Топ 50 вопросов на интервью по информационной безопасности

Если посмотреть правде в глаза, то не существует недостатка в потенциальных вопросах, которые могут затрагиваться на любом интервью по широкому кругу тем в сфере информационной безопасности. Кроме того, сама тема «информационная безопасность» может означать разное для разных людей. Можно сказать, что эта сфера покрывает все, начиная от эникейщика, устанавливающего очередную копию антивируса, и заканчивая профессионалом по криптографии. Соответственно, в одной статье нельзя объять необъятное. С другой стороны, все вопросы можно разделить на уровни, с которыми вы можете столкнуться, чему и посвящена эта статья.

Однако я не утверждаю, что вопросы, приведенные ниже, не могут появиться на разных уровнях. Например, вопрос из уровня 1 может появиться на интервью уровня 5. Скорее, это разделение означает, чтобы достичь уровня 5 вы уже должны быть уверены в темах, затрагиваемых на более ранних стадиях. Необязательно помнить все вопросы наизусть, но по крайней мере знать, где быстро найти нужную информацию.

Без лишнего разглагольствования начинаем.

Уровень 1: Технический

Вопросы на позиции начального уровня практически всегда посвящены навыкам: чем вы занимаетесь сейчас, и чем желаете заниматься дальше. Кроме того, многие вопросы этой стадии помогают лучше понять себя, свою личность и ваши текущие предпочтения и взгляды. На этой стадии вы все еще человек технический, но уже достигли того момента, когда хотите выбрать специализацию. На этом уровне в плане работы вы скорее отвечаете за поддержание работоспособности, чем за безопасность, но уже понимаете, что в целом хотите ограждать людей от неправомерных действий. Вероятно, и к сожалению, вы пока еще не мастер кунг-фу.

1 – Какие новостные ресурсы вы посещаете?

Кажется, не может пройти и нескольких дней, чтобы не произошел серьезный инцидент в сфере информационной безопасности. Даже может сложиться впечатление, что в современном мире взломы происходят намного чаще, чем когда-либо прежде (на самом деле, так и есть). Тем не менее, сей факт показывает, что детектирование атак и отчеты об инцидентах также улучшаются согласно требованиям как правительственных структур, так и страховых компаний. В результате общественность и профессионалы по безопасности становятся более информированными, лучше понимают, как защититься от угроз, и следят за своими банковскими счетами. Для всех кто интересуется информационной безопасностью, отслеживание новостного фона, имеющего отношения к этой области – жизненно важно.

2 – Что находится в вашей домашней сети?

Учебные проникновения и последующий ремонт системы лучше всего выполнять в тестовой среде, на роль которой для большинства людей идеально подходит домашняя сеть. Начиная от ноутбука с Windows в связке с беспроводным роутером и телефоном и заканчивая множеством линуксовых рабочих станций, контроллера домена с Active Directory, автономным фаерволом и тостером с сетевым подключением. Уверенное обращение и эксперименты с домашней сетью имеют важное значение в жизни (начинающего) специалиста по информационной безопасности.

3 – Персональное достижение, которым вы гордитесь больше всего?

В моем случае ответ очевиден – получение сертификата CISSP. В течение нескольких месяцев я учился и делал все возможное, чтобы в моей памяти отложились как можно больше нужной информации. Кроме того, я просил всех задавать мне вопросы в том числе в измененном виде с целью потренировать взгляд на проблемы с разных точек зрения. У каждого есть как минимум одно значимое достижение, и, хотя на этот и следующий вопрос может быть один и тот же ответ, но главная суть – показать, что вы желаете постоянно двигаться вперед с высоким уровнем самомотивации.

4 – Каким собственным проектом вы гордитесь больше всего?

Кто-то больше всего гордится первым собранным компьютером, кто-то когда впервые модифицировал игровую консоль, кто-то когда написал первую программу. Список можно продолжать до бесконечности. В моем случае это был бы проект, над которым я работал несколько лет. Все началось с таблицы в Excel, используемой инженерным отделом для отслеживания чертежей в AutoCAD. Далее таблица переросла в пару сотен статических HTML страниц, базу данных в Access и фронтэнд. В итоге появилось веб-приложение на PHP в связке с MySQL. Яркий пример того, как нечто маленькое перерастает в полноценный глобальный сайт со специализированными приложениями по инжинирингу, продажам и качеству, используемые моей компанией по всему миру. Никогда не знаешь, во что может развиться первоначальная идея.

