• ru Русский
    zh-CN 中国
    en English
    de Deutsch
    fr Français
it-ros.ru it-ros.ru
  2. IT-обучение
  3. Профессиональный уровень
  4. Программирование и разработка
  5. Кибербезопасность
  6. Специалист по кибербезопасности
  7. Специалист по кибербезопасности (Профессиональный уровень)

Специалист по кибербезопасности (Профессиональный уровень)

Курс предназначен для углубленного изучения современных угроз, методов защиты информации и анализа инцидентов. Программа охватывает практические аспекты обеспечения безопасности корпоративных сетей, криптографию, этичный хакинг и реагирование на инциденты. По окончании выдается сертификация профессионального уровня.

Описание программы:

Курс ориентирован на подготовку высококвалифицированных специалистов в области защиты информации. Программа включает углубленное изучение архитектур безопасности, анализа уязвимостей, реагирования на инциденты, расследования инцидентов ИБ и управления рисками. Обучение проводится с использованием современных лабораторных комплексов и симуляций реальных атак.

 

Что предстоит пройти на курсе:

  • Основы и стандарты кибербезопасности (ISO 27001, NIST, PCI DSS)
  • Архитектура безопасных систем и сетей
  • Анализ и эксплуатация уязвимостей (penetration testing)
  • Реверс-инжиниринг и анализ вредоносного ПО
  • Инциденты информационной безопасности: выявление, расследование, реагирование
  • Криптография и управление ключами
  • Управление рисками и оценка воздействия угроз
  • Этичный хакинг и тестирование на проникновение
  • Правовые аспекты кибербезопасности и соответствие требованиям законодательства

 

Ожидаемые результаты после прохождения курса:

Должен знать:

  • Современные угрозы и методы их нейтрализации
  • Методологии оценки защищенности информационных систем
  • Принципы построения многоуровневой системы защиты
  • Нормативно-правовую базу в сфере информационной безопасности

Должен уметь:

  • Выполнять анализ трафика и обнаруживать подозрительную активность
  • Проводить аудит безопасности и пентестинг
  • Реагировать на инциденты и восстанавливать защищенность систем
  • Разрабатывать политики безопасности и рекомендации по повышению уровня защиты
  • Взаимодействовать с правоохранительными органами при расследовании инцидентов

 

Формат обучения:

Комбинированный формат: лекции, практические занятия, лабораторные работы, case-study, симуляции атак APT-групп.

 

1.  Что включает в себя понятие «информационная безопасность»?   
Информационная безопасность — это защита информации от несанкционированного доступа, модификации, уничтожения и обеспечения её доступности, целостности и конфиденциальности. Это достигается с помощью технических, организационных и юридических мер.

2.  Какие основные компоненты модели безопасности предприятия?   
Модель безопасности включает политики безопасности, контрольные меры (технические и административные), управление инцидентами, мониторинг активности, обучение персонала и оценку рисков.

3.  В чём разница между уязвимостью, угрозой и риском?   
Уязвимость — слабое место в системе. Угроза — потенциальное событие или действие, которое может воспользоваться уязвимостью. Риск — вероятность реализации угрозы через уязвимость с негативными последствиями.

4.  Что такое APT-атаки и как они реализуются?   
APT (Advanced Persistent Threat) — это длительная, хорошо спланированная атака, направленная на кражу данных или контроль над сетью. Реализуется через фишинг, эксплойты, установку backdoor и долгосрочное пребывание в системе без обнаружения.

5.  Какие стандарты информационной безопасности наиболее распространены?   
Среди ключевых: ISO/IEC 27001, NIST Cybersecurity Framework, PCI DSS, HIPAA, COBIT, CIS Controls, SOC 2. Каждый из них регулирует определённую область защиты информации.

6.  Как проводится анализ рисков в области ИБ?   
Анализ рисков включает идентификацию активов, угроз, уязвимостей, оценку вероятности инцидента и его воздействия, выбор методов снижения риска и документирование результатов.

7.  Что такое пентест и зачем он нужен?   
Пентест — это имитация реальной атаки на систему для выявления уязвимостей. Он позволяет проверить эффективность текущих мер безопасности и повысить уровень защиты перед реальной угрозой.

8.  Какие основные этапы пентеста?   
Разведка, сканирование, получение доступа, повышение привилегий, сохранение доступа, очистка следов, составление отчета.

9.  Что такое MITRE ATT&CK и как он используется в кибербезопасности?   
MITRE ATT&CK — это база знаний тактик и техник атак, используемая для классификации действий злоумышленников. Применяется при анализе инцидентов, создании правил обнаружения и тестировании защиты.

10.  Какие существуют виды шифрования и их особенности?   
Симметричное (AES, DES) и асимметричное (RSA, ECC). Первое быстрее, но требует общего ключа. Второе безопаснее, но медленнее, так как использует пару открытый/закрытый ключ.

11.  Что такое PKI и зачем она нужна?   
PKI (Public Key Infrastructure) — это система управления цифровыми сертификатами и ключами. Она обеспечивает подлинность, целостность и конфиденциальность данных в коммуникациях.

12.  Как работает SSL/TLS и какие протоколы входят в его состав?   
SSL/TLS обеспечивают безопасный обмен данными через интернет. Состоит из протоколов: Handshake, Change Cipher Spec, Alert и Record.

13.  Какие типы фаерволов существуют и где применяются?   
Пакетные фильтры, stateful inspection, прикладные фаерволы (WAF), next-gen (NGFW). Используются для фильтрации трафика, предотвращения атак и анализа содержимого.

14.  Что такое SIEM и как он помогает в защите?   
SIEM (Security Information and Event Management) — система сбора, корреляции и анализа логов безопасности. Позволяет обнаруживать аномалии, расследовать инциденты и обеспечивать соответствие нормам.

15.  Какие инструменты используются для анализа сетевого трафика?   
Wireshark, tcpdump, TShark, Zeek (ранее Bro). Они позволяют просматривать, фильтровать и анализировать данные для выявления подозрительной активности.

16.  Что такое IDS/IPS и в чём разница между ними?   
IDS — система обнаружения вторжений (обнаруживает атаки), IPS — система предотвращения вторжений (может блокировать активность). Обе работают на основе сигнатур и аномалий.

17.  Какие основные типы атак на веб-приложения по OWASP Top 10?   
Внедрение SQL, XSS, CSRF, нарушение контроля доступа, утечки данных, использование уязвимых библиотек, недостатки аутентификации, жёстко заданные учетные данные, недостатки шифрования, неправильная настройка безопасности.

18.  Как происходит анализ вредоносного ПО (malware analysis)?   
Включает статический (без запуска), динамический (в песочнице) и поведенческий анализ. Цель — понять функционал, источник, команды C2 и методы распространения.

19.  Что такое DFIR и как он связан с кибербезопасностью?   
DFIR (Digital Forensics and Incident Response) — это процесс расследования инцидентов и сбора доказательств. Необходим для понимания масштаба атаки, восстановления системы и возможного привлечения злоумышленников к ответственности.

20.  Какие существуют подходы к управлению доступом?   
DAC (Discretionary), MAC (Mandatory), RBAC (Role-Based), ABAC (Attribute-Based). Каждый из них имеет разные уровни гибкости и строгости контроля.

21.  Какие есть методы аутентификации и авторизации?   
Пароли, двухфакторная аутентификация (2FA), OAuth, SAML, Kerberos, LDAP, биометрия. Авторизация осуществляется через ACL, RBAC, ABAC.

22.  Что такое Zero Trust и как он реализуется?   
Zero Trust — модель безопасности, основанная на принципе «никогда не доверяй, всегда проверяй». Реализуется через строгую аутентификацию, микросегментацию, постоянный мониторинг и минимальные привилегии.

23.  Какие основные законы и регуляции в сфере ИБ в России?   
ФЗ-149 «Об информации», ФЗ-152 «О персональных данных», требования ЦБ РФ для финансовых организаций, ГОСТы по защите информации, указы Президента и постановления Правительства.

24.  Какие задачи решает этичный хакер?   
Выявление уязвимостей, тестирование на проникновение, анализ безопасности, рекомендации по устранению проблем, подготовка отчетов и демонстрация рисков.

25.  Какие навыки должен иметь специалист по кибербезопасности уровня Professional?   
Глубокое понимание сетей, опыт работы с инструментами анализа и защиты, навыки программирования, знание стандартов и законодательства, умение реагировать на инциденты, мышление атакующего, аналитические способности.

26.  Какие типы угроз наиболее опасны для корпоративных сетей и почему?   
Наиболее опасны APT-атаки, фишинг, ransomware и insider threats. Они сложны для обнаружения, могут долгое время оставаться незамеченными и причинить серьёзный ущерб за счёт целенаправленности и высокой сложности.

27.  Что такое хардening системы и какие меры в него входят?   
Харденинг — это процесс усиления безопасности систем. Включает отключение ненужных служб, настройку политик доступа, установку актуальных патчей, ограничение привилегий и логирование активности.

28.  Какие основные цели тестирования на проникновение?   
Выявить уязвимости, проверить эффективность защиты, смоделировать реальную атаку, предоставить рекомендации по устранению рисков и подтвердить соответствие стандартам безопасности.

29.  Как работает механизм DNSSEC и зачем он нужен?   
DNSSEC обеспечивает целостность и достоверность данных DNS через цифровые подписи. Он предотвращает перехват и модификацию записей DNS, такие как кэширующая отрава (cache poisoning).

30.  Что такое DLP-системы и где они применяются?   
DLP (Data Loss Prevention) — технологии предотвращения утечек данных. Применяются для контроля передачи информации внутри и вне организации, блокировки несанкционированного копирования и экспорта данных.

31.  Какие существуют методы брутфорса и как их предотвратить?   
Методы: простой перебор, словниковые атаки, hybrid-атаки. Предотвращение: ограничение попыток входа, двухфакторная аутентификация, использование сложных паролей, CAPTCHA.

32.  Что такое MITM-атака и как её можно обнаружить?   
MITM (Man-in-the-Middle) — прослушивание или модификация коммуникации между двумя сторонами. Обнаруживается через несоответствие сертификатов, изменение маршрутов трафика и анализ шифрования.

33.  Какие протоколы обеспечивают безопасность беспроводных сетей и в чём их различие?   
WEP (слабый), WPA (улучшенный), WPA2 (AES-CCMP), WPA3 (SAE). Чем выше версия, тем лучше защита от взлома и перехвата трафика.

34.  Какие основные этапы расследования инцидента ИБ?   
Идентификация, изоляция, анализ, ликвидация, восстановление, документирование и анализ урока.

35.  Что такое honeypot и зачем он используется в кибербезопасности?   
Honeypot — это ловушка для злоумышленников, имитирующая уязвимую систему. Используется для анализа тактик атак, сбора IoC и отвлечения внимания от реальных активов.

36.  Какие существуют подходы к шифрованию данных в хранилище и при передаче?   
В хранилище: шифрование дисков (BitLocker, FileVault), файлов (GPG, VeraCrypt). При передаче: TLS/SSL, IPsec, SFTP, HTTPS.

37.  Какие функции выполняет EDR-решение и чем оно отличается от традиционного антивируса?   
EDR (Endpoint Detection and Response) обеспечивает постоянное наблюдение за конечными точками, детектирование продвинутых угроз и автоматическое реагирование. В отличие от антивирусов, EDR работает на основе поведения и сигнатур APT.

38.  Какие аспекты необходимо учитывать при разработке плана реагирования на инциденты?   
Состав команды, этапы реагирования, каналы связи, взаимодействие с внешними организациями, логирование событий, документирование действий, постинцидентный анализ.

39.  Что такое SOC и какова его роль в кибербезопасности?   
SOC (Security Operations Center) — центр обработки событий безопасности. Отвечает за мониторинг, обнаружение, анализ и реагирование на инциденты в режиме 24/7.

40.  Какие виды утечек данных существуют и как их предотвратить?   
Физические (носители), электронные (почта, облачные сервисы), человеческий фактор. Предотвращаются политиками, обучением, DLP, контролем доступа и аудитом.

41.  Что такое MFA и почему он важен?   
MFA (Multi-Factor Authentication) — многофакторная аутентификация, требующая нескольких способов подтверждения личности. Увеличивает уровень безопасности даже при компрометации одного из факторов.

