Сходил на SEC511 Continuous Monitoring

Сходил на SEC511 Continuous Monitoring

SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником. В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию. Преподаватели наполовину местные, наполовину залётные, штатовские (их слушать, пока что, по-интересней, чем местных).

Вот и решил я сходить на недельные SANS курсы этим летом в 4х звездочный отель в центре Амстердама, который вел @BryanOnSecurity

name='more'>

 Курсы проходят 6 дней с понедельника по субботу. В один из дней вечером есть дополнительные лекции для широкой аудитории, в другой - пьянка в ресторане для кулуарного общения с коллегами, еще два вечера заняты NetWars (о них ниже) и суббота выделена под финальное соревнование.

После курсов есть шанс сдать отдельный экзамен и получить статус GMON  (у SANS очень разветвленная система прокачки, правда, с учётом стоимости курсов пройти её нереально %)).

В целом, курс хороший, но слишком общий и немного однобокий: а) "Vendor agnostic" подход убивает любой шанс получить реальный опыт. Всё, что вы будете трогать - opensource (snort, sguid, bro, modsecurity, и т.д.). Opensource - это круто, но в Enterprise ИБ среде его не любят, нет поддержки;
б) Лекции как в университете: время на дискуссии с коллегами не предусмотрено, лектор говорит без умолку с перерывом только на лабораторки.
Поэтому узнать как у них там сеют брюкву, и кто чем ловит русских хакеров (которых, кстати, авторы курса упоминают чуть-ли не в каждой главе) у меня не вышло. А шел я именно за этим.

Хоть курс и несколько "продвинут" (500 серия - чуть продвинутая, 300 - для чайников (или для менеджеров), 700 -  технический хардкор), я откровенно скучал первые два дня, ибо они посвещены общей "картине мира": что такое мониторинг ИБ, какие СОКи лучшие (гибридные) и чем NGFW отличаются от UTM (UTM это, в первую очередь, прокси, а NGFW - фаирвол уровня приложений). Очень помогали не заснуть Daily NetWars - это набор CTF-like заданий по сегодняшней теме, которые ты можешь решать в течении дня, а можешь оставить на вечер.
Примеры: дан дамп трафика. Посчитай хэш скаченного файла, пересчитай уникальные юзер-агенты, проанализируй энтропию DNS запросов. Cat, string, grep, sort, uniq, и по кругу. Можно пройти в слепую, можно использовать подсказки (Daily NetWars это не соревнование. Очки есть, но финальный дашбоард видит только преподаватель).

Большие NetWars - это уже настоящее CTF соревнование на 6 часов (2 дня по 3 часа вечером после учебы). Можно играть в команде, можно по-одному. 5 уровней - от простых квестов к битвам "замок на замок".
Есть тонкость: аккаунт сохраняется между курсами, т.е. преимущество получают те, кто уже играл в эту версию NetWars ранее (или у кого коллега играл и слил все флаги). Они могут продолжить старую игру. Ну и конечно тем, кто занимается форензикой и пентестами, тут попроще, т.к. на уровнях посложнее задания сплошь и рядом "взломай android/wordpress/drupal... да найди в памяти сервера ключ". Сложно, интересно, захватывает.

Итоговые соревнования совершенно другие. Тут уже не важна скорость, но очень важна аккуратность. Ошибаться нельзя, подсказками пользоваться тоже, т.к. всё решат за 5 часов в итоге почти все, а победят те, кто сделал меньше ошибок. Награда - знаменитые SANS coin'ы.

Ну вот, в целом, и всё. Хоть курсу я для себя и поставил 4рку, но в следующий раз всё равно пойду к ним (ибо больше не к кому), но уже куда-нибудь, где я соображаю поменьше: форензика / пентесты, должно быть по-интересней.

Ах да. Отдельно стоит сказать о русофобии на курсе. К сожалению, со всеми этими сливами по всей отрасли ИБ сейчас проходит фронт политпропаганды, который все труднее игнорировать. Ну и курс не стал тут исключением - "русский след" находится практически в каждом малварном примере.

Мои заметки с курса:

  • MSSP (manages security services provider) не заменит on-premise СОК. Нет экспертизы разработчиков софта, нет знания клиентских систем. Так что растим своих аналитиков. Gartner говорит MSSP будут двигаться в сторону MDR (managed detection and response). Хорошо бы..
Вот картинка со сравнением MSSP с MDRP


  • Очень может быть, что CIO будет подчинен CISO когда-нибудь в будущем, ибо ИБ выступает стейкхолдером многих ИТ процессов (а обратно наоборот - ИБ почти ничего не предлагает ИТ), ИБ лучше умеет работать с рисками, а значит ближе бизнесу
  • Вполне разумной идеей кажется запрет трафика между рабочими станциями (т.е. deny PC <-> PC, permit PC <-> Server VLAN) и жесткий фильтр исходящих пакетов (default deny outbound)
  • SANS так же считает хорошей идеей сбор и хранение всего трафика везде, где только можно. Сильно помогает при расследованиях. Говорят, терабайтных винтов сейчас как грязи. Я согласен, но вот не представляю себе сколько сил надо потратить на разворачивание и поддержку этого хозяйства. Очень интересен опыт тех, кто это делает (ибо у преподавателя такого опыта не оказалось)
  • Если ставите NGFW, есть смысл оставить старые фаирволы перед новыми. NGFW с включенными всеми фичами тормозят, можно снять с них level 3 нагрузку старыми железками, но это ведь значит, что OPEXы могуг вырасти в 2 раза. Аккуратней, имхо, надо такие советы давать )
  • ICMP - популярный канал утечки информации, т.к. ICMP пакеты имеют неиспользуемое поле данных, куда можно по частям нарезать конфиденциальный файл. SANS предлагает создать 2 Snort правила: первое - разрешить известные поля данных ICMP пакетов, 2 - запретить все остальные. Хорошее дело
  • Искать неизвестные девайсы можно с помощью скрипта, который дампит CAM таблицы маршрутизаторов и парсит MAC адреса по вендорам. Увидели в списке D-link или Linksys - кто-то воткнул в вашу сеть домашний роутер. Попробую обязательно
  • На курсах было немного повершелла, но вообще у SANS отдельный курс есть про PowerShell для нужд ИБ. Вот архив со скриптами
  • Win10, практически безальтернативная система для энтерпрайза. EMET имеет смысл только для старых ОС. LAPS помогает делать разным пароль локального админа в домене. Парсить Windows Event log - это боль.
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Артем Агеев

root@itsec.pro:~#