Для контроля общих сетевых ресурсов в организации необходимо развернуть следующие сетевые компоненты InfoWatch Traffic Monitor на машину IWDM:
CrawlerServerиCrawlerScanner.
ПослеустановкиInfoWatchCrawlerнеобходимо создать задачу наежедневное сканирование сетевых ресурсов (папки share_iwtm, share_iwdm). Предварительно требуется создать общие сетевые папки:
1. На виртуальной машине IWTM создать папку «share_iwtm» с правами чтения и записи для всех пользователей домена
2. На виртуальной машине IWDMсоздать папку «share_iwdm» с правами чтения и записи для всех пользователей домена
Зафиксировать создание и выполнение скриншотом.
Модуль 5: Технологии агентского мониторинга
Задание 1
Необходимо применить групповые политики Windows для OU «Office».
Групповая политика 1:
¾ Минимальная длина пароля должна составлять 8 символов;
¾ Срок жизни пароля должен составлять 25 дней
Выполнение задания подтвердить скриншотами.
Групповая политика 2:
¾ Отключить возможность локального входа для пользователей tmofficer и ldapuser с помощью групповых политик
Выполнение задания подтвердить скриншотами.
Групповая политика 3:
¾ С помощью редактора групповой политики запретить доступ к реестру. Выполнение задания подтвердить скриншотами.
Групповая политика 4:
¾ С помощью редактора групповой политики настройте запрет запуска winver.exe. Выполнение задания подтвердить скриншотами.
Групповая политика 5:
¾ С помощью редактора групповой политики ограничить доступ к панели управления. Выполнение задания подтвердить скриншотами.
Групповая политика 6:
¾ Задать Обязательный (Mandatory) профиль для пользователяuseroffice2. Эталонный профиль можно сформировать с любого пользователя
Зафиксируйте все этапы настройки, создания и выполнения (срабатывание, где возможно) задания скриншотами в папке «Чемпионат» на рабочем столе компьютера.
Задание 2
Используйте для входа в консоль IWDM доменного пользователя admin-dm.
Задать максимальные права пользователя на работу в консоли IWDM.
Проверить работоспособность, зафиксировать настройку и выполнение скриншотом запущенной консоли.
Задание 3
Необходимо создать новые политики (кроме политики на устройства по умолчанию),
Политика 1:
Название: «Отдел 1 »
Группа компьютеров: Виртуальная машина пользователя userofficer1
Политика 2:
Название: «Отдел 2 »
Группа компьютеров: Виртуальная машина пользователя userofficer2
Зафиксировать выполнение скриншотами.
Правила для Отдела 1:
Правило1
Необходимо запретить создание снимков экрана в табличных процессорах (Excel или OpenOffice Calc) и калькуляторе для предотвращения утечки секретных расчетов и баз данных.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 2
Необходимо запретить печать на локальных принтерах, но при этом оставить возможность печати на сетевых принтерах.
Зафиксировать создание политики скриншотом.
Правило 3
Создать политику по блокировке копирования исполняемых exe-файлов на USB-накопители. Проверить работоспособность и зафиксировать выполнение (зафиксировать результаты в виде скриншотов).
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 4
В связи с небезопасностью ftp-серверов разрешить только скачивание по протоколу ftp, загрузку файлов на сервер запретить.
Проверить работоспособность на любом доступном файловом сервере и зафиксировать выполнение скриншотом.
Правила для Отдела 2:
Правило 5
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 6
С учетом ранее созданной политики необходимо разрешить запись файлов на доверенный носитель. Запрет на запись на остальные носители оставить в силе.
Проверить работоспособность и зафиксировать настройку и выполнение скриншотами.
Правило 7
На виртуальной машине необходимо запретить использование буфера обмена при подключении к удаленным машинам по протоколу RDP, а в группе компьютеров по умолчанию необходимо контролировать буфер обмена при копировании из/в терминальных сессий.