42.  Какие задачи решает Threat Intelligence в современных системах безопасности?   
Сбор, анализ и распространение информации об известных угрозах. Позволяет заранее готовиться к атакам, выявлять IoC, строить профили атакующих и повышать эффективность защиты.

43.  Какие особенности защиты IoT-устройств в корпоративной среде?   
Ограничения аппаратных ресурсов, слабая реализация безопасности, большое количество устройств, необходимость регулярного обновления прошивок и сегментация сети.

44.  Что такое Secure Coding и почему он важен в разработке ПО?   
Secure Coding — практики написания кода, исключающие распространённые уязвимости. Важен для предотвращения XSS, SQLi, buffer overflow и других угроз на этапе разработки.

45.  Какие основные принципы работы с PKI и управление сертификатами?   
Регистрация ключей, выпуск сертификатов, отзыв при компрометации, проверка доверия, хранение закрытых ключей, автоматизация жизненного цикла.

46.  Какие есть методы обхода систем обнаружения вторжений (IDS)?   
Фрагментация пакетов, шифрование трафика, использование легитимных протоколов, полиморфизм payload, evasion-техники.

47.  Как происходит фаза «разведка» в рамках пентеста?   
Сбор информации о цели: WHOIS, DNS-поиск, поиск в интернете, сканирование портов, определение ОС, выявление открытых сервисов и возможных путей атаки.

48.  Что такое CVE и CVSS и как они используются?   
CVE — уникальный идентификатор уязвимости. CVSS — шкала оценки критичности уязвимостей от 0 до 10. Используются для классификации и приоритизации устранения проблем.

49.  Какие основные причины человеческого фактора в инцидентах ИБ?   
Недостаточное обучение, социальная инженерия, ошибки в настройках, несоблюдение политик, использование слабых паролей, подключение к небезопасным сетям.

50.  Какие ключевые показатели эффективности (KPI) используются в сфере кибербезопасности?   
MTTD (время обнаружения инцидента), MTTR (время реагирования), количество инцидентов, процент успешных пентестов, уровень соответствия стандартам.

51.  Какие основные функции выполняет протокол IPsec и в каких режимах он работает?   
IPsec обеспечивает безопасную передачу данных на уровне IP. Работает в двух режимах: транспортном (защищает полезную нагрузку) и туннельном (шифрует весь пакет). Используется для построения VPN и защиты сетевого уровня.

52.  Что такое sandboxing и как он используется в анализе угроз?   
Sandboxing — это изолированная среда для запуска подозрительных файлов или кода. Применяется для анализа поведения malware без риска заражения основной системы, особенно в автоматизированных системах обнаружения угроз.

53.  Какие существуют методы атак на двухфакторную аутентификацию?   
Phishing сессий, MITM-атаки с проксированием 2FA, социальная инженерия для получения кодов, использование SMS-спуфинга, эксплойты в мобильных приложениях аутентификации.

54.  Как реализуется принцип минимальных привилегий и почему он важен?   
Пользователи и процессы получают только те права, которые необходимы для выполнения своих задач. Это снижает риск компрометации системы в случае взлома учетной записи или эксплойта.

55.  Что такое SOAR и как он связан с кибербезопасностью?   
SOAR (Security Orchestration, Automation and Response) — это платформа для автоматизации процессов реагирования на инциденты. Позволяет интегрировать инструменты безопасности, автоматизировать действия и ускорить реакцию на угрозы.

56.  Какие особенности защиты облачных сред и какие меры контроля используются?   
Шифрование данных, управление доступом (IAM), мониторинг активности, защита API, соблюдение соглашений shared responsibility model, регулярный аудит конфигураций и шифрование на стороне клиента.

57.  Какие основные типы DDoS-атак и как с ними бороться?   
UDP flood, SYN flood, HTTP flood, DNS amplification. Защита осуществляется через фильтрацию трафика, rate limiting, использование CDN, WAF, DDoS mitigation сервисов и распределённые сети.

58.  Что такое IoC и как они используются в расследованиях инцидентов?   
Indicators of Compromise (IoC) — следы активности злоумышленника: IP-адреса, хэши файлов, домены C2. Используются для выявления и блокировки угроз, а также для корреляции событий в SIEM.

59.  Как происходит процесс восстановления после инцидента ИБ?   
Включает восстановление из резервных копий, проверку целостности систем, обновление программного обеспечения, изменение учетных данных, мониторинг на наличие повторных атак и документирование всего процесса.

60.  Что такое threat hunting и чем он отличается от стандартного обнаружения угроз?   
Threat hunting — это активный поиск скрытых угроз в инфраструктуре на основе гипотез и анализа логов. В отличие от пассивного обнаружения, не ожидает сигнала тревоги, а инициируется специалистом.

61.  Какие основные цели и этапы цифровой судебной экспертизы (DF)?   
Цель — сбор и сохранение доказательств. Этапы: идентификация, сбор, анализ, представление. Особое внимание уделяется юридической допустимости доказательств и целостности образов.

62.  Какие инструменты используются для работы с цифровыми доказательствами?   
FTK Imager, EnCase, Autopsy, X-Ways Forensics, Volatility (для memory forensics),取证桥接器 для создания bit-to-bit копий носителей.

63.  Какие виды тестирования безопасности наиболее распространены и в чём их различие?   
Black box (нет информации), white box (полная информация), grey box (частичная информация). Отличаются уровнем доступа к данным о системе и глубиной анализа.

64.  Что такое DevSecOps и как он влияет на уровень безопасности разработки?   
DevSecOps — внедрение практик безопасности на всех этапах DevOps-процесса. Обеспечивает раннее выявление уязвимостей, автоматизацию проверок, безопасное развёртывание и постоянный мониторинг.

65.  Какие основные ошибки возникают при настройке фаерволов и как их избежать?   
Слишком широкие правила, отсутствие регулярного аудита, неправильная маршрутизация, перекрытие правил. Избегают через минимальные ACL, регулярный ревью политик, использование best practices и автоматизированного тестирования.

66.  Какие особенности безопасности в контейнерных технологиях (Docker, Kubernetes)?   
Изоляция контейнеров, безопасность оркестраторов, управление образами, ограничение привилегий, сканирование уязвимостей, защита реестров, политики NetworkPolicy и RBAC.

67.  Какие ключевые элементы составляют стратегию Zero Trust Architecture?   
Постоянная аутентификация, микросегментация, минимальные привилегии, шифрование, мониторинг поведения пользователей и устройств, защита данных вне зависимости от местоположения.

68.  Какие основные проблемы возникают при внедрении систем IAM и как их решать?   
Сложность управления множеством систем, плохая интеграция, дублирование учетных записей, слабые пароли. Решаются через унификацию ID, SSO, MFA, автоматизацию жизненного цикла аккаунтов и обучение пользователей.

69.  Какие техники используются для обнаружения скрытых backdoor в коде?   
Статический анализ, динамическое тестирование, проверка контрольных сумм, сравнение с эталонными версиями, анализ вызовов системных функций, использование YARA-правил и сигнатур.

70.  Какие основные причины успешных APT-атак и как противостоять им?   
Фишинг, непатченные уязвимости, слабый мониторинг, недостаточная сегментация. Противодействие: обучение персонала, EDR, TIP, поведенческий анализ, регулярные пентесты и сегментация сети.

71.  Какие факторы учитываются при выборе решения для защиты электронной почты?   
Антифишинг, анти-спам, защита от вложений, шифрование сообщений, интеграция с другими системами безопасности, поддержка DKIM/SPF/DMARC, возможность расследования инцидентов.

72.  Какие подходы к защите данных в условиях BYOD?   
Разделение рабочих и личных профилей, шифрование, MDM-системы, контроль доступа, удалённое обнуление, политики использования, обучение сотрудников и мониторинг активности.

73.  Какие особенности безопасности в SCADA-системах и ICS?   
Ограничения аппаратных ресурсов, старые ОС, длительные циклы обновления, высокая доступность, необходимость изоляции от внешней сети, применение air-gapped сетей и протоколов промышленной автоматизации.

74.  Какие метрики используются для оценки зрелости программы кибербезопасности?   
Уровень соответствия стандартам, количество закрытых уязвимостей, время реагирования, уровень осведомлённости сотрудников, частота атак и их успешность, затраты на защиту и ROI.

75.  Какие основные ошибки совершают организации при реагировании на инциденты ИБ?   
Отсутствие готового плана, задержки в реагировании, неправильная изоляция систем, потеря доказательств, игнорирование post-incident анализа, недостаточная координация между отделами.

1. Какой из перечисленных стандартов определяет требования к системе управления информационной безопасностью (СУИБ)?  
A) PCI DSS  
B) ISO 27001  
C) HIPAA  
D) COBIT  
Правильный ответ: B) ISO 27001  

2. Какой уровень модели OSI отвечает за шифрование данных при использовании протокола TLS?  
A) Сеансовый  
B) Транспортный  
C) Прикладной  
D) Сетевой  
Правильный ответ: C) Прикладной  

3. Какой тип атаки использует фальшивые DNS-записи для перенаправления трафика на вредоносные сайты?  
A) ARP spoofing  
B) DNS spoofing  
C) IP spoofing  
D) MAC flooding  
Правильный ответ: B) DNS spoofing  

4. Что означает аббревиатура MITM в контексте кибербезопасности?  
A) Man-in-the-Middle  
B) Machine-to-Machine  
C) Multi-Intrusion Threat Model  
D) Malware in The Middle  
Правильный ответ: A) Man-in-the-Middle  

5. Какой инструмент используется для анализа сетевого трафика и диагностики безопасности?  
A) Metasploit  
B) Wireshark  
C) Nessus  
D) John the Ripper  
Правильный ответ: B) Wireshark  

6. Какой из следующих протоколов обеспечивает безопасную передачу файлов по зашифрованному каналу?  
A) FTP  
B) TFTP  
C) SFTP  
D) HTTP  
Правильный ответ: C) SFTP  

7. Какая команда в ОС Linux позволяет просмотреть список активных сетевых соединений?  
A) netstat  
B) ping  
C) tracert  
D) nslookup  
Правильный ответ: A) netstat  

8. Какой тип фаервола анализирует содержимое пакетов и может блокировать вредоносный трафик на основе сигнатур?  
A) Пакетный фильтр  
B) Stateful inspection  
C) Next Generation Firewall (NGFW)  
D) Прокси-фаервол  
Правильный ответ: C) Next Generation Firewall (NGFW)  

9. Какой из следующих алгоритмов является симметричным шифром?  
A) RSA  
B) ECC  
C) AES  
D) Diffie-Hellman  
Правильный ответ: C) AES  

10. Какой метод аутентификации требует использования пароля и одноразового кода, отправляемого на мобильное устройство?  
A) Single Sign-On (SSO)  
B) Двухфакторная аутентификация (2FA)  
C) OAuth  
D) Kerberos  
Правильный ответ: B) Двухфакторная аутентификация (2FA)  

11. Какой тип угрозы реализуется через внедрение вредоносного скрипта в веб-страницу, который выполняется в браузере пользователя?  
A) SQL Injection  
B) XSS (Cross-Site Scripting)  
C) CSRF  
D) Buffer Overflow  
Правильный ответ: B) XSS (Cross-Site Scripting)  

12. Какой из следующих документов содержит описание политики обработки и защиты персональных данных?  
A) SLA  
B) NDA  
C) ПДн Политика  
D) RFC  
Правильный ответ: C) ПДн Политика  

13. Какой из следующих подходов к управлению доступом основывается на ролях пользователей в организации?  
A) DAC  
B) MAC  
C) RBAC  
D) ABAC  
Правильный ответ: C) RBAC  

14. Какой тип тестирования безопасности проводится без предварительного знания внутренней структуры системы?  
A) White Box  
B) Grey Box  
C) Black Box  
D) Red Team  
Правильный ответ: C) Black Box  

15. Какой из следующих терминов обозначает систему, которая имитирует реальные сервисы с целью привлечения и анализа действий злоумышленников?  
A) Firewall  
B) Honeypot  
C) IDS  
D) SIEM  
Правильный ответ: B) Honeypot  

