На киберстраже. Тест для безопасника на скилы и скорость

В современном мире данные превратились в новую нефть: кто владеет ими — тот владеет миром. Но если ты старший специалист отдела информационной безопасности в известной компании, то на вес золота ценится ещё и твоя работа. Мало просто правильно выстраивать защиту и успешно отбивать атаки, нужно ещё грамотно распределять ресурсы на борьбу с угрозами.

Уверен ли ты, что можешь не только решить все ИБ-инциденты, но и не потерять драгоценное время, выясняя, что это за зловред и как с ним бороться? Узнай, ответив на вопросы теста, — все кейсы взяты из реальных будней безопасника.

Комментарии 23

    +4
    Ну на самом деле, в первую очередь надо вырубать ПК из сети, после этого проводить сканирование и спасать нужные файлы, у нас все таки отдела документооборота, а значит есть вероятность потерять важные файлы.
      +2
      Верно. Тоже выбрал второй вариант, и почти у всех в регламентах так и написано, что нужно ПК отключить от сети, а тут считают иначе…
        0

        Это было больше из практики, сталкивался с таким в начале IT карьеры. Сейчас расту в ИБ, многое не знаю, но очень интересно изучать)))

        +4

        Да тест вообще какой-то, мягко говоря, спорный. Предлагается внедрять контроли на основании ложного инцидента, типа в следующий раз может не пронести — с этого выпал в осадок. Технари писали, видимо, потому что системным подходом тут и не пахнет.

          –2

          то есть, технари, которых тут большинство, ничего не понимают??? Прошу прощения, но были бы другие времена, вызвал бы Вас на дуэль за такие высказывания сударь.

            +1
            Ну вот конкретно Вы, сударь, видимо не поняли даже смысла моего высказывания)
            При чём здесь местные технари? Я указал лишь на то, что менеджерская составляющая у, без сомнения, высоко квалифицированного в своей нише автора теста, хромает.
              –2

              Менеджерам, вообще не стоит лезть в это, у них не хватает серого вещества.
              Вы писали про системный подход, как раз, у технарей он есть, на любой случай жизни. А у продаванов, "менеджеров", он отсутствует.

        +2
        11/12 про спам- фильтры посмеялся, особенно когда спам-адреса генерятся сотнями тысяч
          +5

          Вообще то докер контейнеры отображаются как процессы в системе, так что смотреть сперва стоит на вывод ps, а не гадать есть ли докер на хосте и есть ли у него права.
          Тест имхо неточен и несколько устарел.

            0

            А как ты понимаешь «гадать если ли докер на хосте»? Вроде бы docker пока что доступен из командой строки, одна команда и делов.

              0

              Это если он:


              1. Доступен для платформы
              2. Установлен
              3. Запущен
              4. У юзера есть доступ к нему
                0
                А если нет, где будет работать тот самый скомпрометированный контейнер с шеллом?
            +7
            Сотрудница из отдела документооборота компании нажала в фишинговом письме «не туда», и её рабочая станция «поймала» шифровальщик.


            Правильный ответ — написать заявление «по собственному». Если у сотрудницы из отдела документооборота разрешён запуск exe-шников откуда попало — это профнепригодность. Если при этом «Шифровальщик уже мог уйти в сеть» — это вообще преступная халатность.
              0

              Спасибо, теперь я точно знаю что овоща тупее меня не существует :-)

                +5
                Крайне загадочная последовательность действий и постановка задачи в целом.

                Во-первых, каким образом шифровальщик вообще попал на машину? В организации отсутствует почтовый антивирус? Пользователям разрешено запускать все, что попало? Отсутствует антивирусная защита в реальном времени? Или безопасники не слышали про эвристику, защищенные Дефендером каталоги и т.п.?

                Далее, «перезаливать» зараженную машину ДО того, как будет проведено полное обследование и выявлен шифратор — это глупость чистой воды. Правильный алгоритм: отключить машину, вытащить системный диск, подключить к другой машине и снять полный образ. Физический диск потом можно вернуть обратно, а образ использовать для получения образца и прочего анализа. Образец при этом высылается производителю антивируса и через несколько часов оказывается в базе.

                Требование «обновить антивирус» на первом шаге попросту не имеет отношения к реальности: он обновляется сам, автоматически, с проверкой обновлений раз в несколько часов максимум. Если это известный шифровальщик, он уже есть в базе. Если неизвестный, какой смысл обновлять антивирус немедленно, до передачи образца вендору?

                Далее, совершенно удивительные вещи автор теста пишет про «файлы на рабочих станциях». Откуда они там вообще взялись? Все файлы при нормальной постановке работы хранятся только и исключительно на файл-серверах. На станциях используются механизмы типа offline files и перенаправления стандартных локаций Винды в сеть.

                При подозрении массового распространения червя-шифратора по сети первое, что делается, это блокировка доступа пользователей к файл-серварам (отключение сетевых интерфейсов, остановка службы Server или аналогичные меры). После остановки волны доступ разблокируется, пользователям дается указание на проверку данных, зашифрованное восстанавливается из бэкапов.

                Третий шаг (провести беседу с сотрудниками, вот это все) — вообще чудо. Все это должно быть сделано ДО того, как что-то случится. Это элементарные требования к построению сети и регулярному обучению.

                В общем, я бы не доверил обеспечение безопасности сети автору этого теста, сорри.
                  +1
                  Я даже немножко дальше зайду.
                  Ежели у вас вовсю бушует шифровальщик — самое время настроить SRP, включить Secure Boot и изолировать этого гаденыша в пределах юзерспейса.
                  На серверах сложнее, но тоже можно.
                  1) Сначала снапшотим все хранилки и физически вырубаем менеджмент
                  2) Далее то же самое, что и на рабочих станциях.

                  Если у Вас ещё нет SRP и нет подписанной загрузки — самое время ею обзавестись.

                    +1
                    Мне нравится «Уволенный сотрудник скачал критическую информацию», но нет ответа «Заблокировали учетку, потом дело по 272 УК РФ»
                    +2
                    И всё же у сотрудников начали массово шифроваться файлы на рабочих станциях. Что сделать, чтобы предотвратить эпидемию?

                    Правильный ответ — неправильный.
                    Пока будешь выяснять какие именно компьютеры заражены, заражены будут все.
                    Вырубать нужно сразу всю сеть, и врубать по очереди, после проверки.

                    И вообще, большинство ответов — о рандомном сферическом коне вакууме. Решение принимается из-за особенностей конкретной компании и ее нужд. Где-то джамп-хост, где-то впн, где-то VDI и так далее. А тут — нужно знать о чем думал автор?

                    Изучать запущенные докер-контейнеры вообще смешно. А почему докер-контейнеры именно на этом сервере? А может это нода в кластере — тут положишь, в другом месте поднимется?
                      +1
                      А откуда картинки к тесту?
                        0
                        я спец
                          +1
                          А откуда картинки? Мультсериал?
                            0
                            Вариант 2! выключить и снести нафиг окна… Поставить линукс и не сношать мозги))
                              0
                              А тыкать теперь что, модно?

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.