Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Профессиональное обучение команды SOC Александр Мазикин Руководитель группы по развитию продаж сервисов
2
Основа основ
SOC (Security Operation Center) является централизованным подразделением, которое
занимается вопросами безопасности на организационном и техническом уровне1
Процессы Люди Технологии
SOC
1 https://en.wikipedia.org/wiki/Security_operations_center
SOC Сервисы
ИНТЕЛЛЕКТУАЛЬНЫЙ SOC
ПРОГРАММЫ
ТЕСТЫ НА THREAT
THREAT HUNTING ПОВЫШЕНИЯ
ПРОДВИНУТЫЙ
ПРОНИКНОВЕНИЕ INTELLIGENCE
ОСВЕДОМЛЕННОСТИ
АНАЛИЗ ЦИФРОВАЯ ОЦЕНКА
ТРЕНДЫ
ВПО КРИМИНАЛИСТИКА УЯЗВИМОСТИ
БАЗОВЫЙ
ТРАДИЦИОННЫЙ SOC
Мониторинг Расследования Отчётность
SOC Сервисы
SOC Роли – Базовый
Роль Описание Задачи
• Мониоринг и определение инцидентов
Tier-1 • Первоначальный анализ и эскалация
Сбор событий
Аналитик • Сканирование на наличие уязвимостей
• Управление инструментами мониторинга
• Анилиз инцидентов полученных от первой линии
Tier-2 Реагирование • Проведение расследований
Аналитик на инциденты • Локализация и устранение инцидентов
• Обновление правил, индикаторов и пр.
• Управление командой, подбор персонала, обучение и пр.
SOC Управление и
• Разработка стратегии
Менеджер стратегия
• Метрики
Что мы хотим получить?
SOC Роли – Продвинутый
Роль Описание Задачи
• Threat Hunting
• SIEM Use-case разработка
Threat Intelligence и • Исследование закрытых ресурсов (darkweb)
Tier-3
Threat Hunting • Проведение тестов на проникновение
• Модель угроз
Эксперт в области
Что, как, когда и где • Анализ цифровых улик
цифровой
произошло? • Участие в расследование инцидентов
криминалистики
• Анализ и обратная разработка ВПО
Аналитик ВПО Функционал атаки
• Участие в расследование инцидентов
• Открытые источники TI
• Аналитическе отчеты
Threat Intelligence Использование Threat
• TTPs и индикаторы
Аналитик Intelligence
• Фиды: приоритезация и использование
• Анализ данных от вендоров
Эксперт в области
• Оценка и поиск уязвимостей
тестов на Оценка защищенности
• Тесты на проникновение
проникновение
Реагирование на инциденты
Темы Навыки
• Общие сведения о реагировании • Отличие APT от других типов угроз
на инциденты • Понимание различных методов атаки и анатомии целевых атак
• Обнаружение и первичный • Применение специальных методов мониторинга и обнаружения
анализ • Выполнение процедуры реагирования на инциденты
• Цифровой анализ • Восстановление хронологической картины и логики инцидента
• Создание правил обнаружения • Создание правил обнаружения и подготовка отчетов
(YARA, Snort, Bro)Цифровая криминалистика
Темы Навыки
• Организация лаборатории цифровой криминалистики
• Оперативное реагирование и • Сбор цифровых улик и порядок обращения с ними
сбор цифровых улик • Воссоздание хронологической картины инцидента с помощью
• Внутренняя структура реестра временных меток
Windows • Выявление следов вторжения посредством анализа артефактов в
• Анализ артефактов в Windows ОС Windows
• Криминалистический анализ • Анализ истории браузера и электронной почты
браузера • Эффективное применение средств и методов цифровой
• Анализ электронной почты аналитикиЦифровая криминалистика (экспертный уровень)
Темы Навыки
• Экспертная криминалистика в ОС
Windows
• Восстановление данных • Глубокий анализ файловой системы
• Сетевая и облачная • Восстановление удаленных файлов
криминалистика • Анализ сетевого трафика