16. Какой из следующих принципов наиболее точно соответствует концепции Zero Trust?  
A) Всем доверять, но проверять редко  
B) Никогда не доверять, всегда проверять  
C) Доверять только внутренним пользователям  
D) Доверять только внешним пользователям  
Правильный ответ: B) Никогда не доверять, всегда проверять  

17. Какой из следующих документов регулирует обращение с персональными данными в Российской Федерации?  
A) ФЗ-152  
B) ФЗ-149  
C) ФЗ-170  
D) ФЗ-242  
Правильный ответ: A) ФЗ-152  

18. Какой из следующих терминов описывает процесс восстановления данных после инцидента ИБ?  
A) Incident Response  
B) Business Continuity Plan  
C) Disaster Recovery  
D) Risk Assessment  
Правильный ответ: C) Disaster Recovery  

19. Какой из следующих инструментов предназначен для автоматизации реагирования на инциденты ИБ?  
A) SOAR  
B) SIEM  
C) EDR  
D) DLP  
Правильный ответ: A) SOAR  

20. Какой из следующих типов атак направлен на переполнение буфера в памяти с последующим выполнением произвольного кода?  
A) XSS  
B) CSRF  
C) Buffer Overflow  
D) SQL Injection  
Правильный ответ: C) Buffer Overflow  

21. Какой из следующих терминов описывает программу, которая выдает себя за полезное приложение, но содержит вредоносную функциональность?  
A) Вирус  
B) Червь  
C) Троян  
D) Шпионское ПО  
Правильный ответ: C) Троян  

22. Какой из следующих методов используется для обнаружения уязвимостей в работающих веб-приложениях?  
A) Fuzzing  
B) Reverse Engineering  
C) Static Code Analysis  
D) Penetration Testing  
Правильный ответ: D) Penetration Testing  

23. Какой из следующих элементов обеспечивает целостность цифровой подписи?  
A) Хэш-функция  
B) Открытый ключ  
C) Закрытый ключ  
D) Сертификат  
Правильный ответ: A) Хэш-функция  

24. Какой из следующих типов атак направлен на получение информации путем манипуляций с человеческим фактором?  
A) Phishing  
B) DDoS  
C) SQLi  
D) XSS  
Правильный ответ: A) Phishing  

25. Какой из следующих терминов описывает набор мероприятий по выявлению и анализу инцидентов безопасности?  
A) Threat Hunting  
B) Vulnerability Scanning  
C) Security Monitoring  
D) Digital Forensics  
Правильный ответ: A) Threat Hunting 

26. Какой из следующих протоколов используется для безопасного удалённого управления сетевыми устройствами?  
A) Telnet  
B) FTP  
C) SSH  
D) HTTP  
Правильный ответ: C) SSH  

27. Какой уровень модели OSI отвечает за маршрутизацию данных между узлами?  
A) Физический  
B) Канальный  
C) Сетевой  
D) Транспортный  
Правильный ответ: C) Сетевой  

28. Какой из перечисленных методов шифрования использует один и тот же ключ для шифрования и расшифрования?  
A) Асимметричное шифрование  
B) Гибридное шифрование  
C) Симметричное шифрование  
D) Хэширование  
Правильный ответ: C) Симметричное шифрование  

29. Какой из следующих терминов описывает процесс получения информации о цели до проведения атаки?  
A) Enumeration  
B) Exploitation  
C) Reconnaissance  
D) Scanning  
Правильный ответ: C) Reconnaissance  

30. Какой тип атаки направлен на получение секретной информации путём анализа временных характеристик выполнения операций?  
A) Side-channel attack  
B) Phishing  
C) Buffer overflow  
D) XSS  
Правильный ответ: A) Side-channel attack  

31. Какой из следующих документов определяет политики и процедуры для обеспечения непрерывности бизнеса в случае инцидента ИБ?  
A) BIA (Business Impact Analysis)  
B) DRP (Disaster Recovery Plan)  
C) BCP (Business Continuity Plan)  
D) SLA  
Правильный ответ: C) BCP (Business Continuity Plan)  

32. Какой из следующих механизмов обеспечивает защиту целостности и подлинности сообщений без шифрования содержимого?  
A) AES  
B) HMAC  
C) RSA  
D) SHA-256  
Правильный ответ: B) HMAC  

33. Какой из следующих инструментов используется для автоматического поиска и эксплуатации уязвимостей в сетевых сервисах?  
A) Nmap  
B) Metasploit  
C) Nessus  
D) Wireshark  
Правильный ответ: B) Metasploit  

34. Какой из следующих принципов относится к основам информационной безопасности (CIA-Triad)?  
A) Целостность, доступность, конфиденциальность  
B) Отказоустойчивость, скорость, масштабируемость  
C) Удобство, простота, надёжность  
D) Доступность, управляемость, производительность  
Правильный ответ: A) Целостность, доступность, конфиденциальность  

35. Какой из следующих стандартов регулирует безопасность данных в платежных системах?  
A) ISO 27001  
B) PCI DSS  
C) HIPAA  
D) COBIT  
Правильный ответ: B) PCI DSS  

36. Какой из следующих методов используется для обнаружения несанкционированного изменения файлов или системных данных?  
A) Логирование  
B) Хэширование  
C) Шифрование  
D) Мониторинг  
Правильный ответ: B) Хэширование  

37. Какое из следующих утверждений лучше всего описывает функцию EDR-системы?  
A) Обнаружение и реагирование на угрозы на уровне конечных точек  
B) Обнаружение угроз на сетевом уровне  
C) Анализ трафика в реальном времени  
D) Централизованное логирование событий безопасности  
Правильный ответ: A) Обнаружение и реагирование на угрозы на уровне конечных точек  

38. Какой из следующих протоколов предназначен для защиты электронной почты с помощью шифрования и цифровых подписей?  
A) SMTP  
B) POP3  
C) S/MIME  
D) IMAP  
Правильный ответ: C) S/MIME  

39. Какой из следующих терминов описывает программу, которая распространяется через сеть без необходимости взаимодействия с пользователем?  
A) Вирус  
B) Червь  
C) Троян  
D) Руткит  
Правильный ответ: B) Червь  

40. Какой из следующих документов содержит информацию о воздействии инцидента на бизнес-процессы?  
A) BCP  
B) BIA  
C) DRP  
D) RFP  
Правильный ответ: B) BIA  

41. Какой из следующих подходов к тестированию безопасности предполагает наличие полной информации о тестируемой системе?  
A) Black Box  
B) Grey Box  
C) White Box  
D) Red Team  
Правильный ответ: C) White Box  

42. Какой из следующих типов атак направлен на внедрение SQL-запросов в пользовательский ввод?  
A) XSS  
B) CSRF  
C) SQL Injection  
D) Buffer Overflow  
Правильный ответ: C) SQL Injection  

43. Какой из следующих элементов является частью жизненного цикла управления рисками?  
A) Оценка рисков  
B) Выбор оборудования  
C) Настройка сети  
D) Подбор персонала  
Правильный ответ: A) Оценка рисков  

44. Какой из следующих терминов описывает использование легитимного трафика для передачи скрытой информации?  
A) Шифрование  
B) Стеганография  
C) Хэширование  
D) Кодирование  
Правильный ответ: B) Стеганография  

45. Какой из следующих инструментов используется для восстановления удалённых файлов при анализе цифровых доказательств?  
A) EnCase  
B) Wireshark  
C) tcpdump  
D) Netcat  
Правильный ответ: A) EnCase  

46. Какой из следующих терминов описывает повторное использование ранее скомпрометированных учетных данных для входа в другие системы?  
A) Brute-force  
B) Dictionary attack  
C) Credential stuffing  
D) Phishing  
Правильный ответ: C) Credential stuffing  

47. Какой из следующих протоколов используется для шифрования коммуникаций между клиентом и сервером веб-приложений?  
A) SSH  
B) HTTPS  
C) FTPS  
D) SMTP  
Правильный ответ: B) HTTPS  

48. Какой из следующих терминов описывает программу, которая может скрывать своё присутствие в системе?  
A) Вирус  
B) Червь  
C) Руткит  
D) Троян  
Правильный ответ: C) Руткит  

49. Какой из следующих методов используется для повышения уровня безопасности при работе с API?  
A) Rate limiting  
B) Data compression  
C) Load balancing  
D) Disk mirroring  
Правильный ответ: A) Rate limiting  

50. Какой из следующих терминов описывает систему, которая автоматически собирает, коррелирует и анализирует события безопасности?  
A) IDS  
B) IPS  
C) SIEM  
D) WAF  
Правильный ответ: C) SIEM

51. Какой из следующих типов атак направлен на перехват и воспроизведение ранее захваченных сетевых пакетов для получения несанкционированного доступа?  
A) Smurf-атака  
B) Replay-атака  
C) SYN Flood  
D) ARP spoofing  
Правильный ответ: B) Replay-атака  

52. Какой из следующих терминов описывает процесс автоматического сбора информации о целевой системе, включая открытые порты и запущенные сервисы?  
A) Fingerprinting  
B) Enumeration  
C) Reconnaissance  
D) Scanning  
Правильный ответ: D) Scanning  

53. Какое значение по умолчанию использует TCP-порт для протокола HTTPS?  
A) 80  
B) 443  
C) 22  
D) 53  
Правильный ответ: B) 443  

54. Какой из следующих механизмов используется для обеспечения доверия между клиентом и сервером при использовании цифровых сертификатов?  
A) Симметричное шифрование  
B) Центр сертификации (CA)  
C) Хэш-функция  
D) Протокол Diffie-Hellman  
Правильный ответ: B) Центр сертификации (CA)  

55. Какой из следующих стандартов применяется для управления рисками информационной безопасности на уровне предприятия?  
A) ISO/IEC 27005  
B) ISO/IEC 20000  
C) ITIL  
D) NIST SP 800-53  
Правильный ответ: A) ISO/IEC 27005  

56. Какой уровень модели OSI отвечает за установление и разрыв логического соединения между узлами?  
A) Прикладной  
B) Сеансовый  
C) Транспортный  
D) Сетевой  
Правильный ответ: B) Сеансовый  

57. Какой из следующих методов используется для защиты от атак типа SQL Injection?  
A) Использование хэширования  
B) Валидация входных данных  
C) Отключение межсетевого экрана  
D) Упрощение паролей  
Правильный ответ: B) Валидация входных данных  

58. Какой из следующих протоколов предназначен для безопасного удалённого доступа к файловым системам?  
A) FTP  
B) SFTP  
C) TFTP  
D) NFS  
Правильный ответ: B) SFTP  

59. Какой из следующих терминов обозначает систему, которая может обнаруживать и блокировать подозрительную активность в реальном времени?  
A) IDS  
B) IPS  
C) SIEM  
D) WAF  
Правильный ответ: B) IPS  

60. Какой из следующих типов атак использует большое количество одновременных запросов с целью истощения ресурсов сервера?  
A) Phishing  
B) XSS  
C) DDoS  
D) Buffer Overflow  
Правильный ответ: C) DDoS  

61. Какой из следующих алгоритмов обеспечивает функцию электронной цифровой подписи?  
A) AES  
B) SHA-1  
C) RSA  
D) DES  
Правильный ответ: C) RSA  

62. Какой из следующих документов содержит описание последствий потери ключевых информационных активов для бизнеса?  
A) Risk Register  
B) Business Impact Analysis (BIA)  
C) Incident Response Plan  
D) Disaster Recovery Plan  
Правильный ответ: B) Business Impact Analysis (BIA)  

63. Какой из следующих протоколов обеспечивает многофакторную аутентификацию через одноразовые временные коды?  
A) OAuth 2.0  
B) OpenID Connect  
C) TOTP  
D) Kerberos  
Правильный ответ: C) TOTP  

64. Какой из следующих инструментов используется для сканирования уязвимостей в операционных системах и приложениях?  
A) Metasploit  
B) John the Ripper  
C) Nessus  
D) Hydra  
Правильный ответ: C) Nessus  

65. Какой из следующих принципов определяет необходимость минимального привилегирования пользователей в системе?  
A) Least Privilege  
B) Separation of Duties  
C) Need-to-Know  
D) Defense in Depth  
Правильный ответ: A) Least Privilege  

