 |
Задание 5: Проверка работоспособности системы
|
|
|
|
Вариант 1
Описание
Вам необходимо установить и настроить компоненты системы в соответствии с выданным заданием.
Основными каналами потенциальной утечки данных являются носители информации, электронная почта и различные интернет ресурсы.
Серверные компоненты устанавливаются в виртуальной среде, причем Windows Server для Device Monitor уже предустановлен, а InfoWatch Traffic Monitor необходимо будет установить самостоятельно с помощью дистрибутива kickstart.
Также у вас есть компьютер или виртуальная машина «нарушителя» для отработки политик.
В компании развернут домен со всеми сотрудниками с указанием ФИО, должности и контактов.
Стоит отметить, что имена компьютеров должны быть уникальными в соответствии с заданием.
В случае, если в задании указано «зафиксировать выполнение скриншотом», скриншот необходимо сохранить на рабочем столе host-машины в папке ДЭ, название файла должно содержать в себе название модуля и раздела.
При выполнении заданий можно пользоваться справочными ресурсами kb.infowatch.com.
Модуль 1: Установка и настройка системы.
Задание 1: Установка InfoWatch Traffic Monitor
Необходимо установить InfoWatch Traffic Monitor в виртуальной среде VMWare Workstation. Для установки необходимо создать виртуальную машину или убедиться в правильности настроек виртуальной машины:
· Количество ядер процессора: 2
· Объем оперативной памяти: 8 ГБ
· Объем жесткого диска: 100 ГБ (динамически расширяемый)
· Образ установочного: указан в дополнительных сведениях
· Настройки сетевых интерфейсов указаны в дополнительных сведениях
Параметры IWTM: версия Enterprise, база данных PostgreSQL.
Обратите внимание на разметку диска при установке системы.
|
|
|
Пароль суперпользователя необходимо установить xxXX1122
Пароль офицера безопасности InfoWatch Traffic Monitor для доступа к веб-интерфейсу необходимо изменить на 1122XXxx
Необходимо активировать лицензию.
Необходимо синхронизировать каталог пользователей и компьютеров LDAP.
Запишите IP -адрес, token, а также все нестандартные логины и пароли вашей системы в текстовом файле “ iwtm. txt ” на рабочем столе host машины.
Корректно выполненным заданием будет являться установленная и работоспособная система с верно настроенными параметрами.
Задание 2: Установка и настройка сервера InfoWatch Device Monitor
Необходимо ввести Windows Server в домен от пользователя, указанного в дополнительных сведениях и продолжить работу от него.
Установить базу данных PostgreSQL с параметрами по умолчанию. Пароль суперпользователя БД должен быть xxXX1122
Установить InfoWatch Device Monitor с параметрами по умолчанию.
При установке необходимо настроить пользователя для доступа к консоли управления: officer с паролем xxXX1122
При установке не производить публикацию IWDM сервера в Active Directory.
Синхронизируйте IWDM с Active Directory и свяжите IWDM с вашим InfoWatch Traffic Monitor.
Настройки сетевых интерфейсов указаны в дополнительных сведениях.
Задание 2: Установка InfoWatch Device Monitor Client
Необходимо ввести клиентский компьютер в домен, войти в систему от доменного пользователя, продолжить работу от него.
Необходимо установить Deploy Agent на клиентский компьютер.
Для установки InfoWatch Device Monitor Agent на клиентский компьютер необходимо создать и выполнить задачу первичного распространения.
Зафиксируйте выполнение скриншотом успешно завершенной задачи.
Добавьте компьютер в систему InfoWatch Traffic Monitor или убедитесь в его наличии в каталоге «компьютеры».
Проверьте работоспособность IWDM клиента.
Настройки сетевых интерфейсов указаны в дополнительных сведениях.
Задание 4: Установка и настройка подсистемы Crawler
Необходимо установить подсистему Crawler на Windows Server и связать его с InfoWatch Traffic Monitor. Не забудьте изменить необходимые конфигурационные файлы для нормальной работы Crawler.
|
|
|
Создайте общий доступ на каталог c:\shareone с правами чтения и записи для всех на Windows Server.
Настройте crawler на ежедневное сканирование ранее созданной папки “Shareone” вашего Windows Server.
Задание 5: Проверка работоспособности системы
Необходимо создать проверочную политику в InfoWatch Traffic Monitor на правило передачи, копирования, хранения и буфера обмена текстовых данных (все 4 варианта срабатывания событий), содержащих слова «WorldSkills» и «ДемоЭкзамен, разрешить передачу, установить низкий уровень угрозы для всех событий, добавить тег «WorldSkills».
Называйте политики, объекты и прочие параметры, связанные с заданием «ДемоЭкзамен» (“DemoExam”), можно добавлять цифры, если параметров более одного.
Проверить срабатывание всеми четырьмя возможными способами (передачи, копирования, хранения и буфера обмена).
