ANALITYK BEZPIECZEŃSTWA IT

ANALITYKBEZPIECZEŃSTWAIT
1. TEMATYKA
Bezpieczeństwo informacji jest jednym z najważniejszych elementów sukcesu
w dzisiejszym świecie. Postępująca informatyzacja zarówno w życiu prywatnym jak
ibiznesowymprzyczyniłasiędokilkuniezwykleistotnychzmianwfunkcjonowaniufirm:
•
•
•
Informacjaprzechowywanajestelektronicznie;papieriszafazdokumentami
przestałybyćgwarantemzachowaniapoufnościiintegralności
Pracownicyfirmymajądostępdodanychczęstobezkoniecznościfizycznego
dostępudodokumentu,niewidzimyktoijakieinformacjeczyta
Miniaturyzacjaurządzeńiwzrostichmożliwościpozwalająnapracęzdanymi
takżepozamuramifirmy
Tych kilka podstawowych zmian powoduje, że istotnym zadaniem stawianym przed
każdąorganizacjąjestodpowiedźnapytania:Czyjesteśmybezpieczni?Czynaszedanesą
bezpieczne?Czywiemyktoiwjakisposóbznichkorzysta?
Dostęp do danych daje władzę, przynosi wymierne korzyści – dlatego właśnie hakerzy
orazorganizacjesponsorowaneprzezobcepaństwacorazczęściejiagresywniejpróbują
dostaćsiędochronionychinformacji.
•
•
•
•
•
2016.04 - włamanie do kancelarii prawnej Mossack Fonseca , wyciek 11,5 mln
dokumentówdotyczącychklientówPanamskiejfirmy
2016.04.05HakerzywTurcjizamieściliwsiecibazęzdanymiosobowymi50mln
ludzi
2015.08.10AtaknasystemyPLLLOT–opóźnioneloty
2015.06.14KomputerAngeliMerkelzaatakowanyiprzejętyprzezhakerów
2015.03.20WłamaniedoPlusBanku,szantażorazopublikowanieszczegółowych
danychfinansowychklientówbanku
Przedstawione przykłady ataków to tylko część incydentów, które często nie są
upublicznianezewzględunaskutkibiznesoweataków.
CompassITSp.zo.o.
Aby chronić informacje, firmy i organizacje zaczynająinwestować oraz tworzyć centra
monitorowaniaireakcjinawłamaniacybernetyczne(SOC).Zadaniemcentrjestaktywne
monitorowanie i weryfikowanie stanu bezpieczeństwa sieci, wykrywanie potencjalnych
lukipodatnościwzabezpieczeniach,modeluprzepływudanychitd..
Zagadnieniebezpieczeństwadanychniejestjużtematemrealizowanymprzyokazjiprzez
administratora, ale ze względu na istotność tego obszaru wykształciło odrębne
kompetencjeirole(wSOC),doktórymmiędzyinnyminależą:
•
•
•
AnalitykBezpieczeństwa
AnalitykSOC
IncidentResponder
Każdego miesiąca powstająnowe centra monitoringu i reakcji zatrudniając od kilku do
kilkunastu osób o w/w kompetencjach. Na polskim rynku nie istnieje w chwili obecnej
kompleksowe szkolenie przygotowujące informatyków do pracy w roli Analityka
Bezpieczeństwa/SOC. Z badańprzeprowadzonych przez Unię Europejską wynika, że
wnajbliższychlatachnarynkuUEbędziebrakowałookoło800000informatyków1.Wtej
chwili w Polsce brakuje ich 50 000. Wg raportu firmy Cisco z 2014 roku2 na świecie
brakuje około 1 miliona specjalistów od bezpieczeństwa IT. Firma Compass IT na bazie
kilkunastu lat doświadczeń naszych ekspertów bezpieczeństwa IT stworzyła unikalny,
półrocznyprogram"SzkołaAnalizyBezpieczeństwaIT",któryprzygotowujeuczestników
do pracy jako eksperci analizy bezpieczeństwa na etatach Analityk Bezpieczeństwa,
AnalitykSOCorazIncidentResponder.
