Центр обучения специалистов и команд
по кибербезопасности

Участвовал в очной программе для руководителей. Очень высокий уровень экспертов и формат подачи: не лекция, а диалог, кейсы, дискуссии. За два дня получил больше, чем от многих недельных программ. Отличная организация и атмосфера.

На мой взгляд, практикум наиболее релевантен для аналитиков NTA-решений. В моем случае ключевая польза заключалась в том, что в рамках рабочих обязанностей аналитика Threat Hunting я смог поработать с NTA-системой PT NAD. Особенно ценными оказались практические задания: именно на реальных кейсах я увидел, каким образом атаки могут алертить.

Одним из наиболее важных навыков, полученных на практикуме, считаю четкое понимание отличий false-сработок от реальных атак. В реальной инфраструктуре атаки происходят настолько редко, что можно сказать не происходят вовсе (и это хорошо). После прохождения практикума я стал больше обращать внимание на алерты в ленте активностей PT NAD и сделал массу исключений для false-срабатываний.

Самый важный навык, который я получил, — умение смотреть на состояние защищенности своей инфраструктуры. Теперь ясно не только как защищать, но и как реально проверять уровень защищенности. Очень полезным было знакомство с модулем НСС в MaxPatrol. На виртуальном стенде удалось реализовать несколько атак на сетевую инфраструктуру, и я понял, что подобный полигон можно развернуть и у себя для отработки навыков.

Благодаря практикуму мне стали понятны общие принципы харденинга, теперь я планирую пересмотреть ряд регламентирующих документов по ИБ и изменить некоторые процессы, чтобы повысить их эффективность.

Я бы сказал, что практикум будет особенно ценен для начинающих специалистов по ИБ и ИТ: он дает понимание инфраструктуры и формирует грамотный подход к настройке безопасности. Материал помогает получить систематизированные знания для решения повседневных задач. Для специалистов по информационной безопасности, решивших изменить направление развития, практикум станет хорошей точкой входа. А для руководителей ИТ и ИБ он полезен с точки зрения понимания работы смежных структур и выстраивания совместных процессов.

Практикум особенно полезен тимлидам и руководителям: важно правильно спланировать работу, а по пройденному материалу уже можно выстраивать процесс как оркестратор. Для технических специалистов это хорошая база, хотя объем знаний может оказаться избыточным.

Пройдя практикум, я смог значительно улучшить навыки в области харденинга и организации работ по обеспечению ИБ. Знания по ряду областей значительно углубились: появились конкретные команды и чек-листы. Я увидел слабые места в сегментации сетей для разных сред (prod/dev/test), что поможет более грамотно подходить к настройке сетевой безопасности. Особенно полезным стало умение оценивать важность активов и приоритизировать задачи по ИБ — это позволяет эффективнее распределять ресурсы и внимание на наиболее критичные области.

Одним из ключевых моментов стало осознание важности фиксации изменений после проделанных работ. Раньше часто возникали ситуации, когда было непонятно, что и как было сделано. Теперь я вижу, как можно визуально реализовать и поддерживать прозрачность в IT-инфраструктуре. Отдельным блоком планирую повторно проработать AppSec и DevSecOps: это пока «серая зона», но теперь у меня есть понятный план действий.

Раньше мы часто выполняли задачи хаотично, без четкого планирования и последующей проверки результатов. Теперь я понимаю, как выстроить процесс работы так, чтобы всё было системно и эффективно, появился четкий стек задач, которые нужно выполнить. Сразу после практикума я начал составлять стратегию с учетом полученных знаний, чтобы подойти к внедрению системно.

На практикуме по безопасной разработке я наконец понял, как внедрять защиту без ущерба для скорости. Всё подано просто, по делу, с реальными примерами. Уровень экспертов и качество материалов — выше всех похвал.

Практикум по управлению уязвимостями даёт хорошее представление о самом процессе: новичкам поможет разобраться в основах, тем, кто в теме, — систематизировать подход и взглянуть под новым углом. Практика на реальных кейсах позволяет лучше усвоить материал и познакомиться с инструментами. Преподаватели делятся живым опытом, что делает обучение особенно ценным. В итоге формируется цельная картина зрелого процесса, к которому хочется стремиться.

Программа по управлению уязвимостями помогла выстроить целостный подход к процессу. Раньше было хаотично, теперь — системно и прозрачно. Отдельное спасибо за шаблоны и практику на реальных сценариях.

