Практическая работа: исследование сетевых атак и аудит информационной безопасности предприятия

Практическая работа знакомит студентов с реальными задачами аудита информационной безопасности предприятия. Учащиеся анализируют сеть, моделируют кибератаки и разрабатывают регламент реагирования на инциденты.

Цель практической работы - формирование навыков аудита информационной безопасности, выявления уязвимостей сети и разработки регламента реагирования на киберинциденты.

Задачи:

• научить анализировать архитектуру корпоративной сети и выявлять уязвимости;
• развить навыки моделирования кибератак и оценки угроз информационной безопасности;
• сформировать умение разрабатывать регламент реагирования на инциденты ИБ;
• закрепить знания о средствах защиты сети и организационных мерах безопасности.

Название работы: Аудит информационной безопасности предприятия и разработка регламента реагирования на киберинциденты

Описание практической работы

Аудит информационной безопасности

Практическая работа предназначена для студентов 2–3 курсов (16–18 лет), обучающихся по специальности 09.02.06 "Сетевое и системное администрирование".

Занятие построено в формате ролевой кейс-игры. Студент выступает в роли приглашённого консультанта по информационной безопасности, которому поручено провести аудит сети предприятия.

В качестве учебного кейса используется условная компания "Аквилон" - организация оптовой торговли с численностью около 80 сотрудников. Компания активно развивается, однако её инфраструктура информационной безопасности формировалась без системного подхода. После недавнего инцидента с вирусом-шифровальщиком руководство решило провести аудит безопасности.

Студенту предоставляется схема сети и краткие фрагменты политики безопасности. На основе этих материалов необходимо:

1. провести первичный аудит инфраструктуры;
2. выявить архитектурные уязвимости;
3. смоделировать возможную атаку;
4. разработать регламент реагирования на инциденты информационной безопасности.

Продолжительность работы - 2 академических часа (90 минут). Работа может выполняться индивидуально или в группах по 2–3 человека.

Шаг 1. Вводный брифинг и знакомство с объектом

На первом этапе студент знакомится с легендой задания и схемой сети компании.

Согласно легенде, студент выступает в роли приглашённого консультанта по информационной безопасности. Руководство компании "Аквилон" поручило ему провести аудит инфраструктуры и выявить ключевые уязвимости. После анализа необходимо предложить проект регламента реагирования на инциденты информационной безопасности.

В распоряжении студента находится упрощённая схема сети компании.

Интернет подключается к сети предприятия через домашний роутер, который используется в качестве основного маршрутизатора. Далее соединение поступает на неуправляемый офисный коммутатор, от которого сеть распределяется по подразделениям.

Схема сети с уязвимостями

К коммутатору подключены:

• Сервер на базе Windows Server 2012, на котором размещены файловое хранилище и система 1С;
• Четыре коммутатора подразделений: бухгалтерии, отдела продаж, склада и гостевой сети.
• В сегменте "Гости" установлена Wi-Fi точка доступа с паролем Welcome123.
  Ноутбук директора имеет возможность удалённого подключения по RDP.

На всех рабочих станциях установлен один и тот же антивирус, однако его лицензия истекла три месяца назад.

Также на схеме указано, что резервное копирование выполняется на внешний жесткий диск, который подключается к серверу по пятницам в 18:00.

Задание

Изучите предложенную схему сети и на отдельном листе составьте предварительный список из 5–7 архитектурных или организационных уязвимостей, которые могут представлять угрозу информационной безопасности компании.

Шаг 2. Углубленный анализ и моделирование угроз

На втором этапе студент получает фрагмент внутренней политики безопасности компании.

В документе указано, что пароли пользователей должны содержать не менее шести символов, передача учетных данных третьим лицам запрещена, резервное копирование критических данных выполняется еженедельно, а установка программного обеспечения должна согласовываться с системным администратором.

После изучения политики безопасности студенту предлагается смоделировать одну из возможных атак на инфраструктуру компании.

Рассматриваются три сценария.

Сценарий А — внешняя атака.
Злоумышленник проводит разведку и обнаруживает в интернете открытый RDP-порт сервера компании.

Сценарий Б — внутренний целенаправленный инцидент.
Недовольный сотрудник отдела продаж пытается нанести вред компании, используя доступ к внутренней сети.

Сценарий В — случайная внутренняя угроза.
Сотрудник склада находит флеш-накопитель на парковке и подключает его к рабочему компьютеру.

Задание

Выберите один из сценариев атаки.

На отдельном листе нарисуйте пошаговую диаграмму атаки (Attack Flow), показывающую развитие инцидента. Диаграмма должна описывать последовательность действий злоумышленника, начиная с начального этапа проникновения и заканчивая последствиями атаки.

Схема кибератаки

Например, для внешнего сценария атака может развиваться следующим образом:

сканирование портов → обнаружение открытого RDP → подбор учетных данных → вход на сервер → поиск критических данных → установка вредоносного ПО → запуск шифрования.

Для каждого шага необходимо указать, какое средство защиты должно было предотвратить атаку, но отсутствует или настроено неправильно.

Шаг 3. Разработка регламента реагирования на киберинциденты

После анализа угроз студент приступает к разработке практического документа - регламента реагирования на инциденты информационной безопасности.

Для работы используется шаблон документа, содержащий основные разделы регламента.

Документ должен определить цель и область применения регламента, а также распределить роли и ответственность между сотрудниками. В регламенте должны быть обозначены действия инженеров первой линии, руководителя информационной безопасности и пресс-секретаря компании.

Основная часть документа описывает этапы реагирования на инциденты.

В разделе подготовки необходимо указать меры, которые должны быть внедрены до возникновения инцидента. К таким мерам могут относиться системы мониторинга безопасности, инструменты анализа событий и список ответственных контактов.

Далее описывается процесс обнаружения и оповещения, то есть порядок сообщения об инциденте и передачи информации ответственным сотрудникам.

Следующий этап - анализ и сдерживание инцидента. Здесь необходимо определить первоочередные действия: изоляцию заражённых устройств, сбор цифровых доказательств и анализ источника угрозы.

После этого описываются процедуры устранения угрозы и восстановления работы системы, включая удаление вредоносного программного обеспечения и восстановление данных из резервных копий.

Заключительный раздел посвящён анализу произошедшего инцидента и предотвращению повторения подобных ситуаций. В него входит разбор причин атаки, корректировка политики безопасности и обновление внутренних процедур.

Задание

Заполните шаблон регламента реагирования, используя результаты анализа уязвимостей и выбранный сценарий атаки.

В разделе подготовки необходимо предложить несколько конкретных мер по повышению безопасности сети компании "Аквилон".

В разделе анализа и сдерживания следует указать первые действия инженера при обнаружении атаки.

При описании этапа восстановления обязательно учтите проблему устаревших резервных копий.

Регламент следует оформлять краткими тезисами, как в реальной инструкции по реагированию на инциденты.

Шаг 4. Сдача практической работы

По завершении задания студент предоставляет преподавателю результаты выполненной работы.

Необходимо сдать:

• список выявленных архитектурных недостатков сети;
• диаграмму атаки и анализ средств защиты;
• заполненный регламент реагирования на инциденты информационной безопасности.