Szkolenia realizowane w ramach „Szkoły Analizy Bezpieczeństwa IT” skierowane są
zarówno do absolwentów szkół informatycznych, jak i pracowników IT. Prowadzone
zajęcia przygotowują uczestników do pracy w działach IT odpowiedzialnych za
bezpieczeństwocybernetycznedanych,usługorazinformacji.
Architektura działów bezpieczeństwa jest zależna od tego, czy działy te świadczą usługi
wyłącznienapotrzebywewnętrzneorganizacji,czyteżświadcząusługicybernetycznedla
klientów organizacji (MSS - Managed Security Services). Działy odpowiedzialne za
bezpieczeństwousługiidanychposiadająwswoichzasobachpersonelodpowiedzialnyza
monitorowanieiwykrywanieatakówcybernetycznych,zarządzającesposobemreakcjina
wykryte incydenty cybernetyczne oraz specjalistów w ramach trzeciej linii wsparcia
1http://www.biznes.newseria.pl/news/brakuje_50_tys,p109681472
2http://itwiz.pl/na-swiecie-brakuje-miliona-specjalistow-od-bezpieczenstwa/
CompassITSp.zo.o.
wtakichdziedzinachITjakinformatykaśledcza,testypenetracyjne,badaniepodatności,
audytybezpieczeństwa,analizymalwareorazarchitektówbezpieczeństwa.
Większość z wymienionych kompetencji można nabyć na jednym z wielu
szkoleńproduktowych firm dostarczających różnego rodzaju narzędzia (hardware oraz
software). Na rynku szkoleńbrakuje jednak treningów przygotowujących pracowników
działów bezpieczeństwa do pełnienia roli Analityka Bezpieczeństwa, Analityka SOC czy
Incident Responder. Występuje brak szkoleńnauczających technologii, metodyki
isposobówpracynatychstanowiskach,bezwzględunatojakichnarzędzisięużywa.Nie
ma również szkoleń, na których studenci poznają sposoby działania SOC/CERT,
architekturę SOC oraz procesów i procedur wykorzystywanych w tego typu
departamentach.
Compass IT wychodząc naprzeciw zapotrzebowaniu na tego typu treningi, stworzył
unikalny program "Szkoła Analizy Bezpieczeństwa IT", który w ciągu 144 godzin zajęć
teoretycznych oraz praktycznych, pozwoli informatykom, którzy nie sązwiązani dzisiaj
zbezpieczeństwemIT,objąćstanowiskaanalitycznewSOC/CERT.
Przygotowując szkolenie zdecydowaliśmy się na wybranie modelu „hands-on”.
Każdorazowo po części teoretycznej następuje część praktyczna, w trakcie której
uczestnicymogązweryfikowaćotrzymaneinformacjepoprzezwykonaniezadanialubteż
obserwowaniezachowaniasięsymulowanegoSystemuwtrakcieataku.
Współczesny dział bezpieczeństwa to nie tylko kompetencje twarde (obsługa firewall,
konfiguracja IDS, instalacja systemów antywirusowych) ale szczególnie ważne
sąkompetencjemiękkie.AnalitykSOC,AnalitykBezpieczeństwaorazIncidentResponder
pracująna danych, w związku z tym muszą rozumiećkontekst w jakim te dane
występują. Osoby na tych stanowiskach powinny myśleć kreatywnie i analitycznie.
Centrum każdego działu zajmującego się monitorowaniem, wykrywaniem i reakcją na
atakicybernetycznejestsystemSIEM(SecurityInformationEventManagement)służący
do kolekcjonowania, analizowania oraz korelacji logów przesyłanych z urządzeń
isystemówbezpieczeństwaorganizacji.
Istnieje co najmniej kilkanaście systemów SIEM, które różniąsię między sobą m.in.
sposobem pracy, ilością analizowanych danych, interfejsem użytkownika czy
teżmożliwościami integracji z innymi systemami SOC. Jednak to nie system SIEM
dokonuje analizy, ale analityk siedzący przed monitorem. To on podejmuje decyzje (na
podstawieswojejwiedzyidoświadczenia)czydanezdarzeniebezpieczeństwazasługuje
nadalsząuwagęiprocesowanieczyteżzostajezakwalifikowanejako"falsepositive".
