Blue team: практика обучения и менторство 🥷
Посмотрел вебинар про обучение Blue team от команды экспертного обучения PT ESC🟥
📎 Интересный взгляд на распределение ролей в Blue Team со стороны киберучений Standoff:
— аналитик (1-2 линия SOC) - занимается изучением журналов СЗИ;
— специалист по рискам (2-3 линия SOC) - составляет потенциальные векторы реализации недопустимых событий;
— специалист по анализу уязвимостей (2-3 линия SOC) - помогает в расследовании сложных инцидентов;
— инженер СЗИ - аналитик SOC, но дополнительно следит за нормальной работой СЗИ;
— координатор (капитан) - планирует и организует работу команды;
— технический писатель - занимается составлением отчета на основе аналитики, должен понимать все процессы.
📎 Что требуется от специалиста Blue Team:
— умение быстро разобраться в инфраструктуре, с которой работаешь;
— знать, какие СЗИ для чего предназначены и от каких атак защищают;
— иметь представление о различных моделях атак и типовых действиях злоумышленников;
— приоритезировать инциденты в зависимости от критичности атакуемых узлов.
📎 В чем проблема подготовки специалистов Blue Team:
— необходимость серьезной теоретической базы;
— постоянное соревнование с Red Team (образ хакера привлекает больше);
— более низкие оклады на старте карьеры по сравнению с другими профессиями в ИБ (нет понятного карьерного трека);
— большая ответственность за провал;
— сложность организации обучения с реальными СЗИ;
— сложность создания эмуляции хакерской атаки, даже в рамках киберполигона.
Рекомендуемые материалы для изучения направления ИБ от команды экспертного обучения PT ESC 🥷
#Blue_Team
Посмотрел вебинар про обучение Blue team от команды экспертного обучения PT ESC
📎 Интересный взгляд на распределение ролей в Blue Team со стороны киберучений Standoff:
— аналитик (1-2 линия SOC) - занимается изучением журналов СЗИ;
— специалист по рискам (2-3 линия SOC) - составляет потенциальные векторы реализации недопустимых событий;
— специалист по анализу уязвимостей (2-3 линия SOC) - помогает в расследовании сложных инцидентов;
— инженер СЗИ - аналитик SOC, но дополнительно следит за нормальной работой СЗИ;
— координатор (капитан) - планирует и организует работу команды;
— технический писатель - занимается составлением отчета на основе аналитики, должен понимать все процессы.
📎 Что требуется от специалиста Blue Team:
— умение быстро разобраться в инфраструктуре, с которой работаешь;
— знать, какие СЗИ для чего предназначены и от каких атак защищают;
— иметь представление о различных моделях атак и типовых действиях злоумышленников;
— приоритезировать инциденты в зависимости от критичности атакуемых узлов.
📎 В чем проблема подготовки специалистов Blue Team:
— необходимость серьезной теоретической базы;
— постоянное соревнование с Red Team (образ хакера привлекает больше);
— более низкие оклады на старте карьеры по сравнению с другими профессиями в ИБ (нет понятного карьерного трека);
— большая ответственность за провал;
— сложность организации обучения с реальными СЗИ;
— сложность создания эмуляции хакерской атаки, даже в рамках киберполигона.
Рекомендуемые материалы для изучения направления ИБ от команды экспертного обучения PT ESC 🥷
#Blue_Team