Анализируем вакансии.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
В разделе Вакансии могут оказаться описания требований к соискателям, в том числе и для ИТ-специалистов. В случае если такого раздела нет, можно попробовать поискать вакансии данной компании на сайтах по поиску работы. В описании вакансии системного администратора очень часто указывается наименование оборудования, операционных систем и приложений, с которыми придется работать. Вот пример описания реальной вакансии в одной компании:
Сетевой администратор в большую компанию ~ 1000 человек.
Филиалы компании в регионах по всей стране и СНГ .
Обязанности и требования:
поддержка сетевых устройств: коммутаторов, маршрутизаторов и межсетевых экранов Checkpoint, Cisco, 3COM;
мониторинг работы сетевых устройств и каналов связи на базе решений HPOpenView;
обеспечение сетевого взаимодействия с филиалами;
взаимодействие с провайдером услуг связи в процессе всего жизненного цикла предоставляемой услуги связи;
обеспечение максимально быстрого восстановления работоспособности сетевой инфраструктуры.
Из этого на вид безобидного описания злоумышленник может сделать следующие выводы: в сети компании порядка 1000 машин, сеть географически распределенная, значит, используется VPN или арендованы каналы. В качестве средств защиты, скорее всего, применяется Checkpoint, маршрутизация и коммутация на Cisco и 3Com. Для подключения к интернету, вероятно, используются каналы связи только одного провайдера. Пока все достаточно размыто, осталось много вопросов.
Для их уточнения взломщику необходимо перейти к личному общению со специалистами. Для этого злоумышленнику проще всего воспользоваться той контактной информацией, которая предоставлена на сайте. Например, позвонить и поинтересоваться опубликованными на сайте вакансиями. Многие компании в целях экономии времени начальное собеседование проводят по телефону. Таким образом, специалисты по персоналу отсеивают явно не подходящих кандидатов. Злоумышленнику из общения с HR-менеджером вряд ли удастся получить много полезной технической информации, разве что уточнить количество пользователей и филиалов, да и то не всегда. Зато в процессе телефонного интервью злоумышленник может показать себя квалифицированным специалистом в требуемой области и быть приглашенным на собеседование.
На собеседования к квалифицированным кандидатам зачастую приглашают большое число специалистов (сетевых администраторов, инженеров по серверам, безопасников). Тут для злоумышленника большой простор для деятельности. В процессе дискуссии можно ненавязчиво узнать число филиалов. Кроме того, потенциального работника будут «гонять» прежде всего по тем технологиям, которые используются в корпоративной сети. Например, системные администраторы компании интересуются знаниями соискателя в области серверных операционных систем Windows и ActiveDirectory. Соискатель рассказывает про Windows 2016, затем про Windows 2019. На что собеседующие отвечают, что пока не все контроллеры используют Windows 2019. Далее обсуждается тема миграции доменов, вследствие чего выясняется, что все филиалы находятся в одном домене. Поддомены не используются.