5 – Как утилита traceroute может помочь в поиске обрыва коммуникации?

Утилита tracert или traceroute (в зависимости от операционной системы) позволяет увидеть конкретные роутеры во время перемещения по цепочке соединений. Однако если возникнет проблема, когда нельзя подключиться или выполнить пинг конечного узла, tracert может помочь в обнаружении точного места обрыва цепи подключений. На основе полученной информации можно предпринять нужные меры – настроить собственный фаервол, позвонить одному из провайдеров, или разобраться с тем, что находится посередине.

6 – Зачем нужно подключаться по SSH из Windows?

SSH (TCP порт с номером 22) представляет собой защищенное соединение, используемое во многих системах и специализированных устройствах. Роутеры, свитчи, SFTP серверы и небезопасные программы, туннелируемые через этот порт, могут участвовать в защите подключения против несанкционированного перехвата информации. Хотя в большинстве случаев разговоры о подключении через SSH идут в контексте Линукса, этот протокол реализован во многих системах (однако, например, в Windows по умолчанию не используется). Программы навроде PuTTY, Filezilla и другие позволяют с легкостью подключается через SSH в Windows, как и в Линуксе.

7 – В чем отличие между симметричным и ассиметричным шифрованием?

Если описать чрезвычайно сложную тему в нескольких приложениях, то можно сказать, что в симметричном шифровании используется один и тот же ключ при кодировании и декодировании, в ассиметричном – разные ключи. Симметричное шифрование быстрее, но в большинстве случаев сложнее в реализации, поскольку нужно передавать ключ по незашифрованному каналу. Соответственно, вначале создается канал на базе ассиметричного шифрования, а потом симметричного. Отсюда сразу же вытекает следующий вопрос…

8 – Что такое SSL и почему этого протокола недостаточно, когда речь идет о шифровании?

SSL предназначен для верификации личности, а не для шифрования данных. Этот протокол спроектирован с целью проверки, что абонент на другом конце провода является тем, за кого себя выдает. SSL и старший брат TLS используются повсеместно в интернете и представляют собой необъятную цель. Атаки на эти протоколы осуществляются за счет эксплуатации механизма реализации (например, ошибка Heartbleed), в результате чего в некоторых случаях SSL может быть взломан, и нужны дополнительные меры защиты, как, например, шифрования данных при передаче и во время хранения.

9 – Как выяснить, что означает POST код?

POST (Power On Self Test; Самотестирование после включения) – одно из наилучших средств в случае, если система не загружается. В виде экранной индикации в современный системах или традиционных аудио тонов эти коды показывают, что не так в настройках. Подобные нештатные ситуации происходят достаточно редко, и если вы не работаете ежедневно с железом, то понадобится справочник. Например, руководство к материнской плате или поисковая система. Просто проверьте, что все установлено правильно, присутствует минимальный набор компонентов, требуемых для загрузки, и, самое главное, все соединения идут к нужным контактам.

10 – В чем отличие между Черными и Белыми шляпами?

Конкретно этот вопрос может привести к серьезным философским дебатам о свободе информации. Сюда же можно отнести утверждение, что если нечто реализовано преднамеренно кривым образом, то ни о каком несанкционированном доступе не может идти и речи и так далее и тому подобное. Чаще всего я слышу пример Джедая: инструменты одинаковые, а идеологии разные. Лично я, работая с людьми по обе стороны баррикад, сделал для себя следующий вывод: разница между Черными и Белыми шляпами зависит от того, кто подписывает чек.

