Вы работаете инженером в центре информационной безопасности (департамент проектирования и внедрения) компании-интегратора DEMO Lab.
Вам поручили собрать демонстрационный стенд в отдельной «песочнице» и развернуть DLP-систему на отдельном сегменте сети.
В «песочнице» развернуты два контроллер домена (с каталогом Active Directory и ALD Pro), с которым необходимо будет осуществить интеграцию DLP-системы. До установки системы необходимо подготовить доменных пользователей.
В качестве виртуальной инфраструктуры для пилотного проекта используется среда виртуализации VMWare Workstation.
В качестве DLP-системы выбран продукт InfoWatch Traffic Monitor (IWTM). Необходимо развернуть компоненты уровня сети (network) и хоста (endpoint).
Вам необходимо установить и настроить компоненты DLP-системы в соответствии с выданным заданием.
Необходимо использовать следующие виртуальные машины:
Сетевые настройки виртуальных машин указаны в дополнительной карточке заданий.
Основными каналами потенциальной утечки данных являются носители информации, электронная почта и различные интернет-ресурсы.
В компании развернут домен со всеми сотрудниками с указанием ФИО, должности и контактов.
При выполнении заданий можно пользоваться справочными ресурсами в сети Интернет и документацией на компьютерах.
Если в задании необходимо сделать скриншот, необходимо называть его по номеру задания, например: Задание_5_копирование.jpg.
Для дальнейших работ рекомендуется создать в ADподразделение организации (Organization Unit) под названием «FinalOfficeAD», добавить в него новые каталоги пользователей и компьютеров (Users и Computers). В каталог Users рекомендуется добавить следующих пользователей:
Допускается создание дополнительных подразделений внутри указанных для удобства работы (например, для групповых политик).
Для всех пользователей необходимо задать пароль xxXX4321
Для дальнейших работ рекомендуется создать в создать в ALD Pro подразделение организации (Organization Unit) под названием «FinalOfficeALD», добавить в него пользователей:
Допускается создание дополнительных подразделений внутри указанных для удобства работы (например, для групповых политик).
Для всех пользователей необходимо задать пароль xxXX4321
Необходимо настроить двустороннее доверительное отношение между ALD Pro и Active Directory.
В домен ALD Pro необходимо добавить машину Astra-cli и авторизоваться в ней под пользователем useroffice из AD через отношение доверие. Авторизация под пользователем ALDPro допустима, но оценивается меньшим количеством баллов.
Для работы необходимо выполнить следующие настройки ВМ машины IWTM AstraLinux:
В соответствии с Вашей частью пилотного проекта на отдельном сегменте сети «песочницы» Заказчика необходимо развернуть следующие компоненты InfoWatch Device Monitor (IWDM) в режиме All in one на машину IWDM:
Ваша задача — установить указанные компоненты IWDM.
Для контроля общих сетевых ресурсов в организации необходимо развернуть следующие сетевые компоненты InfoWatch Traffic Monitor на машину IWDD
После установки InfoWatch Data Discovery необходимо создать задачу на ежедневное сканирование сетевых ресурсов. Предварительно требуется создать общую сетевую папку на виртуальной машине Demo.lab: «share_astra».
Необходимо настроить доступ на чтение и запись к созданной для Data Discovery сетевой папке пользователю admin и группе admins домена ALD Pro, и пользователю useroffice домена MS AD. Остальные пользователи доступа к папке иметь не должны
Зафискировать скриншотом настройку прав, а также подключение к папке пользователем admin с рабочей станции AstraClient (клиент ALD Pro)
Зафиксировать скриншотом работоспособность data discovery и задач, проверить сработку на любой файл и любую политику. Создать отдельную выборку.[SA1]
Для проверки правильности конфигурирования IWTM необходимо создать:
Зафиксировать скриншотом работоспособность.
Зафиксируйте все этапы настройки, создания и выполнения (срабатывание, где возможно) всех политик скриншотами!
Настройте политику паролей согласно требованиям:
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте политику, запрещающую всем пользователям кроме администраторов домена авторизацию на контроллеры домена
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте политику, разрешающую всем пользователям домена авторизацию на все машины кроме контроллерова домена с использованием графической сесси (в том числе RDP!). Авторизация по ssh должна быть запрещена
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Запретите пользователю ldapbind авторизацию на серверные и клиентские машины домена. Для запрета используйте параметры пользователя вместо политик HBAC
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте политику, разрешающую всем пользователям домена перезапускать службу salt-minion от имени суперпользователя
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте политику, разрешающую администраторам домена запускать оболочку bash от имени суперпользователя
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте групповую политику, запрещающую выключение и перезагрузку компьютера всем пользователям, кроме администраторов. Примените политику на компьютер Astra-Cli
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте групповую политику, устанавливающую темну тему рабочего стола пользователям подразделения SpbOffice. Примените политику на компьютер Astra-Cli
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Задайте минимальный срок жизни kerberos-билетов 12 часов
Проверить работоспособность. Выполнение зафиксировать скриншотом.
