Советы инженеру SOC
Яндекс уделяет особое внимание безопасности серверной и сетевой инфраструктуры, а также пользовательского окружения. За это у нас отвечает целая команда SOC (Security Operation Centre). Она занимается такими задачами, как:
  • активный и пассивный сбор данных и хранение журналов в централизованном хранилище;
  • поиск корреляции между разными событиями, автоматическая постановка задач при обнаружении проблем;
  • контроль работоспособности и актуальности алертов;
  • расследование инцидентов информационной безопасности;
  • взаимодействие с пользователями и администраторами сервисов при расследовании инцидентов;
  • ручной анализ журналов, построение гипотез компрометации (threat hunting), проверка гипотез на хранящихся у нас данных.
  • Безопасность ОС
    В этом разделе мы обсудим методы компрометации знакомых вам операционных систем (Windows, Linux или MacOS), методы их защиты, а также сбор событий и индикаторов компрометации.

  • Безопасность сервисов
    По аналогии с предыдущей темой поговорим о том, как скомпрометировать известные вам сервисы, как их мониторить и защищать. Вы можете выбрать любой из сервисов: Microsoft Active Directory, Web Application Service, Databases (SQL, NoSQL).

  • Безопасность виртуализации и контейнеризации
    Обсудим развитие технологий изоляции, их преимущества и недостатки, а также основные методы обхода ограничений.

  • Безопасность в сетевых технологиях
    Знание сетевых технологий — одно из важнейших условий успешной работы в SOC. Мы ожидаем, что вам известны базовые принципы работы основных сетевых протоколов, методы их компрометации и защиты, а именно:

    • протоколы и принципы работы сетей;
    • принципы адресации, маршрутизация с L2 до L7;
    • основы протоколов HTTP, SMTP, DNS, IMAP, SMB, VPN, IPSEC различных версий.
  • Принципы работы систем безопасности
    Обсудим, как работают IDS, IPS, WAF, AV, Sandbox: какие у них области применения, достоинства и недостатки, а также методы обхода.

  • Программирование
    Мы предложим вам типовые для инженера SOC задачи, которые нужно будет выполнить на Bash или Python. Ожидается, что вы выберете правильный язык, который позволит решить задачу за минимальное время и оптимальным способом. К задачам относятся сортировки, поиск по регулярным выражениям.

  • Тестирование на проникновение
    Выберем гипотетическую ситуацию и обсудим, как её может использовать нарушитель. Или поговорим про методы расследования уже случившегося инцидента. Вам потребуются знания в объёме курса OSCP.
Мы не ждём, что вы блестяще знаете все описанные выше технологии. В первую очередь нам нужен человек с пытливым умом, которому интересно создавать что-то новое. Но без базовых знаний в области безопасности вам не обойтись.

Полезные материалы

Безопасность
Операционные системы
  • Эви Немет. UNIX and Linux System Administration Handbook (4th Edition) by Evi Nemeth / Unix и Linux. Руководство системного администратора
  • Windows Internals Book
Сети
Программирование
  • Mark Lutz. Learning Python, 5th Edition
  • Bash
Tue Dec 13 2022 14:34:18 GMT+0300 (Moscow Standard Time)