Привет! Мы в «Соларе» накопили достаточно компетенций, чтобы делиться ими не только со стажерами, но и с сотрудниками компаний-заказчиков. Нередко у заказчика после инсталляции СЗИ возникает потребность в их грамотном внедрении в рабочие процессы, поддержке в актуальном состоянии, а кроме того, необходимо налаживать взаимодействие сотрудников как внутри самого SOC, так и со смежными подразделениями. Помимо этого, даже продвинутые ИБ-команды заказчика нуждаются в «переопылении» на образовательных мероприятиях, чтобы они продолжали своевременно и корректно реагировать на кибератаки, а работа не превращалась в рутину с монотонным закрытием тикетов.
Все эти задачи мы решаем за счет качественного обучения персонала заказчика. В последней части нашего цикла статей мы расскажем, как оно устроено.
Больше практики
Мы в «Соларе» делаем ставку на практико-ориентированное обучение. Целевой ориентир по количеству практики – 80% учебного времени. Остальные 20% мы уделяем теории. Обучающие программы реализуются Solar JSOC совместно с Национальным киберполигоном. В нашем случае курсы разделены на три уровня сложности.
На первом, базовом уровне, мы делимся с заказчиками базовыми знаниями по кибербезопасности и общим ИТ-шным темам, таким как основы ОС, компьютерные сети, Active Directory, СЗИ, кибератаки и работа с логами. Полученные знания и навыки борьбы с кибератаками мы помогаем отрабатывать на киберполигоне Solar CyberMir.
Второй уровень является более сложным и включает в себя несколько программ. Например, программа «Мониторинг и анализ инцидентов ИБ» соответствует уровню L1 SOC и состоит из подготовительной и основной части. Цель подготовительного этапа – устранить пробелы в базовых знаниях, задача - пройти в LMS наши базовые курсы по ИТ и ИБ. На основном этапе участники работают с журналами аудита и SIEM, а по итогам получают навыки расследования инцидентов ИБ в SIEM-системе и оформления результатов расследования в отчёте.
Третий уровень, наиболее сложный, представляет собой более глубокое погружение в работу с SIEM. В частности, есть программа «Работа с источниками событий и контентом SIEM-системы» - она подходит аналитикам с профильным стажем от 3-х лет и опытом работы с SIEM, либо с глубоким техническим бэкграундом. В рамках этого курса мы учим анализировать инфраструктуру на предмет входящих в нее систем и приложений. Далее мы переходим в SIEM и учим настраивать сбор событий с инфраструктуры, а также анализировать ее на предмет актуальных угроз и способов обнаружения атак имеющимися средствами. Параллельно сотрудники компании-заказчика изучают функционал корреляции SIEM и весь вспомогательный инструментарий.
Программы второго и третьего уровня сложности часто идут в комплекте с комплексной услугой построения in-house SOC у заказчика.
Киберучения и их особенности
В большинстве случаев для реализации практической части обучения мы используем мощности киберполигона. Специалисты Национального киберполигона построили несколько отраслевых сегментов, на базе которых можно создавать кастомизированные инфраструктуры, которые максимально похожи на те, в которых люди привыкли работать.
Корпоративный сегмент, воспроизводящий типичную офисную инфраструктуру и сервисы, является основным. В дополнение к нему реализованы цифровые двойники предприятий электроэнергетики, финансовых организаций, нефтегазовых компаний и телеком-операторов.
Сотрудникам заказчиков предоставляют типовую ИТ-инфраструктуру с заранее заготовленными сценариями атак, которые разрабатываются с привлечением экспертов Solar JSOC. Участники в процессе обучения учатся детектировать, расследовать и реагировать на типовые для своей отрасли атаки.
Мы нередко проводим киберучения на международном уровне. Площадками выступают крупнейшие форумы, такие как ПМЭФ и ЦИПР, а также крупные симпозиумы в странах ближнего зарубежья. Участие принимают в том числе команды из Вьетнама, Беларуси, Казахстана, Узбекистана. Цель киберучений у каждого заказчика своя – посоревноваться, подтянуть или проверить навыки, получить «бодрящую встряску».
На старте киберучений тренеры киберполигона проводят брифинг, на котором знакомят участников с платформой, ИТ-инфраструктурой, СЗИ, целями, задачами и правилами киберучений.
Само обучение может проходить в нескольких форматах:
Командно-штабная тренировка
Этот вид практики позволяет выявить слабые стороны киберзащиты организации и оценить эффективность текущих процессов и мер противодействия инцидентам ИБ. Участники изучают сценарий кибератаки, определяют техники и тактики злоумышленника, после чего выбирают меры реагирования. В завершение – тренеры киберполигона анализируют и оценивают отчеты участников. Такие киберучения носят скорее организационный характер, а целевой аудиторией выступают руководители ИБ.Практические киберучения
Для подобного вида киберучений разворачивается определенная сценарием ИТ-инфраструктура. В ней участники отражают кибератаки и расследуют инциденты ИБ. По итогам киберучений участники получают подробный отчет, который подсвечивает сильные и слабые стороны сотрудников и помогает скорректировать процессы ИБ внутри команды.Полномасштабные киберучения
Самое масштабное образовательное мероприятие. Киберполигон на нем выступает верхнеуровневым командным центром, имитируя действия хакеров. Участники же играют роль SOC-ов, подключенных к командному центру, от которого приходят уведомления о новых угрозах и уязвимостях. SOC-и отчитываются в командный центр об обнаруженных у себя атаках. Часть обучающихся при этом играют роль Red Team, что позволяет сделать противостояние более живым и натуральным.Киберучения на цифровом двойнике заказчика
Такие киберучения являются эталоном клиентоориентированности. Смысл заключается в том, что мы эмулируем основные компоненты ИТ-инфраструктуры заказчика, в которой привыкли работать его сотрудники, разрабатываем для неё сценарии атак. В ходе подготовки мы согласуем все нюансы. Далее проводятся действия, аналогичные практическим киберучениям.
А что на практике?
Чаще всего нам приходится бороться за время и внимание обучающихся, особенно на дистанционных тренингах и киберучениях. У сотрудников не всегда находится время на полноценное обучение, часто они смотрят вебинары и выполняют задания параллельно с рабочими задачами. В подобных случаях мы информируем заказчика о таких ситуациях и стараемся найти баланс.
Сам формат обучения нередко зависит от уровня зрелости ИБ-подразделения заказчика. Командам с высоким уровнем ИБ-подготовки мы предлагаем испытать навыки на практике, чтобы выявить точки роста. Для других заказчиков проводим самые базовые тренинги, даем им «понюхать порох» и помогаем выровнять уровень знаний между всеми участниками команды.
Выводы
Прокачивая компетенции заказчиков, мы не забываем и о компетенциях внутри «Солара». Во время проведения тренингов для клиентов мы в первую очередь получаем ценный опыт. Например, одним из самых интересных проектов в истории компании стало построение SOC в одной из организаций в юго-восточной Азии. К нему мы готовились почти год, структурировали все материалы, переводили их на английский язык. В итоге нам удалось обучить порядка 60 сотрудников - инженеров SOC уровня L1-L3, руководителей линий и других экспертов.
В разработке - новые сценарии практического обучения. Мы планируем покрыть нашими тренингами и киберучениями больше областей, чтобы комплексно закрыть проблему с компетенциями в ИБ у заказчика.
Александр Одоевский, инженер группы развития технических компетенций ГК «Солар»
Владимир Перминов, директор специальных проектов Национального киберполигона ГК «Солар»