Khoa an ninh mạng của Blue Team: học ở đâu

Sự thiếu hụt nhân sự trong thị trường bảo mật thông tin và sự phát triển về số lượng lĩnh vực hoạt động trong ngành đã tạo ra nhu cầu rất lớn về đào tạo nâng cao cho cả chuyên gia có kinh nghiệm và người mới trong việc vô hiệu hóa các cuộc tấn công mạng (Đội Xanh). Hãy xem xét những cơ hội đào tạo hiện có dành cho họ ở Nga.

1. Giới thiệu
2. Phạm vi mạng
3. Nền tảng đào tạo
4. Thực tập
   1. 4.1. Innostage
   2. 4.2. Công nghệ tích cực
   3. 4.3. “Bảo vệ thông tin”
   4. 4.4. BƯỚC CHÂN
   5. 4.5. Phòng thí nghiệm Kaspersky
   6. 4.6. MTS ĐỎ
   7. 4.7. GK năng lượng mặt trời
   8. 4.8. UCSB
   9. 4.9. “Yandex”
5. Khóa huấn luyện
   1. 5.1. Codeby
   2. 5.2. CyberED
   3. 5.3. SỰ THẬT
   4. 5.4. CÔN TRÙNG
   5. 5.5. Phòng thí nghiệm Kaspersky
6. Phần thưởng: trò chơi
7. kết luận

Giới thiệu

Để bảo vệ khỏi những kẻ tấn công, các tổ chức đang xây dựng các nhóm chuyên gia để phát hiện và ứng phó với các cuộc tấn công mạng. Theo mô hình tiêu chuẩn của các bài tập tấn công-phòng thủ, họ thường được gọi là “Đội xanh”. Nhiệm vụ chính của họ là giám sát an ninh, xác định các sự cố và dấu hiệu xâm phạm cơ sở hạ tầng và tổ chức loại bỏ các lỗ hổng đã xác định.

Trong một tập của AM Live, các chuyên gia đã nêu bật một số vấn đề liên quan đến việc đào tạo các hậu vệ. Trước hết, các chuyên gia trẻ triển vọng thường chọn hướng tấn công – Red Teaming. Theo nhiều cách, lý do cho điều này là cơ hội để thấy rõ kết quả công việc và tham gia vào các chương trình trả phí để tìm kiếm lỗ hổng (Bug Bounty). Các yếu tố bổ sung là sự vô ích và phức tạp rõ ràng trong công việc của The Blues.

Hình 1. Kết quả khảo sát lý do tại sao các chuyên gia không tham gia Đội Xanh

Vấn đề lớn thứ hai là thiếu một số năng lực của các chuyên gia. Như vậy, theo kết quả khảo sát, 36% số người được hỏi ghi nhận thiếu hiểu biết sâu sắc về CNTT và công nghệ bảo mật thông tin (kỹ năng cứng), 21% khác ghi nhận thiếu kiến ​​thức về chiến thuật và kỹ thuật của những kẻ tấn công. 17% số người được hỏi phàn nàn về sự thiếu hiểu biết về quy trình phòng ngừa, phát hiện và ứng phó.

Hình 2. Kết quả khảo sát về kiến ​​thức và kỹ năng mà các chuyên gia Blue Team còn thiếu

Các khảo sát trên truyền hình AM Live cho thấy vấn đề chính của thị trường hiện nay không phải là thiếu nhân sự mà là nhân viên tiềm năng thiếu kiến ​​thức cần thiết. Đồng thời, theo người xem, cách tốt nhất để có được và rèn luyện các kỹ năng thực tế là thông qua các cuộc tấn công thực tế và sân tập trên mạng.

Hình 3. Kết quả khảo sát các phương pháp rèn luyện kỹ năng thực hành tốt nhất

Chúng ta hãy xem xét một số lựa chọn trong ngành để giảng dạy các kỹ năng hữu ích cho Đội Xanh.

Phạm vi mạng

Trước đây, chúng tôi đã xem xét thị trường toàn cầu và trong nước cho các trang web thử nghiệm mạng. Tại những địa điểm như vậy, bạn có thể huấn luyện cả Đội Đỏ và Đội Xanh. Ưu điểm chính của phạm vi mạng là khả năng thực hiện các cuộc tấn công vào cơ sở hạ tầng gần như thực, giống nhất có thể với cơ sở hạ tầng của doanh nghiệp được bảo vệ, có tính đến các chi tiết cụ thể của nó.

