О курсе

Threat hunting становится важнейшим элементом работы любой службы ИБ. Чтобы сократить время обнаружения злоумышленников в сети и лишить их шанса остаться незамеченными, охотники за недетектируемыми угрозами применяют научный подход, выдвигая и проверяя гипотезы о поведении атакующих. Специалисты по threat hunting не опираются на обнаруженные ранее индикаторы компрометации (IOCs) — вместо этого они формулируют гипотезы на основании глубоких знаний о тактиках, техниках и процедурах атакующих (TTPs) и личного опыта реагирования на инциденты. Такой проактивный подход позволяет ИБ-специалистам заставать злоумышленников врасплох и предотвращать киберугрозы на более ранних стадиях проведения атаки.

Threat Hunting дополняет превентивные возможности отделов информационной безопасности, которые постепенно становятся повсеместным трендом.

На курсе «Проактивный поиск киберугроз» мы рассказываем, из чего складываются компетенции охотника за недетектируемыми угрозами и какие техники он использует для выдвижения успешных гипотез.

Основные темы курса:

  • Ознакомление с процессом поиска угроз и введение в threat hunting.
  • Применение моделей Cyberkill-chain и MITRE ATT&CK для поиска угроз.
  • Научный метод генерации гипотез.
  • Источники endpoint журналов и применение при threat hunting
  • Применение методов цифровой криминалистики для проактивного поиска угроз.
  • Поиск ВПО, инструментов и специфических методов атакующих.
  • Sysmon: конфигурации,события, индексация, фильтрация и запросы.
  • Базовые действия специалиста, основанные на потоке событий.
  • Глубокий анализ результатов threat hunting.

После окончания курса вы сможете:

  • Выявлять аномалии в сетевой инфраструктуре.
  • Понимать распространенные тактики, техники и процедуры злоумышленников
  • Разбираться в основах компьютерной криминалистики, применяемых в threat hunting.
  • Проверять гипотезы и находить новые индикаторы компрометации для скрытых угроз.

Для кого этот курс?

  • Технические специалисты с опытом в ИБ
  • Специалисты в области информационной безопасности
  • Специалисты по threat hunting

Для успешного прохождения курса слушателям желательно обладать:

  • Пониманием сетей и сетевых технологий.
  • Опытом и навыками работы в области администрирования инфраструктур.
  • Знаниями структур файловых систем.
  • Пониманием сетевых процессов в корпоративной или локальной сети.
  • Опытом в CTI.
  • Пониманием процессов протекания кибератаки и механизмов следообразования в ходе разных этапов атак.
  • Знанием существующих решений систем логирования и EDR.

Программа курса

Курс «Проактивный поиск киберугроз» рассчитан на три дня. За это время вы научитесь выдвигать успешные гипотезы, применять матрицу MITRE ATT&CKⓇ, использовать возможности компьютерной криминалистики в рамках проактивного поиска угроз, а также проводить threat hunting в масштабах организации.

Курс предназначен для начинающих специалистов в этой области, однако также будет полезен опытным профессионалам, так как поможет структурировать имеющиеся знания и навыки.

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Threat Hunting — одна из самых главных тенденций в кибербезопасности, но в чем конкретно она заключается? Что подразумевает такая работа и какое место занимает охотник за угрозами в экосистеме информационной безопасности? Ответы на эти и другие вопросы вы узнаете в начале первого дня.

Далее мы рассмотрим основные техники и модели, используемые современными специалистами по проактивному поиску угроз, и узнаем, как применять научные методы (например, тестирование гипотез) в рамках threat hunting. Участники научатся применять и максимально эффективно использовать матрицу MITRE ATT&CKⓇ. Понимание того, как просматривать и интерпретировать информацию из открытых источников, позволит формулировать более точные гипотезы и чаще выявлять деятельность злоумышленников.

Кроме того, мы познакомимся с полезными источниками журналов событий и возможностями, которые они предлагают. Участники также узнают, какие данные следует регистрировать и как использовать их для обогащения событий из других источников.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

Цифровая криминалистика является краеугольным камнем кибербезопасности. Без базового понимания лучших практик в этой области специалисты по threat hunting не могут должным образом выполнять свои задачи. Второй день начинается с обсуждения методов цифровой криминалистики, наиболее полезных для поиска угроз.

Затем обсуждение переходит к обзору ELK и Sysmon. Участники узнают, как использовать Sysmon для поиска угроз, и попрактикуются в анализе событий. После чего последует практическая работа с системами индексации Sysmon и ELK.

День 3
arrow_drop_down
Теория
Демонстрация
Практика

В реальных условиях охота за угрозами зачастую предполагает анализ десятков хостов одновременно, а атаки киберпеступников не всегда бывают простые и требуют более глубокого анализа. Этот день курса «Проактивный поиск киберугроз» будет посвящен продолжению 2-го дня и глубокому погружению в реальный процесс поиска угроз. Вы получите инструменты для анализа и сбора журналов событий в масштабах предприятия, а также сможете попрактиковаться в создании гипотез и их проверке на основе данных MITRE ATT&CKⓇ. Участников ждет продолжение второго дня с примерами цикличных или регулярных хантов, а также хантов, складывающихся из цепочек запросов или гипотез. Практические задания с углубленным анализом таких хантов. Также будет рассмотрена методика проведения хантов в виде верхнеуровневой диаграммы.

По итогам вы получите:

  • Видео лекций и практические материалы, используемые в ходе курса
  • Именной сертификат о прохождении обучающего курса F.A.C.C.T.
  • Практические сведения, знания и навыки о том, как threat hunting применяется в информационной безопасности
  • Ценный опыт и знания, которые вы можете сразу применять в работе