Стажировки в Solar JSOC. Часть 4. Как устроены обучающие тренинги для заказчиков

b458c12220096820703eeec6152cc15a.png

Привет! Мы в «Соларе» накопили достаточно компетенций, чтобы делиться ими не только со стажерами, но и с сотрудниками компаний-заказчиков. Нередко у заказчика после инсталляции СЗИ возникает потребность в их грамотном внедрении в рабочие процессы, поддержке в актуальном состоянии, а кроме того, необходимо налаживать взаимодействиея сотрудников как внутри самого SOC, так и со смежными подразделениями. Помимо этого, даже продвинутые ИБ-команды заказчика нуждаются в «переопылении» на образовательных мероприятиях, чтобы они продолжали своевременно и корректно реагировать на кибератаки, а работа не превращалась в рутину с монотонным закрытием тикетов.

Все эти задачи мы решаем за счет качественного обучения персонала заказчика. В последней части нашего цикла статей мы расскажем, как оно устроено.

Больше практики

Мы в «Соларе» делаем ставку на практико-ориентированное обучение. Целевой ориентир по количеству практики — 80% учебного времени. Остальные 20% мы уделяем теории. Обучающие программы реализуются Solar JSOC совместно с Национальным киберполигоном. В нашем случае курсы разделены на три уровня сложности.

На первом, базовом уровне, мы делимся с заказчиками базовыми знаниями по кибербезопасности и общим ИТ-шным темам, таким как основы ОС, компьютерные сети, Active Directory, СЗИ, кибератаки и работа с логами. Полученные знания и навыки борьбы с кибератаками мы помогаем отрабатывать на киберполигоне Solar CyberMir.

Второй уровень является более сложным и включает в себя несколько программ. Например, программа «Мониторинг и анализ инцидентов ИБ» соответствует уровню L1 SOC и состоит из подготовительной и основной части. Цель подготовительного этапа — устранить пробелы в базовых знаниях, задача — пройти в LMS наши базовые курсы по ИТ и ИБ. На основном этапе участники работают с журналами аудита и SIEM, а по итогам получают навыки расследования инцидентов ИБ в SIEM-системе и оформления результатов расследования в отчёте.

Третий уровень, наиболее сложный, представляет собой более глубокое погружение в работу с SIEM.  В частности, есть программа «Работа с источниками событий и контентом SIEM-системы» — она подходит аналитикам с профильным стажем от 3-х лет и опытом работы с SIEM, либо с глубоким техническим бэкграундом. В рамках этого курса мы учим анализировать инфраструктуру на предмет входящих в нее систем и приложений. Далее мы переходим в SIEM и учим настраивать сбор событий с инфраструктуры, а также анализировать ее на предмет актуальных угроз и способов обнаружения атак имеющимися средствами. Параллельно сотрудники компании-заказчика изучают функционал корреляции SIEM и весь вспомогательный инструментарий.

Программы второго и третьего уровня сложности часто идут в комплекте с комплексной услугой построения in-house SOC у заказчика.

Киберучения и их особенности

В большинстве случаев для реализации практической части обучения мы используем мощности киберполигона. Специалисты Национального киберполигона построили несколько отраслевых сегментов, на базе которых можно создавать кастомизированные инфраструктуры, которые максимально похожи на те, в которых люди привыкли работать.

Корпоративный сегмент, воспроизводящий типичную офисную инфраструктуру и сервисы, является основным. В дополнение к нему реализованы цифровые двойники предприятий электроэнергетики, финансовых организаций, нефтегазовых компаний и телеком-операторов.

Сотрудникам заказчиков предоставляют типовую ИТ-инфраструктуру с заранее заготовленными сценариями атак, которые разрабатываются с привлечением экспертов Solar JSOC. Участники в процессе обучения учатся детектировать, расследовать и реагировать на типовые для своей отрасли атаки.