Hình 4. Kiến trúc đa giác mạng

Khi sử dụng công cụ này, những người chịu trách nhiệm đảm bảo an ninh thông tin và hiệu suất CNTT sẽ kiểm tra trên thực tế xem các bộ phận liên quan có thể phát hiện trước các dấu hiệu xâm phạm cơ sở hạ tầng hoặc một cuộc tấn công đang phát triển trước khi nó đến giai đoạn cuối hay không, liệu các quy định được xây dựng cho trường hợp này có khả thi hay không. sự tương tác được thiết lập, cho dù CNTT có vấn đề về bảo mật thông tin và ngược lại. Kết quả của các cuộc diễn tập tại sân tập không gian mạng là các kế hoạch hành động được các cơ quan an toàn thông tin và CNTT xây dựng hoặc điều chỉnh trong trường hợp bị hacker tấn công.

Việc sử dụng công cụ đào tạo như vậy đã cho thấy tính hiệu quả của nó và hiện nay các cơ sở đào tạo trên mạng được tạo ra và sử dụng không chỉ trong các công ty thương mại mà còn trong trường đại học Quốc gia. Một phạm vi mạng quốc gia đã được tạo ra trên cơ sở Nhóm các công ty năng lượng mặt trời. Ngoài ra, hiểu được mức độ phức tạp của tình trạng thiếu nhân viên, các nhà cung cấp đáp ứng được nửa chừng và cung cấp quyền truy cập miễn phí cho từng cá nhân vào phạm vi mạng của họ, chẳng hạn như công ty BI.ZONE.

Nền tảng đào tạo

Một công cụ hiệu quả để tự học là sử dụng các nền tảng chuyên dụng. Chúng ta hãy nhìn vào một số trong số họ.

CyberDefenders

Một trong những nền tảng nổi tiếng nhất được thiết kế để đào tạo các chuyên gia của Đội Xanh. TRÊN nền tảng Có cả tác phẩm thí nghiệm được trả phí và tác phẩm miễn phí. Là một phần của công việc trong phòng thí nghiệm, các kho lưu trữ nhật ký và lưu lượng truy cập trong PCAP được cung cấp để điều tra các sự cố về bảo mật thông tin.

Hình 5. Lựa chọn phòng thí nghiệm trong CyberDefenders

thư viện

Nền tảng ra mắt vào năm 2015 và bao gồm nhiều khóa học, bao gồm cả an ninh mạng. Công việc trong phòng thí nghiệm có thể được thực hiện trên các giá đỡ ảo đặt trên cổng thông tin. Cybrary có nhiều mức giá dành cho người dùng, bao gồm cả mức miễn phí.

Hình 6. Giá điện tử

Hãy bảo vệ

Hãy bảo vệ, giống như các tài nguyên khác có nền tảng, có một số mức thuế dành cho cá nhân, sinh viên và tổ chức. Biểu giá cơ bản mang lại cơ hội tối thiểu về mặt lý thuyết và các trường hợp áp dụng. Các vấn đề thực tế có mức độ phức tạp khác nhau và các lĩnh vực khác nhau (bảo mật điểm cuối, bảo mật email, v.v.).

Hình 7. Tác vụ mẫu trên LetsDefend

Thực tập

Thực tập là một cách hiệu quả cao để đào tạo các chuyên gia mới về cách sử dụng các công cụ của Blue Team và quản lý sự cố. Thông thường, thực tập được trả lương và kéo dài vài tháng.

Innostage

Công ty đăng tải thông tin thực tập trên trang tổng hợp cổng thông tin nghề nghiệp, nơi trình bày các vị trí tuyển dụng khác của Innostage. Để lọc các chương trình thực tập, bạn phải chọn mục thích hợp.

Công ty cũng đang phát triển dự án “Đại học liên tỉnh SOC”, nhằm mục đích đào tạo sinh viên thực tế và làm việc với các sự cố thực tế. Đến cuối đại học, những người tham gia dự án có đủ kinh nghiệm để làm việc trong nhóm SOC và tiếp tục con đường sự nghiệp “xanh”.

