понедельник, 18 февраля 2019 г.

Делаю курс по информационной безопасности

Привет, спешу сообщить, что последние 3 месяца в свободное от основной работы время пилю курс по информационной безопасности.

Это вообще моя личная боль, в FINCA я лет 5-6 обучал около 8000 сотрудников в 20 странах мира на 5-6 языках. 

Последние пару лет я стабильно получал следующий feedback:
- материал SANS нам надоел
- вопросы простые
- пользователи скучают
- пользы нет

В России и СНГ развивается платформа GetCourse, в которой проводят обучение по самым разным направлениям. Функционал платформы в некоторых случаях уступает Moodle, в некоторых, наоборот, разрывает вклочья.

За это время я набрал контента на 10 модулей и сейчас активно собираю обратную связь от своих коллег.

Какую задачу я хочу решить в своём курсе:
- сделать курсы менее приторным. Я верю, что от пользователей дофига зависит в Инфобезе и это им надо объяснить.
- я хочу сделать курс интереснее. За хорошие ответы пользователь получает достижения и звания.
- я хочу ввести элемент соревнования. Будет индивидуальная и командная шкала достижений. Кто круче Финансы или Отдел Маркетинга?
- я хочу общаться с пользователем и услышать его мнение. На каждый модуль пользователь получить обратную связь.
- я хочу отказаться от банальных вопросов. Я добавил в каждый модуль конкретный кейс.

Коллеги, прошу принять участие в пилоте, дам доступ к системе и буду рад услышать от вас обратную связь!






воскресенье, 3 февраля 2019 г.

DevSecOps. Успеть за IT и программистами

Полный романтики и максимализма пост:) На новом месте работы уже 2 месяца как стараюсь теснее работать с командой DevOps. Ниже мои мысли на этот счёт.

===

Последние 2 года меня сильно беспокоило то, что мы, InfoSec, как-то засиделись и современная разработка убегает всё дальше от нас.

Устаревающие подходы и реактивные меры, типа:

  • сканирование только серверов на уязвимости (когда во всю используют контейнеры и виртуализацию)
  • code scan (на финальном этапе разработки)
  • формальный dynamic assessment

А разработка убегает вперёд, time to market, agile и т.д. Инфраструктура в облаке, которая разворачивается по одному конфигурационному файлу. А ты им такой: “пришлите мне, пожалуйста, список серверов в excel файле”.

Стандартные подходы как-то неадектватно работают. Разработчики смотрят на тебя “с пониманием”.

Очевидно, стандартный подход с контролями, нерегулярными assessments не работает. Типа, “а? что? вы внедрили новую core banking систему, ну ок, давайте щас быстренько сделаем assessment и в бой”. А на след день они уже пилят новый модуль к ней. Хотя формально система уже значится как “безопасная”.

Я конечно очень утрирую, но, надеюсь, мои опасения понятны.

Инфраструктура, разработчики и ИБ должны работать в одной связке, говорить на одном языке. Формальный подход: "вот вам мои контроли, работайте и разбирайтесь сами" - плохо работает.

По всей видимости DevSecOps стремится устранить этот разрыв. Собираюсь погрузиться в эту тему, отпишусь в процессе.

Пока такие выводы:
- заставлять себя автоматизировать по максимому. Иначе можно захлебнуться в мини задачах (выгрузки, сканирования)
- изучать современную разработку, чтобы говорить с коллегами на одном языке
- вспомнить навыки программирования
- максимально использовать возможности своей SIEM системы

Из интересного:






четверг, 31 января 2019 г.

Сводная таблица по Linux логам с примерами + Приложения для Splunk

Для общего развития делаю сводную таблицу по Linux логам с примерами, с указанием Splunk приложения (не реклама) и поддержкой логов в Splunk ES (тем более не реклама).

Гуглом я ничего похожего не нашёл. Если есть что добавить - дайте знать, пожалуйста. Интересует именно информация, которую можно получить из Linux логов в части Information Security. Хорошие примеры логов.

https://docs.google.com/spreadsheets/d/1ccXuv4KZ1ndNFKwNuXpTgvgMgvQ16joUI408v232a9I/edit?usp=sharing


Добавили в Awesome DevSecOps RU:
https://github.com/devops-ru/awesome-devsecops_ru 

понедельник, 21 января 2019 г.

