к системам организации.

Для удобной работы с операционной системой узла, находящегося в ЛВС, часто создается веб-интерпретатор. Он представляет собой скрипт, написанный на одном из языков программирования и вызывающий функцию для взаимодействия с ОС, в которую передана команда для выполнения. Таким образом исследователь или злоумышленник может закрепиться на периметре сети. В трех проектах были обнаружены следы компрометации в виде размещения таких веб-интерпретаторов злоумышленниками. Во всех случаях скрипт был написан на языке программирования PHP. Исследователи Positive Technologies использовали подобную технику в 14 проектах. Однако часто ее относят к внешнему тестированию на проникновение.

Среди техник, которые традиционно присутствуют на этапе внутреннего тестирования на проникновение, стоит выделить Account Manipulation, подтехнику Local Account техники Create Account и подтехнику Domain Accounts техники Valid Accounts. Напомним, что статистика учитывает не все действия хакеров на проекте, а только те, которые относятся к успешным векторам.

После закрепления в инфраструктуре злоумышленники обычно ищут способ повышения привилегий (если они уже ими не обладают). В большинстве случаев, наши исследователи успешно использовали техники: Valid Accounts, Exploitation for Privilege Escalation и Abuse Elevation Control Mechanism.

Можно заметить, что выше приводится подтехника Valid Accounts: Domain Accounts – это означает, что у исследователей были учетные данные от существующих в домене аккаунтов. Возникает вопрос, как они получали существующие учетные записи в инфраструктуре. На рисунке 24 приведены действия исследователей, которые были использованы для получения учетных данных:

Для более детального понимания самой массовой эксплуатируемой техники OS Credential Dumping (получение учетных данных ОС на скомпрометированном узле) стоит посмотреть на подтехники, которые использовались в ее рамках.

• DCSync — это атака, суть которой заключается в том, что злоумышленник выдает себя за контроллер домена. В основе атаки лежит заложенная возможность репликации данных между контроллерами домена, во время которой среди прочего передаются и учетные данные.

• LSA secrets — злоумышленники пытаются получить доступ к LSA — хранилищам, в которых система хранит важные учетные данные, включая пароли учетных записей пользователей и служб.

• LSASS memory — преступники хотят получить доступ к памяти процесса LSASS, который отвечает за разные подсистемы аутентификации Windows. В его памяти могут содержаться очень важные данные, например NT-хеши или билеты Kerberos.

• NTDS — хакеры намереваются получить доступ к файлу NTDS.dit, представляющему собой базу данных объектов в Active Directory и связей между ними.

Для перемещения внутри периметра, в том числе и с использованием учетных данных, полученных на предыдущем шаге, исследователи использовали следующие техники

Стоит обратить внимание, что в большинстве случаев для перемещения используются протоколы удаленного доступа, такие как SSH и RDP.

Pass the hash — это атака, суть которой заключается в том, чтобы вместо стандартной аутентификации, в которой нужно указать логин и пароль в открытом виде для доступа к учетной записи, злоумышленник передает логин и хеш пароля. Как итог, злоумышленник получает доступ к системе от имени скомпрометированной учетной записи.

Важно отметить, что в проекте полный контроль над ресурсами можно получить не только на одном домене. Например, наши исследователи в ходе проведения внутренних пентестов взяли под контроль в общем 31 домен. Контроль над критически важными системами подразумевает, что исследователи верифицировали возможность недопустимого события в обозначенных заказчиком целевых системах.

В ходе проведения работ исследователями было верифицировано 90% недопустимых событий, обозначенных заказчиками дополнительно.

Среди таких событий были, например, привилегированный доступ к целевым системам, утечка кодовой базы или ее безвозвратная потеря, хищение определенной информации или ее компрометация, вывод денежных средств или получение финансовый выгоды путем, не заложенным в логику приложения.

При проведении внутренних пентестов во всех организациях удалось получить максимальные привилегии в домене. Кроме того, была верифицирована возможность реализации большинства (90%) недопустимых событий. Из верифицированных недопустимых событий, которые выделяли сами заказчики, можно отметить следующие: получение доступа к отдельным информационным системам и сетевым сегментам, встраивание кода в исходный код заказчика, получение прав пользователей в бизнес-сегментах, получение определенной конфиденциальной информации.

Отдельное внимание стоит уделить разделу с подбором учетных данных. В 33 успешных векторах атак была применена техника Brute Force. Следует также обезопасить системы от подтехник OS Credential Dumping. Мы рекомендуем тщательно проверить свою инфраструктуру на наличие индикаторов компрометации, которые упомянуты выше. Качественные системы мониторинга могут помочь вам обнаружить перемещение злоумышленников по вашей сети во время атаки.