Создайте пользователя gpoadmin. Выдайте пользователю следующие привелегии:
Настройте уведомление об окончании действия пароля за 14 дней
Зафискируйте создание политики скриншотов
Выполните удаленное подключение к рабочей станции AstraCli средствами web-интерфейса ALD Pro
Зафиксируйте работоспособность удаленного подключения скриншотом
Используйте для входа в консоль IWDM доменного пользователя admin-dm.
Задать максимальные права пользователя на работу в консоли IWDM.
Проверить работоспособность, зафиксировать настройку и выполнение скриншотом запущенной консоли.
Необходимо создать новые политики (кроме политики на устройства по умолчанию),
Название: «Отдел 1»
Группа компьютеров: Виртуальная машина Astra-cli
Правило 1
Необходимо собрать статистику активности сотрудника.
Зафиксировать настройку скриншотом.
Правило 2
Необходимо разрешить копирование на съемные устройства файлов интрепретатора python, размером до 10КБ.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 3
В связи с небезопасностью ftp-серверов разрешить только скачивание по протоколу ftp, загрузку файлов на сервер запретить.
Проверить работоспособность и зафиксировать настройку и выполнение скриншотами.
Правило 4
В последнее время бюджет компании стал резко падать. Подозрения пали на главного бухгалтера и отдел бухгалтерии, директор подозревает их в сговоре, с целью проведении денежных средств «мимо кассы». В связи с этим необходимо вести мониторинг слов «касса», «наличка», «обналичивание» вводимых с клавиатуры на рабочих станциях пользователей.
Зафиксировать выполнение скриншотом (окно настройки).
Правило 5
Заблокируйте доступ к CD/DVD для сотрудников.
Зафиксировать выполнение скриншотом.
Правило 6
Необходимо разрешить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них.
Проверить работоспособность и зафиксировать выполнение занесением пары событий в IWTM на любые политики.
Правило 7
Необходимо поставить на контроль буфер обмена в текстовых процессорах (Kate).
Зафиксировать настройку скриншотом.
Правило 8
1. Необходимо отслеживать копирование всех файлов на USB-накопители.
2. Запретить копирование файлов в ранее созданную общую папку data discovery share-astra
Проверить работоспособность и зафиксировать выполнение.
Правило 9
В связи с подозрениями необходимо делать снимки экрана пользователя каждые 80 секунд.
Зафиксировать настройку скриншотом.
Создайте в системе InfoWatch Traffic Monitor политики безопасности согласно нижеперечисленным заданиям.
• Политики должны автоматически блокировать трафик и/или предупреждать о нарушении в соответствии с заданием.
• Для некоторых политик необходима работа с разными разделами консоли управления TM: категориями и терминами, технологиями, объектами защиты и т. п.
• При выявлении уязвимости DLP-система должна автоматически устанавливать уровень угрозы в соответствии с заданием.
• Списки сотрудников, занимаемые позиции и отделы сотрудников (HR, Accounting и др.) представлены в разделе «Персоны» Infowatch Traffic Monitor по результатам LDAP-синхронизации с AD-сервером компании
• После создания всех политик будет запущен автоматический «генератор трафика», который передаст на InfoWatch Traffic Monitor поток данных, содержащих как утечки, так и легальную информацию.
• При правильной настройке политики InfoWatch Traffic Monitor должны автоматически выявить (или блокировать) и маркировать инциденты безопасности. Не должно быть ложных срабатываний, т. к. легальные события не должны маркироваться. Должны быть выявлены все инциденты безопасности.
• Необходимо пользоваться объектами защиты.
ВНИМАНИЕ! Необходимо называть политики/объекты/категории/тэги и т. п. ТОЛЬКО в соответствии с номером и названием задания:
Политики — Политика XX, например «Политика 5». Для комбинированных политик формат: Политика 5.1, Политика 5.2 и т. д.
Объект защиты — Объект и XX, например «Объект 11».