Уровень 2: Взломщик / ремонтник

Позиции второго уровня требуют чуть больше опыта работы и решения более сложных задач. Некоторые ситуации уже могут вызывать у вас улыбку. К этому моменту вы уже успешно проникали в разные системы, задумывались о легитимности своих поступков и понимаете, что у вас могут возникнуть проблемы, если вы проделаете то же самое с компьютером в бухгалтерии, находящейся на четвертом этаже. Вы уже сталкивались со взломами и знаете достаточно, чтобы не паниковать в случае оповещения о вирусах. Наконец, при восстановлении системы вы знаете, что, во-первых, нужно собрать информации о том, как проникла зараза, а во-вторых, сделать резервную копию всех данных перед удалением инфекции или другими мероприятиями кардинального характера. Не обязательно владеть глубокими знаниями по цифровой криминалистике, но знать основы искусства желательно. Правило №1 «Сначала взлом и ограбление, потом уничтожение».

11 – Как обнулить пароль, поставленный на конфигурацию в BIOS?

Хотя BIOS был заменен на UEFI, в большинстве систем схема хранения настроек не изменилась. Поскольку BIOS отрабатывает до загрузки системы, то имеет отдельный механизм хранения конфигурации. В классическим сценарии вынимания батарейки CMOS (комплементарный металло-оксидный полупроводник) будет достаточно, чтобы память, где хранится информация, отключилась от питания, и настройки сбросились. В других случаях можно использовать джампер или физический переключатель на материнской плате. В более сложных ситуациях понадобится удаление и перепрограммирование памяти устройства. Самый простой вариант, если заводские настройки не менялись - попробовать стандартный пароль «password».

12 – Что такое XSS?

Межсайтовый скриптинг – страшный сон Javascript’а. Поскольку Javascript может отрабатываться на страницах локально в клиентской системе (в противовес серверной логике), могут возникнуть неприятные последствия в случае изменения переменных на стороне клиента. Есть несколько способов защититься от этой проблемы, один из которых – проверка и фильтрация вводимой информации.

13 – Как залогиниться в Active Directory из Линукса или Мака?

Может звучать странно, но есть возможность работать с Active Directory из систем не на базе Windows. В Active Directory используется реализация протокола SMB, к которому можно получить доступ из Линукса и Мака при помощи приложения Samba. В зависимости от версии будет поддерживаться совместный доступ, службы печати и даже членство в Active Directory.

14 – Что такое соленый хэш?

На наиболее фундаментальном уровне соль представляет собой случайные данные. В правильно защищенной системе при появлении нового пароля создается хэшированное и соленое значение, после чего происходит объединение двух значений и сохранение в базе данных. Этот механизм помогает защититься от атак по словарю и известных атак на хэши. Например, если у пользователей одинаковые пароли в двух разных системах, в случае одного алгоритма хэширования получится один хэш. Однако если используется хэш в сочетании с солью, значения будут разные.

15 – Что вы думаете о социальных сетях навроде Facebook и LinkedIn?

На этот вопрос не существует единственно правильного ответа. Многие думают о социальных сетях как о худшем явлении современности, другим очень нравятся эти сервисы. В контексте безопасности социальные сети могут оказаться источником информационных утечек при использовании стандартных настроек. Можно ограничить права доступа в социальных сетях, однако в некоторых случаях этой меры недостаточно, если серверная часть плохо защищена или чей-то профиль из вашего списка скомпрометирован. Самое главное – не хранить важные данные на подобного рода сайтах и контактировать только с теми, кому вы доверяете.

16 – Назовите три способа аутентификации?

Аутентификация возможна при помощи следующих методов: что человек знает (пароль), что у человека есть (токен) и кто человек есть (биометрия). При двухфакторной аутентификации часто используется пароль и токен, в некоторых случаях – ПИН и отпечаток большого пальца.

17 – Как определить, что работает на удаленном сервере (IIS или Apache)?

Если администратор не поменял стандартные шаблоны страниц, тип сервера часто определяется при помощи сообщений об ошибках, появление которых можно спровоцировать, введя заведомо неправильный известный адрес. Еще можно использовать telnet и проанализировать ответы сервера. Никогда не стоит недооценивать информацию, получаемую не в случае правильного ответа, а правильного вопроса.

18 – В чем суть защиты данных в подвижном состоянии и в состоянии покоя?

Когда данные защищены внутри базы данных или на жестком диске, то рассматриваются как защищенные в состоянии покоя (at rest). С другой стороны, при передаче от сервера к клиенту, данные переходят в подвижное состояние (in transit). Во многих случаях используется защита одного типа: SQL базы, VPN подключения и так далее. Оба способа защиты не используются, как правило, из-за повышенного расхода ресурсов. Однако хорошая практика защищать данные во всех состояниях.

