Дефицит кадров на рынке ИБ и рост количества направлений деятельности в отрасли создали огромный спрос на повышение квалификации как опытных, так и начинающих специалистов по нейтрализации кибератак (Blue Team). Рассмотрим, какие возможности обучения имеются для них сейчас в России.
- Введение
- Киберполигоны
- Платформы для тренировки специалистов
- Программы стажировки
- 4.1. Innostage
- 4.2. Positive Technologies
- 4.3. Информзащита
- 4.4. КРОК
- 4.5. Лаборатория Касперского
- 4.6. МТС RED
- 4.7. ГК «Солар»
- 4.8. УЦСБ
- 4.9. Яндекс
- Учебные курсы по информационной безопасности
- 5.1. Codeby
- 5.2. CyberED
- 5.3. F.A.C.C.T.
- 5.4. ИНСЕКА
- 5.5. Лаборатория Касперского
- Обучающие игры по информационной безопасности
- Выводы
Введение
Для защиты от злоумышленников организации создают команды специалистов по обнаружению кибератак и реагированию на них. Следуя стандартной модели учений «атакующие — защитники», их обычно называют «синими командами» (Blue Team). Основные их задачи — мониторинг безопасности, выявление инцидентов и признаков компрометации инфраструктуры, организация устранения выявленных уязвимостей.
В одном из эпизодов AM Live эксперты выделили несколько проблем, которые касаются подготовки защитников. Прежде всего, перспективные молодые специалисты чаще выбирают атакующее направление — Red Teaming. Во многом причиной этого является возможность наглядно увидеть результат работы, принять участие в оплачиваемых программах по поиску уязвимостей (Bug Bounty). Дополнительными факторами являются кажущаяся бесперспективность и сложность работы «синих».
Рисунок 1. Результаты опроса о том, почему специалисты не идут в Blue Team
Второй большой проблемой является отсутствие у специалистов целого ряда компетенций. Так, согласно результатам опроса, 36 % респондентов отметили нехватку глубокого понимания технологий ИТ и ИБ (hard skills), а ещё 21 % — знаний о тактиках и техниках злоумышленников. На непонимание процессов предотвращения, обнаружения и реагирования пожаловались 17 % респондентов.
Рисунок 2. Результат опроса о том, каких знаний и навыков не хватает специалистам Blue Team
Опросы в телеэфире AM Live показывают, что главной проблемой рынка сейчас является не столько кадровый голод, сколько отсутствие необходимых знаний у потенциальных сотрудников. При этом, по мнению зрителей, лучшим способом получения и отработки практических навыков являются реальные атаки и киберполигоны.
Рисунок 3. Результаты опроса о лучших способах отработки практических навыков
Рассмотрим, какие варианты обучения полезным для Blue Team навыкам можно найти в отрасли.
Киберполигоны
Ранее мы рассматривали мировой и отечественный рынки киберполигонов. На таких площадках можно обучать как Red Team, так и Blue Team. Основным преимуществом киберполигона является возможность проводить атаки на почти настоящей инфраструктуре, максимально похожей на инфраструктуру защищаемого предприятия с учётом его специфики.
Рисунок 4. Архитектура киберполигонов
Используя этот инструмент, ответственные за обеспечение ИБ и работоспособность ИТ на практике проверяют, могут ли соответствующие подразделения заблаговременно обнаружить индикаторы компрометации инфраструктуры либо развивающуюся атаку до того, как она достигнет финальной стадии, жизнеспособны ли разработанные на этот случай регламенты, налажено ли взаимодействие, понимает ли ИТ проблемы ИБ и наоборот. Итогом учений на киберполигоне становятся разработанные или скорректированные службами ИБ и ИТ планы действий на случай хакерской атаки.
Использование подобного средства обучения показало свою эффективность, и теперь киберполигоны создаются и применяются не только в коммерческих компаниях, но и в вузах страны. Например, на базе киберполигона ГК «Солар» проводятся студенческие киберолимпиады. Также, понимая всю сложность ситуации кадрового голода, вендоры идут навстречу и предоставляют бесплатный индивидуальный доступ к своим киберполигонам, как, например, компания BI.ZONE.
Специализированные платформы для тренировки специалистов
Эффективным инструментом самостоятельного обучения является использование специализированных платформ. Рассмотрим некоторые из них.
CyberDefenders
Одна из самых известных платформ, предназначенных для тренировок специалистов Blue Team. На платформе есть как платные лабораторные работы, так и бесплатные. В рамках лабораторных работ предоставляются архивы с логами и дампы трафика в PCAP для расследования инцидентов в ИБ.
Рисунок 5. Выбор лабораторной работы в CyberDefenders
Cybrary
Платформа запущена в 2015 году и содержит в себе множество курсов, в том числе и по кибербезопасности. Лабораторные работы можно выполнять на виртуальных стендах, расположенных на портале. Cybrary имеет несколько тарифов для пользователей, среди которых есть и бесплатный.