Практикум по анализу сетевого трафика отлично помогает прокачать навык «слышать» трафик и видеть за ним действия злоумышленников. Реальные кейсы, инструменты и живая работа с дампами — всё по делу. Отдельно благодарю преподавателей за глубокую экспертизу и умение объяснять сложное простым языком.

Шёл на практикум по архитектуре сетевой безопасности, чтобы выйти из профессионального вакуума — и получил не только подтверждение актуальности своих знаний, но и системный рост. Практикующие преподаватели, живой диалог, реальные кейсы — всё это создало уникальную атмосферу. Особенно важным было переосмысление MITRE ATT&CK, понимание недопустимых событий и умение обсуждать бизнес-риски с заказчиком. Программа насыщенная, гибкая, и очень вовлекающая.

На мой взгляд практикум будет особенно полезен инженерам и аналитикам ИБ, администраторам, эксплуатирующим NTA-решения, а также экспертам SOC. Частью моей работы являются пилоты, обучающие вебинары и демонстрации продуктов Positive Technologies, включая PT NAD. У меня уже был опыт анализа событий и проведения расследований, однако практикум позволил расширить навыки именно в этой области. Понимание того, как работает инструментарий, используемый пентестерами и злоумышленниками, поможет мне качественнее готовить пилоты и демонстрации. 

Лично для меня особенно ценным оказался разбор инструментов и техник, с которыми я регулярно сталкиваюсь: impacket, meterpreter, NTLM relay, фреймворки постэксплуатации, атаки DCSync, Zerologon и DCShadow. Эти сценарии часто встречаются практически на каждом пилоте, и возможность проработать их в лабораториях значительно облегчает анализ событий. Также я по-новому взглянул на атаку DCSync. Раньше из-за ограниченного времени на пилотах я предпочитал демонстрировать более простые события и лишь вскользь упоминал о проблемах с DCSync. После практикума у меня появилось четкое понимание механизма атаки, используемых инструментов и признаков, на которые стоит обращать внимание при анализе.

В целом практикум мне очень понравился! Особенно хочу выделить последнюю практику с MaxPatrol 10 — это просто 100 из 100, вот так и должны выглядеть хорошие обучающие практики. Работа с этим инструментом оказалась невероятно полезной, потому что мы как раз в процессе поиска решений для управления уязвимостями. MaxPatrol выглядит прекрасно, также очень понравился блок, связанный с дизайном и проектированием харденинга — однозначно беру на вооружение! Это именно то, чего не хватало в работе: системный подход к планированию защиты еще на этапе проектирования.

По итогам обучения я добавлю чек-листы конфигураций по разным категориям ПО и объясню администраторам, как важно приводить все системы в соответствие с ними. К тому же эти чек-листы можно будет легко обновлять и дополнять — отличный практический инструмент. Еще попробуем оценивать свою защиту по формуле успешного взлома.

Считаю, что практикум наиболее полезен для архитекторов ИБ-систем. Для администраторов он может оказаться слишком широким по охвату, для C-level слишком много технических настроек и деталей. А вот архитекторам он дает именно то видение и инструментарий, которые нужны для выстраивания защиты на системном уровне.

Больше всего мне понравились видеолекции с экспертами из студии. Особенно ценными оказались темы по архитектуре безопасности сети и харденингу настроек ОС Windows и Linux. Честно говоря, все инструменты и навыки из практикума считаю полезными для своей работы.
Считаю, что практикум будет особенно полезен двум категориям специалистов. Системным администраторам он поможет подтянуть скиллы в ИБ и посмотреть на свою работу под другим углом. А для администраторов безопасности материалы практикума должны стать настольной книгой, к которой можно возвращаться снова и снова. Я обязательно рекомендую практикум своим друзьям и коллегам.

У меня есть существенный проектный опыт в ИТ и ИБ, поэтому практикум я прошел за три полных рабочих дня. Смены парадигмы не произошло, но практикум определенно полезный, особенно если ваши трудовые обязанности напрямую связаны с харденингом. Например, для специалистов уровня L3, работающих с инфраструктурой от трех тысяч пользователей и выше. Самыми полезными материалами для меня оказались структурный подход к харденингу и использование метрик MTTA/MTTR для оценки эффективности. Благодаря обучению я немного изменю свои подходы и инструменты.

Практикум идеально подойдет для руководителей среднего звена и ведущих специалистов. Самыми полезными блоками для меня стали сети, Linux и виртуализация. Особенно ценными оказались темы по сетевому харденингу, архитектуре безопасности сети, настройкам операционных систем и работе с контейнерами. Теперь я, как минимум, проведу проверку нашей инфраструктуры на соответствие стандартам и попробую автоматизировать этот процесс, чтобы мы могли регулярно контролировать уровень защищенности.

