О курсе

Threat hunting становится важнейшим элементом работы любой службы ИБ. Чтобы сократить время обнаружения злоумышленников в сети и лишить их шанса остаться незамеченными, охотники за недетектируемыми угрозами применяют научный подход, выдвигая и проверяя гипотезы о поведении атакующих. Специалисты по threat hunting не опираются на обнаруженные ранее индикаторы компрометации (IOCs) — вместо этого они формулируют гипотезы на основании глубоких знаний о тактиках, техниках и процедурах атакующих (TTPs) и личного опыта реагирования на инциденты. Такой проактивный подход позволяет ИБ-специалистам заставать злоумышленников врасплох и предотвращать киберугрозы на более ранних стадиях проведения атаки.

Threat Hunting дополняет превентивные возможности отделов информационной безопасности, которые постепенно становятся повсеместным трендом.

На курсе “Проактивный поиск киберугроз” мы рассказываем, из чего складываются компетенции охотника за недетектируемыми угрозами и какие техники он использует для выдвижения успешных гипотез.

Основные темы курса:

  • Введение в процессы threat hunting
  • Научный метод создания гипотез
  • Применение Cyber kill-chain и MITRE ATT&CK для поиска угроз
  • Источники логов и их возможности
  • Цифровая криминалистика для нужд threat hunting
  • Поиск ВПО, инструментов и специальных методов атакующих
  • Threat hunting в масштабе предприятия и Sysmon

Для кого этот курс?

  • Технические специалисты с опытом в ИБ
  • Специалисты в области информационной безопасности
  • Специалисты по threat hunting

Навыки для успешного прохождения курса:

  • Понимание сетей и сетевых технологий
  • Опыт и навык работы в области администрирования инфраструктур
  • Знание структур файловых систем
  • Понимание того, как проводятся кибератаки
  • Базовые знания функционирования вредоносного программного обеспечения (ВПО)

Программа курса

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Threat Hunting — одна из самых главных тенденций в кибербезопасности, но в чем конкретно она заключается? Что подразумевает такая работа и какое место занимает охотник за угрозами в экосистеме информационной безопасности? Ответы на эти и другие вопросы вы узнаете в начале первого дня.

Далее мы рассмотрим основные техники и модели, используемые современными специалистами по проактивному поиску угроз, и узнаем, как применять научные методы (например, тестирование гипотез) в рамках threat hunting. Участники научатся применять и максимально эффективно использовать матрицу MITRE ATT&CKⓇ. Понимание того, как просматривать и интерпретировать информацию из открытых источников позволит формулировать более точные гипотезы и чаще выявлять деятельность злоумышленников.

Кроме того, мы познакомимся с полезными источниками журналов событий и возможностями, которые они предлагают. Участники также узнают, какие данные следует регистрировать и как использовать их для обогащения событий из других источников.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

Цифровая криминалистика является краеугольным камнем кибербезопасности. Без базового понимания лучших практик в этой области специалисты по threat hunting не могут должным образом выполнять свои задачи. Второй день начинается с обсуждения методов цифровой криминалистики, наиболее полезных для поиска угроз. Затем участники узнают, как идентифицировать полезные события из журналов событий Windows и как напрямую взаимодействовать с удаленными узлами, на что обращать внимание при поиске вредоносного ПО, инструменты злоумышленников и методы, связанные с эксплуатацией общедоступных приложений.

Затем обсуждение переходит к обзору LOLBAS и Sysmon. Участники узнают, как использовать Sysmon для поиска угроз, и попрактикуются в анализе событий.

День 3
arrow_drop_down
Теория
Демонстрация
Практика

К третьему дню участники уже научатся проводить threat hunting на одном хосте. Однако в реальных условиях охота за угрозами зачастую предполагает анализ десятков хостов одновременно. Этот день курса Threat Hunter будет посвящен погружению в реальный процесс поиска угроз. Вы получите инструменты для анализа и сбора журналов событий в масштабах предприятия, а также сможете попрактиковаться в создании гипотез и их проверке на основе данных MITRE ATT&CKⓇ.

День 4
arrow_drop_down
Практика

В последний день у участников есть возможность применить на практике все полученные знания и навыки. Они самостоятельно проводят поиск угроз, работая со стеком ELK и отвечая на вопросы CTF. После самостоятельного решения вопросов участники имеют возможность обсудить задачи и изучить приемы, необходимые для поиска нужной информации.