• Криминалистический анализ • Обнаружение вредоносной активности по дампам памяти
дампов памяти • Восстановление хронологии Инцидента
• Хронологический анализ
• Практическая криминалистика
реальных целевых атакАнализ и обратная разработка вредоносного ПО
Темы Навыки
• Цели и методы анализа и обратной
разработки вредоносного ПО
• Построение безопасной среды для анализа вредоносных программ:
• Внутреннее устройство ОС Windows,
развертывание «песочницы» и всехнеобходимых инструментов
исполняемые файлы, ассемблер x86
• Понимание принципов исполнения программ в ОС Windows
• Базовые методы статического анализа
• Распаковка, отладка и анализ вредоносного объекта, определение его
• Базовые методы динамического
функций
анализа
• Обнаружение вредоносных сайтов путем анализа вредоносных скриптов
• Анализ файлов .NET, Visual Basic,
• Проведение экспресс-анализа вредоносных программ
Win64
• Методы анализа скриптов и программ,
отличных от исполняемых файловАнализ и обратная разработка вредоносного ПО (экспертный уровень)
Темы Навыки
• Методы расширенного статического
анализа
• Методы расширенного динамического
анализа
• Обратная разработка APT-угроз (полная • Использование передовых методов обратной разработки и распознавание
проработка сценария APT-атаки, начиная методов защиты от обратной разработки (обфускация, защита от отладки)
с фишингового сообщения электронной • Расширенный анализ руткитов и буткитов
почты и заканчивая как можно более • Анализ шелл-кода эксплойтов, внедренного в различные виды файлов, а также
глубоким анализом) вредоносных программ для сред, отличных от Windows
• Анализ протоколов (анализ
зашифрованных коммуникаций по
протоколу C2, методы расшифровки
трафика)
• Анализ руткитов и буткитовYARA
Темы Навыки
• Введение в синтаксис правил YARA
• Способы быстрого и эффективного
создания правил
• YARA-генераторы
• Тестирование правил YARA на ложные
срабатывания • Создание эффективных правил YARA
• Поиск новых необнаруженных образцов с • Тестирование правил YARA
помощью VirusTotal • Дальнейшее совершенствование правил для эффективного обнаружения угроз
• Использование внешних модулей в YARA
для эффективного поиска угроз
• Поиск аномалий
• Набор упражнений для
совершенствования навыков работы с
YARA14
Экспертные тренинги для команды SOC
Количество
Тренинг
дней
Реагирование на инциденты 5
Цифовая криминалистика 5
Цифровая криминалистика
5
(экспертный)
Анализ и обратная разработка
5
вредоносного ПО
Анализ и обратная разработка
5
вредоносного ПО (экспертный)
Yara 215
Программа повышения осведомленности
Понимание и поддержка
Рувоводители KIPS стратегии ИБ
Бизнес решения
CyberSafety соответствующие
Менеджеры
Management Games стратегии ИБ
Онлайн платформа Навыки
Все сотрудники
безопасности
Тренинг по Дополнительные
Оценка культуры взаимодействию
Отделы ИТ и ИБ инструменты
безопасности с сотрудниками управления ИБwww.k-asap.kz
Что еще вендор может дать команде SOC? Threat Intelligence Аналитические отчёты + индикаторы (IOC’s) и Yara правила Информация об угрозах, актуальных для организации Инструменты: Threat Lookup, Sandbox Потоки данных Сервисы Threat Hunting Реагирование на инциденты Цифровая криминалистика Анализ вредоносного ПО Анализ защищенности и тесты на проникновение
LET’S TALK? Kaspersky Lab HQ 39A/3 Leningradskoe Shosse Moscow, 125212, Russian Federation Tel: +7 (495) 797-8700 www.kaspersky.com
Вы также можете почитать
