Отечественный рынок кибербезопасности испытывает как никогда острую потребность в новых квалифицированных кадрах: согласно исследованию Positive Technologies, число кибератак постоянно растет. Так, во втором квартале этого года было зафиксировано рекордное количество APT-атак — 91. А подписанный в мае 2022 года указ Президента РФ «О дополнительных мерах по обеспечению информационной безопасности Российский Федерации», обязавший ряд организаций создать полноценные ИБ-подразделения в своей структуре, выступил дополнительным стимулятором спроса на специалистов по мониторингу и реагированию на инциденты.
Мы осознаем, что начинающие ИБ-специалисты являются ценным активом для нас, наших партнеров и клиентов, и поэтому регулярно проводим различные программы, направленные на развитие и поддержку молодых кадров. Например, с 7 февраля по 6 июня 2022 года мы организовали масштабную 4-месячную стажировку в экспертном центре безопасности Positive Technologies (PT Expert Security Center). Про идею стажировки, практическую работу ребят в качестве аналитиков первой линии SOC[1], учебные занятия и их первые шаги в ИБ читайте под катом.
Стратегия стажировки
Мы ставили перед собой несколько ключевых целей, когда задумывались о формате стажировки:
усилить команду SOC;
подготовить кадры, которые в будущем могут быть востребованы не только в нашем отделе, но и в соседних командах Positive Technologies;
обучить молодых специалистов для партнеров и клиентов компании.
Мы также постарались систематизировать предыдущий опыт работы со студентами и новичками, который был у нашей компании: летние практики, открытые лекции и курсы в вузах, индивидуальные стажировки. Как правило, ребята рассматривали практику и стажировку в компании как возможность:
понять, какие знания и навыки действительно необходимы в работе по специальности;
получить опыт работы в крупной технологической компании;
узнать профессию на практике и оценить свои перспективы в этой области.
Собрав воедино наши цели и уже имеющийся опыт, мы поняли, что в будущей стажировке:
будет нужна система отбора в связи с традиционно большим потоком желающих;
стоит ориентироваться на студентов выпускных курсов профильных вузов (
не зря же их чему-то учили😉) и ребят с небольшим опытом в ИБ или ИТ;надо спланировать не только обучение (лекции и практические задания), но и полноценную работу в SOC;
нужно сделать акцент на большом количестве реальных задач, которые обычно стоят перед профильным специалистом. Мы точно знаем, что только сталкиваясь с практическими трудностями и преодолевая их, можно закрепить полученный опыт и вынести для себя существенную пользу.
В конечном итоге общий план стажировки выглядел так:
конкурсный отбор по результатам выполнения тестовых заданий и собеседования;
продолжительность стажировки не менее трех месяцев, из которых 20–30 % времени посвящаем обучающим занятиям и лекциям, а 70–80 % — работе в роли специалиста первой линии SOC. При этом погружение в практику начинаем сразу (с относительно легких задач), а вот к более сложным задачам переходим после полноценного обучения.
Практика: первые шаги в SOC
Главный тактический вопрос, который нам предстояло проработать перед стартом стажировки: как целесообразнее построить практическую работу новичков. На этапе формулировки рабочих задач для стажеров обнаружились потенциальные сложности: сложившийся процесс внутреннего мониторинга был ориентирован на сотрудников отдела, уже имеющих достаточный практический опыт и экспертизу для работы со всеми продуктами компании. Пришедшие к нам ребята таким багажом, конечно, не обладали.
Так мы пришли к осознанию того, что стандартный воркфлоу необходимо адаптировать с учетом текущих компетенций и навыков стажеров. В первую очередь мы решили отталкиваться от базового пула задач. Что в работе сотрудника SOC первой линии чаще всего составляет львиную долю работы? Анализ регистрируемых инцидентов и отсеивание ложных. Как помочь человеку с минимальным опытом влиться в этот процесс? В ход пойдет максимальная автоматизация и понятные простые инструкции.
