Описание задания
В компании «Демо Лаб» возникла необходимость внедрения DLP системы для лучшейзащиты разработок и предотвращения утечек прочей информации. Вам необходимо установить и настроить компоненты системы в соответствии с выданным заданием. Основными каналами потенциальной утечки данных являются электронная почта и различные интернет-ресурсы, если не указано иное.
Политики трафика могут быть проверены вручную или с помощью генератора событий, предоставляемым по запросу.
Серверные компоненты устанавливаются в виртуальной среде, сетевые интерфейсы настроены (кроме адреса DNS сервера на машинах).
Перед экзаменом должны быть подготовлены следующие виртуальные машины для работы (рекомендуется сделать нулевой Snapshot для быстрой подготовки к другим потокам), сеть настроена в режиме NAT (сеть NAT) или Bridge с DHCP, с доступом в интернет, но без доступа к машинам других участников экзамена:
- AD и DNS сервер (контроллер домена), 1,5ГБ ОЗУ и выше, 2 ядра, статическая адресация с доступом в интернет,
- DLP сервер установлен (но не настроен), активирована лицензия, 6ГБ ОЗУ и выше, 2 ядра,
- Виртуальная машина для установки сервера агентского мониторинга, 2ГБ ОЗУ и выше, 2 ядра,
- Виртуальные машины «нарушителей» (2 шт), 1,5ГБ ОЗУ и выше, 2 ядра.
В компании развернут домен со всеми сотрудниками с указанием ФИО, должности и контактов (demo.lab, должен быть развернут из эталонного, получить эталон можно по запросу).
Стоит отметить, что имена всех компьютеров (hostname) должны быть уникальными. При выполнении заданий можно пользоваться разрешенными справочными ресурсами в сети Интернет и документацией на компьютерах.
Все дистрибутивы должны находиться в каталоге, указанном в карточке задания. Все логины, пароли, сетевые настройки и прочее, относящееся к инфраструктуре площадки, должно быть указано в карточке задания.
При создании снимков экрана необходимо делать либо полный снимок экрана, либо целого окна.
Описание модуля 1:
Задание 1: Настройка контроллера домена Для удобства работы рекомендуется создать подразделение "Test" в корневом каталоге оснастки "Пользователи и компьютеры" AD сервера.
Внутри созданного подразделения "Test" необходимо создать и настроить следующих доменных пользователей с соответствующими правами:
Логин: user1, пароль: xxXX1234, права пользователя домена
Логин: user2, пароль: xxXX1234, права пользователя домена
Логин: admin1, пароль:xxXX1234, права администратора домена
Логин: user3, пароль: xxXX1234, права пользователя домена
Логин: user4, пароль: xxXX1234, права пользователя домена
Задание 2: Настройка DLP сервера
DLP-сервер контроля сетевого трафика уже предустановлен, но не настроен.
Необходимо синхронизировать каталог пользователей и компьютеров LDAP с домена с помощью ранее созданного пользователя user4.
Для входа в веб-консоль необходимо настроить использование ранее созданногопользователя домена user3 с полными правами офицера безопасности и на администрирование системы, полный доступ на все области видимости.
Запишите IP-адреса, токен, логины и пароли от учетных записей, а также все прочиенестандартные данные (измененные вами) вашей системы в текстовом файле «отчет.txt» на рабочем столе компьютера.
Задание 3: Установка и настройка сервера агентского мониторинга
Необходимо ввестисервер в домен, после перезагрузки войти в систему от ранее созданного пользователя admin1 (важно). После входа в систему необходимо переместить введенный в домен компьютер в ранее созданное подразделение "Test" на домене.
Установить базу данных PostgreSQL или аналог или функциональный аналог с паролем суперпользователя P@ssw0rd.
Установить сервер агентского мониторинга с параметрами по умолчанию, подключившись к ранее созданной БД.
При установке сервера агентского мониторинга необходимо установить соединение сDLP-сервером по IP-адресу и токену, но можно сделать это и после установки. При установке настроить локального пользователя консоли управления: officer с паролем xxXX1234
Синхронизировать каталог пользователей и компьютеров с Active Directory или функциональным аналогом.
После синхронизации настроить беспарольный вход в консоль управления от ранее созданного доменного пользователя admin1, установить полный доступ к системе, установить все области видимости.
Проверить работоспособность входа в консоль управления без ввода пароля. Если сервер не введен в домен или работает от другого пользователя, данная опция работать не будет.
Задание 4: Установка агента мониторинга на машине нарушителя
Необходимо ввестиклиентскую машину 1 в домен, после перезагрузки войти в систему от ранее созданного пользователя user1.
Необходимо ввести клиентскую машину 2 в домен, после перезагрузки войти в систему от ранее созданного пользователя user2.
После входа в систему необходимо переместить веденные в домен компьютеры в ранее созданное подразделение "Test" на домене.
Установить агент мониторинга на машину Win1 и win2
Описание модуля 2:
Задания выполняются только с помощью компонентов DLP системы или групповых политик (указано в задании). Все сценарии заданий (где применимо) необходимо воспроизвести и зафиксировать результат.