19 – Вы видите пользователя, вошедшего в систему по именем root и выполняющего базовые операции. Это проблема?

У административного аккаунта в Линуксе (root) есть много привилегий, недоступных обычным пользователям. Однако для выполнения многих задач далеко не всегда нужно логиниться туда-обратно под суперпользователем. Если вы когда-либо в Windows использовали команду «run as admin», то поймете логику аналогичной линуксовой команды «sudo» (расшифровывается как superuser do), пригодную для выполнения практически любых операций. Очень простой и элегантный способ сэкономить массу времени, затрачиваемого на авторизацию под привилегированным пользователем. Чем больше юзер проводит времени с расширенными полномочиями, тем больше вероятность совершить ошибку – случайно или намеренно.

20 – Как защитить домашнюю беспроводную точку доступа?

Еще один вопрос, на который не существует правильного ответа, поскольку есть много способов защитить беспроводную точку доступа. Наиболее популярные методы: при помощи WPA2, не передавать SSID или фильтровать MAC адрес. Есть и другие варианты, но в случае с типичной домашней сетью перечисленные выше используются наиболее часто.

Уровень 3: Подкованный

К этому моменту вы уже сталкивались со множеством разные проблем. У вас есть набор регулярной используемых инструментов и стандартный пакет утилит для защиты. Вы чувствуете себя более менее уверенно при возникновении разных инцидентов и потратили много времени, обнаружив, что существует множество путей добиться поставленной цели. Кроме того, вы знаете, как легко информация может исчезнуть навсегда, и, соответственно, понимаете, что требуется помощь для защиты и управления информационным хранилищем. Скорее всего, вы уже часть команды, а не одинокий волк, пытающийся делать все самостоятельно. Как итог, вы на пути становления профессионалом в какой-либо области. Возможно даже у вас появилась остроконечная шляпа и предрасположенность к спиртному.

21 – Простой способ настройки сети, чтобы только одному компьютеру было разрешена работа на определенном физическом порту.

Фиксированные или «липкие» порты (sticky port) – лучшие друзья системных администраторов и причина худших головных болей. Эта технология позволяет настроить каждый порт в свитче таким образом, чтобы подключение было разрешено одному или нескольким компьютерам при помощи привязки к определенному MAC адресу. В случае подключения другого компьютера, порт отключается и вы получаете сообщение, что подключение невозможно. Если вы были единственным, кто настраивал сетевые подключения, или если используется предсказуемая схема, скорее всего, проблем не было. Однако если вы работаете в сети, где царит хаос, то можно потратить много времени, определяя, что и куда должно подключаться.

22 – Вы удаленно подключены к «безголовой» системе, находящейся в удаленном пространстве. У вас нет физического доступа к оборудованию, и нужно установить операционную систему. Как решить эту задачу?

Существует два разных способа установки операционной системы, но наиболее вероятный сценарий - воспользоваться сетевым инсталлятором, способным загружаться через сеть при помощи PXE (Preboot eXecution Environment). В средах, где много систем, часто приходится загружать ядра через сеть. В этом случае мы экономим время, уменьшаем объем ручной работы, требуемой для каждой системы, и делаем установку более единообразной.

23 – Почему в сети на базе Windows проще взломать локальную учетную запись, чем аккаунт в Active Directory?

Локальные учетные записи в Windows связаны с большим количеством «багажа» с целью совместимости и в ущерб безопасности. Если ваш пароль более 13 символов, вероятно, вы сталкивались с сообщениями по этому поводу. С другой стороны, аккаунты в Active Directory намного более защищены, поскольку система, где выполняется аутентификация, отличается от среды, с которой вы работаете как обычный пользователь. Проникнуть в Windows-систему, если есть физический доступ, не так сложно, и для решения этой задачи есть много специальных утилит. Однако эта тема уже выходит за рамки данного вопроса.

24 – Что включает в себя модель CIA?

Конфиденциальность (confidentiality), целостность (integrity), доступность (availability). Эта модель наиболее близко описывает суть информационной безопасности. Конфиденциальность – поддержание данных в безопасности. Целостность – поддержание данных в целостности. Доступность – поддержание данных доступными.

