Pages - Menu

Страницы

8.7.20

Опыт обучения на курсах по SOCам

Упомянул вчера про прохождение курса по SOCам (для тех, кто думает, что SoC - это System-on-Chip, сообщаю, что это Security Operations Center) и хочу поделиться некоторыми впечатлениями. Начну с того, что когда речь заходит об обучении по SOCам, нет ни одного курса, который бы закрыл все потребности в этой части, как нет человека, который в SOC занимается всеми направлениями - от мониторинга до реагирования, от threat hunting до threat intelligence, от проектирования архитектуры до формирования плана обучения аналитиков. Это все разные задачи, которыми занимаются разные роли внутри SOC. Поэтому и обучение тут нужно разное. Одним нужны курсы по Threat Hunting, другим по реагированию на инциденты, третьим по организации Red Team (если это часть сервисной модели SOC), четвертым - по планированию и проектированию SOC. Я про это уже и писал и выступал, но посчитал нелишним упомянуть еще раз. Так вот сейчас я бы хотел поделиться впечатлением о курсе именно про планирование и проектирование SOC, который ориентирован больше не на аналитиков по мониторингу ИБ (типа CompTIA Cybersecurity Analyst, о прохождении которого я уже писал, или Cisco CyberOps Professional), а на руководителей центров мониторинга или их аудиторов и проектантов (проектировщиков). Ну а так как я в последнее время глубоко погружен в эту тему и участвую в разных проектах по аудиту или проектированию SOCов, то я и решил, что надо систематизировать свои знания по этой теме.

Хочу отметить, что курсы по проектированию SOCов я нашел только у SANS. Первоначально это был пятидневный курс SANS MGT517, который разработал и вел Chris Cowley. Позже, причина до сих пор непонятна, MGT517 был закрыт SANS'ом и долгое время никаких специализированных курсов по SOCам не было, пока в прошлом году Крис не анонсировал собственный трехдневный курс по SOCам (его я и проходил недавно), а SANS не запустил двухдневный курс MGT551 имени Джона Хаббарда. MGT551, по словам его автора, является дополнением к его же курсу SEC450 по Blue Team и позволяет дополнить картину уже с высоты птичьего полета, с точки зрения менеджера SOC. Курс Криса по-прежнему ориентирован только на руководителей/аудиторов/проектантов SOC и не является дополнением к чему бы-то ни было. У SANS есть еще шестидневный курс SEC511 по непрерывному мониторингу и SecOps, но он схож с упомянутыми выше курсами CompTIA и Cisco CyberOps, то есть ориентирован именно на специалистов по мониторингу ИБ, чем на лидеров.


Но вернемся к курсу Криса, который первоначально проходил только очно, но ввиду коронавирусной  шумихи был срочно переведен в онлайн-формат. Не могу сказать, что это повлияло на него с положительной точки зрения, так как возросла нагрузка на слушателей, которые должны были гораздо более серьезно относиться к обучению и заданиям, которые давались в рамках курса (но про это я уже написал вчера). С другой стороны, когда ты не связан корпоративными ограничениями (я имею ввиду SANS), можно быть чуть более открытым и давать материал лучше. Да и кучу сопутствующих материалов предоставлять (хотя, может, это больше зависит от инструктора, чем от от того, где курс читается).

Как я уже упомянул, курс не рассчитан на аналитиков, работающих с различными платформами и инструментами, его задача другая. Показать, нужен ли SOC организации и если да, то какой, и по какой модели его строить.

Очень много времени уделяется вопросу выбора и обоснования. Например, как обосновать необходимость SOC руководству компании, какие доводы использовать, каким ролям CxO важны какие задачи SOC и т.п.


С выбором связана и тема смен в SOCах. Крис давал различные модели и описывал их плюсы и минусы. Полезная тема с точки зрения планирования работ персонала и определения численности сотрудников SOC.  


Фанатам технологий тоже было уделено внимание, но не с точки зрения лабораторных работ по конкретным платформам и инструментам, а с точки зрения их выбора. например, какие альтернативы есть для защиты коммуникаций в SOC, для TI, для SOAR, для SIEM и т.п. Причем они сравниваются по разным параметрам (цена, функциональность и т.п.), что дает возможность слушателям потом выбирать то, что лучше подходит под их задачи. Никаких "купите QRadar как SIEM" или "только Webex Teams может быть использован для коммуникаций внутри SOC".

Тема технологий развивается и с точки зрения геополитических рисков. Но не "Русские хакеры! Все пропало!", как это было на курсах SANS по промышленной ИБ, а с точки зрения оценки рисков использования различных технологий и сервисов от разных компаний и стран. Интересно, что Крис не просто показывает всякие прикольные таблички, а потом отдает их и с ними можно играться по своему усмотрению.


