Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов

Страница создана Анита Павлова
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
Профессиональное обучение команды SOC

Александр Мазикин
Руководитель группы по развитию продаж сервисов
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
2
        Основа основ

        SOC (Security Operation Center) является централизованным подразделением, которое
        занимается вопросами безопасности на организационном и техническом уровне1

                                    Процессы                       Люди   Технологии

                                                                   SOC

    1   https://en.wikipedia.org/wiki/Security_operations_center
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
SOC Сервисы

                                  ИНТЕЛЛЕКТУАЛЬНЫЙ SOC

                                              ПРОГРАММЫ
        ТЕСТЫ НА                                                 THREAT
                         THREAT HUNTING       ПОВЫШЕНИЯ

                                                                             ПРОДВИНУТЫЙ
     ПРОНИКНОВЕНИЕ                                            INTELLIGENCE
                                           ОСВЕДОМЛЕННОСТИ

        АНАЛИЗ              ЦИФРОВАЯ                            ОЦЕНКА
                                                 ТРЕНДЫ
         ВПО             КРИМИНАЛИСТИКА                       УЯЗВИМОСТИ

                                                                               БАЗОВЫЙ
                                  ТРАДИЦИОННЫЙ SOC

            Мониторинг                Расследования          Отчётность
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
SOC Сервисы
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
SOC Роли – Базовый

 Роль       Описание        Задачи

                            •   Мониоринг и определение инцидентов
 Tier-1                     •   Первоначальный анализ и эскалация
            Сбор событий
 Аналитик                   •   Сканирование на наличие уязвимостей
                            •   Управление инструментами мониторинга
                            •   Анилиз инцидентов полученных от первой линии
 Tier-2     Реагирование    •   Проведение расследований
 Аналитик   на инциденты    •   Локализация и устранение инцидентов
                            •   Обновление правил, индикаторов и пр.
                            • Управление командой, подбор персонала, обучение и пр.
 SOC         Управление и
                            • Разработка стратегии
 Менеджер      стратегия
                            • Метрики
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
Что мы хотим получить?
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
SOC Роли – Продвинутый

 Роль                  Описание                 Задачи

                                                •   Threat Hunting
                                                •   SIEM Use-case разработка
                        Threat Intelligence и   •   Исследование закрытых ресурсов (darkweb)
 Tier-3
                          Threat Hunting        •   Проведение тестов на проникновение
                                                •   Модель угроз

 Эксперт в области
                        Что, как, когда и где   •   Анализ цифровых улик
 цифровой
                           произошло?           •   Участие в расследование инцидентов
 криминалистики

                                                •   Анализ и обратная разработка ВПО
 Аналитик ВПО            Функционал атаки
                                                •   Участие в расследование инцидентов

                                                •   Открытые источники TI
                                                •   Аналитическе отчеты
 Threat Intelligence   Использование Threat
                                                •   TTPs и индикаторы
 Аналитик                   Intelligence
                                                •   Фиды: приоритезация и использование
                                                •   Анализ данных от вендоров

 Эксперт в области
                                                •   Оценка и поиск уязвимостей
 тестов на             Оценка защищенности
                                                •   Тесты на проникновение
 проникновение
Профессиональное обучение команды SOC - Александр Мазикин Руководитель группы по развитию продаж сервисов
Реагирование на инциденты

             Темы                                             Навыки

 • Общие сведения о реагировании   • Отличие APT от других типов угроз
  на инциденты                     • Понимание различных методов атаки и анатомии целевых атак
 • Обнаружение и первичный         • Применение специальных методов мониторинга и обнаружения
  анализ                           • Выполнение процедуры реагирования на инциденты
 • Цифровой анализ                 • Восстановление хронологической картины и логики инцидента
 • Создание правил обнаружения     • Создание правил обнаружения и подготовка отчетов
  (YARA, Snort, Bro)
Цифровая криминалистика

             Темы                                           Навыки

                                  • Организация лаборатории цифровой криминалистики
 • Оперативное реагирование и     • Сбор цифровых улик и порядок обращения с ними
  сбор цифровых улик              • Воссоздание хронологической картины инцидента с помощью
 • Внутренняя структура реестра    временных меток
  Windows                         • Выявление следов вторжения посредством анализа артефактов в
 • Анализ артефактов в Windows     ОС Windows
 • Криминалистический анализ      • Анализ истории браузера и электронной почты
  браузера                        • Эффективное применение средств и методов цифровой
 • Анализ электронной почты        аналитики
Цифровая криминалистика (экспертный уровень)