25 – В чем разница между HIDS и NIDS?

Оба понятия связаны с системами обнаружения вторжений. Однако первая аббревиатура расшифровывается как Host Intrusion Detection System, вторая - Network Intrusion Detection System. HIDS используется в качестве фоновой утилиты, как, например, антивирус. NIDS анализирует пакеты при прохождении через сеть и пытается выявить нечто, выходящее за рамки стандартного сценария. Обе системы работают в двух базовых вариантах: на базе сигнатур и на базе аномалий. В случае с сигнатурами механика очень похожа на антивирус, когда происходит сверка по базе известных значений. Поиск аномалий в основном применим к сетевому трафику для обнаружения расхождений со стандартным паттерном. Поиск аномалий требует большего времени для качественной настройки, однако в долгосрочной перспективе лучше адаптирован к новым атакам.

26 – Вы выяснили, что в сети существует проблема, но решение выходит за рамки ваших обязанностей. Как вы поступите?

Этот вопрос очень важный. Нужно связаться с человеком, ответственным за решение этой проблемы, по электронной почте, сохраняя переписку. Кроме того, надо отправить копию письма вашему менеджеру. Возможно, система должна быть сконфигурирована именно так, и решение проблемы приведет к еще более неприятным последствиям. Рассказать о своей озабоченности ответственному лицу – наилучший вариант выхода из этой ситуации. В этом случае вы также снимаете с себя ответственность, когда сохраняются следы вашего обращения.

27 – Вы работаете в техническом отделе на неруководящей должности. Руководитель высокого ранга требуется, чтобы вы нарушились устав и разрешили использовать ноутбук на работе. Как вы поступите?

Вы удивитесь, насколько часто происходят подобные ситуации, особенно в связи с распространенностью мобильных устройств разного рода, используемых сотрудниками на работе. Здесь наипростейшее решение – связаться с вашим менеджером и спросить разрешения. В этом случае принимать ответственное решение будет тот, кто должен. Кроме того, вы получаете помощь, если нужно выразить несогласие. Когда общаешься с людьми, не желающими слышать отказов, часто возникают стрессовые ситуации, поэтому передача ответственности придется очень кстати.

28 – В чем разница между уязвимостью и эксплоитом?

Многие вам скажут, что уязвимость от эксплоита ничем не отличаются, и в некотором роде окажутся правы. С другой стороны, уязвимость – это потенциальная проблема, а эксплоит – реальная. Можно привести такой пример. Представьте, что замок в вашем гараже сломан и не закрывается должным образом. В больших городах эту проблему следует решить незамедлительно. В сельской местности эту ситуацию можно рассматривать как неприятность, и замок можно починить, когда дойдут руки. В обоих случаях мы имеем дело с уязвимостью, однако в крупных городах проблема может представлять собой эксплоит, поскольку вероятность нарваться на взломщика, который уже знает, как эксплуатировать эту брешь, намного выше.

29 – Как бы вы скомпрометировали «офисную рабочую станцию» в отеле?

Учитывая, насколько обычно заражены подобные системы, я бы не рискнул прикоснуться и 10-футовым шестом. Самый простой способ – подключить сзади USB кейлоггер с трояном и автозапуском, при помощи которого делать последующие темные дела. По сути, в подобного рода средах сезон охоты открыт круглогодично.

Уровень 4: Ключник

К этому моменту ваше мастерство достигло такого уровня, что при получении физического доступа вы можете получить полный контроль над устройством. С другой стороны, возрос и ваш уровень этики, и вы не будете взламывать все, к чему прикасаетесь. Персональная этика превращается в огромный ресурс, когда вы знаете, где провести черту. Вы уже хорошо знакомы с темной стороной информационной безопасности, и знаете, что любой инструмент можно использовать как во благо, так и во зло. Весьма вероятно, вам приходилось действовать по разные стороны баррикад, но с другой стороны, вы хорошо понимаете изречение «Чтобы поймать злоумышленника, нужно самому быть немного злоумышленником». Вы выполняли множество пентестов и вероятно являетесь частью команды, регулярно проводящей мероприятия подобного рода внутри вверенной вам инфраструктуры. К сожалению, Гозер не остановится на десерт. Извините.