66. Какой из следующих терминов описывает использование физических объектов или действий для получения конфиденциальной информации?  
A) Social Engineering  
B) Tailgating  
C) Shoulder Surfing  
D) Dumpster Diving  
Правильный ответ: A) Social Engineering  

67. Какой из следующих методов позволяет защитить данные от несанкционированного изменения?  
A) Шифрование  
B) Хэширование  
C) Компрессия  
D) Дублирование  
Правильный ответ: B) Хэширование  

68. Какой из следующих типов атак предполагает отправку большого количества поддельных запросов ARP в сеть?  
A) DNS spoofing  
B) IP spoofing  
C) ARP spoofing  
D) MAC flooding  
Правильный ответ: C) ARP spoofing  

69. Какой из следующих стандартов используется для оценки зрелости процессов управления информационной безопасностью?  
A) COBIT  
B) ISO 27001  
C) PCI DSS  
D) HIPAA  
Правильный ответ: A) COBIT  

70. Какой из следующих элементов является основным компонентом политики безопасности организации?  
A) Стратегия резервного копирования  
B) Определение ролей и прав доступа  
C) Руководство по выбору оборудования  
D) План развития отдела ИТ  
Правильный ответ: B) Определение ролей и прав доступа  

71. Какой из следующих терминов описывает процесс анализа защищенности системы путем эмуляции атак злоумышленника?  
A) Vulnerability Assessment  
B) Penetration Testing  
C) Security Audit  
D) Threat Modeling  
Правильный ответ: B) Penetration Testing  

72. Какой из следующих протоколов используется для безопасного обмена данными между веб-приложением и базой данных?  
A) LDAP  
B) TLS  
C) SNMP  
D) ICMP  
Правильный ответ: B) TLS  

73. Какой из следующих типов угроз распространяется через вложение в документ Microsoft Office с использованием макросов?  
A) Червь  
B) Троян  
C) Фишинговая ссылка  
D) Вирус  
Правильный ответ: D) Вирус  

74. Какой из следующих механизмов используется для ограничения доступа к ресурсам на основе местоположения пользователя?  
A) RBAC  
B) ABAC  
C) Geofencing  
D) MAC  
Правильный ответ: C) Geofencing  

75. Какой из следующих терминов описывает процесс автоматической проверки соответствия политикам безопасности?  
A) Compliance Monitoring  
B) Security Awareness Training  
C) Digital Forensics  
D) Threat Hunting  
Правильный ответ: A) Compliance Monitoring

Билет 1

 

Теоретическая часть:

 

  1. Охарактеризуйте модель взаимодействия клиент-сервер в контексте сетевой безопасности.
    Ответ: Модель клиент-сервер предполагает централизованное предоставление ресурсов сервером по запросам клиентов. В контексте безопасности важно обеспечить аутентификацию, шифрование трафика и контроль доступа.

  2. Объясните, как работает механизм цифровой подписи и её роль в обеспечении целостности и неотказуемости данных.
    Ответ: Цифровая подпись формируется с использованием закрытого ключа отправителя на основе хэша сообщения. Получатель проверяет подпись открытым ключом. Это гарантирует целостность и подлинность отправителя, обеспечивая неотказуемость.

 

Практическая часть:

 

Напишите скрипт на Python, который будет сканировать указанный диапазон портов на удаленном хосте с использованием библиотеки socket.
Примечание: Хост и диапазон портов задаются пользователем.

import socket

def port_scanner(host, start_port, end_port):
    open_ports = []
    for port in range(start_port, end_port + 1):
        with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
            s.settimeout(1)
            result = s.connect_ex((host, port))
            if result == 0:
                open_ports.append(port)
    return open_ports

if __name__ == "__main__":
    target_host = input("Введите IP-адрес или домен: ")
    start = int(input("Введите начальный порт: "))
    end = int(input("Введите конечный порт: "))
    print("Открытые порты:", port_scanner(target_host, start, end))

Билет 2

 

Теоретическая часть:

 

  1. Дайте определение политики информационной безопасности организации и объясните её основные компоненты.
    Ответ: Политика ИБ — это документ, устанавливающий правила использования, защиты и управления информацией. Основные компоненты: цели, рамки, ответственность, процедуры, меры контроля и последствия за нарушения.

  2. Охарактеризуйте принципы модели Zero Trust и их применение в современных системах безопасности.
    Ответ: Zero Trust исходит из того, что доверие нельзя давать автоматически ни внутренним, ни внешним пользователям. Принципы: "никогда не доверяй, всегда проверяй", строгая аутентификация, минимальные привилегии, постоянный мониторинг.

 

Практическая часть:

 

Разработайте простой bash-скрипт, который будет проверять наличие обновлений безопасности для системы Linux и выводить список доступных пакетов.

#!/bin/bash

echo "Проверка наличия обновлений безопасности..."

# Обновляем список пакетов
sudo apt update > /dev/null 2>&1

# Получаем список пакетов с обновлениями безопасности
security_updates=$(apt list --upgradable 2>/dev/null | grep -i security)

if [ -z "$security_updates" ]; then
    echo "Обновления безопасности отсутствуют."
else
    echo "Доступны следующие обновления безопасности:"
    echo "$security_updates"
fi


Билет 3

 

Теоретическая часть:

 

  1. Объясните разницу между атаками типа DDoS и DoS. Какие меры могут быть приняты для противодействия этим угрозам?
    Ответ: DoS — локальная атака от одного источника, DDoS — распределённая атака с множества источников. Защита: фильтрация трафика, использование CDN, ограничение скорости, WAF, DDoS-защита провайдера.

  2. Что такое инцидент информационной безопасности? Перечислите этапы жизненного цикла реагирования на инцидент.
    Ответ: Инцидент ИБ — событие, нарушающее политики безопасности. Этапы: выявление, анализ, сдерживание, устранение, восстановление, анализ после инцидента.

 

Практическая часть:

 

Создайте правило для iptables, которое блокирует входящий трафик с IP-адреса 192.168.1.100 и записывает соответствующие события в журнал.

iptables -A INPUT -s 192.168.1.100 -j LOG --log-prefix "Blocked_IP: "
iptables -A INPUT -s 192.168.1.100 -j DROP

Билет 4

 

Теоретическая часть:

 

  1. Объясните, почему необходимо использовать многофакторную аутентификацию (MFA), и приведите примеры реализации.
    Ответ: MFA повышает безопасность за счет дополнительного фактора (например, одноразовый код). Примеры: TOTP (Google Authenticator), SMS-код, аппаратный ключ YubiKey.

  2. Что означает термин «угроза нулевого дня»? Почему такие угрозы особенно опасны?
    Ответ: Угроза нулевого дня — это эксплуатация ранее неизвестной уязвимости до выпуска исправления. Особо опасна из-за отсутствия готовых защитных мер и возможности масштабных атак.

 

Практическая часть:

 

Создайте простую функцию на Python, которая принимает строку и возвращает её хэш SHA-256.

import hashlib

def get_sha256_hash(input_string):
    sha256_hash = hashlib.sha256()
    sha256_hash.update(input_string.encode('utf-8'))
    return sha256_hash.hexdigest()

if __name__ == "__main__":
    user_input = input("Введите строку для хэширования: ")
    print("SHA-256 хэш:", get_sha256_hash(user_input))

Билет 5

 

Теоретическая часть:

 

  1. Охарактеризуйте методы анализа уязвимостей и их место в процессе обеспечения информационной безопасности.
    Ответ: Анализ уязвимостей включает сканирование, оценку рисков, приоритезацию и устранение слабых мест. Является важной частью проактивной защиты систем и снижения вероятности успешной атаки.

  2. Объясните, как работает протокол TLS и какие задачи он решает в обеспечении безопасности передачи данных.
    Ответ: TLS обеспечивает шифрование, аутентификацию и целостность данных. Работает через обмен ключами (Diffie-Hellman), установление соединения и шифрование трафика с помощью симметричного алгоритма.

 

Практическая часть:

 

Создайте bash-скрипт, который проверяет, запущены ли указанные сервисы (например, sshd, apache2, mysql) и перезапускает их, если они остановлены.

#!/bin/bash

services=("sshd" "apache2" "mysql")

for service in "${services[@]}"
do
  if systemctl is-active --quiet "$service"; then
    echo "Сервис $service работает."
  else
    echo "Сервис $service остановлен. Перезапускаю..."
    sudo systemctl restart "$service"
    if [ $? -eq 0 ]; then
      echo "Сервис $service успешно перезапущен."
    else
      echo "Ошибка при перезапуске сервиса $service."
    fi
  fi
done


Билет 6

 

Теоретическая часть:

 

  1. Объясните, что такое политика управления доступом и как она реализуется в модели RBAC.
    Ответ: Политика управления доступом определяет, кто и к каким ресурсам имеет доступ. В RBAC доступ привязывается к ролям, а роли назначаются пользователям, что упрощает управление и обеспечивает гибкость.

  2. Дайте характеристику атаке типа SQL Injection и объясните методы защиты от неё.
    Ответ: SQL Injection — это внедрение вредоносного SQL-запроса через пользовательский ввод. Защита: использование параметризованных запросов, фильтрация входных данных, валидация и ограничение прав доступа к БД.

 

Практическая часть:

 

Напишите скрипт на Python, который проверяет, является ли заданная строка допустимым email-адресом (по формату name@domain.tld ).

import re

def is_valid_email(email):
    pattern = r'^[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+$'
    return bool(re.match(pattern, email))

if __name__ == "__main__":
    user_email = input("Введите email-адрес: ")
    if is_valid_email(user_email):
        print("Email корректный.")
    else:
        print("Email некорректный.")

Билет 7

 

Теоретическая часть:

 

  1. Охарактеризуйте модель взаимодействия клиент-сервер и укажите основные точки её уязвимости с точки зрения безопасности.
    Ответ: Модель клиент-сервер подразумевает централизованное предоставление услуг. Уязвимости: перехват трафика, DDoS-атаки, неправильная аутентификация, слабое шифрование.

  2. Что означает термин «фишинг»? Приведите примеры его разновидностей.
    Ответ: Фишинг — это социальная инженерия для получения конфиденциальных данных. Разновидности: спуфинг, вишинг, смшинг, spear phishing.

 

Практическая часть:

 

Создайте bash-скрипт, который проверяет, установлен ли указанный пакет (например, fail2ban) и устанавливает его при необходимости.

#!/bin/bash

package="fail2ban"

if dpkg -l | grep -q "$package"; then
    echo "Пакет $package уже установлен."
else
    echo "Пакет $package не установлен. Начинаю установку..."
    sudo apt update && sudo apt install -y "$package"
    if [ $? -eq 0 ]; then
        echo "Пакет $package успешно установлен."
    else
        echo "Ошибка при установке пакета $package."
    fi
fi


Билет 8

 

Теоретическая часть:

 

  1. Что такое цифровой сертификат и какие компоненты он включает?
    Ответ: Цифровой сертификат — это электронный документ, подтверждающий принадлежность открытого ключа владельцу. Содержит: имя владельца, открытый ключ, срок действия, данные ЦС, цифровую подпись.

  2. Объясните, что такое хэш-функция и почему она важна в криптографии.
    Ответ: Хэш-функция преобразует данные произвольной длины в фиксированный уникальный код. Используется для проверки целостности, создания цифровых подписей, хранения паролей.

 

Практическая часть:

 

Создайте простую программу на Python, которая проверяет, содержит ли введённый пользователем пароль хотя бы одну цифру, букву верхнего регистра и символ.

import re

def check_password(password):
    if len(password) < 8:
        return False
    if not re.search(r'[A-Z]', password):
        return False
    if not re.search(r'[a-z]', password):
        return False
    if not re.search(r'\d', password):
        return False
    if not re.search(r'[!@#$%^&*(),.?":{}|<>]', password):
        return False
    return True

if __name__ == "__main__":
    pwd = input("Введите пароль: ")
    if check_password(pwd):
        print("Пароль соответствует требованиям безопасности.")
    else:
        print("Пароль не соответствует требованиям безопасности.")


Билет 9

 

Теоретическая часть:

 

  1. Что такое система обнаружения вторжений (IDS) и как она функционирует?
    Ответ: IDS — это система, анализирующая сетевой или системный трафик на предмет подозрительной активности. Работает по сигнатурам или на основе поведения, но не блокирует атаки самостоятельно.

