ANALITYK BEZPIECZEŃSTWA IT

Transkrypt

1 ANALITYK BEZPIECZEŃSTWA IT 1. TEMATYKA Bezpieczeństwo informacji jest jednym z najważniejszych elementów sukcesu w dzisiejszym świecie. Postępująca informatyzacja zarówno w życiu prywatnym jak i biznesowym przyczyniła się do kilku niezwykle istotnych zmian w funkcjonowaniu firm: Informacja przechowywana jest elektronicznie; papier i szafa z dokumentami przestały być gwarantem zachowania poufności i integralności Pracownicy firmy mają dostęp do danych często bez konieczności fizycznego dostępu do dokumentu, nie widzimy kto i jakie informacje czyta Miniaturyzacja urządzeń i wzrost ich możliwości pozwalają na pracę z danymi także poza murami firmy Tych kilka podstawowych zmian powoduje, że istotnym zadaniem stawianym przed każdą organizacją jest odpowiedź na pytania: Czy jesteśmy bezpieczni? Czy nasze dane są bezpieczne? Czy wiemy kto i w jaki sposób z nich korzysta? Dostęp do danych daje władzę, przynosi wymierne korzyści dlatego właśnie hakerzy oraz organizacje sponsorowane przez obce państwa coraz częściej i agresywniej próbują dostać się do chronionych informacji włamanie do kancelarii prawnej Mossack Fonseca, wyciek 11,5 mln dokumentów dotyczących klientów Panamskiej firmy Hakerzy w Turcji zamieścili w sieci bazę z danymi osobowymi 50 mln ludzi Atak na systemy PLL LOT opóźnione loty Komputer Angeli Merkel zaatakowany i przejęty przez hakerów Włamanie do Plus Banku, szantaż oraz opublikowanie szczegółowych danych finansowych klientów banku Przedstawione przykłady ataków to tylko część incydentów, które często nie są upubliczniane ze względu na skutki biznesowe ataków.

2 Aby chronić informacje, firmy i organizacje zaczynają inwestować oraz tworzyć centra monitorowania i reakcji na włamania cybernetyczne (SOC). Zadaniem centr jest aktywne monitorowanie i weryfikowanie stanu bezpieczeństwa sieci, wykrywanie potencjalnych luk i podatności w zabezpieczeniach, modelu przepływu danych itd.. Zagadnienie bezpieczeństwa danych nie jest już tematem realizowanym przy okazji przez administratora, ale ze względu na istotność tego obszaru wykształciło odrębne kompetencje i role (w SOC), do którym między innymi należą: Analityk Bezpieczeństwa Analityk SOC Incident Responder Każdego miesiąca powstają nowe centra monitoringu i reakcji zatrudniając od kilku do kilkunastu osób o w/w kompetencjach. Na polskim rynku nie istnieje w chwili obecnej kompleksowe szkolenie przygotowujące informatyków do pracy w roli Analityka Bezpieczeństwa/SOC. Z badań przeprowadzonych przez Unię Europejską wynika, że w najbliższych latach na rynku UE będzie brakowało około informatyków 1. W tej chwili w Polsce brakuje ich Wg raportu firmy Cisco z 2014 roku 2 na świecie brakuje około 1 miliona specjalistów od bezpieczeństwa IT. Firma Compass IT na bazie kilkunastu lat doświadczeń naszych ekspertów bezpieczeństwa IT stworzyła unikalny, półroczny program "Szkoła Analizy Bezpieczeństwa IT", który przygotowuje uczestników do pracy jako eksperci analizy bezpieczeństwa na etatach Analityk Bezpieczeństwa, Analityk SOC oraz Incident Responder. Szkolenia realizowane w ramach Szkoły Analizy Bezpieczeństwa IT skierowane są zarówno do absolwentów szkół informatycznych, jak i pracowników IT. Prowadzone zajęcia przygotowują uczestników do pracy w działach IT odpowiedzialnych za bezpieczeństwo cybernetyczne danych, usług oraz informacji. Architektura działów bezpieczeństwa jest zależna od tego, czy działy te świadczą usługi wyłącznie na potrzeby wewnętrzne organizacji, czy też świadczą usługi cybernetyczne dla klientów organizacji (MSS - Managed Security Services). Działy odpowiedzialne za bezpieczeństwo usługi i danych posiadają w swoich zasobach personel odpowiedzialny za monitorowanie i wykrywanie ataków cybernetycznych, zarządzające sposobem reakcji na wykryte incydenty cybernetyczne oraz specjalistów w ramach trzeciej linii wsparcia