Проверить работоспособность попыткой копирования текста из сеанса RDP и зафиксировать выполнение скриншотом как блокировки, так и контроля.
Для работы RDPможет потребоваться дополнительная настройка.
Правило 8
Необходимо поставить на контроль буфер обмена в текстовых процессорах (Word или Writer или Wordpad).
Проверить работоспособность и зафиксировать выполнение занесением пары событий в IWTM на любые политики.
Правило 9
Для предотвращения неэффективного расхода рабочего времени сотрудников отслеживать движение видео контента (*.avi, *.mov, *.mp4) в общих папкахкомпании. Отдельно контролировать файлы больше 10 Мбайт и меньше 10 Мбайт. (1 Мбайт = 1024 Кбайт)
Проверить работоспособность и зафиксировать выполнение скриншотом
Модуль 3: Разработка политик безопасности в системекорпоративной защиты информации от внутренних угроз
Создайте в системе InfoWatch Traffic Monitor политики безопасности согласно нижеперечисленным заданиям.
• Политики должны автоматически блокировать трафик и/или предупреждать о нарушении в соответствии с заданием.
• Некоторые политики должны быть созданы с нуля, некоторые могут быть сделаны путём модификации существующих в системе.
• Для некоторых политик необходима работа с разными разделами консоли управления TM: категориями и терминами, технологиями, объектами защиты и т. п. Способ, которым создана корректная политика, оставлен на усмотрение самого экзаменуемого.
• При выявлении уязвимости DLP-система должна автоматически устанавливать уровень угрозы в соответствии с заданием (если в задании это не указано явно, участник должен самостоятельно задать уровень угрозы при разработке политики).
• Списки сотрудников, занимаемые позиции и отделы сотрудников (HR, Accounting и др.) представлены в разделе «Персоны» Infowatch Traffic Monitor по результатам LDAP-синхронизации с AD-сервером компании
• После создания всех политик будет запущен автоматический «генератор трафика», который передаст на InfoWatch Traffic Monitor поток данных, содержащих как утечки, так и легальную информацию.
• При правильной настройке политики InfoWatch Traffic Monitor должны автоматически выявить (или блокировать) и маркировать инциденты безопасности. Не должно быть ложных срабатываний, т. к. легальные события не должны маркироваться как вредоносные. Не должно быть неправильной маркировки. Должны быть выявлены все инциденты безопасности.
• В комплексных заданиях необходимо пользоваться объектами защиты.
• Задания можно выполнять в любом порядке.
• Проверьте синхронизацию времени на всех системах, т. к. расхождение во времени между системами может повлиять на актуальность событий.
• Для некоторых политик могут понадобиться дополнительные файлы, которые можно найти в папке «Additionalfiles» в общей папке из дополнительных сведений.
• Выполнение отдельных заданий необходимо подтвердить скриншотом (это всегда указывается отдельно). В этом случае необходимо протоколировать свои результаты с помощью двух скриншотов для каждого задания (скриншот заданной политики и скриншот ее работы). Для некоторых заданий необходимо после фиксации результатов в виде скриншотов удалить заданную политику, что будет оговорено отдельно в тексте задания.
• Все скриншоты необходимо сохранить на рабочем столе в папке «Модуль 3».
Формат названия скриншотов политик:
Пример 1 для сохранения скриншота созданной политики: 01-CP.jpg
где СP – сокращение от англ. сreating а policy, 01 – номер задания
Пример 2 для сохранения скриншота работающей политики: 04-PW-1.jpg, 04-PW-2.jpg, где PW – сокращение от англ. policy work, 04 – номер задания, 1,2 – номер скриншотов
ВНИМАНИЕ!Необходимо называть политики / объекты / категории / тэги и т.п. ТОЛЬКО в соответствии с номером и названием задания:
Политики — Политика XX, например «Политика 5 ». Для комбинированных политик формат: Политика 5.1, Политика 5.2 и т.д.
Объект защиты — Объект и XX, например «Объект 11 ».