Кроме того, обращаем внимание на то, что необходимо укреплять защиту и обеспечивать мониторинг не только целевых, но и ключевых систем, ведь они являются промежуточным звеном в цепочке реализации недопустимого для организации события.

Как было отмечено ранее, недостатки парольной политики являются одними из ключевых звеньев в большом количестве векторов атак. Злоумышленники могут воспользоваться техникой Brute Force и, если они успешно подберут пару логин — пароль, получить привилегии пользователей-жертв.

В результате внешнего тестирования на проникновение 56% векторов атак, направленных на получение доступа в ЛВС, содержали технику Brute Force. Такое же значение зафиксировано и во время внутренних пентестов у доли векторов, реализующих эскалацию привилегий в домене. Однако если взять все проекты, где была успешно применена эта техника, то доля возрастает до 72%. Это означает, что в 7 из 10 инфраструктур возможно успешно подобрать учетные данные для получения несанкционированного доступа к информации.

Всего было выявлено 128 уязвимостей, связанных с недостатками парольной политики. Среди них 14 — критического уровня опасности, 16 — высокого. Подобного рода недостатки характерны не только для доменных учетных записей, но и для отдельного ПО, например для различных серверов СУБД, платформ виртуализации и систем мониторинга инфраструктуры.

Опираясь на матрицу MITRE ATTACK, специалисты использовали несколько подтехник прямого перебора (Password Guessing, Password Spraying и Password Cracking) в следующем соотношении.

Доля каждой подтехники, используемой специалистами во время брутфорс-атаки.

Какие же пароли удалось скомпрометировать? В целом их можно поделить на несколько категорий:

• простые и словарные пароли (12345678, Qwerty123, Aa12345678, 123qweASD);

• короткие пароли (123456, 123, 111111);

• название компании (******2022);

• по умолчанию (123, change-on-install, 111111).

Отдельно нужно отметить, что в некоторых случаях ключевым являлось то, что в системе отсутствовала система двухфакторной аутентификации. Были случаи, когда человек мог переиспользовать пароль несколько раз.

Для решения проблем, связанных с парольной политикой, мы предлагаем:

• Установить требования к минимальной сложности пароля и исключить использование словарных комбинаций.

• Использовать пароль, содержащий не менее восьми символов, а также буквы разных регистров, знаки, цифры.

• Придумать уникальные пароли для различных учетных записей и ресурсов, а также исключить возможность повторения как минимум трех последних паролей.

• Создавать не пароли, а парольные фразы — это простой способ действительно усложнить пароль.

• Установить время жизни пароля.

• Использовать парольные менеджеры.

В зависимости от ИТ-инфраструктуры многофакторную аутентификацию рекомендуется использовать:

• Для всех сервисов внешнего периметра без исключения и в первую очередь для сервисов VPN и RDG, а также страниц аутентификации почтовых или мультимедиасистем.

• Критически важных внутренних сервисов, компрометация которых может привести к недопустимым событиям и нанести значительный ущерб организации (например, для минимизации возможности реализации недопустимого события «Хищение денежных средств» вход в систему «1С» должен быть защищен с помощью второго фактора).

• Внутренних сервисов, которые хранят (или могут хранить) чувствительную информацию и (или) могут существенно помочь злоумышленнику в изучении инфраструктуры и перемещении внутри периметра (например, к таким сервисам относятся системы help desk и менеджеры паролей).

• Систем управления инфраструктурой (например, серверами управления CI/CD).

• Доступа к серверам хранения исходных кодов (например, к серверам хранения Ansible Playbooks, GitLab, MS Team Foundation Server).

• Доступа к интерфейсам администрирования средств защиты информации (например, решений класса SIEM, AF, NAD, DLP, консоли управления антивирусом).

• Подтверждения особо важных действий.
   

Если для приложения на внешнем периметре невозможно использовать MFA, рекомендуется убрать его с внешнего периметра и предоставить к нему доступ через VPN.

Тестирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. В ходе проведения этих работ наши исследователи помогают выявлять небезопасные места в ключевых и целевых системах, тем самым информируя компании о возможности реализации недопустимого события со стороны реальных злоумышленников. Как и в 2022 году, доля уязвимых к внешнему нарушителю компаний осталась прежней – 96%. В тех организациях, в которых был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100% случаев. В 2022 году этот показатель также был максимальным.

Необходимо отметить, что те организации, которые регулярно проводят пентесты и принимают соответствующие меры по обеспечению безопасности по их результатам, в итоге выходят на более высокий уровень защищенности.

Систематически проверяйте эффективность внедренных мер защиты, а также готовность службы ИБ выявлять и останавливать атаки на ранних этапах — до наступления недопустимых последствий.