Ошибки в названиях приводят к снижению баллов или даже к невозможности проверки. При выполнении задания учитывайте, что совместно с созданными могут срабатывать стандартные политики, что необходимо предотвратить.
ВНИМАНИЕ! ВСЕ политики «по-умолчанию», находящиеся в IWTM на момент старта соревнований, должны быть отключены или удалены.
Для правильной работы системы необходимо настроить периметр компании:
У генерального директора компании недавно появился котик и его фото утекло в сеть компании. Теперь сотрудники обмениваются смешными картинками с подписями и масками внутри компании и выкладывают их в социальные сети. Директор решил, что его котик вызвал снижение качества работы сотрудников из-за повышенной милоты картинок и хочет запретить обмен фотографией котика. Необходимо запретить обмен фотографией и немного измененной фотографией котика (до ≈50%) как внутри компании, так и за ее пределы. Фотография котика есть в дополнительных данных.
При переезде в новый просторный офис, компанией ООО Demo Lab был расширен штаб сотрудников – было решено взять несколько десятков выпускников технических вузов на стажировку. Для того, чтобы они работали более эффективно, директор компании предложил отслеживать сообщения, содержащие IP-адреса версии. Так как предприимчивые выпускники «в тихую» проводят внутренние соревнования по Counter-Strike разворачивая локальные сервера внутри компании. IP – адреса могут иметь следующие конструкции:
IPv6 – адрес (например 2001:0db8:abf2:29ea:5298:ad71:2ca0:4ff1)
IPv6 – адрес + префикс (например 2001:0db8:abf2:29ea:5298:ad71:2ca0:4ff1/32)
Из перехвата следует исключить 2001:0df7:cef7:29f7:52f7:adf7:2cf7:4ff7Вердикт: Заблокировать ×
Уровень нарушения: высокий •
Тег: Политика 2
В связи с внедрением DLP систем в военные подразделения, возникла необходимость контроля утечки данных.
Политика должна срабатывать в случае обнаружения в документе ФИО и звания и/или наименования техники - последовательности из заглавных букв русского алфавита идущих подряд в количестве от 1-3 – от 2 до 3 цифр, пробела и от 1 до 5 цифр(количество техники)
Дочерняя компания «ООО Повозка» занимается транспортировкой грузов в разные города. Каждому рейсу присваивается уникальный идентификационный номер по следующему шаблону «5 букв (кириллица, любой регистр) - (знак дефиса) номер груза (от 0 до 800, исключая следующие номера: 233 и 321) / (слеш) от 1 до 4 букв (кириллица, верхний регистр) Например:АБВГД-123/Л , ЕЁЖЗИ-665/ЪГА Не должно быть срабатывания на следующие номера грузов (например: ЁЖИКА-233/ю или УФААА-321/ШАП). Необходимо контролировать передачу, а также копирование на съемные носители и печать вышеуказанных данных. Проверить работоспособность. Учтите, что особо обобщенные регулярные выражения лучше разделить на несколько текстовых объектов для оптимизации поиска.
Необходимо создать политики для отслеживания документов (передача и копирование), содержащих договор компании (договор компании.docx).
Политики должны работать следующим образом (за периметр компании):
Все политики, объекты и прочие элементы должны называться в соответствии с номерами (например Объект 5.1, Политика 5.2, Технология 5.3 и т. д.)
Стало известно, что сотрудники охраны (Security) ООО «Повозка» за определенную сумму пропускают автомобили из близлежащих домов на служебную парковку. В связи с ужесточением корпоративной политики в компании, правом въезда на территорию обладает только генеральный директор.
Сотрудники охраны ведут журнал учета автомобилей в электронном виде и обмениваются между собой данными о припаркованных автомобилях.
Необходимо детектировать и блокировать номера всех автомобилей, которые незаконно парковались на частной территории компании ООО «Повозка», исключая номер автомобиля генерального директора М333АО102.
Тег: Политика 6
В честь юбилея компании была запущена акция с промокодами на скидку в 50% на перевозки для постоянных клиентов. По условиям акции промокод выдается только по запросу постоянного клиента. Есть вероятность утечки промокодов, в связи с этим необходимо контролировать защитить учечку текстового документа, содержащего промокоды («коды.docx»). Стоит учесть, что сотрудники могут слить не весь файл, а один или несколько купонов. Запретить передачу данных, содержащих информацию об этих купонах, а также отслеживать копирование этой информации на внешние носители, тег «Политика 7»
Проверить работоспособность на все купоны и на 1-2 купона.