Hình 8. Cổng thông tin nghề nghiệp Innostage

Công nghệ tích cực

Công ty thường xuyên tổ chức các chương trình thực tập PT BẮT ĐẦU dành cho các chuyên gia bảo mật thông tin mới bắt đầu. Chương trình bao gồm ba giai đoạn, bao gồm đào tạo, các khóa học chuyên sâu và thực tập có lương. Tổng thời gian của chương trình là khoảng sáu tháng. Các chuyên gia xuất sắc có cơ hội tìm được việc làm tại công ty.

Hình 9. Mẫu tuyển dụng thực tập sinh PT START

“Bảo vệ thông tin”

Nhà tích hợp hệ thống “Informzashita” chấp nhận kỳ thực tập sinh viên năm cuối sẵn sàng thực hành ít nhất 20 giờ một tuần. Trong số các khóa học còn có hướng dẫn của Đội Xanh, đặc biệt là “Giám sát các mối đe dọa và sự cố”. Địa điểm thực tập là văn phòng công ty.

Hình 10. Thông tin về thực tập trên trang web Informzashita

BƯỚC CHÂN

Nhà tích hợp thường xuyên xuất bản trên cổng thông tin vị trí tuyển dụng dành cho học viên, bao gồm cả những người muốn thử sức mình tại trung tâm giám sát (SOC). Dự kiến ​​trong vòng sáu tháng học viên sẽ đạt trình độ chuyên viên cơ sở. Thực tập được trả lương và có lịch trình linh hoạt để thuận tiện và có khả năng kết hợp công việc với công việc. Thực tập sinh cũng có quyền tiếp cận các lợi ích dành cho nhân viên: phát triển nghề nghiệp, bồi thường bữa ăn, các sự kiện của công ty và những lợi ích khác.

Hình 11. Cổng thông tin nghề nghiệp CROC

Phòng thí nghiệm Kaspersky

Mỗi mùa xuân và mùa thu, nhà cung cấp sẽ mở tuyển sinh cho chương trình thực tập có trả lương của SafeBoard. Thông thường có khoảng 15 lĩnh vực được mở, từ phát triển và thử nghiệm đến phân tích bảo mật, nghiên cứu mối đe dọa và DevSecOps. Thông tin về tuyển dụng có thể được lấy từ các chuyên gia cổng thông tin các công ty. Sinh viên đại học có thể trở thành thực tập sinh bắt đầu từ năm đầu tiên: chương trình bao gồm thời gian biểu linh hoạt 20 giờ một tuần, cho phép bạn kết hợp nó với việc học của mình. Sau khi hoàn thành thành công quá trình thực tập, có thể được nhận vào làm nhân viên.

Hình 12. Cổng thông tin nghề nghiệp của Kaspersky Lab

MTS ĐỎ

MTS RED là công ty con của MTS PJSC, chuyên phát triển các giải pháp và cung cấp dịch vụ trong lĩnh vực an ninh mạng. Vị trí tuyển dụng thực tập sinh được công bố trên trang tuyển dụng cổng thông tin của công ty, ứng viên cũng có thể gửi sơ yếu lý lịch của mình đến địa chỉ “redjobs@mts.red”. Giá trị cốt lõi của MTS RED là văn hóa tài năng và đổi mới, con đường sự nghiệp rõ ràng và linh hoạt, sự hiện diện của cộng đồng chuyên nghiệp và khả năng tiếp cận các nguồn lực bên trong và bên ngoài.

Hình 13. Cổng thông tin nghề nghiệp MTS RED

GK năng lượng mặt trời

Năng lượng mặt trời cung cấp hai loại thực tập. Solar Cyber ​​​​Dive được thực hiện trên cơ sở một trong những SOC thương mại lớn nhất ở Nga và bao gồm đào tạo, sau đó học viên sẽ trở thành thành viên của nhóm theo hướng đã chọn. Solar Start bao gồm việc bắt đầu thực hiện các dự án mà không cần đào tạo trước nhưng với sự hỗ trợ của người cố vấn và đồng nghiệp có kinh nghiệm.