3 w takich dziedzinach IT jak informatyka śledcza, testy penetracyjne, badanie podatności, audyty bezpieczeństwa, analizy malware oraz architektów bezpieczeństwa. Większość z wymienionych kompetencji można nabyć na jednym z wielu szkoleń produktowych firm dostarczających różnego rodzaju narzędzia (hardware oraz software). Na rynku szkoleń brakuje jednak treningów przygotowujących pracowników działów bezpieczeństwa do pełnienia roli Analityka Bezpieczeństwa, Analityka SOC czy Incident Responder. Występuje brak szkoleń nauczających technologii, metodyki i sposobów pracy na tych stanowiskach, bez względu na to jakich narzędzi się używa. Nie ma również szkoleń, na których studenci poznają sposoby działania SOC/CERT, architekturę SOC oraz procesów i procedur wykorzystywanych w tego typu departamentach. Compass IT wychodząc naprzeciw zapotrzebowaniu na tego typu treningi, stworzył unikalny program "Szkoła Analizy Bezpieczeństwa IT", który w ciągu 144 godzin zajęć teoretycznych oraz praktycznych, pozwoli informatykom, którzy nie są związani dzisiaj z bezpieczeństwem IT, objąć stanowiska analityczne w SOC/CERT. Przygotowując szkolenie zdecydowaliśmy się na wybranie modelu hands-on. Każdorazowo po części teoretycznej następuje część praktyczna, w trakcie której uczestnicy mogą zweryfikować otrzymane informacje poprzez wykonanie zadania lub też obserwowanie zachowania się symulowanego Systemu w trakcie ataku. Współczesny dział bezpieczeństwa to nie tylko kompetencje twarde (obsługa firewall, konfiguracja IDS, instalacja systemów antywirusowych) ale szczególnie ważne są kompetencje miękkie. Analityk SOC, Analityk Bezpieczeństwa oraz Incident Responder pracują na danych, w związku z tym muszą rozumieć kontekst w jakim te dane występują. Osoby na tych stanowiskach powinny myśleć kreatywnie i analitycznie. Centrum każdego działu zajmującego się monitorowaniem, wykrywaniem i reakcją na ataki cybernetyczne jest system SIEM (Security Information Event Management) służący do kolekcjonowania, analizowania oraz korelacji logów przesyłanych z urządzeń i systemów bezpieczeństwa organizacji. Istnieje co najmniej kilkanaście systemów SIEM, które różnią się między sobą m.in. sposobem pracy, ilością analizowanych danych, interfejsem użytkownika czy też możliwościami integracji z innymi systemami SOC. Jednak to nie system SIEM dokonuje analizy, ale analityk siedzący przed monitorem. To on podejmuje decyzje (na podstawie swojej wiedzy i doświadczenia) czy dane zdarzenie bezpieczeństwa zasługuje na dalszą uwagę i procesowanie czy też zostaje zakwalifikowane jako "false positive". Poza wiedzą przekazaną na szkoleniu, uczestnicy odbędą również certyfikowane szkolenie z jednej z podstawowych platform SIEM dostępnych obecnie na rynku. Po

4 zakończeniu kursu udostępniamy także możliwość zdania egzaminów, z platformy SIEM, potwierdzających kompetencje analityczne. Elementem kończącym szkolenie będzie egzamin potwierdzający zdobytą wiedzę. Egzamin złożony jest z dwóch, niezależnie ocenianych, części: Teoretyczna Praktyczna Zdanie egzaminu potwierdzone jest certyfikatem, podsumowującym zakres szkolenia oraz osiągnięte wyniki. 2. UCZESTNICY Zajęcia Szkoły Analizy Bezpieczeństwa IT przeznaczone są dla zespołów IT, które będą się zajmować, lub też już funkcjonują w obszarze analizy bezpieczeństwa IT. Program zajęć przygotowany został z myślą o dostarczeniu kompleksowej wiedzy zarówno dla osób nie mających do czynienia z tą dziedziną informatyki jak i doświadczonych analityków / administratorów. Aby osiągnąć zakładaną efektywność nauki w ramach wykładów, pożądana jest podstawowa znajomość zagadnień administracji, sieci komputerowych oraz bezpieczeństwa IT. Program zajęć pozwala na rozpoczęcie nauki w wybranym i dostosowanym do aktualnych umiejętności kandydata momencie. Początkowe zajęcia przygotowują uczestników do omawiania coraz bardziej zaawansowanych zagadnień. 3. WYMAGANIA Udział w wykładach opera się o model BYOD (Bring Your Own Device - przynieś swój własny komputer). Oznacza to, że każdy uczestnik, który chce brać aktywny udział w prowadzonych zajęciach powinien przynieść ze sobą komputer. Laptopy, na których będą prowadzone ćwiczenia w trakcie zajęć powinny być w stanie uruchomić systemy dostarczone na czas wykładów w postaci maszyn wirtualnych w formacie VirtualBox. Na czas wykładów, każdy student otrzyma obraz maszyny wirtualnej, którą będzie (po zainstalowaniu) wykorzystywał w trakcie całych wykładów. Ponieważ część materiałów jak również większość aplikacji, narzędzi, nazw oraz technologii związanych z bezpieczeństwem IT jest w języku angielskim, podstawowa znajomość tego języka podczas wykładu jest niezbędna.

5 Podstawowa znajomość obsługi systemów Windows, Linux/Unix oraz swobodne użycie linii komend jest wymagana. W trakcie wykładów podawane będą przykładowe narzędzia, które będzie należało zainstalować oraz uruchomić na komputerach, w związku z tym wymagane jest aby słuchacze mieli dostęp na poziomie administratora. 4. WIEDZA Uczestnicy "Szkoły Analizy Bezpieczeństwa IT", po ukończeniu 144 godzin wykładów, będą posiadali dogłębną wiedzę z zakresu: procedur wykrywania i analizy zdarzeń cybernetycznych metod ataków cybernetycznych na systemy oraz sieci metod ataków cybernetycznych na aplikacje oraz usługi web sposobów wykrywania i reakcji na zdarzenia cybernetyczne usług dostarczanych przez Cyber Emergency Response Team procesów i procedur SOC/CERT architektury Security Operations Centre architektury oraz sposobu działania systemów SIEM protokołów sieciowych protokołów routingu modelu ISO/OSI oraz TCP/IP kontakt@compass-it.pl ul. Przytulna 14, Radonie Polska