Зафиксируйте факт нарушений в системе, сделайте скриншот каждого типа событий (или общий).
Корректно выполненным заданием является наличие событий в системе и наличие скриншотов событий.
Модуль 2, 3: Разработка политик безопасности в системе корпоративной защиты информации от внутренних угроз.
Поиск и предотвращение инцидентов.
Технологии анализа сетевого трафика в системе корпоративной защиты информации от внутренних угроз.
Создайте в системе InfoWatch Traffic Monitor политики безопасности согласно нижеперечисленным заданиям.
• Политики должны автоматически блокировать трафик или предупреждать о нарушении в соответствии с заданием.
• Некоторые политики должны быть созданы с нуля, некоторые могут быть сделаны путём модификации существующих в системе.
• Для некоторых политик необходима работа с разными разделами консоли управления TM: категориями и терминами, технологиями, объектами защиты и т. п. Способ, которым создана корректная политика, оставлен на усмотрение самого экзаменуемого.
• При выявлении уязвимости, DLP-система должна автоматически устанавливать уровень угрозы в соответствии с заданием (если в задании это не указано явно, участник должен самостоятельно задать уровень угрозы при разработке политики).
|
|
|
• Списки сотрудников, занимаемые позиции и отделы сотрудников (HR, Accounting и др.) представлены в разделе «Персоны» Infowatch Traffic Monitor по результатам LDAP-синхронизации с AD-сервером компании
• После создания всех политик, будет запущен автоматический «генератор трафика», который передаст на InfoWatch Traffic Monitor поток данных, содержащих как утечки, так и легальную информацию.
• При правильной настройке, политики InfoWatch Traffic Monitor должны автоматически выявить (или блокировать) и маркировать инциденты безопасности. Не должно быть ложных срабатываний, т.к. легальные события не должны маркироваться как вредоносные. Не должно быть неправильной маркировки. Должны быть выявлены все инциденты безопасности.
• Необходимо называть политики/объекты/категории и прочие объекты в соответствии с заданием, например «Политика Задание 2». Без верно названных объектов проверка вашего задания может стать невозможной. Стоит учесть, что совместно с созданными могут срабатывать стандартные политики, поэтому их стоит отключить (удалить) или модифицировать.
• В комплексных заданиях необходимо пользоваться объектами защиты.
• Задания можно выполнять в любом порядке.
• Проверьте синхронизацию времени на всех системах, т.к. расхождение во времени между системами может повлиять на актуальность событий.
• Для некоторых политик могут понадобиться дополнительные файлы, которые можно найти на рабочем столе хост-машины.
• Выполнение отдельных заданий необходимо подтвердить скриншотом (это всегда указывается отдельно). В этом случае необходимо протоколировать свои результаты с помощью двух скриншотов для каждого задания (скриншот заданной политики и скриншот ее работы). Для некоторых заданий необходимо после фиксации результатов в виде скриншотов удалить заданную политику, что будет оговорено отдельно в тексте задания.
• Все скриншоты необходимо сохранить на рабочем столе в папке
«Модуль 2, 3».
Формат названия скриншотов политик:
Пример 1 для сохранения скриншота созданной политики: CP-1.jpg
|
|
|
где СP – сокращение от англ. сreating а policy,
1 – номер задания
Пример 2 для сохранения скриншота работающей политики: PW-1.jpg
где PW – сокращение от англ. policy work,
1 – номер задания.
Пример 3 для сохранения нескольких скриншотов одной работающей политики:
PW-1-2.jpg
где PW – сокращение от англ. policy work,
1 – номер задания;
2 – номер скриншота для задания 1.
Задание 1
Необходимо создать новую категорию веб-ресурсов и добавить в нее следующие сайты: infowatch.com, kb.infowatch.com, worldskills.org, wordlskills.ru, vmware.com.
Подтвердите выполнение задания скриншотами.
Задание 2
Для правильной работы системы необходимо настроить периметр компании:
• Домен: demo.lab.
• Список веб ресурсов: ранее созданный список.
• Группа персон: пользователи домена.
• Исключить из перехвата почту генерального директора.
Подтвердите выполнение задания скриншотами.
Задание 3
Внешние эксперты привлекаются компанией для оценки эффективности работы её службы безопасности в части создания политик DLP-системы.
Создайте пользователя Auditor (Аудитор), пароль xxXX1122, который может только просматривать только политики, без просмотра событий и пользователей.
Подтвердите выполнение задания скриншотами.
Политика 1
В связи с постоянными проблемами при организации очередного демонстрационного экзамена по стандартам WorldSkills, совет директоров решил контролировать передачу информации о WorldSkills и DemoExam (ДемоЭкзамен) за пределы компании. В связи с этим необходимо создать политику в InfoWatch Traffic Monitor на правило передачи текстовых данных за пределы компании (на адрес вне домена), содержащих слова «ВорлдСкиллз», «WorldSkills», «DemoExam» и «ДемоЭкзамен».