Administering Splunk Enterprise Security. Отзыв на курс

Отзыв на курс Administering Splunk Enterprise Security, который я завершил на прошлой неделе.
Splunk находится в топе квадрата Gartner. И имеется в виду не обычный Splunk Enterprise, а именно Slunk ES.

Есть 2 курса по ES: Administering и Using. Первое, на что обращаешь внимание - это цена, она составляет 1500 USD за каждый курс, что довольно много. За эти деньги можно пройти 75 курсов на Udemy (на распродаже). На эти деньги можно взять
Penetration Testing with Kali + 90 days Lab access + Certification и еще останется 350 USD.

Курс проходит 3 дня, здесь можно найти программу.

Первый день - это обзор самого продукта. Не совсем понятно, зачем этот день нужен. Если ты пришёл на курс по управлению Splunk ES, то, скорее всего, у тебя уже есть представление об этой системе и тратить целый день на обзор - расточительно. 

Из важного в первый день преподаватель пытается донести, как нужно планировать установку ES:
- отдельный bare metal сервер с определённым количеством ядер.
- планирование количества индексеров и т.д.

И рассказывают про безумно красивые Glass Tables, которые так хочется у себя иметь, но ты понимаешь, что саппортить их тоже придётся (см. картинку выше).

Второй день.

Установка самого Splunk ES. ES - это в первую очередь набор премиальных приложений для основной системы Splunk Enterprise. И установка Splunk ES - это куча рекомендаций, которых стоит придерживаться при установке. Лет 8 назад у меня был какой-то похожий опыт  с КриптоПро УЦ. Были материалы с курсов Информзащиты, в которых было куча пометок карандашом. Вот если ставишь по материалам и следуешь всем пометкам - всё работает, шаг влево, шаг вправо - что-то сбоит.

В этом плане мне не очень нравится Splunk ES, вот ты его установил и не понятно, ты его правильно поставил или что-то отвалится в ближайшем времени? Интегратор ставил нам Splunk ES два дня, к сожалению, я пропустил большую часть установки.

Особенно много информации было по поводу кластерного ES. Вот пример. Чтобы поставить дополнительное приложение в кластерный ES ты должен иметь дополнительный тестовый ES, куда ты ставишь приложение, а потом переносишь установленное приложение (папочку) на production.

Или вот эта история. Splunk ES воспринимает только те приложения, которые начинаются на TA-, IA-, SA-, DA- и т.д, остальные игнорит. 

В общем польза курса в том, что преподаватель постарается донести до тебя все эти тонкости установки ES. Твоя задача их фиксировать.

Ну и самая интересная часть второго дня - это создание своих приложений и маппинг данных в CIM. Когда вам рекламируют ES и все его радости, там всегда внизу мелким шрифтом под тремя звёздочками: данные должны быть CIM compatible. Но мы то знаем, что:
- у Splunk есть Add-on'ы не на все приложения, и не все Add-on'ы поддерживают CIM.
- и даже если вы смогли собрать данные, то дальше вам придётся потратить своё время, на то чтобы смаппить эти данные в CIM.

В курсе разбирают один из способов как это сделать.


Третий день.

Третий день это Correlation Searches, Lookup'ы и Threat Intelligence. Я еще не много работал с Correlation Search, поэтому особо много пользы и тонкостей работы с ними я не получил. Та же история с внешними источниками информации об угрозах.
Понравилась часть по Lookup'ам. Очень важно иметь актуальный перечень ресурсов и пользователей. А в современных динамичных архитектурах с большим количеством виртуальных машин и контейнеров - это не тривиальная задача.

Итог:

1. Возможно лишний первый день, эту обзорную часть можно было бы потратить на самостоятельную установку ES. В ходе курса вы так и не поставите ES, только будете смотреть как это делает преподаватель.

2. Можно узнать много полезных мелочей, количество которых, конечно, зависят от преподавателя.