31 – Что хуже ошибочно-позитивное срабатывание или ошибочно-негативное нестрабатывание фаервола? Почему?

Естественно, ошибочно-негативное несрабатывание. И причем намного хуже. Ошибочно-позитивное срабатывание - это когда поступают ложные сигналы в контексте легитимного трафика. Может раздражать, но проблема решаема. Ошибочно-негативное несрабатывание - это когда вредоносный трафик остается без внимания. Намного хуже.

32 – Какая команда лучше красная или синяя?

Очередной вопрос, на который нет правильного ответа. Все зависит от ваших интересов. Во время пентеста красная команда пытается проникнуть в системe, а синяя защищается. Красные команды считаются более крутыми, синие - более опытными. Общее правило остается одинаковым, как и в любой игре, где есть нападающие и обороняющиеся: У синей команды должно получаться всегда, у красной может получиться только один раз. Это правило не является на сто процентов истинным и зависит от сценария, однако достаточно точно описывает основную идею.

33 – Чем отличается тестирование по методу белого и черного ящика?

При пентесте по методу белого ящика команда получает как можно больше информации относительно тестируемой среды. В случае с черным ящиком не известно ничего.

34 – В чем отличие между защитой информации и целостностью информации?

Защита информации говорит сама за себя: набор методов, как, например, шифрование, специальные приложения и другие методы для сохранения данных в безопасности. С другой стороны, целостность информации больше относится сохранности и доступности: RAID массивы, резервные копии, методы для поддержания безотказной работы и так далее.

35 – Как защитить мобильное устройство?

Еще один дискуссионный вопрос, на который есть множество ответов. Однако можно выделить три ключевых аспекта: приложение для защиты от вредоносов, удаленное уничтожение данных и шифрование диска. Практически для всех современных устройств вне зависимости от производителя есть защита от вредоносов и удаленное стирание информации, и в очень небольшом количестве систем отсутствует шифрование всего диска как опция внутри операционной системы.

36 – В чем разница между закрытым и открытым исходным кодом? Что лучше?

Продолжаем рассматривать неоднозначные вопросы. Обычно исходный код закрыт в коммерческих приложениях. Вы получаете исполняемый файлов для решения специфических задач и не можете заглянуть под капот. В случае с открытым исходным кодом вам доступна вся логика, а также возможность изменить и перекомпилировать код. У обеих идеологий есть свои аргументы за и против, обычно связанные с аудитами и контролем. Сторонники закрытого исходного кода утверждают, что в приложениях с открытым исходным кодом каждый может найти и эксплуатировать слабости. Сторонники открытого исходного кода говорят, что программы с закрытым кодом нельзя полностью проверить, и довольно сложно найти и устранить проблемы за пределами определенных границ.

37 – Что вы думаете о хакерских группах навроде Anonymous?

Возможно, вы уже догадались, этот уровень вопросов в основном про мнения и выводы. И да, вы правы, этот вопрос является особенно провокационным. Действия любой группы без ярко выраженного лидера и центра управления в основном кажутся хаотичными. Временами эти деятели могут выступать от имени сил добра, временами – причинять ущерб невиновным. При ответе тщательно выбирайте выражения, поскольку этот вопрос может оказаться определяющим во время интервью.

38 – Что такое тройное рукопожатие? Как используется это рукопожатие для DOS атаки?

Тройное или трехстороннее рукопожатие (SYN, SYN/ACK, ACK) является краеугольным камнем протокола TCP. SYN – исходящее соединение для запроса от клиента к серверу. ACK – ответ от сервера, мол, «я тебя услышал, давай, организуем соединение». SYN/ACK – финальное соединение для взаимодействия между клиентом и сервером. Однако эту же схему можно использовать для реализации простейшей DOS атаки. Клиент открывает SYN-подключение, сервер отвечает SYN/ACK, однако затем клиент отсылает еще один SYN, который сервер рассматривает как запрос на новое подключение, а предыдущее подключение остается открытым. Поскольку эта схема повторяется многократно и с большой скоростью, сервер становится перегружен большим количеством запросов и теряет возможность взаимодействия с легитимными пользователями.