Hình 14. Cổng thông tin nghề nghiệp Bộ luật Dân sự «Những thứ kia»

UCSB

Một trong những nhà tích hợp lớn nhất ở Urals ưu đãi Thực tập có lương với lịch trình linh hoạt có sẵn trên trang web nghề nghiệp của bạn. Có nhiều lĩnh vực khác nhau để bạn lựa chọn, bao gồm USSC SOC, nơi cung cấp dịch vụ giám sát và ứng phó với các sự cố bảo mật thông tin cho khách hàng bên ngoài. Ngoài ra, UCSB còn là đơn vị đồng tổ chức Trường hè của bạn — thực tập mùa hè cho sinh viên năm thứ hai đến năm thứ tư, nhờ đó những sinh viên giỏi nhất có cơ hội thực tập có lương trong lĩnh vực họ đã chọn và sau đó sẽ làm việc tại công ty.

Hình 15. Ưu đãi từ UCSB dành cho sinh viên

“Yandex”

Yandex, giống như nhiều công ty lớn, chú ý đến việc đào tạo nhân sự mới, do đó họ đã tạo ra một dự án Nhóm Young&&Yandex. Thực tập được trả lương có sẵn trong một số lĩnh vực bảo mật thông tin, bao gồm cả SOC. Thời gian thực tập là từ bốn đến sáu tháng với thời gian làm việc là 20–30 giờ mỗi tuần.

Hình 16. Vị trí tuyển dụng thực tập sinh tại Yandex SOC

Khóa huấn luyện

Các khóa học từ các trung tâm đào tạo và nhà cung cấp chủ yếu liên quan đến lĩnh vực bảo mật thông tin truyền thống, nhưng cũng có một số khóa học dành riêng cho các đội “xanh”.

Codeby

Codeby có trong danh mục đầu tư của mình một khóa học chuyên môn về trung tâm giám sát (SOC), trong đó đề xuất nghiên cứu thực tế các quy trình như trí tuệ mạng (Thông minh về mối đe dọa), tìm kiếm chủ động các mối đe dọa (Săn lùng mối đe dọa), quản lý lỗ hổng (Quản lý lỗ hổng), ứng phó sự cố (Phản ứng sự cố) và lập mô hình các mối đe dọa bảo mật, cũng như làm quen với các tính năng quản lý hệ thống bảo mật thông tin được sử dụng trong SOC. Ngoài ra còn có một khóa học về ứng phó với sự cố máy tính. Thông tin chi tiết về các khóa học có thể xem tại trang mạng.

CyberED

Để đào tạo các chuyên gia của Blue Team, CyberED cung cấp các khóa học trực tuyến “Nhà phân tích SOC” và “Phản ứng sự cố và điều tra máy tính trong Windows”. Thời lượng của khóa học là 40 giờ học. Chi tiết có thể được tìm thấy tại trang mạng.

SỰ THẬT

Nhà cung cấp không chỉ sản xuất các giải pháp bảo mật mà còn đào tạo các chuyên gia. Trong lĩnh vực bảo mật, các khóa học đã được phát triển để ứng phó với các sự cố bảo mật thông tin, điều tra và ứng phó máy tính trong hệ điều hành Windows và Linux, nghiên cứu lưu lượng mạng như một phần của ứng phó sự cố cũng như khóa học dành cho các chuyên gia SOC mới bắt đầu. Thông tin về chương trình khóa học có thể tìm thấy tại trang mạng. Công ty cũng tạo ra một trò chơi mô phỏng ứng phó sự cố với bốn kịch bản về một cuộc tấn công vào một tổ chức.

CÔN TRÙNG

Cổng đào tạo cung cấp cho người dùng các khóa học từ các chuyên gia thực hành và các nhiệm vụ ứng dụng mô phỏng công việc thực tế của các chuyên gia an toàn thông tin. Các khóa học thực hành về tình báo mạng, săn lùng mối đe dọa mạng, điều tra mạng, giám sát và ứng phó sự cố cũng được trình bày. Chi tiết có thể được tìm thấy tại trang mạng.

Phòng thí nghiệm Kaspersky

Công ty cung cấp một số khóa đào tạo ngoại tuyến, mục đích là đào tạo nhân viên ứng phó với các sự cố bảo mật thông tin và làm việc với YARA để phát hiện phần mềm độc hại trong cơ sở hạ tầng của tổ chức. Thông tin chi tiết về các khóa học có thể xem tại trang mạng Phòng thí nghiệm Kaspersky.

Phần thưởng: trò chơi

Gamification là một trong những cách hiệu quả nhất để đào tạo các chuyên gia. Hầu hết các trò chơi dành riêng cho bảo mật thông tin đều nhằm mục đích truyền đạt kiến ​​thức cơ bản. Tuy nhiên, cũng có một số trò chơi đào tạo nhân viên Đội Xanh và Đội Đỏ.