Ошибки в названиях приводят к снижению баллов или даже к невозможности проверки. При выполнении задания учитывайте, что совместно с созданными могут срабатывать стандартные политики, что необходимо предотвратить.
ВНИМАНИЕ! ВСЕ политики «по-умолчанию», находящиеся в IWTM на момент старта соревнований, должны быть отключены или удалены
При разработке и тестировании политик стоит учитывать, что нарушителем могут являться не только указанные в задании пользователи, а еще и виртуальная машина с агентом мониторинга
Задание 1
Создайте список веб-ресурсов и назовите его «Сайты партнеров». Туда необходимо включить следующие веб-ресурсы:
kb.infowatch.com, worldskills.moscow, worldskills.ru, infotecs.ru
Задание 2
Для правильной работы системы необходимо настроить периметр компании:
Домен: demo.lab.
Список веб ресурсов: Сайты партнеров
Группа персон: пользователи домена.
Исключить из перехвата почту генерального директора.
Подтвердите выполнение задания скриншотами.
Политика 1
У генерального директора компании недавно появился котик и его фото утекло в сеть компании. Теперь сотрудники обмениваются смешными картинками с подписями и масками внутри компании и выкладывают их в социальные сети. Директор решил, что его котик вызвал снижение качества работы сотрудников из-за повышенной милоты картинок и хочет запретить обмен фотографией котика. Необходимо запретить обмен фотографией и немного измененной фотографией котика (до ≈50%) как внутри компании, так и за ее пределы. Фотография котика есть в дополнительных данных.
Вердикт: Заблокировать ×
Уровень нарушения: низкий •
Тег: Политика 1
Политика 2
В последнее время бюджет компании стал резко падать. Подозрения пали на главного бухгалтера, директор подозревает его в проведении денежных средств «мимо кассы». В связи с этим необходимо отслеживать передачу всех номеров и сканов кредитных карт, отправляемых из отдела Бухгалтерии
Вердикт: Заблокировать ×
Уровень нарушения: высокий •
Тег: Политика 2
Политика 3
Необходимо настроить мониторинг выгрузок из БД для контроля движения данных из базы данных страховых компаний. Критичными данными в выгрузке являютсятелефоны, ИНН, Регистрационный номер, ОКФС, ОКВЭД и ОКОПФ и в 1 документе присутствует более 5компаний. Для настройки используйте файл stock_members_details_catch.csv.
Вердикт: Разрешить Ö
Уровень нарушения: низкий •
Тег: Политика 3
Политика 4
Дочерняя компания «ООО Повозка» занимается транспортировкой грузов в разные города. Каждому рейсу присваивается уникальный идентификационный номер по следующему шаблону «3 буквы (латиница, любой регистр) - (знак дефиса) номер груза (от 0 до 1000, исключая следующие номера: 777 и 315) - (дефис) от 1 до 3 букв(кириллица, верхний регистр) Например: jDT-123-Л, kSR-665-ЪГА Не должно быть срабатывания на следующие номера грузов (например: kdO-315-ю или jtfd-777-ШАП). Необходимо контролировать передачу, а также копирование на съемные носители и печать вышеуказанных данных. Проверить работоспособность. Учтите, что особо обобщенные регулярные выражения лучше разделить на несколько текстовых объектов для оптимизации поиска.
Вердикт: Разрешить Ö
Уровень нарушения: средний •
Тег: Политика 4
Политика 5
Необходимо создать политики для отслеживания документов (передача и копирование), содержащих договор компании (договор компании.docx).
Политики должны работать следующим образом (за периметр компании):
1. Если передается только договор компании (шаблон и заполненный шаблон, до 25% изменений) – разрешать передачу, уровень угрозы низкий, тег «Политика 5.1».
2. Если передается договор компании, в котором присутствует фамилия генерального директора, а также главного бухгалтера – разрешать передачу, уровень угрозы средний, дополнительный тег «Политика 5.2». Политика не должна срабатывать, если в документе только фамилия директора или только фамилия бухгалтера.