39 – Зачем нужно вызывать стороннего исполнителя для выполнения пентестов?

В основном, чтобы получить свежий взгляд, поскольку иногда люди не желают видеть или признавать проблему. Дополнительная помощь в виде аудита также может пригодиться при решении проблем, с которыми не в состоянии справиться ваша команда. Конечно, дело может оказаться затратным, но обычно сторонние исполнители хороши в своем деле.

40 – Если бы нужно было взломать сайт на основе базы данных, как бы вы решали эту задачу?

Здесь мы сталкиваем с другой стороной медали: научившись проникать в собственные системы, вы сможете выполнять пентесты самостоятельно. В зависимости от типа базы данных и языка программирования методы могут отличаться, однако простейший способ – SQL инъекция. Например, если входные данные не обрабатываются должным образом, простого ввода определенного набор символов в поле формы может оказаться достаточным. Альтернативный вариант (опять же зависит от системы сайта): попробовать сформировать определенный URL. Предварительное исследование может помочь в решении этой задачи в случае, если вы - не администратор сервера.

Уровень 5: Мозговой центр

На этом уровне, вы, скорее всего, уже руководите целым отделом. Большую часть времени вы проводите над редактированием политики и планированием фронта работа на ближайшие 12-36 месяцев, чем пишите код, но вполне реализовали свои амбиции в юридическом джиу-джитсу. Ваша работа заключается в обеспечении защиты организации на самых высоких уровнях, и теперь ответственность переложить не на кого. В результате вам нужно постоянно быть в игре и всегда быть на шаг впереди аутсайдеров и недовольных сотрудников, желающих сделать заявление.

41 – Почему внутренние угрозы как правило успешнее внешних?

Когда вы наблюдаете за чем-нибудь ежедневно, даже если и возникает подозрение изначально, то потом наступает привыкание. Соответственно, если вы видите кого-то, кто пытается что-то разнюхать день за днем и месяц за месяцем, то впоследствии можете решить, что этот человек просто любопытствует. Затем ваша бдительность притупляется, и вы не сможете быстро среагировать на потенциальные угрозы. С другой стороны, рассмотрим ситуацию, когда один из недовольных сотрудников вскоре увольняется и хочет насолить работодателю, который скоро станет бывшим. Этот сотрудник продает действующие учетные записи и карточку-ключ местной группировке, специализирующейся на преступлениях «белых воротничков». Альтернативный сценарий: когда злоумышленник наряжается в курьера и ходит бесцельно по офисному зданию, собирая информацию из записок и бумаг, лежащих вокруг. В случае с внешними угрозами у злоумышленников нет доступа к информации подобного уровня и чаще всего не используется униформа сотрудника службы доставки, купленная за 20 долларов.

42 – Что такое остаточный риск?

Вначале приведу цитату от Эда Нортона (Ed Norton): «Новая машина, сделанная моей компанией, двигается со скоростью 100 км/ч. Затем задний дифференциал блокируется, машина попадает в аварию, загорается, и все находятся в ловушке внутри. А теперь зададимся вопросом, следует ли делать отзыв автомобилей? Возьмем количество машин, сошедших с конвейера (А), умножим на возможную вероятность возникновения подобной ситуации (Б) и умножим на среднюю стоимость внесудебного урегулирования (В). А * Б * В = Д. Если Д меньше, чем стоимость возврата, то возврат делать не будем». Остаточный риск – это все, что остается после реализации всех экономически-эффективных мер для повышения безопасности, и когда последующие мероприятия уже приводят к расходованию ресурсов впустую. Остаточный риск – это спектр неблагоприятных событий, которые предполагает компания, но не предпринимает меры для предотвращения в надежде, что эти события не произойдут.

43 – Почему удаленные данные на самом деле не исчезают?

Когда вы выполняете команду «удалить», файл никуда не исчезает, а просто переключается нужный бит, сигнализирующий операционной системе, что этот файл больше не нужен и может быть перезаписан при необходимости. До тех пор, пока перезапись не произойдет, информацию можно восстановить, вне зависимости находятся ли файлы в Корзине или нет. Существует специальные утилиты для принудительной перезаписи и очистки диска, однако требуется время для выполнения этой процедуры и доведения чистоты до нужного уровня.