  2. Объясните, что представляет собой протокол SSH и его роль в безопасном удалённом доступе.
    Ответ: SSH — протокол для безопасного удалённого управления системами. Обеспечивает шифрование, аутентификацию и защиту от прослушивания, используется вместо Telnet.

 

Практическая часть:

 

Создайте bash-скрипт, который проверяет, есть ли в системе пользователи с UID = 0 (кроме root), и выводит их список.

#!/bin/bash

echo "Проверка наличия пользователей с UID=0..."

# Поиск всех пользователей с UID=0 кроме root
suspicious_users=$(awk -F: '($3 == 0 && $1 != "root") {print}' /etc/passwd)

if [ -z "$suspicious_users" ]; then
    echo "Подозрительных пользователей нет."
else
    echo "Найдены пользователи с UID=0 (кроме root):"
    echo "$suspicious_users"
fi


Билет 10

 

Теоретическая часть:

 

  1. Что такое принцип минимальных привилегий (Least Privilege)? Почему он важен в кибербезопасности?
    Ответ: Это подход, при котором пользователь получает только те права, которые необходимы для выполнения своих обязанностей. Снижает риск внутренних угроз и последствий компрометации учетной записи.

  2. Какие виды тестирования безопасности вы знаете? Охарактеризуйте каждый из них.
    Ответ:

    • Black Box: без информации о системе.
    • White Box: полная информация.
    • Grey Box: частичная информация.
    • Red Team: эмуляция реальной атаки.
    • Blue Team: защита от Red Team.
    • Penetration Testing: поиск уязвимостей и эксплуатация.
 

Практическая часть:

 

Напишите скрипт на Python, который считывает лог-файл (например, /var/log/auth.log) и выводит IP-адреса, с которых было наибольшее количество попыток неудачного входа (failed login).

from collections import defaultdict
import re

def analyze_auth_log(log_file_path="/var/log/auth.log"):
    ip_count = defaultdict(int)
    failed_login_pattern = re.compile(r'Failed password.*from (\d+\.\d+\.\d+\.\d+)')

    try:
        with open(log_file_path, "r") as log_file:
            for line in log_file:
                match = failed_login_pattern.search(line)
                if match:
                    ip = match.group(1)
                    ip_count[ip] += 1
    except FileNotFoundError:
        print(f"Файл {log_file_path} не найден.")
        return

    # Вывод результатов
    print("IP-адреса с наибольшим количеством неудачных попыток входа:")
    for ip, count in sorted(ip_count.items(), key=lambda x: x[1], reverse=True):
        print(f"{ip}: {count} попыток")

if __name__ == "__main__":
    analyze_auth_log()

Билет 11

 

Теоретическая часть:

 

  1. Объясните, что такое модель безопасности CIA Triad и как каждый из её компонентов реализуется на практике.
    Ответ: CIA Triad включает конфиденциальность (доступ только авторизованным), целостность (данные не изменены без разрешения) и доступность (информация доступна при необходимости). Реализация: шифрование для конфиденциальности, хэши и контрольные суммы для целостности, резервирование и отказоустойчивость для доступности.

  2. Что такое система предотвращения вторжений (IPS)? Чем она отличается от IDS?
    Ответ: IPS — это система, которая не только обнаруживает, но и блокирует подозрительную активность. В отличие от IDS, которая только сигнализирует о подозрении на атаку, IPS может автоматически реагировать и предотвращать угрозы.

 

Практическая часть:

 

Напишите скрипт на Python, который проверяет, содержит ли указанный URL вредоносные строки (например, '../', 'etc/passwd', 'eval'), часто используемые в атаках.

import re

def is_malicious_url(url):
    malicious_patterns = [
        r'\.\./',                # Path traversal
        r'etc/passwd',           # Common file access
        r'eval$',                # eval usage
        r'cmd=.*\|',             # Command injection
        r'system$'
    ]
    for pattern in malicious_patterns:
        if re.search(pattern, url, re.IGNORECASE):
            return True
    return False

if __name__ == "__main__":
    user_url = input("Введите URL для проверки: ")
    if is_malicious_url(user_url):
        print("URL содержит потенциально вредоносный паттерн.")
    else:
        print("URL безопасен.")


Билет 12

 

Теоретическая часть:

 

  1. Дайте определение политики управления паролями и объясните её ключевые элементы.
    Ответ: Политика управления паролями регламентирует требования к созданию, хранению и смене паролей. Основные элементы: минимальная длина, использование символов, периодичность смены, история паролей, защита хранения (хэширование + соль).

  2. Что такое DLP-системы и какие задачи они решают в области информационной безопасности?
    Ответ: DLP (Data Loss Prevention) — системы, предназначенные для предотвращения утечки конфиденциальной информации. Задачи: мониторинг передачи данных, блокировка нежелательных действий, логирование, интеграция с EDR/SIEM.

 

Практическая часть:

 

Создайте bash-скрипт, который проверяет, есть ли в системе файлы с расширением .sh, имеющие права на исполнение для всех пользователей (chmod 777), и выводит их список.

#!/bin/bash

echo "Поиск .sh файлов с правами 777..."

# Поиск исполняемых .sh файлов с chmod 777
suspicious_files=$(find / -type f -name "*.sh" -perm -o=x 2>/dev/null)

if [ -z "$suspicious_files" ]; then
    echo "Подозрительных файлов нет."
else
    echo "Найдены .sh файлы с широкими правами:"
    echo "$suspicious_files"
fi

Билет 13

 

Теоретическая часть:

 

  1. Что такое протокол OAuth 2.0 и как он используется в современных системах авторизации?
    Ответ: OAuth 2.0 — это открытый стандарт для делегирования авторизации. Позволяет сторонним сервисам получать ограниченный доступ к защищенным ресурсам без передачи учетных данных. Используется для Single Sign-On, API-авторизации.

  2. Охарактеризуйте принципы работы механизма Diffie-Hellman для обмена ключами.
    Ответ: Diffie-Hellman позволяет двум сторонам выработать общий секретный ключ по незащищённому каналу, не передавая его напрямую. Основан на сложности дискретного логарифмирования. Применяется в TLS, SSH, IPsec.

 

Практическая часть:

 

Создайте простую программу на Python, которая принимает строку и выводит SHA-512 хэш в шестнадцатеричном формате.

import hashlib

def get_sha512_hash(input_string):
    sha512_hash = hashlib.sha512()
    sha512_hash.update(input_string.encode('utf-8'))
    return sha512_hash.hexdigest()

if __name__ == "__main__":
    user_input = input("Введите строку для хэширования: ")
    print("SHA-512 хэш:", get_sha512_hash(user_input))


Билет 14

 

Теоретическая часть:

 

  1. Объясните, что такое фишинг и какие техники используются злоумышленниками для его реализации.
    Ответ: Фишинг — социальная инженерия для получения конфиденциальных данных. Техники: спуфинг email, поддельные страницы входа, вредоносные вложения, spear phishing, vishing, smishing.

  2. Что такое политика резервного копирования и почему она важна в контексте защиты от ransomware?
    Ответ: Политика резервного копирования определяет частоту, места хранения и методы создания бэкапов. Критически важна для восстановления после ransomware-атак без выплаты выкупа.

 

Практическая часть:

 

Создайте bash-скрипт, который создаёт резервную копию указанного каталога с текущей датой в имени файла и сохраняет её в директорию /backup.

#!/bin/bash

source_dir=$1
backup_dir="/backup"

if [ -z "$source_dir" ]; then
    echo "Использование: $0 <каталог для бэкапа>"
    exit 1
fi

if [ ! -d "$source_dir" ]; then
    echo "Каталог $source_dir не существует."
    exit 1
fi

mkdir -p "$backup_dir"

timestamp=$(date +"%Y%m%d%H%M")
archive_name=$(basename "$source_dir")_$timestamp.tar.gz
tar -czf "$backup_dir/$archive_name" "$source_dir"

if [ $? -eq 0 ]; then
    echo "Резервная копия успешно создана: $backup_dir/$archive_name"
else
    echo "Ошибка при создании резервной копии."
fi


Билет 15

 

Теоретическая часть:

 

  1. Что такое модель Zero Trust и как она влияет на архитектуру корпоративной сети?
    Ответ: Модель Zero Trust исходит из принципа "никогда не доверяй, всегда проверяй". Она требует строгой аутентификации, авторизации и шифрования на всех уровнях, даже внутри сети, что приводит к микросегментации и контролю доступа.

  2. Объясните, что такое цифровой сертификат X.509 и где он применяется.
    Ответ: Сертификат X.509 — это стандарт для цифровых сертификатов, содержащий информацию о владельце, открытый ключ, срок действия и подпись ЦС. Применяется в TLS/SSL, S/MIME, IPsec, аутентификации клиентов и серверов.

 

Практическая часть:

 

Напишите скрипт на Python, который анализирует лог-файл (например, access.log) и выводит количество запросов по IP-адресам, сортируя их по убыванию.

from collections import defaultdict
import re

def analyze_access_log(log_file_path="access.log"):
    ip_count = defaultdict(int)
    ip_pattern = re.compile(r'^(\d+\.\d+\.\d+\.\d+)')

    try:
        with open(log_file_path, "r") as log_file:
            for line in log_file:
                match = ip_pattern.match(line)
                if match:
                    ip = match.group(1)
                    ip_count[ip] += 1
    except FileNotFoundError:
        print(f"Файл {log_file_path} не найден.")
        return

    # Сортировка и вывод результатов
    sorted_ips = sorted(ip_count.items(), key=lambda x: x[1], reverse=True)
    print("IP-адреса и количество запросов:")
    for ip, count in sorted_ips:
        print(f"{ip}: {count}")

if __name__ == "__main__":
    analyze_access_log()

Кейс №1: Аномальная активность в сети

Описание ситуации:

Вы — специалист по кибербезопасности в компании, занимающейся разработкой программного обеспечения. Компания имеет офисную сеть из 200 пользователей и облачную инфраструктуру на базе AWS. Внутренняя ИТ-инфраструктура включает:

 
  • Централизованный Active Directory (AD) с контроллерами домена.
  • Систему централизованного логирования (SIEM).
  • EDR-решение на всех конечных устройствах.
  • Межсетевые экраны и WAF для защиты внешних сервисов.
  • Регулярные бэкапы с политикой хранения 30 дней.
 

Утром администратор получил от пользователя жалобу: при попытке зайти в корпоративный портал выдается ошибка авторизации. При этом пароль недавно был изменен, и система не принимает его.

 

Позже служба поддержки получила несколько аналогичных обращений от сотрудников из разных отделов. Также SIEM зафиксировал следующие события:

 
  • Множественные неудачные попытки входа (failed login attempts) к различным учетным записям.
  • Активность с IP-адресов из стран, где у компании нет представительств.
  • Подозрительное количество запросов к API внутреннего портала с одного IP.
  • Один из серверов резервного копирования начал отправлять исходящий трафик на неизвестный внешний адрес.
 

Задание:

Часть 1: Анализ инцидента

  1. Выявите потенциальные угрозы и атаки, которые могли быть использованы.
  2. Укажите, какие компоненты системы безопасности могли быть скомпрометированы.
  3. Какие данные из логов следует проанализировать в первую очередь?
 

Часть 2: Реагирование

  1. Опишите этапы реагирования согласно модели Incident Response.
  2. Какие действия необходимо выполнить с учетными записями пользователей?
  3. Как можно заблокировать дальнейшее распространение атаки?
 

Часть 3: Предотвращение повтора

  1. Какие меры можно внедрить для предотвращения подобных инцидентов в будущем?
  2. Как улучшить политики аутентификации и контроля доступа?
  3. Как повысить эффективность обнаружения подобных атак?
 

Скрытые проблемы (ключи к решению):

  1. Credential Stuffing / Brute-force атака

    • Неудачные попытки входа с разных IP указывают на автоматизированные атаки.
    • Возможно, ранее утекли учетные данные сотрудников.

  2. Несанкционированный доступ к резервной системе

    • Исходящий трафик с сервера бэкапов может говорить о его компрометации или утечке данных.

  3. Отсутствие MFA на внутреннем портале

    • Отсутствие двухфакторной аутентификации делает учетные записи уязвимыми к перебору.

