О курсе
Аналитики защиты информационных систем – специалисты, решающие целый комплекс разносторонних задач в области защиты информационных систем. Их роль — мониторить активность в сети организации, оперативно определять инциденты и снабжать команду актуальными данными об угрозах. Специалисты могут выполнять данные функции благодаря знаниям и области реагирования и локализации инцидентов, цифровой криминалистики, проактивного поиска угроз и вирусного анализа. Находясь на передовой отражения кибератак, такие специалисты обладают актуальными знаниями о ландшафте киберугроз и постоянно обновляют базу знаний о современных трендах кибербезопасности.
Трехдневный курс F.A.С.С.T. посвящен каждой из вышеупомянутых функций аналитиков защиты информационных систем (Blue Team команды).
Ключевые темы:
- Основы менеджмента ИБ и функции SOC
- Обзор классов решений ИБ
- Мониторинг и детектирование: сигнатуры и правила
- Реагирование на инциденты: анализ сетевого траффика и данных на хосте
- Основы вирусного анализа
- Основы киберразведки и проактивного поиска угроз
После окончания курса вы сможете:
- Мониторить события с установленных решений
- Детектировать инцидент и выявлять его признаки
- Поддерживать процессы киберразведки и проактивного поиска угроз
Для кого этот курс:
- Специалисты с опытом в ИБ
- Практикующие специалисты ИБ/ИТ
- Команды SOC/CERT
Навыки для успешного прохождения курса:
- Понимание основ функционирования современных решений ИБ
- Базовые знания теории киберпреступлений
- Опыт в области кибербезопасности
Программа курса
Первый день курса начнется с краткого введения в процессы моделирование киберугроз, чтобы определить основные этапы типовой кибератаки и техники, используемые атакующими. Далее, мы рассмотрим, как построены процессы ИБ, как функционирует SOC и как он взаимодействует с другими командами. Тренеры проведут обзор популярных классов ИБ решений: NTA, IDS/IPS, EDR, SIEM, и TI.
Первый процесс обеспечения ИБ, который мы будем обсуждать в рамках данного курса – мониторинг событий. Мы поговорим о структуре алертов, о ложноположительных срабатываниях и попрактикуемся в использовании некоторых утилит для разработки детектирующей логики – Magma и Sigma.
Аналитики защиты информационных систем (Blue Team) и SOC выступают в роли первой линии защиты в случае инцидента информационной безопасности, поэтому в ходе курса вам объяснят основные принципы реагирования на инциденты, включая то, как оценить критичность инцидента и эскалировать обработку инцидента. Тренеры предоставят вам инструменты и методы, необходимые для сбора данных, экспресс-анализа хоста и сетевого траффика и создания YARA правил. Они также покажут, как отличить качественные индикаторы компрометации.
День завершится практическим заданием по анализу копии данных, собранных с хоста, задействованного в инциденте. Слушателям предложат самостоятельно найти важные артефакты, реконструировать хронологию событий и разработать план по ликвидации последствий и восстановлению.
Понимание функций и анализа ВПО – основа для защиты от современных атак. Поэтому следующим шагом в рамках обучения станет изучение песочниц и объяснение того, как их использовать для выявления вредоносной активности. Вы изучите основы детонации ВПО и попрактикуетесь в запуске ВПО в контролируемой среде для получения индикаторов компрометации. Тренер также предоставит рекомендации по тому, как извлекать полезные индикаторы компрометации из отчетов песочниц.
Наконец, мы поговорим об охоте за угрозами и актуальности этого процесса для SOC. Вас научат применять научный подход (т.е. проверку гипотез) в рамках охоты за угрозами, а также расскажут о том, какие источники событий следует искать (где в системе найти дополнительную информацию, которая поможет вам в процессе охоты за угрозами).
Курс завершится обзором процессов Cyber Threat Intelligence, которые являются основной базой знаний для достижения целей, обсуждаемых в рамках данного курса. Тренеры поделятся примерами полезных источников данных, утилит и примеров применения технологии киберразведки.