В связи с тем, что компания является оператором обработки персональных данных, необходимо запретить всем сотрудникам кроме отдела кадров отправлять документы, содержащие информацию о СНИЛС, ИНН, паспортных данных (в текстовом и графическом виде) за пределы компании.
Два месяца назад в компании DemoLab заметили, что сотрудница отдела кадров расходует в три раза больше бумаги, чем прежде, хотя объем работ не был увеличен. Путем наблюдения за сотрудницей было установлено, что она, состоя в совете школьной родительской общественности, регулярно собирает деньги с родителей за печать докладов и рефератов учеников класса, бесплатно распечатывая их в компании.
Необходимо создать политику безопасности, которая будет включать слова (с учетом морфологии): «реферат», «доклад», «ученик», «школа», «класс».
В последнее время сотрудники стали чаще обсуждать популярные сериалы в мессенджерах и социальных сетях, из-за чего упала общая производительность на 5%. Было решено отследить, кто больше всего занимается не рабочей деятельностью, для чего необходимо создать политику для отслеживания 5 (пяти) популярных на данный момент сериалов при передаче через веб-сообщения и почту.
Список: Ривердэйл, Сестра Рэтчед, Племена Европы, Сквозь снег, Варвары
Служба безопасности подозревают сотрудника ИТ подразделения в передаче NTLM хэшей. Необходимо выяснить, кто из ИТ подразделения занимается передачей информации. Поставьте на контроль передачу данных только ИТ подразделения как за пределы компании, так и внутри.
Компания-партнёр ООО «Рога» занимается разработкой технических чертежей. Необходимо запретить передачу за периметр компании
У каждого чертежа есть уникальный номер, состоящий из:
Первые 3 буквы латиница верхний регистр кроме E, D и F после идет “-“ номер от 0001 до 5000 после “+” 3 буквы кириллица или латиница верхний регистр. Если идут 3 буквы кириллица: “-“ и 3 цифры. Если латиница: “/” и 2 цифры.
У директора компании скоро юбилей и сотрудники решили его поздравить, сделав коллаж из его фотографий. Для того чтобы данное поздравление не попало к директору раньше срока, необходимо контролировать передачу фотографий директора, как внутри компании, так и за его пределами. Критичным является минимум 20%-ное совпадение передаваемого фото.
При переезде в новый просторный офис, компанией ООО Demo Lab был расширен штаб сотрудников – было решено взять несколько десятков выпускников технических вузов на стажировку. Для того, чтобы они работали более эффективно, директор компании предложил отслеживать доступ сотрудникам, работающим в отделе ИТ, доступ к основным социальным сетям и анонимным имиджбордам – vk.com, ok.ru, t.me, dobrochan.org, ii.yakuji.moe
Контроль для тестовых целей установить за электронными письмами в эти доменные зоны.
В связи с внедрением DLP систем в военные подразделения, возникла необходимость контроля утечки данных. Политика должна срабатывать в случае обнаружения в документе военного билета с номером и/или ВУС - последовательности из цифр алфавита идущих подряд в количестве 6 и букв от А-Д(категории годности)
Необходимо поставить на мониторинг все файлы сертификатов (DER, PKCS), так как попытки передачи таких данных несут потенциальную опасность компрометации сервисов компании.
Проверить работоспособность.
Задание 1. Пользователь
Необходимо создать пользователя системы с правами доступа только на чтение и выполнение отчетов, сводок и событий.
Создайте новые вкладки сводки в разделе «Сводка» под названием «ФНЧ2023» и «Особые сводки ФНЧ»
При создании выборок для сводок необходимо помещать их в каталог выборок «ФНЧ2023». Создайте в сводке «ФНЧ2023» 4 виджета:
Неверный срок действия виджета или подборка данных для визуализации является грубой ошибкой.
Необходимо создать виджет в разделе «Сводка», вкладка «Особые сводки», отображающий события с уровнем угрозы от низкого до высокого на правила копирования и хранения за последние 7 дней.
Зафиксировать скриншотом конструктора выборки.
Необходимо создать виджет в разделе «Сводка», вкладка «Особые сводки» для отображения нарушений только от обоих компьютеров нарушителей (виртуальных машин) со средним и высоким уровнем угрозы за последние 3 дня.
Зафиксировать скриншотом конструктора выборки.
Необходимо создать виджет в разделе «Сводка», вкладка «Особые сводки» для отображения нарушений с любым тегом только от пользователей домена Demoза последний месяц.
Зафиксировать скриншотом конструктора выборки.