  4. Недостаточный мониторинг API-запросов

    • Большое число запросов к API без ограничений говорит о необходимости rate limiting и проверки источников.

  5. Возможная компрометация AD

    • Если один пользователь был взломан, возможно распространение внутри домена.
 

Рекомендации по решению:

Анализ и реагирование:

  • Заблокировать IP-адреса из подозрительных регионов на фаерволе.
  • Провести анализ логов аутентификации в SIEM (Event ID 4625, 4771 и др.).
  • Изучить журналы WAF и API Gateway на предмет подозрительных запросов.
  • Проверить сервер резервного копирования на наличие вредоносного ПО.
  • Сбросить пароли у всех затронутых пользователей и ввести временную блокировку аккаунтов.
 

Профилактика:

  • Внедрить MFA для всех пользователей, особенно для доступа к внутренним ресурсам.
  • Настроить защиту от DDoS и brute-force в WAF и firewall.
  • Ввести ограничения на частоту API-запросов (rate limiting).
  • Внедрить EDR-модуль на серверы резервного копирования.
  • Настроить мониторинг и оповещения на множественные неудачные входы в SIEM.
  • Обновить политику паролей: минимальная длина, сложность, история, период смены.
 

Цели обучения:

  • Диагностика и классификация типовых инцидентов.
  • Применение методов Incident Response.
  • Использование SIEM, EDR и сетевых инструментов для анализа.
  • Понимание принципов Zero Trust и усиления аутентификации.
  • Разработка стратегии восстановления и предотвращения повтора инцидента.
 

Кейс №2: Аномальная активность на сервере API

Описание ситуации:

Вы работаете в компании, предоставляющей облачные сервисы для клиентов. Компания использует микросервисную архитектуру, развернутую в облаке (например, AWS). Один из ключевых компонентов — это REST API-сервер , который обрабатывает запросы от мобильного приложения и веб-интерфейса.

 

Недавно система мониторинга (SIEM + CloudWatch) зафиксировала следующие аномалии:

 
  • Резкий рост числа HTTP-запросов к API (в 10 раз больше обычного).
  • Подавляющее большинство запросов имеют статус 400 Bad Request или 404 Not Found.
  • Все запросы исходят с одного IP-адреса.
  • Некоторые из них содержат подозрительные строки, такие как:
    • '../'
    • 'etc/passwd'
    • 'UNION SELECT'
  • На сервере наблюдается повышенная нагрузка на CPU и RAM.
  • Логи показывают, что некоторые из этих запросов достигли уровня базы данных (PostgreSQL).
 

Задание:

Часть 1: Анализ инцидента

  1. Какой тип атаки может быть реализован в данной ситуации?
  2. Какие уязвимости могли быть использованы злоумышленником?
  3. Какие логи и метрики вы будете анализировать в первую очередь?
 

Часть 2: Реагирование

  1. Какие действия необходимо выполнить для остановки атаки?
  2. Что можно сделать с текущим IP-адресом, чтобы предотвратить дальнейшие попытки?
  3. Как проверить, не была ли уже скомпрометирована система?
 

Часть 3: Предотвращение повторения

  1. Какие технические меры можно внедрить для защиты API?
  2. Как улучшить политики безопасности на уровне веб-приложений?
  3. Как повысить эффективность мониторинга и реагирования на подобные события?
 

Скрытые проблемы (ключи к решению):

  1. Попытка эксплуатации веб-уязвимостей (OWASP Top 10)

    • SQL Injection (UNION SELECT)
    • Path Traversal (../etc/passwd)
    • Это указывает на возможную недостаточную фильтрацию входных данных.

  2. DoS-атака или автоматизированный сканировщик уязвимостей

    • Большое количество запросов с ошибками говорит о том, что злоумышленник пытается найти слабые места в API.

  3. Отсутствие WAF или его неправильная настройка

    • Не блокируется трафик с известными вредоносными паттернами.

  4. Недостаточное ограничение частоты запросов (rate limiting)

    • Позволяет одному клиенту перегружать сервер и потенциально вызывать DDoS-like эффект.

  5. Возможный риск раскрытия информации через детализированные сообщения об ошибках

    • Ответы 400, 404 могут содержать информацию, полезную для атакующего.
 

Рекомендации по решению:

Анализ и реагирование:

  • Заблокировать подозрительный IP на уровне фаервола (AWS Security Group / WAF / NACL).
  • Проанализировать логи доступа к API, особенно те, которые попадают в БД.
  • Проверить наличие новых пользователей, изменений в коде, несанкционированных файлов.
  • Убедиться, что не было успешной эксплуатации уязвимостей (например, через журналы БД, EDR-системы).
  • Временно увеличить мощности сервера или включить auto-scaling для минимизации влияния на других пользователей.
 

Профилактика:

  • Настроить WAF с правилами OWASP Core Rule Set (CRS).
  • Добавить rate limiting на уровне API Gateway или NGINX.
  • Использовать параметризованные запросы и валидацию входных данных.
  • Скрыть детали ошибок от клиента (возвращать generic-ответы).
  • Настроить мониторинг аномального поведения в SIEM с автоматическим оповещением.
  • Провести тестирование на проникновение (pentest) API.
 

Цели обучения:

  • Распознавание признаков web-атак.
  • Анализ логов и сетевого трафика.
  • Применение методов реагирования на инциденты.
  • Понимание роли WAF, rate limiting и безопасного кодирования.
  • Разработка стратегии профилактики и усиления защиты API.
 

 

Ролевая игра №1: «Атака на облачную платформу»

Цель игры:

Отработать навыки реагирования на инцидент кибербезопасности в условиях имитации реальной атаки на облачную систему. Развить умение командной работы, анализа логов, принятия решений под давлением и построения стратегии реагирования.

 

Формат:

  • Время проведения: 2–3 академических часа.
  • Формат: Оффлайн или онлайн (в зависимости от условий обучения).
  • Участники: 5–6 человек в команде.
  • Возможна игра нескольких команд одновременно с последующим сравнением результатов.
 

Сеттинг:

Компания "CloudTech" предоставляет SaaS-решения для управления проектами. Недавно компания перешла на гибридную облачную архитектуру (AWS + локальные серверы). Все сервисы взаимодействуют через API, используют централизованное управление доступом и EDR-защиту.

 

Во время рутинного рабочего дня система мониторинга обнаруживает подозрительную активность:

  • Аномальный трафик между микросервисами.
  • Неудачные попытки входа к нескольким учетным записям администраторов.
  • Подозрительная активность на одном из серверов API — запросы к /admin с неизвестных IP.
  • Пользователи жалуются на медленную работу системы.
 

Роли в команде:

Каждый участник получает определенную роль, чтобы смоделировать реальную структуру SOC-команды:

 
  1. SOC Analyst – анализирует логи, события SIEM, выявляет аномалии.
  2. Incident Responder – координирует действия по реагированию, составляет план действий.
  3. Network Security Specialist – анализирует сетевой трафик, блокирует подозрительные соединения.
  4. Forensics Expert – собирает доказательства, проверяет целостность систем, анализирует EDR-события.
  5. DevOps Engineer / Cloud Architect – проверяет состояние инфраструктуры, работает с AWS-логами, IAM.
  6. Team Lead / CISO (по желанию) – принимает финальные решения, коммуницирует с руководством и другими службами.
 

Этапы игры:

Этап 1: Обнаружение аномалий (20 мин)

  • Участникам предоставляются выборки логов (SIEM, CloudWatch, EDR), метрики нагрузки, скриншоты WAF.
  • Задача: Выявить признаки атаки, классифицировать тип угрозы.
 

Этап 2: Анализ и диагностика (30 мин)

  • Команда проводит углубленный анализ логов, пытается восстановить хронологию событий.
  • Определяется возможная точка проникновения, оценивается степень компрометации.
 

Этап 3: Реагирование и ограничение ущерба (30 мин)

  • Принятие мер: блокировка IP, отзыв компрометированных учетных данных, запуск изоляции зараженного узла.
  • Подготовка временных исправлений и контрмер.
 

Этап 4: Восстановление и предотвращение (20 мин)

  • Разработка рекомендаций по восстановлению сервисов.
  • Предложения по улучшению безопасности: усиление аутентификации, внедрение MFA, обновление правил WAF и т.д.
 

Этап 5: Отчет и презентация (15 мин)

  • Каждая команда представляет свой отчет: что произошло, как было обнаружено, какие меры приняты и как предотвратить повтор.
 

Обучающие эффекты:

  • Практика работы с реальными логами, метриками и системами мониторинга.
  • Развитие soft skills: командная работа, распределение ролей, принятие решений.
  • Изучение жизненного цикла инцидента: обнаружение → анализ → реагирование → восстановление.
  • Углубление знаний по таким темам, как cloud security, network monitoring, incident response, forensics, threat hunting.
  • Применение стандартов и практик (например, NIST IR Framework, ISO 27035).
 

Скрытые проблемы (ключи к игре):

  1. Credential stuffing атака на IAM-учетные записи.
  2. SQL Injection через API-точку входа.
  3. Внутренняя эксплуатация компрометированного контейнера (lateral movement).
  4. Недостаточная защита API (отсутствие rate limiting, детализированные ошибки).
  5. Задержка в обнаружении атаки из-за недонастроенного SIEM.
 

Возможные проблемы и вызовы во время игры:

  • Дефицит времени: участники должны быстро принимать решения, основываясь на ограниченной информации.
  • Конфликты ролей: необходимо четко делегировать задачи и работать в команде.
  • Ошибки интерпретации логов: игроки могут неверно классифицировать атаку.
  • Недостаточно данных: часть информации может быть скрыта или требовать дополнительного запроса.
  • Психологическое давление: имитация реального инцидента создаёт напряженную обстановку.
 

Материалы для игры:

  • Сэмплы логов (JSON, CSV, текстовые файлы).
  • Диаграммы сети и архитектуры.
  • Экраны SIEM (Elastic Stack, Splunk, QRadar и т.д.).
  • Доступ к виртуальным машинам/контейнерам (по желанию).
  • Шаблоны отчетов по инциденту.
 

Ролевая игра №2: «Инсайдерская угроза в корпоративной сети»

Цель игры:

Отработать навыки выявления и реагирования на инсайдерские угрозы. Развить понимание поведенческих аномалий, анализ логов активности пользователей, использование SIEM и EDR-систем для обнаружения несанкционированного доступа.

 

Формат:

  • Время проведения: 2–3 академических часа.
  • Формат: Оффлайн или онлайн (в зависимости от условий обучения).
  • Участники: 5–6 человек в команде.
  • Возможна игра нескольких команд с последующим сравнением эффективности реагирования.
 

Сеттинг:

Вы работаете в ИБ-отделе крупной финансовой организации "FinCorp". Компания имеет строгие политики безопасности, централизованное управление доступом через Active Directory, систему мониторинга SIEM (например, Splunk), EDR-решение (SentinelOne, CrowdStrike и т.д.), а также политику DLP.

 

В один из дней отдел ИБ получает сигнал от службы поддержки:

«Один из сотрудников заметил, что его учетная запись была использована для входа в систему в то время, когда он находился в отъезде».

После начального анализа было выявлено:

  • Подозрительные попытки копирования данных из защищённых каталогов.
  • Активность с IP-адреса, зарегистрированного в другой стране.
  • Множественные запросы к внутреннему API с нестандартными параметрами.
  • Сотрудник, чья учётная запись используется, недавно уволился после конфликта с руководством.
 

Роли в команде:

  1. SOC Analyst – анализирует события SIEM, выявляет аномалии в поведении пользователя.
  2. EDR Specialist – проверяет историю действий на устройстве, выявляет признаки компрометации.
  3. Forensics Expert – собирает доказательства, восстанавливает хронологию событий.
  4. HR Liaison / Compliance Officer – взаимодействует с HR по вопросам увольнения и возможного мотива.
  5. Network Security Specialist – проверяет сетевой трафик, ищет следы удалённого управления.
  6. Team Lead / CISO (по желанию) – координирует действия, принимает финальные решения.
 

Этапы игры:

Этап 1: Получение сигнала тревоги (15 мин)

  • Участникам предоставляются описание инцидента, скриншоты SIEM с событиями неудачных входов и аномальной активности.
  • Задача: классифицировать тип угрозы, определить первые шаги.
 