Poza wiedzą przekazaną na szkoleniu, uczestnicy odbędą również certyfikowane
szkolenie z jednej z podstawowych platform SIEM dostępnych obecnie na rynku. Po
CompassITSp.zo.o.
zakończeniukursuudostępniamytakżemożliwośćzdaniaegzaminów,zplatformySIEM,
potwierdzającychkompetencjeanalityczne.
Elementem kończącym szkolenie będzie egzamin potwierdzający zdobytą wiedzę.
Egzaminzłożonyjestzdwóch,niezależnieocenianych,części:
•
•
Teoretyczna
Praktyczna
Zdanie egzaminu potwierdzone jest certyfikatem, podsumowującym zakres szkolenia
orazosiągniętewyniki.
2. UCZESTNICY
Zajęcia„SzkołyAnalizyBezpieczeństwaIT”przeznaczonesądlazespołówIT,którebędą
się zajmować, lub też już funkcjonują w obszarze analizy bezpieczeństwa IT. Program
zajęć przygotowany został z myślą o dostarczeniu kompleksowej wiedzy zarówno dla
osób nie mających do czynienia z tą dziedziną informatyki jak i doświadczonych
analityków/administratorów.
Aby osiągnąć zakładaną efektywność nauki w ramach wykładów, pożądana jest
podstawowa znajomość zagadnień administracji, sieci komputerowych oraz
bezpieczeństwaIT.
Programzajęćpozwalanarozpoczęcienaukiwwybranymidostosowanymdoaktualnych
umiejętności kandydata momencie. Początkowe zajęcia przygotowują uczestników do
omawianiacorazbardziejzaawansowanychzagadnień.
3. WYMAGANIA
Udział w wykładach opera się o model BYOD (Bring Your Own Device - przynieś swój
własny komputer). Oznacza to, że każdy uczestnik, który chce brać aktywny udział
wprowadzonychzajęciachpowinienprzynieśćzesobąkomputer.
Laptopy, na których będą prowadzone ćwiczenia w trakcie zajęć powinny być w stanie
uruchomić systemy dostarczone na czas wykładów w postaci maszyn wirtualnych
w formacie VirtualBox. Na czas wykładów, każdy student otrzyma obraz maszyny
wirtualnej,którąbędzie(pozainstalowaniu)wykorzystywałwtrakciecałychwykładów.
Ponieważ część materiałów jak również większość aplikacji, narzędzi, nazw oraz
technologii związanych z bezpieczeństwem IT jest w języku angielskim, podstawowa
znajomośćtegojęzykapodczaswykładujestniezbędna.
CompassITSp.zo.o.
Podstawowa znajomość obsługi systemów Windows, Linux/Unix oraz swobodne użycie
linii komend jest wymagana. W trakcie wykładów podawane będą przykładowe
narzędzia, które będzie należało zainstalować oraz uruchomić na komputerach,
wzwiązkuztymwymaganejestabysłuchaczemielidostępnapoziomieadministratora.
4. WIEDZA
Uczestnicy "Szkoły Analizy Bezpieczeństwa IT", po ukończeniu 144 godzin wykładów,
będąposiadalidogłębnąwiedzęzzakresu:
•
•
•
•
•
•
•
•
•
•
•
procedurwykrywaniaianalizyzdarzeńcybernetycznych
metodatakówcybernetycznychnasystemyorazsieci
metodatakówcybernetycznychnaaplikacjeorazusługiweb
sposobówwykrywaniaireakcjinazdarzeniacybernetyczne
usługdostarczanychprzezCyberEmergencyResponseTeam
procesówiprocedurSOC/CERT
architekturySecurityOperationsCentre
architekturyorazsposobudziałaniasystemówSIEM
protokołówsieciowych
protokołówroutingu
modeluISO/OSIorazTCP/IP
CompassITSp.zo.o.
CompassITSp.zo.o.
+48518916812
[email protected]
ul.Przytulna14,
05-825Radonie
Polska