Описание курса: Материал данного курса позволит слушателю изучить технологии и механизмы работы Sandbox’ов и Honeypot’ов. Материал курса охватывает не только технические, но и методологические вопросы использования Sandbox’ов и Honeypot’ов: их встраивание в общую архитектуру и процессы корпоративной кибербезопасности.
Аудитория курса: Инженеры, обеспечивающие кибербезопасность корпоративной инфраструктуры, инженеры, проектирующие архитектуру кибербезопасности, инженеры, занимающиеся обработкой инцидентов кибербезопасности, а также аналитики, работающие с данными Threat Intelligence.
Предварительные требования к аудитории: Необходимы знания о работе сетей TCP/IP на уровне курса ANT-N101, знания в области фильтрации трафика и обеспечения безопасности сетевой инфраструктуры на уровне курсов ANT0011 и ANT0012, а также знания в области обработки инцидентов кибербезопасности на уровне курса ANT0401.
Содержание курса: Модуль 1 – Архитектура корпоративной кибербезопасности. Модель угроз корпоративной кибербезопасности. Проектирование механизмов кибербезопасности в рамках общей архитектуры корпоративной кибербезопасности. Атаки типа 0-day и направленные атаки (ATP). Мониторинг и реагирования на события и инциденты кибербезопасности.
Модуль 2 – Sandbox. Автоматизированный анализ вредоносного п/о. Принципы работы и классификация Sandbox’ов. Проектирование Sandbox’а в рамках архитектуры корпоративной безопасности. Развертывание Sandbox’а в рамках архитектуры корпоративной кибербезопасности. Анализ и использование информации, полученной Sandbox’ом. Операционные параметры, метрики и поддержание работы Sandbox’ов.
Модуль 3 – Honeypot. Назначение Honeypot’ов. Принципы работы и классификация Honeypot’ов. Проектирование Honeypot’а в рамках архитектуры корпоративной безопасности. Развертывание Honeypot’а в рамках архитектуры корпоративной кибербезопасности. Анализ и использование информации, полученной Honeypot’ом. Операционные параметры, метрики и поддержание работы Honeypot’ов.
Модуль 4 – Интеграция Sandbox’а и Honeypot’а в процессы корпоративной кибербезопасности. Реагирование на инциденты кибербезопасности с учетом данных Sandbox’а и Honeypot’а. Модернизация модели угроз и расчетов рисков на основании данных о новых событиях и инцидентах. Модель Diamond и информация TTP[Tactics, Technics, Procedures]. Формирование и обмен данными Threat Intelligence.