Информационная безопасность для системного администратора
Специалист по информационной безопасности — одна из самых востребованных профессий
В 9 случаях из 10 в компании отсутствуют специалисты по информационной безопасности. Согласно исследованию компании Intel Security, 33% респондентов осознают, что являются мишенями для хакеров, у 25% уже была утечка важных данных, а у 22% были негативные репутационные последствия из-за компрометации сети.
На Международном конгрессе по кибербезопасности прозвучала оценка дефицита специалистов в этой сфере в размере 1,8 млн человек к 2022 году. Также было отмечено, что 41 тыс. компаний в США и 2 тыс. в России ищут таких специалистов уже сейчас.
В настоящий момент количество вакансий в сфере информационной безопасности превышает, например, количество вакансий data scientist'ов, а это одна из наиболее горячих и раскрученных областей в IT. Средняя зарплата специалиста составляет около 85 000 руб.
Программа курса
Часть 1. Думай как хакер Модуль 1 Цель и психология атак
— Атаки для получения личной выгоды: кража, редактирование данных, использование ресурсов. Таргетированные атаки
— Цели и задачи атакующих. Какие цели по монетизации преследуют хакеры
— Фазы целевых атак и средства их реализации
Модуль 2 Психология хакерских атак
— Что защищать и на что будут направлены атаки
— Логика поведения атакующего
— Патерн поведения - добиться свой цели любой ценой (деньги или инфраструктура), разбор известных примеров.
Кейс : по заданным вводным определить важные инфраструктурные единицы, на которые хакеры нацелят атаку
Модуль 3 Разведка
— Google, Git, VK, Instagram глазами хакера
— Демо: Поиск чувствительных данных в Git
— Демо: google-dorks
Кейс: поиск чувствительных данных по компании
Модуль 4 Как злоумышленники проникают в инфраструктуру
— Типовые точки проникновения
— Внешний и внутренний злоумышленник
— OWASP
— Примеры фишинговых писем
— Пример атаки на приложение
— Автоматические атаки
— Поисковая система Shodan
Кейс: поиск фишинговых писем
Модуль 5 Закрепление в инфраструктуре, стадии атаки mitre, стоимость атаки
— Движение по инфраструктуре и ее захват
— Проброс портов в инфраструктуру
— Стоимость атаки и на что она влияет
Кейсы: Mitre и стоимость атаки
Часть 2.Обнаружение угроз и их устранение - делаем атаку дорогой! Модуль 6 Сетевая сегментация
— Оценка актива и его функционала
— Конфигурирование сегментов, как правильно сегментировать сеть,
Mgmt сегмент
— Intention-based security сегментирование в современных реалиях
— Организация защиты межсегментного взаимодействия
— Особенности конфигурирования сегмента DMZ
— Правила публикации ресурсов в Интернет
Разбор кейсов
Модуль 7 Конфигурирование linux: практика настройки linux
— Тюнинг настроек безопасности Linux
— Ограничения прав, ACL
— Сетевая безопасность на уровне linux
— Защищаемся от типовых атак
— Поиск проблем в уже работающей системе
Кейс: в заданном образе системы необходимо найти спрятанные флаги
Модуль 8 Выжимаем все соки из антивируса. Какие контроли можно построить, опираясь только на антивирусные средства
— Как обычно используется антивирус?
— Взгляд из внутри
— Критичность инцидента и признаки влияющие на него
— Примеры контролей
— Контроль запуска программ
— Shell c правами system для запуска программ
Кейс: примеры событий выявленных антивирусом для определения критичности событий
Модуль 9 Autoruns
—Закрепление злоумышленника в инфраструктуре
—Описание продукта autoruns и обзор возможностей
— Примеры контролей, которые могут быть реализованы и кейсов, которые выявляем
Кейс: запуск autoruns из командной строки для проверки элементов автозагрузки всех профилей. Поиск подозрительных элементов
Модуль 10 Sysmon
— Описание продукта sysmon и обзор возможностей
— Примеры написания правил
— Примеры кейсов которые можно выявлять средствами мониторинга sysmon
— Обзор готовых проектов с конфигурациями
Кейс: создание конфигурации для мониторинга заданного процесса с требованием проверки
Модуль 11 Настройка расширенного аудита в windows и linux, конфигурирование linux
—
Аудит и его типы
—
О чем может рассказать система\приложение?
—
Настройка параметров аудита ОС и влияние на производительность
—
Особенности объектового аудита ОС
—
Кто такой пользователь uid 1002
—
Недостатки штатной системы аудита и пути их преодоления
Кейс: как с помощью auditd залогировать и найти заданный объект
Модуль 12 Конфигурирование аудита OS Windows
— Настройка параметров аудита ОС и влияние на производительность
—Ловим бесфайловые атаки при помощи аудита Powershell
—Особенности объектового аудита ОС
—Ловим атаки от mimikatz - аудит LSAS, Wdigest
—
Недостатки штатной системы аудита и пути их преодоления
Модуль 13 Сбор данных WEF
— Что такое WEF?
—Производительность решения.
—Что лучше Push-уведомление или запросы в подписках?
—Автоматизация
—События которые необходимо собирать и мониторить
Кейсы:
—Настройка WEF
—Настройка подписок
—Настройка WEF через GPO
Модуль 14 Краткий обзор siem решений
— Знакомство с решением на практике: создаем мини siem - Nxlog + ELK
Модуль 15 Конфигурирование OS Windows: Active directory
— Вредные советы или как лучше не делать
— Формирование прозрачной модели доступа к активам
— Разграничение функционала учетных записей (service \ mgmt \ user)
— Ограничение доступа для учетных записей
— Делегирование
— AD HoneyPot
— Защищаемся от утечки данных
Разбор кейсов
Модуль 16 Конфигурирование OS Windows: MS Exchange
— Правила безопасной маршрутизации почты
— Фильтрация вложений по ContentType
— Фильтрация вложений по расширению
— Фильтрация по ключевым словам
— Фильтрация по доменам
— SPF
— Запрет получения писем от внешних отправителей на группы рассылки
Часть 3.Реагирование на инциденты и проведение расследований Модуль 17 Зачем и кому нужны процессы реагирования на инциденты
— Реагирования на инциденты зачем и кому нужно?
— Компетенции
— Последовательность действий при обработке инцидента
— Распределение ролей в процессе обработки инцидента
— Устранение последствий инцидента
— Действия после инцидента
Практический разбор инцидента
Модуль 18 Автоматизация реагирования на инциденты
— Обзор платформы TheHive + Cortex
Кейс: разворачивание стенда в тестовой инфраструктуре