О курсе

Threat hunting становится важнейшим элементом работы любой службы ИБ. Чтобы сократить время нахождения злоумышленников в сети незамеченными, охотники за угрозами применяют научный подход, выдвигая и проверяя гипотезы о поведении атакующих. Специалисты по threat hunting не опираются на обнаруженные ранее индикаторы компрометации (IOCs) — вместо этого они формулируют гипотезы на основании глубоких знаний о тактиках, техниках и процедурах атакующих (TTPs) и личного опыта реагирования на инциденты. Такой проактивный подход позволяет ИБ-специалистам заставать злоумышленников врасплох и предотвращать киберугрозы.

Threat Hunting дополняет наступательные возможности отделов информационной безопасности, которые постепенно становятся повсеместным трендом.

На курсе Threat Hunter мы рассказываем, из чего складываются компетенции охотника за угрозами и какие техники он использует для выдвижения успешных гипотез.

Основные темы курса:

  • Введение в процессы threat hunting
  • Научный метод создания гипотез
  • Применение Cyber kill-chain и MITRE ATT&CK для поиска угроз
  • Источники логов и их возможности
  • Цифровая криминалистика для нужд threat hunting
  • Поиск ВПО, инструментов и специальных методов атакующих
  • Threat hunting в масштабе предприятия и Sysmon

После окончания курса вы сможете::

  • Выявлять аномалии в сетевой инфраструктуре
  • Понимать распространенные тактики, техники и процедуры злоумышленников
  • Разбираться в основах компьютерной криминалистики и анализа вредоносного кода
  • Проверять гипотезы и находить новые индикаторы компрометации для скрытых угроз

Для кого этот курс?

  • Технические специалисты с опытом в ИБ
  • Специалисты в области информационной безопасности
  • Специалисты по threat hunting

Для успешного прохождения курса слушателям желательно обладать:

  • Пониманием сетей и сетевых технологий
  • Опытом и навыками работы в области администрирования инфраструктур
  • Знаниями структур файловых систем
  • Пониманием того, как проводятся кибератаки
  • Базовыми знаниями функционирования вредоносного программного обеспечения (ВПО)

Программа курса

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Threat Hunting — одна из самых главных тенденций в кибербезопасности, но в чем конкретно она заключается? Что подразумевает такая работа и какое место занимает охотник за угрозами в экосистеме информационной безопасности? Ответы на эти и другие вопросы вы узнаете в начале первого дня.

Далее мы рассмотрим основные техники и модели, используемые современными специалистами по проактивному поиску угроз, и узнаем, как применять научные методы (например, тестирование гипотез) в рамках threat hunting. Участники научатся применять и максимально эффективно использовать матрицу MITRE ATT&CK. Понимание того, как просматривать и интерпретировать информацию из открытых источников позволит формулировать более точные гипотезы и чаще выявлять деятельность злоумышленников.

Кроме того, мы познакомимся с полезными источниками журналов событий и возможностями, которые они предлагают. Участники также узнают, какие данные следует регистрировать и как использовать их для обогащения событий из других источников.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

Цифровая криминалистика является краеугольным камнем кибербезопасности. Без базового понимания лучших практик в этой области специалисты по threat hunting не могут должным образом выполнять свои задачи. Второй день начинается с обсуждения методов цифровой криминалистики, наиболее полезных для поиска угроз.

Затем участники узнают, как идентифицировать полезные события из журналов событий Windows и как напрямую взаимодействовать с удаленными узлами, на что обращать внимание при поиске вредоносного ПО, инструменты злоумышленников и методы, связанные с эксплуатацией общедоступных приложений.

Затем обсуждение переходит к обзору LOLBAS и Sysmon. Участники узнают, как использовать Sysmon для поиска угроз, и попрактикуются в анализе событий.

День 3
arrow_drop_down
Теория
Демонстрация
Практика

К третьему дню участники уже научатся проводить threat hunting на одном хосте. Однако в реальных условиях охота за угрозами зачастую предполагает анализ десятков хостов одновременно. Этот день курса Threat Hunter будет посвящен погружению в реальный процесс поиска угроз. Вы получите инструменты для анализа и сбора журналов событий в масштабах предприятия, а также сможете попрактиковаться в создании гипотез и их проверке на основе данных MITRE ATT&CK

День 4
arrow_drop_down
Практика

В последний день у участников есть возможность применить на практике все полученные знания и навыки. Они самостоятельно проводят поиск угроз, работая со стеком ELK и отвечая на вопросы CTF. После самостоятельного решения вопросов участники имеют возможность обсудить задачи и изучить приемы, необходимые для поиска нужной информации.