Говоря о мониторинге ИБ, нельзя обойти вниманием вопрос процессов. Крис подробно рассматривает достаточно стандартную процессную схему SOC с погружением в отдельные процессы и особенности их выстраивания с точки зрения менеджмента, выбора технологий под них или их аутсорсинга во внешние руки. 

Хороший раздел про разработку use case. Причем не только с точки зрения теории, но и практики.


Например, выдали табличку с кучей готовых use cases с их разбиением по L1-L3, привязкой к матрице MITRE ATT&CK, метриками и оценкой их эффективности. Полезная штука - мы в рамках наших проектов по SOC тоже используем схожую табличку в Excel, куда заносятся все Use Case, которые мы разрабатываем и с которыми потом можно работать, а не просто теоретизировать. 


Ну и конечно вопрос измерения эффективности тоже не был обойден вниманием, хотя он, на мой взгляд, был не очень детально проработан. Метрики описывались больше технологические, чем бизнесовые. Но и среди них были интересные примеры, нечасто встречающиеся в публичных презентациях по оценке эффективности SOC. 


Ну и для тех, кто любит сравнивать себя с другими SOCами, был раздел про оценку зрелости SOC с рассмотрением соответствующей модели зрелости и заданиями по ее использованию. Мы в своих проектах по аудиту уже построенных центров мониторинга тоже сталкиваемся с вопросом "А как мы соотносимся с другими?". Правда, в ответе на него гораздо важнее иметь не саму модель зрелости, а результаты этой оценки по другим SOCам, о чем Крис скромно умолчал :-)


Сложно в короткую заметку включить материал всех трех дней по 8 часов каждый. Поэтому могу в целом отметить, что курс очень полезный именно для тех, кто строит собственный или проводит аудит уже построенного SOCа и хочет получить общую картину под названием "центр мониторинга ИБ". Если вам нужны знания по конкретным направлениям деятельности SOC, то это скорее уже другие курсы, в том числе и вышеупомянутые. 

ЗЫ. Вроде как Крис упоминал, что ему тоже не очень понравилась идея онлайн-курса по SOC и, возможно, больше таких не будет, - останутся только очные мероприятия, что увеличит цену на них, минимум, вдвое (за счет билетов и проживания). И это не считая сложностей с командировкой за пределы страны (сам Крис из США, но иногда проводит курсы в Европе, куда попасть сейчас непросто).

7.7.20

Опыт полутора десятков онлайн-курсов за время самоизоялции

Так сложилось, что я не очень люблю отечественные учебные центры; не важно, в какой области они преподносят свои курсы - в ИБ ли или в чем-то ином. Пройдя немалое количество курсов западных (я тут посмотрел в нашей корпоративной LMS, в которую либо автоматом, либо вручную заносятся все мои курсы, и там их число давно перевалило за сотню), я понял, что ТАМ умеют делать из обучения реальный бизнес. Возможно, там просто больше специалистов, но там как-то умеют делать и качественный контент (и над ними не довлеет необходимость согласовывать свои программы обучения с регуляторами), и преподносить его по-разному и все равно интересно. А вот у нас что-то не то все время (я и за собой замечаю, что мои курсы достаточно однобоки и местами скучны, что, на мой взгляд, скорее связано с желанием втиснуть в 8 часов слишком много контента, не давая возможность поделать слушателям какие-то задания).

3,5 месяца самоизоляции (а мы глобально продолжаем на ней находиться до конца осени) позволили высвободившееся от очных мероприятий и командировок время уделить самообразованию, которое в 100% случаев проходило дистанционно. И это были совершенно разноплановые курсы - от продуктовых по Cisco до трехдневного курса по проектированию и планированию SOCов, от создания дашбордов до организации собственной онлайн-школы, от создания бизнеса с нуля (две недели со стартаперами) до сетевого threat hunting'а. На что-то я пошел для систематизации собственных знаний и навыков, что-то было обязательным на работе, а что-то было просто интересно изучить с точки зрения расширения кругозора. Заодно я прослушал записи ряда конференций по ИБ - от RSA Conference 2020 или Cisco Live US 2020 до "Кода ИБ. Профи" или конференции по ИБ O'Reily. И что я могу сказать по итогам такого образовательного дистанционного интенсива?..


Во-первых, дистанционное обучение - это челендж. Большой челендж. Без самоконтроля и постоянного пинания себя, вы постоянно будете отвлекаться от материала. И если обучение проходит в реальном времени, то нагнать потом будет сложно. Мне поэтому непросто дался трехдневный курс по SOC, на котором меня спасало только то, что многие вопросы были мне знакомы по проектам, в которых я участвовал или участвую, и я мог ненадолго отвлекаться.