3. Практическая часть слабовата, самое интересное - это создание своего собственного СIM compliant TA. 

4. Очень желательно поиграться с Splunk ES до начала курса хотя бы  месяц. Изучить документацию и все доступные материалы. Повторить Data Modules, CIM модули из прошлых курсов. Тогда курс получится гораздо более полезным.

суббота, 31 октября 2015 г.

Как я за Stuxnet и Zeus в лаборатории Информзащиты гонялся


В прошлом году узнал об открытии совместного курса Информзащиты и Group-IB: "БТ16. Компьютерная криминалистика". В анонсе было сказано, что в курсе рассматриваются основные приемы и методы компьютерной криминалистики, слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам, анализа собранных материалов с целью выявления источника атаки и восстановления работоспособности системы, а также документирования противоправных действий злоумышленников.
( http://itsecurity.ru/catalog/komputernaja-kriminalistika/ ).

Порадовало, что курс имеет, в основном, практическую направленность. Деятельность Group-IB мне всегда нравилась, поэтому я загорелся желанием посетить этот тренинг. За последние год-два была пара кейсов, когда важно было довести до ума инцидент - определить источник угрозы. Я этого не сделал, о чем сейчас жалею.

Итак, прошел год, звезды сошлись, работодатель согласился оплатить обучение, на мили Аэрофлота был купил билет до Москвы и забронирована гостиница.

Перед тренингом я ничего специально не изучал: у меня был только личный опыт расследования инцидентов. За неделю до начала обучения я узнал, что тренинг ведется двумя преподавателями - 3 дня от Информзащиты, 2 для от Group-IB. Чуть смутился, ну да ладно.

С момента последнего посещения Информзащиты мало что изменилось: строгая пропускная система на Образцова, сытные обеды, вкусный чай и печеньки. В столовой был замечен Алексей Лукацкий, которого еще на прошлой неделе и интересом слушали в Казани. Нас встретил Заведующий лабораторией Информзащиты, преподаватель опытный и умелый. Изучали юридические основы проведения экспертиз,
тонкости судопроизводства, работу с понятыми и следователями. По итогам трехдневной сессии мы:
- поработали с Tableau Disk Duplicator для создания образа диска;
- поработали с Paraben Commander;
- создали своё собственное заключение по проведенной экспертизе и разобрали ошибки;
- остальное - по мелочи (whois, arp, tracert, брут паролей, брут паролей с использованием видеокарты).

Для себя я открыл тот факт, что, формально, экспертом в подобных делах может быть любой специалист с профильным образованием. Второй факт: при желании, организация сама может серьезно помочь правоохранительным органам в расследовании инцидента, если ограничит распространение информации, обеспечит сохранность доказательств, проявит оперативность.

В четверг утром в аудитории уже сидел преподаватель из Group-IB. Он начал со своей довольно стандартной презентации (Carberp, ДБО и т.д.). По этому материалу у меня давно накопилось несколько вопросов, преподаватель их без проблем пояснил.

Дальше началось веселье - практика. Надо сказать, что многое из изученного вполне доступно в Интернет - утилиты, методология, образы зараженных систем, и может быть изучено самостоятельно. Однако, здесь, в аудитории, было элемент соперничества с другими студентами, отличный комментарий от преподавателя, и образы систем, которых не найдёшь в паблике.

Интереснее всего было поработать с образом, который был заражен Stuxnet. С помощью открытых и бесплатных утилит (подборку можно выпросить у преподавателя) мы изучили дамп памяти, если я правильно помню заметили подозрительный процесс lsass.exe, извлекли связанные с ним библиотеки и скормили антивирусу. Оказался тот самый, высокотехнологичный, американо-израильский вирус. Приятно:)

После тренинга всё равно остались тёмные пятна: работа с провайдерами и работа с Dark Web'ом. Ну, видимо, это на самостоятельное изучение.

В Казани конференции по ИБ не самые весёлые, поэтому, видимо, тренинг очень понравился. Много практики, набор полезных утилит на флешке, контакты в LinkedIn и позитивные эмоции.