3. Если передается договор компании, в котором присутствует фамилия генерального директора,главного бухгалтера, а также стоит печать компании (ООО Повозка) – разрешить передачу, уровень угрозы высокий, тег «Политика 5.3».
Проверить работоспособность. Политики не должны срабатывать внутри компании, только при передаче за периметр.
Все политики, объекты и прочие элементы должны называться в соответствии с номерами (например Объект 5.1, Политика 5.2, Технология 5.3 и т.д.)
Вердикт 1: Разрешить Ö
Уровень нарушения 1: низкий •
Тег 1: Политика 5.1
Вердикт 2: Разрешить Ö
Уровень нарушения 2: средний •
Тег 2: Политика 5.2
Вердикт 3: Заблокировать ×
Уровень нарушения 3: высокий •
Тег 3: Политика 5.3
Политика 6
Стало известно, что сотрудники охраны (Security) ООО «Повозка» за определенную сумму пропускают автомобили из близлежащих домов на служебную парковку. В связи с ужесточением корпоративной политики в компании, правом въезда на территорию обладает только генеральный директор.
Сотрудники охраны ведут журнал учета автомобилей в электронном виде и обмениваются между собой данными о припаркованных автомобилях.
Необходимо детектировать номера всех автомобилей, которые незаконно парковались на частной территории компании ООО «Повозка», исключая номер автомобиля генерального директора К333ОТ777.
Буквы, используемые в автомобильных номерах:
А, В, Е, К, М, Н, О, Р, С, Т, У, Х (Верхний регистр)
Цифры, используемые в автомобильных номерах:
000 – 999
Регионы автомобильных номеров, подлежащие детектированию:
77, 97, 99, 177, 197, 199, 777, 799
Вердикт: заблокировать ×
Уровень нарушения: Высокий •
Тег: Политика 6
Политика 7
В честь юбилея компании была запущена акция с промокодами на скидку в 50% на перевозки для постоянных клиентов. По условиям акции промокод выдается только по запросу постоянного клиента. Есть вероятность утечки промокодов, в связи с этим необходимо контролировать защитить учечку текстового документа, содержащего промокоды («промокоды.docx»). Стоит учесть, что сотрудники могут воспользоваться жестким диском или флеш-накопителем, для того чтобы завладеть акционными купонами, а также слить не весь файл, а один или несколько купонов. Запретить передачу данных, содержащих информацию об этих купонах, а также отслеживать копирование этой информации на внешние носители, тег «Политика 7»
Проверить работоспособность на все купоны и на 1-2 купона.
Вердикт: заблокировать ×
Уровень нарушения: средний •
Тег: Политика 7
Политика 8
В связи с тем, что компания является оператором обработки персональных данных, необходимо запретить всем сотрудникам кроме отдела кадров отправлять сканы/скриншоты и документы, содержащие информацию о СНИЛС, ИНН, паспортных данных (в текстовом и графическом виде) за пределы компании.
Извлечение текстовых данных из сканированных документов, а также скриншотов подразумевает использование технологии OCR. Необходимо включить данную технологию (ABBYY), используя лицензию, которая находится в папке дистрибутивов. (подробнее см. в доп. карточке задания)
Вердикт: заблокировать ×
Уровень нарушения: средний •
Тег: Политика 8
Политика 9
Два месяца назад в компании DemoLab заметили, что сотрудница отдела кадров расходует в три раза больше бумаги, чем прежде, хотя объем работ не был увеличен. Путем наблюдения за сотрудницей было установлено, что она, состоя в совете школьной родительской общественности, регулярно собирает деньги с родителей за печать докладов и рефератов учеников класса, бесплатно распечатывая их в компании.
Необходимо создать политику безопасности, которая будет включать слова (с учетом морфологии): «реферат», «доклад», «ученик», «школа», «класс».
Проверку необходимо проверить путем отправки документа на печатьи при помощи электронной почты.