Этап 2: Анализ активности пользователя (30 мин)

  • Команда исследует логи AD, SIEM, EDR и DLP.
  • Выясняется, какие файлы были скопированы, какие процессы запускались, был ли удален браузерный кэш и т.д.
 

Этап 3: Обнаружение методов доступа (30 мин)

  • Участники проверяют, как злоумышленник получил доступ:
    • Возможно, осталась сохранённая сессия.
    • Использовался stolen cookie / token.
    • Было внедрено вредоносное ПО (например, RAT).
 

Этап 4: Реагирование и ограничение ущерба (30 мин)

  • Отзыв компрометированных учетных данных.
  • Изоляция устройства от сети.
  • Поиск и блокировка вредоносных процессов.
  • Проверка наличия других подозрительных учетных записей.
 

Этап 5: Отчет и рекомендации (20 мин)

  • Каждая команда представляет отчет:
    • Как произошла атака?
    • Что было украдено или изменено?
    • Какие меры предприняты?
    • Как предотвратить повтор?
 

Обучающие эффекты:

  • Навыки анализа поведения пользователей.
  • Понимание особенностей инсайдерских угроз.
  • Применение SIEM, EDR и DLP в реальном инциденте.
  • Работа с политиками доступа и аудита.
  • Практика составления отчетов и рекомендаций.
 

Скрытые проблемы (ключи к игре):

  1. Украденные учетные данные уволенного сотрудника

    • Не были своевременно отозваны права.

  2. Несанкционированное копирование данных

    • Утечка через USB-накопитель или облачное хранилище.

  3. Активный RAT на рабочей станции

    • Позволял удалённо управлять компьютером.

  4. Отсутствие мониторинга поведения пользователей (UEBA)

    • Не были заданы правила обнаружения аномалий.

  5. Доступ к чувствительным данным без MFA

    • Упрощало жизнь злоумышленнику.
 

Возможные вызовы во время игры:

  • Ложные следы: игроки могут интерпретировать события как ошибки системы, а не атаку.
  • Минимум времени: необходимо быстро принять решение — блокировать аккаунт или продолжить наблюдение.
  • Конфиденциальность: нужно решить, сообщать ли HR/руководству до завершения расследования.
  • Неочевидный путь проникновения: злоумышленник мог использовать легитимный доступ через оставленную сессию.
  • Правовая сторона: если данные уже переданы, требуется уведомление регулятора.
 

Материалы для игры:

  • Логи SIEM (в формате CSV или JSON).
  • Экраны EDR с информацией о процессах и событиях.
  • Скриншоты Active Directory и DLP-систем.
  • Документы: политики доступа, шаблоны отчетов по инциденту, журналы событий.

Дополнительно: образ диска для цифровой форензики (например, .E01), который можно проанализировать в Autopsy/FTK Imager.




Ролевая игра №3: «Фишинговая кампания против руководителей компании»

Цель игры:

Отработать навыки выявления и реагирования на фишинговые атаки, особенно в формате spear phishing. Развить умение анализа подозрительных email-сообщений, использования инструментов для расследования (например, header analysis, URL reputation), а также отработки внутренней коммуникации и информирования сотрудников.

 

Формат:

  • Время проведения: 2–3 академических часа.
  • Формат: Оффлайн или онлайн.
  • Участники: 5–6 человек в команде.
  • Возможна игра нескольких команд с последующим сравнением эффективности реагирования.
 

Сеттинг:

Вы — члены ИБ-отдела крупной промышленной компании "IndustroTech" , которая занимается разработкой и производством высокотехнологичного оборудования. Компания имеет строгие политики безопасности, использует EDR, SIEM, DLP, а также проводит регулярные тренинги по социальной инженерии.

 

Утром служба поддержки получает сообщения от нескольких топ-менеджеров:

«Получил письмо с документом о новых налоговых изменениях. После открытия файл начал работать медленно, и система запросила повторный вход».

Тем временем SIEM зафиксировал:

  • Подозрительную активность на одном из компьютеров директора — необычные DNS-запросы к доменам в Азии.
  • Отправка данных из защищённых каталогов на внешний IP.
  • Несколько попыток запуска PowerShell-скриптов с неизвестными параметрами.
 

Роли в команде:

  1. SOC Analyst – анализирует события SIEM и DLP, выявляет аномалии.
  2. Email Security Specialist – исследует заголовки писем, проверяет источники и приложения.
  3. Forensics Expert – собирает доказательства с устройства, анализирует цифровые следы.
  4. Incident Responder – координирует действия по реагированию, составляет план действий.
  5. Awareness Officer – готовит информационное письмо сотрудникам, обучает распознавать фишинг.
  6. Team Lead / CISO (по желанию) – принимает решения по блокировке, взаимодействует с руководством.
 

Этапы игры:

Этап 1: Получение сигнала тревоги (15 мин)

  • Участникам предоставляются скриншоты фишингового письма, описание поведения системы и первые сигналы SIEM.
  • Задача: классифицировать тип атаки, определить возможную цель и канал распространения.
 

Этап 2: Анализ фишингового письма (30 мин)

  • Участники изучают заголовки письма, проверяют SPF/DKIM/DMARC.
  • Исследуют содержимое вложений (например, макросы в Word).
  • Проверяют URL из письма через сервисы проверки репутации.
 

Этап 3: Обнаружение вредоносной активности (30 мин)

  • Проверка логов EDR на наличие вредоносных процессов.
  • Поиск C2-коммуникаций и других признаков RAT или шифровальщика.
  • Определение степени компрометации устройства и сети.
 

Этап 4: Реагирование и ограничение ущерба (30 мин)

  • Изоляция зараженного устройства.
  • Отзыв доступа и сброс паролей.
  • Блокировка вредоносных доменов и IP-адресов на уровне фаервола.
  • Сканирование других устройств на предмет аналогичных признаков.
 

Этап 5: Отчет и рекомендации (20 мин)

  • Каждая команда представляет отчет:
    • Как была реализована атака?
    • Что удалось предотвратить?
    • Какие данные могли быть утеряны?
    • Как повысить уровень осведомленности сотрудников?
 

Обучающие эффекты:

  • Навыки анализа фишинговых писем и их метаданных.
  • Понимание методов социальной инженерии, особенно в формате spear phishing.
  • Применение SIEM, EDR, DLP и систем проверки URL/email.
  • Разработка обучающих материалов и проведение awareness-кампаний.
  • Работа с жизненным циклом инцидента: от обнаружения до восстановления.
 

Скрытые проблемы (ключи к игре):

  1. Spear phishing с использованием документа Word с вредоносным макросом.
  2. Загрузка и запуск RAT через PowerShell.
  3. Использование legitimate-looking домена (например, tax-updates[.]xyz).
  4. Отсутствие полноценной проверки входящих писем на уровне почтового сервера.
  5. Недостаточный уровень осведомленности топ-менеджеров о рисках.
 

Возможные вызовы во время игры:

  • Дезинформация: злоумышленник может использовать легитимные домены и службы для маскировки.
  • Ограниченный доступ к данным: участники могут не получить полной информации о содержимом письма или событиях SIEM.
  • Необходимость выбора между блокировкой и наблюдением: продолжать ли сбор информации о злоумышленнике или сразу отключать узел.
  • Коммуникационные барьеры: необходимо четко передавать информацию между отделами.
  • Временные ограничения: нужно успеть провести анализ и принять решение до распространения атаки.
 

Материалы для игры:

  • Примеры фишинговых писем (в формате .eml или PDF).
  • Дампы заголовков писем для анализа.
  • Логи SIEM с событиями аномального поведения.
  • Экраны EDR с информацией о запущенных процессах.
  • Шаблоны отчетов по инциденту, образцы информационных рассылок для сотрудников.
  • Дополнительно: образ жесткого диска с зараженным компьютером для форензика.



Ролевая игра №4: «Ransomware в корпоративной сети»

Цель игры:

Отработать навыки реагирования на инцидент с ransomware. Развить умение быстро диагностировать заражение, ограничивать распространение шифровальщика, восстанавливать данные и предотвращать повторные атаки.

 

Формат:

  • Время проведения: 2–3 академических часа.
  • Формат: Оффлайн или онлайн.
  • Участники: 5–6 человек в команде.
  • Возможна игра нескольких команд с последующим сравнением эффективности реагирования.
 

Сеттинг:

Вы — часть ИБ-команды среднего банка "BankSecure" , который недавно модернизировал свою IT-инфраструктуру. Компания использует:

  • Централизованное управление через Active Directory.
  • Систему резервного копирования с политикой хранения 14 дней.
  • SIEM (например, QRadar), EDR (SentinelOne), антивирусные решения.
  • Межсетевой экран и WAF для защиты внешних сервисов.
 

Утром служба поддержки получает множество обращений от сотрудников:

«Все файлы на рабочем столе исчезли, вместо них появился файл README.txt с требованием выкупа за расшифровку».

SIEM фиксирует:

  • Аномально высокую активность чтения/записи на серверах файлового хранилища.
  • Подозрительные процессы, связанные с шифрованием данных.
  • Исходящие соединения с неизвестными IP-адресами.
 

Роли в команде:

  1. SOC Analyst – анализирует события SIEM, выявляет признаки ransomware.
  2. Incident Responder – координирует действия по реагированию, составляет план действий.
  3. Forensics Expert – собирает доказательства, проверяет целостность систем, анализирует EDR-события.
  4. Backup & Recovery Specialist – оценивает состояние бэкапов, готовит план восстановления.
  5. Compliance Officer / PR Manager – работает с внутренними коммуникациями и регуляторами.
  6. Team Lead / CISO (по желанию) – принимает финальные решения, взаимодействует с руководством.
 

Этапы игры:

Этап 1: Обнаружение инцидента (20 мин)

  • Участникам предоставляются скриншоты SIEM, логи EDR, описание поведения пользователей.
  • Задача: классифицировать тип атаки, определить масштаб поражения.
 

Этап 2: Анализ зараженного устройства (30 мин)

  • Проверка процессов на устройстве, изучение содержимого README.txt.
  • Выявление источника проникновения (возможно, фишинг, эксплуатация уязвимости).
  • Поиск следов C2-коммуникаций.
 

Этап 3: Реагирование и ограничение ущерба (30 мин)

  • Изоляция зараженных устройств от сети.
  • Отключение автоматической синхронизации с облачным хранилищем.
  • Блокировка подозрительных IP-адресов на уровне фаервола.
  • Проверка состояния бэкапов (не были ли они захвачены злоумышленником).
 

Этап 4: Восстановление и предотвращение повтора (30 мин)

  • Восстановление системы из чистых резервных копий.
  • Обновление политики безопасности: патч-менеджмент, усиление контроля доступа.
  • Настройка мониторинга аномальной активности в файлах и процессах.
 

Этап 5: Отчет и презентация (15 мин)

  • Каждая команда представляет свой отчет:
    • Что произошло?
    • Как был реализован инцидент?
    • Какие данные могли быть потеряны?
    • Как предотвратить повтор?
 

Обучающие эффекты:

  • Практика работы с реальными признаками ransomware.
  • Навыки быстрого принятия решений в условиях кризиса.
  • Понимание жизненного цикла ransomware-атаки.
  • Применение EDR, SIEM, DLP и систем резервного копирования.
  • Разработка рекомендаций по усилению защиты от шифровальщиков.
 

Скрытые проблемы (ключи к игре):

  1. Заражение через фишинговое письмо с вредоносным макросом.
  2. Шифрование сетевых каталогов благодаря широким правам пользователя.
  3. Один из бэкапов также был заражён («dirty backup»).
  4. Наличие живого C2-соединения после заражения.
  5. Отсутствие разделения прав доступа между отделами.
 

Возможные вызовы во время игры:

  • Дефицит времени: необходимо быстро принять решение — продолжать ли сбор информации или сразу начать восстановление.
  • Конфликты ролей: важно четко делегировать задачи.
  • Ошибки интерпретации событий: игроки могут неверно оценить масштаб заражения.
  • Психологическое давление: имитация реального кризиса создаёт напряженную обстановку.
  • Неочевидный источник проникновения: может быть сложно определить точку входа.
 

