Страницы

Сходил на SEC511 Continuous Monitoring


SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником. В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию. Преподаватели наполовину местные, наполовину залётные, штатовские (их слушать, пока что, по-интересней, чем местных).

Вот и решил я сходить на недельные SANS курсы этим летом в 4х звездочный отель в центре Амстердама, который вел @BryanOnSecurity



 Курсы проходят 6 дней с понедельника по субботу. В один из дней вечером есть дополнительные лекции для широкой аудитории, в другой - пьянка в ресторане для кулуарного общения с коллегами, еще два вечера заняты NetWars (о них ниже) и суббота выделена под финальное соревнование.

После курсов есть шанс сдать отдельный экзамен и получить статус GMON  (у SANS очень разветвленная система прокачки, правда, с учётом стоимости курсов пройти её нереально %)).

В целом, курс хороший, но слишком общий и немного однобокий: а) "Vendor agnostic" подход убивает любой шанс получить реальный опыт. Всё, что вы будете трогать - opensource (snort, sguid, bro, modsecurity, и т.д.). Opensource - это круто, но в Enterprise ИБ среде его не любят, нет поддержки;
б) Лекции как в университете: время на дискуссии с коллегами не предусмотрено, лектор говорит без умолку с перерывом только на лабораторки.
Поэтому узнать как у них там сеют брюкву, и кто чем ловит русских хакеров (которых, кстати, авторы курса упоминают чуть-ли не в каждой главе) у меня не вышло. А шел я именно за этим.

Хоть курс и несколько "продвинут" (500 серия - чуть продвинутая, 300 - для чайников (или для менеджеров), 700 -  технический хардкор), я откровенно скучал первые два дня, ибо они посвещены общей "картине мира": что такое мониторинг ИБ, какие СОКи лучшие (гибридные) и чем NGFW отличаются от UTM (UTM это, в первую очередь, прокси, а NGFW - фаирвол уровня приложений). Очень помогали не заснуть Daily NetWars - это набор CTF-like заданий по сегодняшней теме, которые ты можешь решать в течении дня, а можешь оставить на вечер.
Примеры: дан дамп трафика. Посчитай хэш скаченного файла, пересчитай уникальные юзер-агенты, проанализируй энтропию DNS запросов. Cat, string, grep, sort, uniq, и по кругу. Можно пройти в слепую, можно использовать подсказки (Daily NetWars это не соревнование. Очки есть, но финальный дашбоард видит только преподаватель).

Большие NetWars - это уже настоящее CTF соревнование на 6 часов (2 дня по 3 часа вечером после учебы). Можно играть в команде, можно по-одному. 5 уровней - от простых квестов к битвам "замок на замок".
Есть тонкость: аккаунт сохраняется между курсами, т.е. преимущество получают те, кто уже играл в эту версию NetWars ранее (или у кого коллега играл и слил все флаги). Они могут продолжить старую игру. Ну и конечно тем, кто занимается форензикой и пентестами, тут попроще, т.к. на уровнях посложнее задания сплошь и рядом "взломай android/wordpress/drupal... да найди в памяти сервера ключ". Сложно, интересно, захватывает.

Итоговые соревнования совершенно другие. Тут уже не важна скорость, но очень важна аккуратность. Ошибаться нельзя, подсказками пользоваться тоже, т.к. всё решат за 5 часов в итоге почти все, а победят те, кто сделал меньше ошибок. Награда - знаменитые SANS coin'ы.

Ну вот, в целом, и всё. Хоть курсу я для себя и поставил 4рку, но в следующий раз всё равно пойду к ним (ибо больше не к кому), но уже куда-нибудь, где я соображаю поменьше: форензика / пентесты, должно быть по-интересней.

Ах да. Отдельно стоит сказать о русофобии на курсе. К сожалению, со всеми этими сливами по всей отрасли ИБ сейчас проходит фронт политпропаганды, который все труднее игнорировать. Ну и курс не стал тут исключением - "русский след" находится практически в каждом малварном примере.

Мои заметки с курса:

  • MSSP (manages security services provider) не заменит on-premise СОК. Нет экспертизы разработчиков софта, нет знания клиентских систем. Так что растим своих аналитиков. Gartner говорит MSSP будут двигаться в сторону MDR (managed detection and response). Хорошо бы..
Вот картинка со сравнением MSSP с MDRP


  • Очень может быть, что CIO будет подчинен CISO когда-нибудь в будущем, ибо ИБ выступает стейкхолдером многих ИТ процессов (а обратно наоборот - ИБ почти ничего не предлагает ИТ), ИБ лучше умеет работать с рисками, а значит ближе бизнесу
  • Вполне разумной идеей кажется запрет трафика между рабочими станциями (т.е. deny PC <-> PC, permit PC <-> Server VLAN) и жесткий фильтр исходящих пакетов (default deny outbound)
  • SANS так же считает хорошей идеей сбор и хранение всего трафика везде, где только можно. Сильно помогает при расследованиях. Говорят, терабайтных винтов сейчас как грязи. Я согласен, но вот не представляю себе сколько сил надо потратить на разворачивание и поддержку этого хозяйства. Очень интересен опыт тех, кто это делает (ибо у преподавателя такого опыта не оказалось)
  • Если ставите NGFW, есть смысл оставить старые фаирволы перед новыми. NGFW с включенными всеми фичами тормозят, можно снять с них level 3 нагрузку старыми железками, но это ведь значит, что OPEXы могуг вырасти в 2 раза. Аккуратней, имхо, надо такие советы давать )
  • ICMP - популярный канал утечки информации, т.к. ICMP пакеты имеют неиспользуемое поле данных, куда можно по частям нарезать конфиденциальный файл. SANS предлагает создать 2 Snort правила: первое - разрешить известные поля данных ICMP пакетов, 2 - запретить все остальные. Хорошее дело
  • Искать неизвестные девайсы можно с помощью скрипта, который дампит CAM таблицы маршрутизаторов и парсит MAC адреса по вендорам. Увидели в списке D-link или Linksys - кто-то воткнул в вашу сеть домашний роутер. Попробую обязательно
  • На курсах было немного повершелла, но вообще у SANS отдельный курс есть про PowerShell для нужд ИБ. Вот архив со скриптами с этого курса, но я его еще не копал. Узнал, что среда разработки PowerShell ISE идет по-умолчанию с Win10. Кодить в ней намного удобней, чем в чистом ПШ
  • Win10, практически безальтернативная система для энтерпрайза. EMET имеет смысл только для старых ОС. LAPS помогает делать разным пароль локального админа в домене. Парсить Windows Event log - это боль.

1 комментарий:

  1. Недавно тоже был на платном семинаре для веб разработчиков. Остался немного разочарован, так как почти ничего нового для себя не услышал. Единственное что было интересно это верстка сайтов на новых шаблонах Drupal 7.x Drupal 7.x, но мне кажется что при должном желании я бы и сам разобрался за несколько дней, и не пришлось бы тратить деньги.

    ОтветитьУдалить