Вердикт: Заблокировать ×
Уровень нарушения: низкий •
Тег: Политика 9
Политика10
В последнее время сотрудники стали чаще обсуждать популярные сериалы в мессенджерах и социальных сетях, из-за чего упала общая производительность на 5%. Было решено отследить, кто больше всего занимается не рабочей деятельностью, для чего необходимо создать политику для отслеживания 5 (пяти) популярных на данный момент сериалов при передаче через веб-сообщения и почту.
Список сериалов:
Ривердэйл, Сестра Рэтчед, Племена Европы, Сквозь снег, Варвары
Вердикт: разрешить √
Уровень нарушения: низкий •
Тег: Политика 10
Политика 11
Оказалось, что сотрудники не только обсуждают сериалы, а еще и обмениваются ссылками и torrent-файлами для их скачивания, после чего скачивают их, используя интернет-канал компании или обмениваются скачанным материалом внутри компании, что также нагружает сеть и заполняет ненужными данными локальные диски пользователей.
В связи с этим необходимо блокировать передачу (а где это невозможно — просто контролировать) файлов формата.torrent и ссылок формата magnet: (и содержащей urn (хеш) файла). Ложных срабатываний просто на слово Magnet (в т.ч. с двоеточием) быть не должно.
Стоит учесть, что magnet-ссылки могут передаваться в том числе через буфер обмена в пределах браузера GoogleChrome.
Вышеуказанными данными сотрудники могут обмениваться не только внутри компании.
Для торрент-файлов и ссылок:
Вердикт: запретить ×
Уровень нарушения: средний •
Тег: Политика 11
Политика 12
У директора компании скоро юбилей и сотрудники решили его поздравить, сделав коллаж из его фотографий. Для того чтобы данное поздравление не попало к директору раньше срока, необходимо контролировать передачу фотографий директора, как внутри компании, так и за его пределами. Критичнымявляется минимум 20%-ное совпадение передаваемого фото.
Вердикт: разрешить √
Уровень нарушения: низкий •
Тег: Политика 12
Политика 13
При переезде в новый просторный офис, компанией ООО Demo Lab был расширен штаб сотрудников – было решено взять несколько десятков выпускников технических вузов на стажировку. Для того, чтобы они работали более эффективно, директор компании предложил отслеживать доступ сотрудникам, работающим в отделе ИТ, доступ к основным социальным сетям и анонимным имиджбордам – vk.com, ok.ru, t.me, dobrochan.org, ii.yakuji.moe
Контроль для тестовых целей установить за электронными письмами в эти доменные зоны.
Вердикт: разрешить √
Уровень нарушения: средний •
Тег: Политика 13
Политика 14
Сотрудники и партнеры компании стали получать большое количество различных рекламных сообщений на мобильные номера, в связи с чем возникло подозрение о том, что кто-то производит «слив» номеров из баз данных компании путем передачи информации за пределы компании через браузер, почту или флешки.
Необходимо контролировать передачу как минимум 3 мобильных номеров в 1 сообщении, т.к. передача всего одного номера не является потенциальным сливом данных (может быть просто контактной информацией).
Мобильные номера могут быть только операторов РФ (код страны 7, код оператора начинается с 9), в различных форматах, например:
+7 (987) 123-45-67, +79871234567, +7 987 123 4567, 8-987 123-4567 и т.д.
Необходимо учесть все варианты, в т.ч. без кода страны, кода выхода на городскую телефонную сеть, комбинации пробелов, скобок, дефисов.
Вердикт: разрешить √
Уровень нарушения: Высокий •
Отправить уведомление: офицеру безопасности
Тег: Политика 14
Политика 15
Необходимо поставить на мониторинг все зашифрованные и запароленные данные, так как попытки передачи таких данных несут потенциальную опасность утечки.
Проверить работоспособность.
Вердикт: разрешить √
Уровень нарушения: низкий •Тег: Политика 15