Рисунок 6. Тарифы Cybrary
LetsDefend
LetsDefend, так же как и остальные ресурсы с платформами, имеет несколько тарифов для физических лиц, студентов и организаций. Базовый тариф даёт минимум возможностей в части теории и прикладных кейсов. Практические задачи имеют разные уровни сложности и разные направления (безопасность конечных точек, безопасность электронной почты и т. д.).
Рисунок 7. Пример задачи на LetsDefend
Программы стажировки по информационной безопасности
Стажировки являются весьма эффективным способом обучения начинающих специалистов как использованию инструментов Blue Team, так и управлению инцидентами. Как правило, стажировки оплачиваемы, а их длительность составляет несколько месяцев.
Innostage
Компания публикует информацию о стажировках на общем карьерном портале, где представлены и другие вакансии Innostage. Для фильтрации программ стажировок необходимо выбрать соответствующий пункт.
Также компания развивает проект «Межвузовский SOC», направленный на практическую подготовку студентов и работу с реальными инцидентами. К окончанию вуза участники проекта имеют достаточно опыта, чтобы работать в команде SOC и продолжать «синий» карьерный трек.
Рисунок 8. Карьерный портал Innostage
Positive Technologies
Компания регулярно проводит программы стажировок PT START для начинающих специалистов по информационной безопасности. Программа состоит из трёх этапов, включающих в себя обучение, интенсивы по направлениям и собственно оплачиваемую стажировку. Общая длительность программы — около шести месяцев. У отличившихся специалистов есть возможность трудоустройства в компанию.
Рисунок 9. Форма набора на стажировку PT START
Информзащита
Системный интегратор «Информзащита» принимает на стажировку студентов старших курсов, готовых практиковаться не менее 20 часов в неделю. Среди курсов есть и направление Blue Team, в частности «Мониторинг угроз и инцидентов». Место проведения стажировки — офис компании.
Рисунок 10. Информация о стажировке на сайте «Информзащиты»
КРОК
Интегратор регулярно публикует на своём портале вакансии для стажёров, в том числе желающих попробовать себя в центре мониторинга (SOC). Предполагается, что за шесть месяцев стажёр достигнет уровня младшего специалиста (junior). Стажировка является оплачиваемой, для удобства и возможности совмещения с работой предусмотрен гибкий график. Также стажёрам доступны льготы, имеющиеся у работников: профессиональное развитие, компенсация питания, корпоративные мероприятия и другие.
Рисунок 11. Карьерный портал КРОК
Лаборатория Касперского
Каждую весну и осень вендор открывает набор на программы оплачиваемых стажировок «SafeBoard». Обычно открыто порядка 15 направлений, от разработки и тестирования до анализа защищённости, исследования угроз и DevSecOps. Информацию о наборе можно получить на специализированном портале компании. Студенты вузов могут стать стажёрами начиная уже с первого курса: программа подразумевает гибкий график от 20 часов в неделю, что позволяет совмещать её с учёбой. При успешном окончании стажировки возможен приём в штат.
Рисунок 12. Карьерный портал «Лаборатории Касперского»
МТС RED
МТС RED — дочерняя компания ПАО «МТС», которая занимается разработкой решений и оказанием услуг в области кибербезопасности. Вакансии стажёров публикуются на карьерном портале компании, также кандидат может сам отправить резюме на адрес «redjobs@mts.red». Основные ценности МТС RED — культура талантов и инноваций, понятный и гибкий карьерный трек, наличие профессионального сообщества, доступ ко внутренним и внешним ресурсам.
Рисунок 13. Карьерный портал МТС RED
ГК «Солар»
«Солар» предлагает два вида стажировок. Solar Cyber Dive проводится на базе одного из крупнейших в России коммерческих SOC и предполагает обучение, после которого стажёр попадает в команду выбранного направления. Solar Start предусматривает начало работы над проектами без предварительного обучения, но при поддержке опытного наставника и коллег.
Рисунок 14. Карьерный портал ГК «Солар»
УЦСБ
Один из крупнейших интеграторов Урала предлагает на своём карьерном сайте оплачиваемые стажировки с гибким графиком. Для выбора представлены разные направления, в том числе и USSC SOC, оказывающий услуги мониторинга и реагирования на ИБ-инциденты внешним клиентам. Кроме того, УЦСБ является соорганизатором U Summer School — летней практики для студентов вторых-четвёртых курсов, по итогам которой лучшие студенты получают возможность пройти оплачиваемую стажировку в выбранном направлении с последующим трудоустройством в компанию.
Рисунок 15. Предложения от УЦСБ для студентов
Яндекс
«Яндекс», как и многие крупные компании, уделяет внимание подготовке новых кадров, для чего создал проект Young&&Yandex Team. Оплачиваемые стажировки есть по ряду направлений информационной безопасности, в том числе и в SOC. Длительность стажировки — от четырёх до шести месяцев с занятостью на 20–30 часов в неделю.
Рисунок 16. Вакансия стажёра в SOC «Яндекса»
Учебные курсы по информационной безопасности
Курсы от учебных центров и вендоров в основном касаются традиционных направлений ИБ, но есть и ряд предназначенных именно для «синих» команд.