             Темы                                               Навыки

 • Экспертная криминалистика в ОС
  Windows
 • Восстановление данных            • Глубокий анализ файловой системы
 • Сетевая и облачная               • Восстановление удаленных файлов
  криминалистика                    • Анализ сетевого трафика
 • Криминалистический анализ        • Обнаружение вредоносной активности по дампам памяти
  дампов памяти                     • Восстановление хронологии Инцидента
 • Хронологический анализ
 • Практическая криминалистика
  реальных целевых атак
Анализ и обратная разработка вредоносного ПО

                 Темы                                                    Навыки

 • Цели и методы анализа и обратной
   разработки вредоносного ПО
                                         • Построение безопасной среды для анализа вредоносных программ:
 • Внутреннее устройство ОС Windows,
                                          развертывание «песочницы» и всехнеобходимых инструментов
   исполняемые файлы, ассемблер x86
                                         • Понимание принципов исполнения программ в ОС Windows
 • Базовые методы статического анализа
                                         • Распаковка, отладка и анализ вредоносного объекта, определение его
 • Базовые методы динамического
                                          функций
   анализа
                                         • Обнаружение вредоносных сайтов путем анализа вредоносных скриптов
 • Анализ файлов .NET, Visual Basic,
                                         • Проведение экспресс-анализа вредоносных программ
   Win64
 • Методы анализа скриптов и программ,
   отличных от исполняемых файлов
Анализ и обратная разработка вредоносного ПО (экспертный уровень)

                 Темы                                                       Навыки

 • Методы расширенного статического
   анализа
 • Методы расширенного динамического
   анализа
 • Обратная разработка APT-угроз (полная    • Использование передовых методов обратной разработки и распознавание
   проработка сценария APT-атаки, начиная    методов защиты от обратной разработки (обфускация, защита от отладки)
   с фишингового сообщения электронной      • Расширенный анализ руткитов и буткитов
   почты и заканчивая как можно более       • Анализ шелл-кода эксплойтов, внедренного в различные виды файлов, а также
   глубоким анализом)                        вредоносных программ для сред, отличных от Windows
 • Анализ протоколов (анализ
   зашифрованных коммуникаций по
   протоколу C2, методы расшифровки
   трафика)
 • Анализ руткитов и буткитов
YARA

                 Темы                                                     Навыки

 • Введение в синтаксис правил YARA
 • Способы быстрого и эффективного
  создания правил
 • YARA-генераторы
 • Тестирование правил YARA на ложные
  срабатывания                             • Создание эффективных правил YARA
 • Поиск новых необнаруженных образцов с   • Тестирование правил YARA
  помощью VirusTotal                       • Дальнейшее совершенствование правил для эффективного обнаружения угроз
 • Использование внешних модулей в YARA
  для эффективного поиска угроз
 • Поиск аномалий
 • Набор упражнений для
  совершенствования навыков работы с
  YARA
14
     Экспертные тренинги для команды SOC

                                       Количество
                  Тренинг
                                          дней

         Реагирование на инциденты         5

          Цифовая криминалистика           5

         Цифровая криминалистика
                                           5
              (экспертный)

        Анализ и обратная разработка
                                           5
             вредоносного ПО

        Анализ и обратная разработка
                                           5
        вредоносного ПО (экспертный)

                    Yara                   2
15

     Программа повышения осведомленности

                                                                           Понимание и поддержка
                                 Рувоводители               KIPS           стратегии ИБ

                                                                                 Бизнес решения
                                                     CyberSafety                 соответствующие
                          Менеджеры
                                                  Management Games               стратегии ИБ

                                                  Онлайн платформа                      Навыки
                   Все сотрудники
                                                                                        безопасности

                                                                       Тренинг по         Дополнительные
                                          Оценка культуры          взаимодействию
                Отделы ИТ и ИБ                                                            инструменты
                                           безопасности             с сотрудниками        управления ИБ
www.k-asap.kz
Что еще вендор может дать команде SOC?

Threat Intelligence
Аналитические отчёты + индикаторы (IOC’s) и Yara правила
Информация об угрозах, актуальных для организации
Инструменты: Threat Lookup, Sandbox
Потоки данных

Сервисы
Threat Hunting
Реагирование на инциденты
Цифровая криминалистика
Анализ вредоносного ПО
Анализ защищенности и тесты на проникновение
LET’S TALK?
Kaspersky Lab HQ
39A/3 Leningradskoe Shosse
Moscow, 125212, Russian Federation
Tel: +7 (495) 797-8700
www.kaspersky.com
Вы также можете почитать