44 – Что такое цепь ответственности?

При отслеживании информационных систем или оборудования при использовании в судебных процессах, должна быть возможность восстановить все промежуточные состояния вплоть до первоначального. Таким образом, ведение учета у кого был доступ, к чему и как долго - жизненно важно в подобных ситуациях. Любое компрометирование информации может привести к судебным проблемам замешанных сторон, а также к нарушениям во время разбирательства или невыполнению распоряжений суда (в зависимости от сценария).

45 – Как навсегда предотвратить угрозу, связанную с попаданием информации в чужие руки?

Если информация находятся на дискете, CD или бумаге помогут шредеры и размельчители, превращающие пластик и бумагу в конфетти. В случае с жесткими дисками ситуация усложняется. Зачастую используется двухэтапный метод уничтожения. Вначале специальная программа для очистки диска. Затем жесткий диск вынимается, «тарелки» извлекаются и царапаются до неузнавания, после чего пластины прикладываются к мощному магниту. После подобной процедуры данные нельзя восстановить обычными средствами.

46 – Что такое эксфильтрация?

Инфильтрация – это метод для (тайного) добавления элементов куда-либо. Эксфильтрация предназначена для прямо противоположной задачи: секретного извлечение конфиденциальной информации или других объектов. В среде с высоким уровнем безопасности реализовать эксфильтрацию чрезвычайно сложно, но возможно. Если вспомнить один из предыдущих вопросов, где упоминается маскировка под сотрудника службы доставки, то становится понятно, что существуют способы проникновения без каких-либо сложностей.

47 – У меня есть бизнес. В моей компании 4 сотрудника и интернет-магазин. У меня нет ни времени, ни желания, ни возможностей на отдельного технаря в штате. Почему я должен беспокоиться об эксплоитах и других аспектах безопасности?

Здесь мы имеем дело с классическим замкнутым кругом, когда нет денег на безопасность, и в то же время компания не может позволить затраты в случае компрометирования. С другой стороны, компания не может иметь в штате постоянного специалиста, а только наемного консультанта. Если вы сможете подобрать слова, звучащие не столь пугающе, владелец бизнеса поймет, что безопасность магазина влияет на поступающие платежи, которые в свою очередь влияют на повышение уровня безопасности.

48 – Я - директор компании из списка Fortune 500. Я зарабатывают за день больше, чем вы за год. Безопасность меня не очень волнует, поскольку отнимает только время / деньги и тормозит бизнес процессы. Почему мне надо задумываться над этими глупостями?

Эта проблема еще более острая – руководители мирятся с ложью, обманом и кражами на постоянной основе, и когда кто-то приходит и говорит, что компания будет продолжать терять деньги до тех пор, пока вы не заплатите, в ответ раздается «нет». Таким образом, боссу жизненно важно задумываться над последствиями и поддерживать IT отдел. Выполнять аудиты сайтов, создавать аналитические записки и подробные сценарии, что и где происходит, поможет лучше понять ситуацию и продолжать поддержку нужных проектов.

49 – Я – юрисконсульт в большой корпорации. У нас есть требования к документированию активов и изменений в кодексе, но ограничен бюджет. Как решить эту проблему?

Эта задача решается просто. Допустим, к вам обратилась осведомленная сторона за помощью в чем-то важном. На проект выделены деньги (путь и небольшие), что лучше, чем ничего. В самом базовом варианте проблема решается при помощи Excel, когда тратится много времени на ввод данных. Дальше, в зависимости от объема ресурсов, перемещаемся к автоматическим сетевым сканерам, которые документируют все находки в базу данных, и программам, проверяющим версии других программ и отличающиеся файлы. Все зависит от размера проекта и компании.

50 – Я – новичок. На старой работе я работал программистом, и менеджер просит меня написать несколько специфических приложений. Мне нужны права администратора домена, чтобы решить эту задачу. Руководитель предлагает два варианта, или я выполняю его поручения или меня увольняют и ищут того, кто сможет. Как ответить?

К сожалению, хотя бы раз в карьере вы столкнетесь с подобным человеком. В этом случае пришло время пообщаться с вашим менеджером, который сможет согласиться или отказать в зависимости от проекта и при необходимости принять удар на себя.