Hеобходимо учесть, что в словах могут содержаться комбинации латиницы и кириллицы, а также стоять пробел между словами, например: «Demo Экзамен». Ложных срабатываний быть не должно (например, просто на Экзамен).
Разрешить передачу, но установить средний уровень угрозы. Тег «DemoExam». Проверить работоспособность.
Политика 2
Необходимо ввести под наблюдение руководителей отдела кадров и бухгалтерии.
Ввести политику, детектирующую передачу любой информации от этих пользователей за пределы компании.
Уровень угрозы низкий, детектировать, тег «Бюрократы».
Политика 3
Необходимо запретить передачу документов с грифом (информационной меткой) «ООО Demo Lab. Конфиденциально» или «ООО Demo Lab. Строго конфиденциально» любым сотрудникам за пределы компании. Обратите внимание, что при вводе информационной метки с клавиатуры сотрудники могут ошибаться и вводить между словами более 1 пробела или табуляции. В некоторых документах название компании может быть написано по-русски.
Уровень угрозы высокий, блокировать.
|
|
|
Политика 4
Необходимо контролировать циркуляцию внутри организации документов с грифом «Совершенно Секретно», а также блокировать их приём и передачу за пределы компании. Реализовать политику с помощью технического элемента «Периметр»
Уровень угрозы высокий, блокировать передачу на внешние ресурсы, не блокировать передачу внутри компании, тег «Секретность».
Политика 5
Поступила информация, что сотрудники ИТ параллельно «халтурят», выполняют сторонние заказы, используя ПО и аппаратные средства компании. Необходимо выявить документы, содержащие данные о фрилансе, удаленке, почасовой оплате, заказах. Стоит учесть морфологию и различные варианты написания этих ключевых слов.
Уровень угрозы низкий, блокировать, тег «Халтурщики».
Политика 6
Для контроля за движением официальных документов необходимо вести наблюдение за передачей любых документов с печатями за пределы компании.
Уровень угрозы низкий, не блокировать, тег «Печать».
Политика 7
Для контроля за движением официальных документов необходимо вести наблюдение за передачей как пустых, так и заполненных шаблонов документа «Договор компании.doc» за пределы компании. Стоит учесть, что содержимое документа может изменяться в пределах 25%.
Уровень угрозы низкий, не блокировать, Тег «Шаблон».
Политика 8
Создайте локальную группу пользователей «Злостные прогульщики», а также группу «Ленивые тюленьчики» в Traffic Monitor. Добавьте в каждую из них любых 3-х пользователей из разных отделов.
Подтвердите выполнение задания скриншотами.
Политика 9
Всем сотрудникам кроме отдела кадров запрещено отправлять паспортные данные, в том числе сканы и фото паспортов РФ, данные СНИЛС и ИНН за пределы компании.
Уровень угрозы средний, блокировать.
Политика 10
Было замечено, что сотрудники компании стали получать множество рекламных сообщений электронной почты, из-за чего возникла необходимость отследить потенциальную утечку баз email адресов сотрудников. В связи с этим необходимо детектировать сообщения, содержащие адреса электронной почты.
Стоит учесть, что в связи с импортозамещением данные адреса могут находиться и на кириллических доменах, а также содержать другие допустимые символы email адресов. Пример формата адресов:
[email protected], элепочта@компания.рф и так далее.
Уровень угрозы средний, не блокировать, тег «email».
Политика 11
Ракетное вооружение для авиационных комплексов различного класса, в разработке которого участвует компания в интересах МО РФ, планируется к внедрению в эксплуатацию. Утечки по данному виду продукции в настоящее время недопустимы! Информация о технике может иметь конфиденциальный и секретный характер, хотя и не содержать гриф, в силу высокого темпа работ по проекту.
Необходимо блокировать любые попытки передачи данных об этих объектах на внешние адреса. Технические объекты задаются буквенно-цифирными кодами на русском языке:
Р-Цифры-Буквы или РЦифрыБуква или Р-ЦифрыБуква
• Р – русская буква «Р»
• Цифры – не более 4-х подряд, например 27 или 5000 (может не быть цифр)
• Буквы – от 0 до 2-х подряд, например Р-27АЭ (управляемая ракета класса «воздух-воздух» средней дальности)
При этом после Р или дефиса обязательно должна быть хотя бы одна цифра или одна буква (Т.е. не должно быть срабатываний на просто «Р» или «Р-»).
Уровень угрозы высокий, блокировать, тег «Ракета».
Политика 12
Необходимо поставить на мониторинг все зашифрованные и запароленные данные, т.к. попытки передачи таких данных несут потенциальную опасность утечки.
Уровень угрозы низкий, не блокировать, тег «Шифр».
|
|
|
