На прошлой неделе мы провели экспериментальный практический семинар (тренинг): «Безопасность без антивирусов в среде Windows». Что это было? Два дня живой практики, посвященной диагностике операционной системы вручную, поиску скрытых программ и подозрительного содержимого в документах, скриптах, исполняемых файлах. Семинар прошел отлично, во многом благодаря команде компании «ДиалогНаука», выступившей его организатором.

Я описала семинар как «экспериментальный», в пресс-релизе он фигурирует как «уникальный». Не хватает еще одного эпитета – «первый в России» Специалисты, чья профессиональная деятельность так или иначе связана с информационной безопасностью, давно привыкли к формату лекций – т.е. к пассивному прослушиванию информации, которая забывается через два дня, не будучи подкрепленной практическими навыками. Помимо теоретических лекций, проводятся также продукто-ориентированные семинары, которые дают навыки работы с конкретными приложениями, но не дают понимания и навыков работы с самой проблемой. Но не существует такого обучения для русскоговорящих специалистов по безопасности, которое было бы одновременно и фундаментальным, и практическим, и актуальным. Именно эти идеи, положенные в основу моего семинара, и обусловили уместность всех вышеприведенных эпитетов.

Подробнее о ключевых идеях.

    1. Фундаментальное понимание проблемы.

Можно чего-то не знать, но если есть фундамент понимания в данной области, то необходимые для решения конкретной проблемы знания несложно найти, вывести или сформулировать. А именно этот навык – навык решения задач в незнакомой ситуации – является критическим в современном мире, где информация быстро устаревает. Поэтому программа семинара включила в себя только необходимый для практики фундамент, ключевые системы и методологии, не перегруженные излишней информацией.

    2. Практика. Практика, и ещё раз практика.

Невозможно проанализировать код, прослушав об этом лекцию. Большую часть программы моего тренинга составляют практические задания, расположенные по мере возрастания сложности и самостоятельности действий студентов. Все практические задания – из реальной жизни.

    3. Актуальность знаний и навыков.

Вредоносный код – стремительно развивающаяся отрасль. Все(!) тематические книги на русском языке и большая часть авторитетных публикаций отражают устаревшие знания, не имеющие никакого отношения к реальности. Из этих соображений я включила в программу тренинга знания и практику только по самым актуальным угрозам: программы-вымогатели, руткиты и боты, вредоносный код в скриптах, Flash, PDF.

О чём идёт речь?

Сейчас вредоносный код – это центральное звено всех известных угроз информационной безопасности (без учета человеческого фактора). Зачем взламывать сеть организации, если можно подбросить ряду сотрудников бэкдор на флешке? Зачем взламывать веб-сервер для установки руткита или заражения скриптов, если можно украсть пароль к FTP-аккаунту администратора при помощи троянца?

При этом, всегда существует зазор между защитой, которую обеспечивают антивирус и обновления системы, и реальной угрозой. Примерно такой:

(Источник: Habrahabr.ru)

Как это возможно? Примерно как в анекдоте про обезьян и «Войну и мир»: миллионы исследователей каждый день трудятся над поиском новых уязвимостей в популярных программах. Многие из этих исследователей настолько удачливы, что найденная уязвимость позволяет запускать вредоносный код в обход самой актуальной защиты, иногда – из файлов неожиданного формата:

(Источники: Habrahabr.ru и Блог Didier Stevens)

В описанной ситуации только полный идиот может отдать защиту критической информации на откуп автоматизированным системам – будь то обычный антивирус, сетевой экран или дорогостоящее корпоративное решение. Подобно тому, как за атакой всегда стоят ее организаторы, без которых бесполезны любые технические средства – так и за защитой должны стоять профессионалы: специалисты, обладающие фундаментальным пониманием актуальных угроз, практическими навыками защиты, и способностью быстро ориентироваться в современной ситуации.

Задача семинара, о котором идет речь – делать таких специалистов.

Немного предыстории

При подготовке программы меня больше всего волновал вопрос: смогут ли участники за два дня усвоить заявленный достаточно объемный и специфичный набор навыков? Диагностика руткитов, реверс-инжиниринг – этому можно учиться годами, прочитывая не один учебник по ассемблеру и архитектуре операционных систем. И смогу ли я выстроить теоретический фундамент тренинга и логику практических заданий таким образом, чтобы обеспечить это ускорение?

В первые же часы семинара большинство сомнений рассеялось. Участники – в их числе были ИТ-специалисты, системные администраторы и специалисты техподдержки – легко подхватывали знания, задавали правильные вопросы и самостоятельно находили решения для практических задачек. Но действительно расслабилась я только в конце второго дня, пронаблюдав картину внимательного изучения участниками дизассемблерного листинга в IDA (вопреки сложности темы и общей усталости).

Другой вопрос, который меня волновал: насколько сложным должен быть материал? Мне интересно углубляться в технические детали, но не каждому специалисту это интересно и/или необходимо. Поэтому при подготовке тренинга я пошла на компромисс с самой собой и убрала из программы наиболее сложные вещи, а также сделала саму программу достаточно поверхностной. И это было излишним: как показывают данные формальных опросников, большинство участников хотели бы получить еще больше практики (и теории!), больше времени на усвоение знаний и навыков, и больше погружения в специфические темы. (Ура!)

Что же дальше?

Во-первых, мы будем продолжать вести этот семинар в открытом формате, в сотрудничестве с компанией «ДиалогНаука».

Во-вторых, мы будем вести закрытые семинары в тех компаниях, где необходимы действительно грамотные (а не просто «обученные») и хорошо ориентирующиеся в современных угрозах специалисты по безопасности.

В-третьих, мы планируем серию более узкоспециализированных технических семинаров, посвященных анализу отдельных типов файлов, поиску и удалению наиболее сложных вредоносных программ.

Кратчайший путь к дополнительной информации по этой теме – электронная почта: alisa@esagelab.ru.

- Алиса

Метки: отчёт, тренинг