Дима Мананнико как-то в Фейсбуке написал впечатления от преподавания онлайн на программе MBA в РАНХиГС. Мол удаленно, во-первых, сложно читать несколько часов подряд, а, во-вторых, вы не видите глаз слушателей и не понимаете их реакцию на вашу лекцию. Могу сказать как слушатель - это тоже непростая роль, так в онлайн вы не всегда можете достучаться до лектора; особенно, если речь идет о записи курса. Вы один на один с контентом и если вы его не понимаете или если платформа не приспособлена для преподавания, то это будет ад. Представьте, что курс проходит на платформе для организации вебинаров и вместе с вами на курсе еще несколько сотен человек (у меня такое было). Да, там есть чат и есть помощники лектора, но они не способны отработать весь тот поток сознания, который идет в чате непрерывно от сотен человек с разным уровнем знаний и навыков в изучаемой теме. В итоге вы не получаете очень многого, что можно получить при очном обучении.

В-третьих, у вас отсутствует социализация. Помню, когда я учился на курсах SANS по безопасности промышленных систем, около трети полезного я получил не на курсе от инструктора, а в кулуарах, общаясь с коллегами за обедом или вечером в баре (а обучение проходило в Амстердаме, в гостинице, где и проживало большинство слушателей). В онлайне у вас нет кулуаров и нет возможности обмениваться мнением за бокалом коньяка с коллегами. И это тоже большая потеря. На паре мероприятий, где мне довелось участвовать за время самоизоляции, организаторы с помощью курьеров доставляли участником еду и выпивку, но все-таки это не совсем то - общения-то все равно нет.

В-четвертых, на западных очных курсах обычно даются задания, которые вы выполняете во время многодневного курса. Например, на курсах SANS по обнаружению атак, SOCам, безопасности промышленных систем, Threat Hunting или реагированию на инциденты, в которых я участвовал у вас в день обычно проводится по 5-6 лабораторных работ, что приводит к 20-25 лабам за 4 дня, после чего пятый день целиком выделяется на практику. У нас такое мало где делается, а в онлайн это сделать вообще проблематично; как с точки зрения организаторов, так и с точки зрения слушателей. Особенно последним сложно - они же могут забить болт на "домашку" и ничего не делать. И проверить их сложно (хотя можно). В итоге обучение получается неполным. На очном обучении вы не можете откровенно манкировать заданиями, которые вокруг вас все делают.

А еще забавный момент - стоимость онлайн-обучения почему-то российские учебные центры не сокращают - она остается такой же, что и очное обучение. И это несмотря на существенное отличие этих двух форматов, которые надо готовить по-разному. У нас же обычно инструктор просто читает перед камерой с параллельным показом презентации и это считается дистанционным обучением. А все потому, что используемая платформа не позволяет организовать именно обучение, а не вебинар.

По итогам прохождения множества онлайн-курсов у меня составился некоторый список вопросов, который я задаю себе (и тем, кто предлагает мне дистанционное обучение), прежде чем принять решение:
  1. Чем отличается дистанционное обучение от очного?
  2. Будут ли домашние задания, включая стоп-задания (без которых нельзя пройти дальше)? На одном из курсов только стоп-задания заставили меня дойти до финала - курс был достаточно неудачно организованным, но я хотел его завершить и только стоп-задания стимулировали меня это сделать.
  3. Какая платформа используется для обучения (специализированная или обычная, вебинарная)? Например, некоторые учебные центры используют Webex Meetings, который, в отличие от Webex Trainings, не очень подходит именно для обучения, при котором происходит активное взаимодействие со слушателями. А вот Webinar.ru, Youtube или Facebook, который также нередко используют для прохождения курсов, для этого совсем не предназначены.
  4. Могу ли я общаться с другими участниками и как? В одном из курсов это происходило только в чате и только во время присутствия лектора, а в другом - организаторы создали специальные группы в Фейсбуке и Телеграме для постоянного общения.
  5. Могу ли я задавать вопросы инструктору, в том числе и в частном порядке? Как это делается - в чате или голосом (писать длинные вопросы любят далеко не все)?
  6. Будут ли мне доступны учебник и сопутствующие материалы (например, SANS заранее присылает вам коробку с учебниками и флешку с виртуалками для лабораторных работ)?
  7. Как контролируется прогресс в обучении? Где-то это могут быть стоп-задания, а где-то специальная метрика, отражающая кумулятивный параметр оценки прохождения курса и выполненных домашек. 
  8. В течение какого времени я буду иметь доступ к материалам онлайн-курса? У SANS, например, это обычно 6 месяцев. У курса по созданию бизнеса с нуля авторы предоставили пожизненный доступ к материалам. У всех все по-разному.
  9. Если вам это важно, то уточните, сколько CPE вы получите от прохождения того или иного курса. Знаю, что многие сертифицированные специалисты иногда только ради CPE и ходят на конференции и обучение :-)
Вот такой, достаточно нестандартный для меня опыт, так как обычно лекции читаю я, а не мне :-) Может быть кому-то это будет полезным при выборе тех или иных онлайн-курсов. А я в следующей заметке попробую описать свой опыт прохождения курса по SOCам.