Наш опыт мониторинга показывает, что часто информации в карточке инцидента в IRP-системе (Incident Response Platform) оказывается недостаточно для верификации сработки, и для более подробного изучения связанных событий аналитику приходится обращаться к другим продуктам, например SIEM- и NTA-системам, песочницам (sandbox). Поэтому, чтобы избежать узкого места в виде отсутствия у стажеров навыков работы с основными средствами мониторинга, мы настроили для них интеграцию нашего MaxPatrol SIEM с платформой IRP TheHive, максимально обогатив карточки инцидентов такой информацией, как:
подробное описание сработавших правил корреляции;
значения наиболее информативных полей исходных событий (сетевые адреса, учетные записи, названия процессов и т. д.);
дерево процессов, содержащее всех предков подозрительного процесса, который вызвал сработку правила корреляции;
карточка с указанием должности, отдела и другой информации о сотруднике, учетная запись которого фигурирует в сработке. Для этого был разработан собственный плагин.
Но это еще не все. По нашему опыту, подготовить исчерпывающий плейбук (то есть инструкцию) по полноценному расследованию и реагированию на инцидент очень сложно. Если бы это было возможно, то почти всегда можно было бы улучшить решающее правило таким образом, чтобы справляться с задачей однозначно и полностью автоматически, без участия человека (а тут вспомним проблему остановки 🙂). Однако на практике при принятии решений обычно нужно учитывать большое число различных факторов.
Целесообразнее формализовать и описать процесс принятия решения о том, что сработка является ложной (и в этом случае появляется запрос на доработку правила) или выявлена легитимная активность, не требующая реагирования. Подобные случаи принято обозначать общим термином false positive (FP). Именно так мы решили сформулировать рабочую задачу для стажеров на начальном этапе — действуя по плейбуку, установить, что инцидент является FP-сработкой. На случай, когда стажер по инструкции не смог прийти к выводу о том, что инцидент может быть закрыт как ложный или легитимный, все инструкции содержали пункт «сообщить наставнику и действовать по его указанию». Наставниками стажеров стали шесть сотрудников, давно работающих в SOC и непосредственно участвующих в ежедневном мониторинге.
Итак, в таком режиме стажеры начали свою работу на первой линии. В течение своих смен они по инструкциям последовательно обрабатывали прилетающие в TheHive инциденты, анализировали сработки, описывали в комментариях ход своих рассуждений и либо самостоятельно закрывали кейс как легитимный или ложный, либо переходили к совместному с наставниками расследованию. Также мы поощряли такие их инициативы, как доработка плейбуков и предложения по дополнительной настройке интеграции (проброса необходимой дополнительной информации, IoC).
Просмотр изображения в отдельном окне.
Также отметим, что мы собирали для стажеров в IRP не все инциденты, а по правилам отбирали сработки со следующими свойствами:
Правило выявляет действительно критичную активность, которая требует максимального внимания.
Правило может иметь заметное число срабатываний, вызванных легитимной активностью.
На правило можно написать ту самую простую инструкцию (плейбук), в которой пошагово будет описано, как понять, что сработка правила является ложной либо выявила легитимную активность.
Работая в таком режиме на протяжении пары месяцев, ребята постепенно втягивались в происходящее и выстраивали более-менее стройное представление о работе аналитика SOC. Но мы не планировали ограничивать практическую часть стажировки работой с IRP и собирались постепенно вводить их в полноценный мониторинг с использованием других наших продуктов. Конечно, благодаря невысокому порогу входа работать с нашими продуктами и выявлять с их помощью угрозы может даже новичок с дефицитом экспертизы, но мы считали правильным организовать начальное вводное обучение. Поэтому предлагаем отвлечься ненадолго от практики и перейти к обучающей части стажировки.
Теоретическая часть: обучение
Безусловно, мы рассматривали стажировку не только как источник практического опыта для ребят, но и как возможность расширения их знаний и экспертизы. При подготовке обучения мы актуализировали накопленные материалы и подготовили программу с оптимальным охватом тем, необходимых специалисту SOC.
Мы решили, что начать стоит с повторения базовых знаний из областей ИТ и ИБ, которые обязательно потребуются ребятам в практической работе. Проведение таких занятий взяли на себя эксперты из отдела образовательных программ. Они начали обучающий трек с вводной лекции по особенностям корпоративной информационной инфраструктуры, типовым средствам обеспечения ИБ и строению SOC. А в рамках первого практического задания стажеры занимались моделированием угроз: необходимо было создать схему корпоративной инфраструктуры, предположить возможные векторы атак и описать способы защиты.