Codeby
Codeby имеет в своём портфеле курс специалиста центра мониторинга (SOC), где предлагается изучить на практике такие процессы, как киберразведка (Threat Intelligence), проактивный поиск угроз (Threat Hunting), управление уязвимостями (Vulnerability Management), реагирование на инциденты (Incident Response) и моделирование угроз безопасности, а также ознакомиться с особенностями администрирования СЗИ, используемых в SOC. Также есть курс по реагированию на компьютерные инциденты. С подробной информацией о курсах можно ознакомиться на сайте.
CyberED
Для обучения специалистов направления Blue Team CyberED предлагает онлайн-курсы «Аналитик SOC» и «Реагирование на инциденты и компьютерная криминалистика в ОС Windows». Продолжительность курсов составляет 40 академических часов. Подробности можно узнать на сайте.
F.A.C.C.T.
Вендор не только выпускает защитные решения, но и обучает специалистов. В направлении защиты разработаны курсы по реагированию на ИБ-инциденты, компьютерной криминалистике и реагированию в ОС Windows и Linux, исследованию сетевого трафика в рамках реагирования на инциденты, а также курс для начинающих специалистов SOC. С информацией о программе курсов можно ознакомиться на сайте. Также компанией создана игра-симуляция по реагированию на инциденты с четырьмя сценариями атаки на организацию.
ИНСЕКА
Учебный портал предоставляет пользователям курсы от практикующих экспертов и прикладные задания, симулирующие настоящие рабочие задачи специалистов по ИБ. Представлены практические курсы по киберразведке, поиску киберугроз, киберкриминалистике, мониторингу и реагированию на инциденты. Подробности можно узнать на сайте.
Лаборатория Касперского
Компания предлагает ряд офлайн-тренингов, назначением которых является обучение сотрудников реагированию на инциденты в информационной безопасности и работе с YARA для детектирования вредоносных программ в инфраструктуре организации. Подробную информацию о курсах можно получить на сайте «Лаборатории Касперского».
Бонус! Обучающие игры по информационной безопасности
Геймификация является одним из самых эффективных способов обучения специалистов. Большая часть игр, посвящённых тематике информационной безопасности, нацелена на передачу базовых знаний. Однако есть и ряд игр для обучения сотрудников Blue Team и Red Team.
CERT — The Card Game
В 2017 году команда реагирования на киберинциденты (CERT) компании Michelin разработала настольную карточную игру, исходники которой можно скачать с GitHub и использовать по своему усмотрению. Карты имеют две категории — «защитники» и «нападающие». В каждой из категорий есть персонажи (хакеры, аналитики ИБ, архитектор ИБ и т. д.) и инструменты (системы обнаружения атак, защита Wi-Fi, атака «нулевого дня», DoS, флешка на парковке и т. п.). Каждый персонаж имеет несколько характеристик: уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления.
Рисунок 17. Карточка антивируса в CERT — The Card Game
Cyber Attack!
Ещё одна настольная карточная игра на тему информационной безопасности — «Cyber Attack!», которая впервые была представлена на конференции Peak Cyber Conference 2022. Игра доступна для покупки за 35 долларов США и предназначена для 3–8 игроков возрастом от 12 лет.
Рисунок 18. Игровые карточки Cyber Attack!
PeriHack
PeriHack представляет собой настольную карточную игру для двух игроков или команд, имитирующую борьбу между Red Team и Blue Team. Она требует, чтобы игроки исследовали сеть в поисках уязвимостей, а затем организовали цепочку различных атак, используя возможные слабые места различной природы и применяя как технические, так и социоинженерные методы. В то же время игра имитирует бюджетные ограничения для команды защитников, предоставляя ограниченные ресурсы для оценки и определения приоритетов различных критических уязвимостей. Распространяется по лицензии CC (BY-NC-SA).
Рисунок 19. Игровое поле PeriHack
ThreatGEN: Red vs Blue
Компьютерная игра, вышедшая в 2019 году, представляет собой симулятор, в который можно играть как в одиночку, так и вместе с коллегами. Он создан на основе опыта специалистов по анализу защищённости и предназначен для того, чтобы помочь освоить методы и стратегии кибербезопасности. Принять участие можно как на стороне Red Team, так и на стороне Blue Team.
Игра поддерживает Windows и Linux, имеет минимальные системные требования (64-разрядный процессор Intel Core i3 с частотой 1,5 ГГц, 4 ГБ ОЗУ, 1 ГБ на диске) и небольшую стоимость (на момент написания статьи — 360 рублей на платформе Steam), обладает большим количеством положительных оценок со стороны купивших её пользователей.
Рисунок 20. ThreatGEN: Red vs Blue
Выводы
В настоящее время есть много способов расширить практические знания и умения в части борьбы с киберугрозами. Для этого есть онлайн-платформы, киберполигоны, стажировки в крупных компаниях и даже игры. Если к этому добавить большое количество книг и лекций на YouTube, то материала получится с избытком. В какую сторону пойти начинающему специалисту, какой путь избрать компании для обучения сотрудников — зависит от финансовых возможностей и индивидуальных особенностей обучающихся. Явный тренд, который прослеживается в этом направлении, — увеличение количества подобных возможностей, которое должно повлиять и на качество подготовки специалистов.
