今日、情報セキュリティの問題は特に深刻です。「知名度の高い」データ漏洩スキャンダル、最も人気のある商用およびオープンソース製品に見られる重大な脆弱性、新聞やテレビで取り上げられたハッカー攻撃が絶え間なく続きます。 情報セキュリティ市場には、セキュリティ問題を解決するために設計されたさまざまなソリューションがたくさんあり、危機にもかかわらず、企業は適切なレベルの情報セキュリティを維持するために積極的に資金を調達していますが、市場では資格のある情報セキュリティ専門家の「人材不足」があります。
企業ネットワークのセキュリティの品質を確保するには、攻撃者がセキュリティシステムを克服できる脆弱性とは何か、またその仕組みを理解する必要があります。 従業員の一般的な情報セキュリティ意識、 および攻撃者のツールと方法に関する知識により、情報セキュリティの脅威に対抗する最も効果的な手段を実装できます。
そのような知識を習得するには(システム管理およびネットワークとシステムの機能の分野での知識の利用可能性に応じて)、材料と積極的な実践の継続的な研究を含む、長年の準備が必要です。 幸いなことに、有料と無料の両方の多くのリソースがあります。 このようなトレーニングの欠点は、膨大な量の情報を処理する必要があることです。 空き時間がないため、これは圧倒的な作業になる可能性があります。 さらに、自己学習プロセスは体系的である必要があります-最初に方向(ネットワーク、Webアプリケーション、システムとアプリケーションソフトウェア、暗号化、データベースなどのセキュリティ)を決定する必要があります。 自己学習の伸びと一貫性の欠如により、卒業時に習得した知識が部分的または完全にその関連性を失った場合に状況が発生する可能性があります。
学習プロセスを体系化するために、インターネット上で多くのビデオコースを利用できます。 間違いなく、そのようなトレーニング形式は知識をより定性的に得ることを可能にしますが、それには重大な欠点があります-実際のトレーニングの欠如とキュレーターの助け。 情報セキュリティについて言えば、原則として、攻撃の成功には脆弱性のグループの正常な操作が含まれることに注意する価値があります。
例
外部からアクセス可能なサーバーのパスワードを見つけることができました。 内部ネットワークをスキャンした後、MS SQLを備えたサーバーが見つかりました。 ユーザー「sa」のパスワードを選択した後、「SYSTEM」(デフォルトの起動オプションの1つ)に代わってサービスが起動され、サーバー自体がドメイン内にあることが判明しました。 ストアドプロシージャ「xp_cmdshell」を使用して、Mimikatzユーティリティをサーバーにアップロードし、ドメイン管理者がサーバーに接続した後(サーバーの問題を引き起こすなど)、Mimikatzユーティリティを使用して、実際にユーザー名とパスワードを取得しますドメイン
実際、脆弱性のグループを成功裏に悪用するには、まず、 それらを検出し 、次に、 悪用できるようにし 、第三に、各脆弱性の悪用の結果を正しく使用できるようにする (つまり、攻撃ベクトルを正しく構築する)必要があります) したがって、実際の企業ネットワークに基づいて実装された本格的な研究所の形で実践する必要があります。 そのような実験室でのタスクが「シミュレート」されないように、それはまさに「実務家」、つまり実験室の開発に参加すべきペンテストを実施した豊富な経験を持つ専門家です。
ロシアと海外の両方で、倫理的なハッキングと侵入テストの分野でさまざまなトレーニングプログラムがあり 、実用的な情報セキュリティの分野でスキルを大幅に向上させることができますが、そのようなプログラムの多くの重大な欠点は長い調整です (通常6ヶ月から) 。 新しい脆弱性の出現の激しさ、およびそれらの悪用の方法とツールを考えると、そのようなプログラムはその関連性を少し失います。
したがって、継続教育は2つのタイプに分類できます。
- 無料 (非常に長く、全身を必要とする、そうでない場合は効果的ではない);
- 有償 (短いが、真剣なアプローチと優れたプログラムの選択による、多大な献身と追加の自己訓練が必要-最も効果的)。
専門家のニーズを考慮して、私たちは専門的な訓練のための特別な訓練プログラムを開発しました- 「PENTESTIT Corporate Laboratories」 、その独自性は訓練形式の共生(完全に遠隔で、仕事と研究からの分離を必要としない)、教材の質、および訓練が実施される専門的なリソースです:
- トレーニングは次の原則に基づいています。 理論の20% (ウェビナー)と練習の80% (ペンテスト室で働く)。
- ウェビナーは、情報セキュリティの分野で幅広い実務経験を持つ専門家によって読まれます。
- すべての研究所(各関税にいくつかあります)は、匿名の形での実際の企業のペンテストの結果として発見された脆弱性に基づいて開発されています 。
- トレーニングプロセス全体を通して、グループには、必要に応じてタスクの対処を支援するキュレーターが同行します。 キュレーターの主なタスクは実装を説明することではなく 、タスクに独立して対処するような方法で考えることを教えることであることに注意することが重要です。
- 新しいセット(1.5か月ごとに1回)ごとに、 素材が処理および更新されます 。これにより、トレーニング時にプログラムを最新の状態に保つことができます。
- プログラムで使用されるすべてのリソース(個人アカウント、ウェビナーサイト、および実験室)はPENTESTIT自身の開発であり、学生のすべてのニーズを考慮して実装されます 。
学習プロセスがどのように機能するかについては、 こちらをご覧ください 。
メインの有料プログラムに加えて、ITおよび情報セキュリティの分野の専門家であるゲストを招待しています。 現在の一連の企業研究所(6月14日に開催)で、 Wallarm (新世代のWebアプリケーションファイアウォール)の責任者であるIvan Novikovは、トピック「攻撃検出ツールとWebアプリケーション脆弱性検索タスクの一般的な問題」についてプレゼンテーションを行い、そのような問題の解決策のビジョン。
Wallarmは通常のWAFとどう違うのですか?
いつものように、ビデオは私たちのチャンネルで公開され、「Corporate Laboratories」の参加者はIvanとチャットして質問をすることができます。 次のセットを訪れるゲストの身元はまだ明らかにされていませんが、これについては後ほどお知らせします。
要約すると、資格の維持と改善にはセルフトレーニングが非常に重要ですが、セルフトレーニングと共生する高品質のトレーニングプログラムは短時間で知識を大幅に増やし 、さらに発展するための品質ベクトルを設定するため 、経済的でありながらも専門家が需要を維持できます政治的接続詞。
記事を最後まで読んでくれてありがとう。 Corporate Laboratoriesへの次回の募集は、2015年8月9日に行われます 。詳細については、 こちらで登録してください 。