Мы нередко проводим киберучения на международном уровне. Площадками выступают крупнейшие форумы, такие как ПМЭФ и ЦИПР, а также крупные симпозиумы в странах ближнего зарубежья. Участие принимают в том числе команды из Вьетнама, Беларуси, Казахстана, Узбекистана. Цель киберучений у каждого заказчика своя — посоревноваться, подтянуть или проверить навыки, получить «бодрящую встряску».

На старте киберучений тренеры киберполигона проводят брифинг, на котором знакомят участников с платформой, ИТ-инфраструктурой, СЗИ, целями, задачами и правилами киберучений.

Само обучение может проходить в нескольких форматах:

  1. Командно-штабная тренировка
    Этот вид практики позволяет выявить слабые стороны киберзащиты организации и оценить эффективность текущих процессов и мер противодействия инцидентам ИБ. Участники изучают сценарий кибератаки, определяют техники и тактики злоумышленника, после чего выбирают меры реагирования. В завершение — тренеры киберполигона анализируют и оценивают отчеты участников. Такие киберучения носят скорее организационный характер, а целевой аудиторией выступают руководители ИБ.

  2. Практические киберучения
    Для подобного вида киберучений разворачивается определенная сценарием ИТ-инфраструктура. В ней участники отражают кибератаки и расследуют инциденты ИБ. По итогам киберучений участники получают подробный отчет, который подсвечивает сильные и слабые стороны сотрудников и помогает скорректировать процессы ИБ внутри команды.

  3. Полномасштабные киберучения
    Самое масштабное образовательное мероприятие. Киберполигон на нем выступает верхнеуровневым командным центром, имитируя действия хакеров. Участники же играют роль SOC-ов, подключенных к командному центру, от которого приходят уведомления о новых угрозах и уязвимостях. SOC-и отчитываются в командный центр об обнаруженных у себя атаках. Часть обучающихся при этом играют роль Red Team, что позволяет сделать противостояние более живым и натуральным.

  4. Киберучения на цифровом двойнике заказчика
    Такие киберучения являются эталоном клиентоориентированности. Смысл заключается в том, что мы эмулируем основные компоненты ИТ-инфраструктуры заказчика, в которой привыкли работать его сотрудники, разрабатываем для неё сценарии атак. В ходе подготовки мы согласуем все нюансы. Далее проводятся действия, аналогичные практическим киберучениям.

А что на практике?

Чаще всего нам приходится бороться за время и внимание обучающихся, особенно на дистанционных тренингах и киберучениях. У сотрудников не всегда находится время на полноценное обучение, часто они смотрят вебинары и выполняют задания параллельно с рабочими задачами. В подобных случаях мы информируем заказчика о таких ситуациях и стараемся найти баланс.

Сам формат обучения нередко зависит от уровня зрелости ИБ-подразделения заказчика. Командам с высоким уровнем ИБ-подготовки мы предлагаем испытать навыки на практике, чтобы выявить точки роста. Для других заказчиков проводим самые базовые тренинги, даем им «понюхать порох» и помогаем выровнять уровень знаний между всеми участниками команды.

Выводы

Прокачивая компетенции заказчиков, мы не забываем и о компетенциях внутри «Солара». Во время проведения тренингов для клиентов мы в первую очередь получаем ценный опыт. Например, одним из самых интересных проектов в истории компании стало построение SOC в одной из организаций в юго-восточной Азии. К нему мы готовились почти год, структурировали все материалы, переводили их на английский язык. В итоге нам удалось обучить порядка 60 сотрудников — инженеров SOC уровня L1-L3, руководителей линий и других экспертов.

В разработке — новые сценарии практического обучения. Мы планируем покрыть нашими тренингами и киберучениями больше областей, чтобы комплексно закрыть проблему с компетенциями в ИБ у заказчика.

Александр Одоевский, инженер группы развития технических компетенций ГК «Солар»

Владимир Перминов, директор специальных проектов Национального киберполигона ГК «Солар»

© Habrahabr.ru