Материалы для игры:

  • Логи SIEM с событиями шифрования и аномального трафика.
  • Экраны EDR с информацией о запущенных процессах.
  • Текст README.txt с выкупным требованием.
  • Журналы резервного копирования.
  • Шаблоны отчетов по инциденту, образцы информационных рассылок для сотрудников.
  • Дополнительно: образ жесткого диска с зараженным компьютером для форензика.

🧠 Интеллект-карта 1: "Ядро профессии — Специалист по кибербезопасности"

Основной узел:

Специалист по кибербезопасности (Профессиональный уровень)

 

Ветви:

1. Ключевые компетенции

  • Управление рисками
  • Аудит и мониторинг безопасности
  • Обнаружение и реагирование на инциденты
  • Техническая защита систем и сетей
  • Законодательные и нормативные аспекты
 

2. Стандарты и фреймворки

  • ISO/IEC 27001
  • PCI DSS
  • HIPAA
  • NIST Cybersecurity Framework
  • COBIT
  • CIS Controls
 

3. Технические навыки

  • Работа с SIEM, EDR, IDS/IPS
  • Анализ логов и сетевого трафика
  • Работа с шифрованием, хэшированием, цифровыми сертификатами
  • Управление доступом (RBAC, ABAC)
  • Проведение тестирования на проникновение
 

4. Угрозы и атаки

  • APT, Ransomware, Phishing
  • SQLi, XSS, CSRF
  • MITM, Buffer Overflow
  • DDoS, Credential Stuffing
  • Инсайдерские угрозы
 

5. Реагирование на инциденты

  • Жизненный цикл инцидента
  • Incident Response Plan
  • Digital Forensics
  • Business Continuity & Disaster Recovery
 

6. Образование и развитие

  • Сертификации (CISSP, CISM, CEH и др.)
  • Участие в CTF и тренингах
  • Непрерывное обучение и обмен знаниями
  • Развитие soft skills (коммуникация, стрессоустойчивость)
 

🧠 Интеллект-карта 2: "Путь обучения — от новичка до эксперта"

Основной узел:

Путь специалиста по кибербезопасности

 

Ветви:

1. Начальный уровень

  • Базовые понятия ИБ
  • Основы сетей (OSI, TCP/IP)
  • Операционные системы (Windows, Linux)
  • Основы шифрования
  • Безопасность браузера и электронной почты
 

2. Промежуточный уровень

  • Протоколы безопасности (TLS, SSH, S/MIME)
  • Работа с фаерволами, WAF, IDS/IPS
  • Управление доступом и политиками
  • Основы анализа уязвимостей
  • Первая практика в анализе инцидентов
 

3. Профессиональный уровень

  • Глубокое понимание стандартов ИБ
  • Проведение пентестов и red team операций
  • Реагирование на сложные инциденты
  • Работа с SIEM, SOAR, EDR
  • Управление рисками и бизнес-процессами
 

4. Экспертный уровень

  • Разработка стратегий защиты
  • Исследование новых угроз и методов атак
  • Лидерство в SOC и команде ИБ
  • Консультирование по вопросам ИБ
  • Создание учебных программ и проведение тренингов
 

🧠 Интеллект-карта 3: "Жизненный цикл инцидента ИБ"

Основной узел:

Жизненный цикл инцидента информационной безопасности

 

Ветви:

1. Подготовка

  • Политики и процедуры
  • Обучение персонала
  • Подготовка инструментов и планов реагирования
 

2. Обнаружение

  • Мониторинг и сбор событий (SIEM)
  • Обнаружение аномалий
  • Анализ логов, трафика, поведения
 

3. Анализ

  • Классификация инцидента
  • Определение источника и масштаба
  • Сбор доказательств (Digital Forensics)
 

4. Сдерживание

  • Изоляция зараженных систем
  • Отключение от сети
  • Блокировка учетных записей и IP-адресов
 

5. Устранение

  • Удаление вредоносного кода
  • Закрытие уязвимостей
  • Восстановление из резервных копий
 

6. Восстановление

  • Возврат к нормальному функционированию
  • Проверка целостности данных
  • Мониторинг после восстановления
 

7. Анализ после инцидента

  • Post-Incident Review
  • Обновление политик и процедур
  • Обучение команды и сотрудников
 

🧠 Интеллект-карта 4: "Киберугрозы и методы их предотвращения"

Основной узел:

Киберугрозы и защитные механизмы

 

Ветви:

1. Web-атаки

  • SQL Injection → параметризованные запросы
  • XSS → экранирование вывода
  • CSRF → проверка Referer, токены
  • API Abuse → rate limiting, авторизация
 

2. Сетевые атаки

  • MITM → шифрование TLS
  • DDoS → CDN, ограничение трафика
  • DNS Spoofing → DNSSEC
  • ARP Spoofing → статические ARP, контроль MAC
 

3. Фишинг и социальная инженерия

  • Spear Phishing → MFA, обучение
  • Vishing/Smishing → политики коммуникации
  • Pretexting → проверка подлинности
 

4. Малварь

  • Вирусы → антивирусы, обновления
  • Черви → патчи, файрволы
  • Руткиты → EDR, мониторинг процессов
  • Шифровальщики → резервные копии, MFA
 

5. Инсайдерские угрозы

  • Доступ к данным → RBAC, DLP
  • Отслеживание активности → UEBA
  • Политики увольнения → отзыв прав
 

🧠 Интеллект-карта 5: "Основные инструменты и технологии"

Основной узел:

Инструменты и технологии в кибербезопасности

 

Ветви:

1. Сетевой анализ

  • Wireshark
  • tcpdump
  • Nmap
  • Netcat
 

2. Обнаружение и реагирование

  • SIEM (QRadar, Splunk, ELK)
  • EDR (SentinelOne, CrowdStrike)
  • SOAR (Siemplify, TheHive)
  • IDS/IPS (Snort, Suricata)
 

3. Тестирование на проникновение

  • Metasploit
  • Burp Suite
  • Nessus, OpenVAS
  • sqlmap, Nikto
 

4. Шифрование и безопасность данных

  • OpenSSL
  • GPG / PGP
  • VeraCrypt
  • Hashcat
 

5. Цифровая форензика

  • EnCase
  • FTK Imager
  • Autopsy
  • Volatility
 

6. Автоматизация и скрипты

  • Python (socket, requests, scapy)
  • Bash (логирование, мониторинг)
  • PowerShell (EDR, Windows audit)
 

📚 1. "Information Security Management Handbook" — Harold F. Tipton, Kevin Henry

  • Тип: Научная/справочная литература
  • Описание: Авторитетное справочное руководство по управлению информационной безопасностью. Включает стандарты, практики, модели управления рисками и реагирования на инциденты.
  • Для кого: Для студентов и специалистов, углубленно изучающих ИБ.
 

📘 2. "Cybersecurity Essentials" — Charles J. Brooks et al.

  • Тип: Учебник
  • Описание: Базовый и профессиональный уровень построения знаний в области кибербезопасности. Охватывает угрозы, защитные механизмы, стандарты и практические сценарии.
  • Для кого: Подходит как основной учебник для курса.
 

📗 3. Методические рекомендации: "Практикум по анализу инцидентов информационной безопасности"

  • Тип: Методическое пособие / задачник
  • Описание: Практическое руководство с лабораторными работами, кейсами и симуляциями инцидентов. Содержит задания по анализу логов, трафика, цифровой форензике и реагированию.
  • Для кого: Для преподавателей и студентов, обучающихся по профессиональному уровню ИБ.
 

📙 4. "CISSP Official Practice Tests" — Mike Chapple, David Seidl

  • Тип: Задачник / тренировочные тесты
  • Описание: Сборник тестовых вопросов и сценариев по всем темам CISSP, что соответствует профессиональному уровню подготовки специалиста по ИБ.
  • Для кого: Для самопроверки, подготовки к сертификации и закрепления теоретических знаний.
 

📕 5. "Кибербезопасность: от теории к практике" — А. А. Петренко, Н. В. Ляпин

  • Тип: Учебное пособие
  • Описание: Современный русскоязычный учебник, охватывающий ключевые аспекты защиты информации: шифрование, сетевая безопасность, управление доступом, стандарты.
  • Для кого: Для студентов и специалистов, обучающихся в русскоязычной образовательной среде.

🔒 Профессиональные курсы по кибербезопасности

  1. "Специалист по кибербезопасности: от теории к практике"
    Интенсивная программа для подготовки экспертов в области защиты информации.

  2. "Кибербезопасность 360°: полный цикл защиты цифровых активов"
    Комплексное обучение от анализа рисков до реагирования на инциденты.

  3. "SOC-аналитик: защита корпоративной сети в реальном времени"
    Подготовка специалистов для работы в центрах мониторинга безопасности.

  4. "Incident Response: реагирование на инциденты информационной безопасности"
    Практические навыки расследования и ликвидации киберугроз.

  5. "Digital Forensics и анализ инцидентов"
    Методы сбора доказательств и восстановления событий после атаки.

  6. "Тестирование на проникновение (Penetration Testing): от новичка к профессионалу"
    Обучение методам этичного хакинга и поиску уязвимостей.

  7. "Управление рисками и стандарты ИБ: ISO 27001, PCI DSS, NIST"
    Применение международных стандартов в корпоративной среде.

  8. "Cloud Security: защита облачных инфраструктур"
    Углубленное изучение безопасности в AWS, Azure и GCP.

  9. "Zero Trust Architecture: безопасность без доверия"
    Проектирование систем безопасности по принципу "никогда не доверяй, всегда проверяй".

  10. "EDR & XDR: обнаружение и реагирование на уровне конечных точек"
    Работа с современными системами защиты рабочих станций и серверов.

 

🛡️ Курсовые программы с акцентом на практику и технологии

  1. "Аналитика безопасности: SIEM, SOAR и автоматизация"
    Обработка и анализ событий безопасности в крупных организациях.

  2. "Network Security: от фаерволов до Next-Gen решений"
    Защита сетевой инфраструктуры на уровне OSI и TCP/IP.

  3. "Web Application Security: защита от OWASP Top 10"
    Анализ и предотвращение уязвимостей веб-приложений.

  4. "Мобильная и IoT-безопасность: защита новых границ"
    Углубленное изучение безопасности мобильных устройств и «умных» систем.

  5. "Криптография и защита данных в корпоративной среде"
    Применение шифрования, хэширования и цифровых подписей.

  6. "Инсайдерские угрозы: выявление и предотвращение"
    Методы контроля за действиями сотрудников и предотвращения утечек.

  7. "Фишинг и социальная инженерия: как противостоять манипуляциям"
    Обучение распознаванию и блокированию психологических атак.

  8. "Защита персональных данных: ФЗ-152 и GDPR в действии"
    Практическая реализация требований законодательства.

  9. "Расследование инцидентов: от первых признаков до отчета"
    Полный жизненный цикл реагирования на киберинциденты.

  10. "Автоматизация в кибербезопасности: Python и Bash для аналитиков"
    Написание скриптов и автоматизация повседневных задач.

 

💻 Практико-ориентированные тренинги и мастер-классы

  1. "Live Hacking Lab: атака и защита в реальном времени"
    Интерактивный лабораторный курс по пентестингу и обороне.

  2. "CTF как образ жизни: развитие навыков через Capture The Flag"
    Обучение через игровые формы — решение задач по взлому и защите.

  3. "Cyber Range: моделирование реальных атак и защита инфраструктуры"
    Симуляции атак APT, ransomware, фишинга и другие угроз.

  4. "Карьера в кибербезопасности: от первого шага до эксперта"
    Гид по сертификациям, портфолио, soft skills и собеседованиям.

  5. "Кибербезопасность будущего: AI, ML и прогнозирование угроз"
    Изучение роли искусственного интеллекта в защите информации.

Заявка ученика, студента, слушателя
Заявка преподавателя, репетитора админу сети.
14:46
63
👍0
👎0
❤️0
😂0
😢0
👏0
0
Все Нет отзывов
5 0 
4 0 
3 0 
2 0 
1 0 
Загрузка...
Подписаться (0)
Загрузка...

Нет элементов для просмотра

или Вконтакте Facebook Яндекс Одноклассники
Гость
Отправить

Участвовать или создать

Участвовать или создать

Политика сайта

Посещая этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.