Называйте созданные вами разделы/политики/группы и т. п. в соответствии с заданием, например «Политика 1» или «Правило 1.2» и т. д., иначе проверка заданий может быть невозможна. Выполнение отдельных заданий необходимо подтвердить скриншотом (это всегда указывается отдельно).
Задание 1
Необходимо создать группe компьютеров: «DM», а также создать новую политику: «DM». Политик должна применяться на соответствующую группу. Компьютер 1 и 2 перенести в DM.
Следующие правила создаются в политике «DM».
Правило 1
Необходимо запретить пользоваться Microsoft Paint или аналог, так как участились случаи подделки печатей компании.
Правило 2
Необходимо запретить создание снимков экрана в приложении «Календарь».
Правило 3
Ограничить доступ к определенным облачным хранилищам (DropBox, Yandex Disk).
Правило 4
Необходимо запретить печать на сетевых принтерах.
Правило 5
Необходимо запретить запись файлов на Floppy disk, при этом оставить возможность считывания информации.
Правило 6
С учетом ранее созданной блокировки необходимо разрешить использование доверенного носителя информации.
Правило 7
Полностью запретить использование CD/DVD устройства для пользователя.
Правило 8
С учетом ранее выполненного запрета необходимо предоставить временный доступ для определенного устройства не определенное время для пользователя.
Описание модуля 3: Создайте в DLP-системе политики безопасности согласно нижеперечисленным заданиям. Политики должны автоматически блокировать трафик и/или предупреждать о нарушении в соответствии с заданием. Способ, которым создана корректная политика, оставлен на усмотрение самого экзаменуемого.
При выявлении уязвимости DLP-система должна автоматически устанавливать уровень угрозы в соответствии с заданием. После создания всех политик может быть запущен автоматический «генератор трафика», который передаст поток данных, содержащих как утечки, так и легальную информацию.
При правильной настройке политики должны автоматически выявить (или блокировать) и маркировать инциденты безопасности. Не должно быть ложных срабатываний. Не должно быть неправильной маркировки. Должны быть выявлены все инциденты безопасности.
Для некоторых политик могут понадобиться дополнительные файлы, расположение которых можно узнать из карточки задания или у экспертов.
Выполнение отдельных заданий необходимо подтвердить скриншотом (это всегда указывается отдельно). Скриншоты необходимо сохранить в папке
«Модуль 3».
Скриншоты необходимо называть в соответствии с номером задания и типом задания (Например Политика 2, Задание 1–1 и т. д.)
Задания на разработку политик можно выполнять в любом порядке. Наиболее сложные политики находятся в конце.
При разработке политик стоит учитывать, что все политики трафика могут передаваться как через веб-сообщения, так и через почтовые сообщения. В случае, если данный пункт не соблюден, то проверка заданий может быть невозможной.
Списки сотрудников, занимаемые позиции и отделы сотрудников представлены в разделе «Персоны» по результатам LDAP-синхронизации.
Список тегов для политик:
Политика 1, Политика 2, Политика 3, …
Задание 1
Необходимо выключить или удалить стандартные политики и отключить стандартные каталоги объектов защиты. Политика 1
В связи с тем, что компания является оператором обработки персональных данных, необходимо запретить всем сотрудникам отправлять документы, содержащие информацию о паспортных данных за пределы компании. Отдел (VIP) может отправлять файлы без ограничений.
Вердикт: разрешить Уровеньнарушения: низкий Тег: Политика 1
Политика 2
Для контроля за движением документов необходимо вести наблюдение за передачей шаблона документа за пределы компании. Стоит учесть, что содержимое документа может изменяться в пределах 70%.
Вердикт: разрешить Уровеньнарушения: низкий Тег: Политика 2
Политика 3
У генерального директора компании недавно появился котик и его фото утекло в сеть компании. Теперь сотрудники обмениваются смешными картинками с подписями и масками внутри компании и выкладывают их в социальные сети. Директор решил, что его котик вызвал снижение качества работы сотрудников из-за повышенной милоты картинок и хочетзапретить обмен фотографией котика. Необходимо запретить обмен фотографией.
Вердикт: блокировать Уровеньнарушения: низкий Тег: Политика 3
Политика 4
Необходимо отслеживать документы, содержащие печать компании всем сотрудникам, кроме отдела (по вариантам) и определенного сотрудника. Они могут обмениватьсядокументами внутри и за пределами компании без контроля.
Вердикт: разрешить Уровеньнарушения: низкий Тег: Политика 4
Политика 5
Сотрудники заподозрены в сливе баз данных клиентов. Необходимо настроить мониторинг выгрузок из БД для контроля движения данных из базы данных страховых компаний только при отправке из определенного отдела, для остальных контролировать не нужно.
Критичными данными в выгрузке являются определенные поля и в 1 документе присутствует более 1 строчки. Для настройки используйте файл примера.
Вердикт: разрешить
Уровень нарушения: средний Тег: Политика 5
Политика 6
Пользователи стали часто обмениваться ссылками и файлами, в связи с этим необходимо блокировать передачу (а где это невозможно — просто контролировать) файлов, например формата.mp4 и ссылок определенного формата (содержит уникальнуюпоследовательность, например urlname). Ложных срабатываний быть не должно.
Вердикт: Заблокировать Уровеньнарушения: средний Тег: Политика 6