CERT — Trò Chơi Bài

Vào năm 2017, Nhóm ứng phó sự cố mạng (CERT) của Michelin đã phát triển một trò chơi bài board có thể lấy nguồn từ Tải xuống từ GitHub và sử dụng theo ý muốn. Thẻ có hai loại – “người phòng thủ” và “kẻ tấn công”. Mỗi danh mục có các nhân vật (tin tặc, nhà phân tích bảo mật thông tin, kiến ​​trúc sư bảo mật thông tin, v.v.) và các công cụ (hệ thống phát hiện tấn công, bảo vệ Wi-Fi, tấn công zero-day, DoS, ổ flash trong bãi đậu xe, v.v.). Mỗi nhân vật có một số đặc điểm: mức độ hiểu biết, mức độ hiệu quả và mức độ phát hiện. Công cụ có thể sửa đổi đặc điểm của nhân vật để tăng cường hoặc làm suy yếu chúng.

Hình 17. Card chống virus trong CERT – The Card Game

Tấn công mạng!

Một board game khác về chủ đề bảo mật thông tin là “Cyber ​​​​Attack!”, được trình bày lần đầu tiên tại Peak Cyber ​​Conference 2022. Trò chơi có sẵn có sẵn để mua với giá $35 và dành cho 3-8 người chơi từ 12 tuổi trở lên.

Hình 18. Tấn công mạng!

PeriHack

PeriHack là trò chơi bài dành cho hai người chơi hoặc hai đội, mô phỏng cuộc chiến giữa Đội Đỏ và Đội Xanh. Nó yêu cầu người chơi khám phá mạng để tìm kiếm các lỗ hổng, sau đó tổ chức một chuỗi các cuộc tấn công khác nhau, sử dụng các điểm yếu có thể có thuộc nhiều loại khác nhau và sử dụng cả phương pháp kỹ thuật và kỹ thuật xã hội. Đồng thời, trò chơi mô phỏng những hạn chế về ngân sách của đội phòng thủ bằng cách cung cấp các nguồn lực hạn chế để đánh giá và ưu tiên các lỗ hổng nghiêm trọng khác nhau. Phân phối bởi theo giấy phép CC (BY-NC-SA).

Hình 19. Sân chơi PeriHack

Đe dọaGEN: Đỏ vs Xanh

Trò chơi máy tính, được phát hành vào năm 2019, là một trò chơi giả lập có thể chơi một mình hoặc cùng với đồng nghiệp. Nó dựa trên kinh nghiệm của các nhà phân tích bảo mật và được thiết kế để giúp bạn nắm vững các chiến lược và kỹ thuật an ninh mạng. Bạn có thể tham gia cả bên Đội Đỏ và bên Đội Xanh.

Trò chơi hỗ trợ Windows và Linux, có yêu cầu hệ thống tối thiểu (bộ xử lý Intel Core i3 64 bit với tần số 1,5 GHz, RAM 4 GB, dung lượng ổ đĩa 1 GB) và chi phí thấp (tại thời điểm viết bài – 360 rúp trên nền tảng Steam), nhận được nhiều đánh giá tích cực từ người dùng đã mua nó.

Hình 20. Đe dọa: Đỏ vs Xanh

kết luận

Hiện nay, có rất nhiều cách để mở rộng kiến ​​thức, kỹ năng thực tế trong việc chống lại các mối đe dọa mạng. Để làm được điều này, cần có các nền tảng trực tuyến, cơ sở đào tạo trên mạng, cơ hội thực tập tại các công ty lớn và thậm chí cả trò chơi. Nếu bạn thêm vào đây một số lượng lớn sách và bài giảng trên YouTube, bạn sẽ nhận được rất nhiều tài liệu. Chuyên gia mới vào nghề nên đi theo hướng nào, công ty nên chọn con đường nào để đào tạo nhân viên, tùy thuộc vào khả năng tài chính và đặc điểm cá nhân của người học. Một xu hướng rõ ràng có thể theo hướng này là sự gia tăng số lượng các cơ hội như vậy, điều này cũng sẽ ảnh hưởng đến chất lượng đào tạo các chuyên gia.