Просмотр изображения в отдельном окне.
На следующих занятиях была освещена тема сетевых технологий — модель OSI и коммутация. Для закрепления материала ребята самостоятельно создавали топологию корпоративной сети, настраивали сетевые устройства и обеспечивали сегментирование сети. Кроме того, коллеги рассказали стажерам об устройстве современных операционных систем, сделав акцент на особенностях ОС Windows, в частности на Active Directory и ее структуре, а также особенностях аутентификации. В рамках практики ребята самостоятельно настраивали домен, разбирались в способах выявления эксплуатации общеизвестных уязвимостей домена (например, Zerologon).
Примерно в середине стажировки образовательную эстафету приняла наша команда (SOC PT Expert Security Center). Нам виделось необходимым в первую очередь провести обучение по работе с главным инструментом нашего SOC — MaxPatrol SIEM. Мы решили совместить это с серией занятий по атакам на корпоративную инфраструктуру: рассказали о жизненном цикле кибератаки, подготовили подробные разборы нескольких тактик атакующих по MITRE ATT&CK, осветили ряд наиболее популярных техник злоумышленников и методы их обнаружения с помощью MaxPatrol SIEM. «На дом» ребятам было выдано несколько заданий по расследованию действий хакеров: стажеры должны были разобраться в сэмулированном нами в тестовой инфраструктуре сценарии взлома. В рамках этих заданий мы сделали упор на выявление начальных этапов атаки: проникновения в систему с помощью фишинговой рассылки, закрепления на узле и выполнения команд. Понимание техник, используемых злоумышленниками на ранних стадиях, дает возможность своевременно остановить их, не допустив дальнейшего распространения по инфраструктуре.
Завершающий этап образовательной части был посвящен обзору возможностей межсетевого экрана уровня веб-приложений PT Application Firewall и системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD). Мы рассказали ребятам о механизмах работы продуктов и продемонстрировали их основные возможности по выявлению нелегитимной активности. Как и всегда, после лекций ребята закрепляли полученные знания с помощью практики в тестовых PT Application Firewall и PT NAD, выявляя сетевые и веб-атаки.
Практика: завершающий этап
После знакомства с основными продуктами компании мы постепенно выдали всем стажерам доступ в «боевой» MaxPatrol SIEM, с помощью которого осуществляется мониторинг происходящего в инфраструктуре компании. У ребят появилась возможность оценить разницу в назначении продуктов разных классов, попробовать самостоятельно изучить подробности тех или иных сработок, которые им приходилось разбирать в IRP, а также лучше понять, откуда берутся в карточках кейсов те или иные данные, на основании которых они принимают решения.
В итоге за первые три месяца стажировки наши подопечные получили богатый опыт работы с инцидентами информационной безопасности (так, например, к концу апреля стажерами было обработано 7205 кейсов в IRP), разобрались в основных процессах, происходящих в корпоративной инфраструктуре. При этом белым пятном для ребят все еще оставалась реальная хакерская активность — к счастью, с ней они так и не столкнулись. Именно поэтому мы решили организовать для стажеров практику на киберучениях. В этом отношении киберполигон The Standoff — уникальный плацдарм для развития, поскольку условия противостояния красных и синих команд максимально приближены к реальной жизни.
О том, как ребята нарабатывали свой первый боевой опыт, мы подробно расскажем в следующей статье. Подписывайтесь на наш блог, чтобы не пропустить! :)
[1] Для эффективной работы команда SOC обычно разделена на несколько линий специалистов (традиционно их три), для каждой из которых сформирован свой пул задач. Первая линия SOC отвечает за оперативный мониторинг, отсеивание ложных сработок и обработку инцидентов по плейбукам.
Авторы:
Константин Грищенко, руководитель отдела мониторинга информационной безопасности компании Positive Technologies
Екатерина Никулина, специалист отдела мониторинга информационной безопасности компании Positive Technologies