Очень благодарен организаторам за столь важный и объемный практикум по построению Центра мониторинга кибербезопасности. Программа SOC 2.0 — это прорыв в построении SOC!
Практикум охватывает полный комплекс мероприятий от планирования до оценки уровня зрелости. Он будет полезен как начинающим специалистам, так и руководителям, желающим понять, на какой стадии они находятся. Материалы станут шпаргалкой на долгие годы. Важно отметить, что невозможно построить SOC — это непрерывный путь развития людей, процессов, технологий, от реактивного реагирования к проактивному.
Я считаю, что практикум полезен начинающим командам и архитекторам SOC. Он позволяет понять как и что делать, для чего и на что тратить ресурсы в первую очередь. Лично я по итогам обучения продолжу реализацию стратегии развития нашего центра противодействия киберугрозам с учетом новых знаний.

Занятия помогли закрепить и существенно расширить мои знания в построении и развитии SOC. Самыми полезными для меня оказались три блока: организация SOC, развитие и оценка зрелости, а также мониторинг и харденинг. Это именно те направления, где нам нужно было усилиться.
Теперь у меня есть четкое понимание, как улучшать наш SOC во всех этих направлениях одновременно. Я настолько впечатлен результатом, что уже рекомендовал практикум нескольким знакомым специалистам по безопасности. Считаю, что он необходим всем, кто серьезно относится к защите своего бизнеса.

Практикум полностью изменил мой взгляд на то, какие функции SOC действительно критичны, а без каких можно обойтись на начальных этапах. Это была для меня настоящая переоценка приоритетов.
Но главное — я существенно улучшил навык аргументации своей позиции перед топ-менеджментом. Теперь у меня есть комплексное системное понимание того, каким действительно должен быть SOC, и я могу это объяснить руководству на их языке. Именно поэтому считаю, что практикум особенно полезен для руководителей и менеджеров. Здесь минимум технической составляющей и максимум стратегии — это абсолютно правильный подход.

Искренняя благодарность за очень интересную программу и высокий уровень ее проведения. Это именно то, что я искала!
За время обучения удалось: получить системное представление о методологиях проектирования и развитии SOC разобрать лучшие мировые практики по оценке деятельности SOC получить исчерпывающие материалы и шаблоны, которые можно применять в своих проектах вести открытый диалог с экспертами отрасли и получить ответы на самые узкоспециализированные вопросы
Все раздаточные материалы оказались действительно полезны. Особая благодарность за атмосферу сотрудничества и поддержку на каждом этапе обучения. Благодаря вашему опыту и увлеченности темой мы чувствуем себя гораздо увереннее в реализации собственных задач по созданию SOC.

Для меня оказались особенно ценными три блока практикума: харденинг, шаблоны функций SOC (которые работают как чек-лист — о чем нужно подумать при проектировании) и экономическое обоснование проектов безопасности. Результаты не заставили себя ждать. По харденингу задачи уже ушли в работу нашей команде. Поставил задачи по сегментации сети. Но самое важное — я пересмотрел и поправил договор на внешний SOC, проговорил с внешней командой все критичные моменты, которые раньше упускал из виду. Я убежден, что практикум идеально подходит для CISO и CIO, потому что дает именно то, что нужно на их уровне: стратегическое видение построения SOC, конкретные инструменты для обоснования бюджета перед руководством и четкое понимание, как интегрировать функции центра мониторинга в общую ИТ-стратегию компании.

Я считаю, что практикум является исключительно полезным и, что самое главное, прикладным, который закрывает самый большой пробел в современной информационной безопасности: переход от технического специалиста к стратегическому партнеру бизнеса. Я бы разделил самые полезные результаты практикума на три ключевые категории, которые позволили мне создать и обосновать этот проект перед руководством:

• Инструменты и навыки принятия решений (самое важное)
• Процессный и функциональный подход
• Технологическая реализация и автоматизация

Самое фундаментальное изменение коснется того, как мы управляем киберинцидентами и как мы отчитываемся об их эффективности. На мой взгляд, этот практикум наиболее полезен для двух ключевых групп специалистов, находящихся на перекрестке стратегии, финансов и операционной деятельности. Первая — руководители и директора по информационной безопасности. Для CISO ключевая задача — доказать ценность ИБ для бизнеса. Практикум дает инструменты, которые позволяют говорить с руководством на их языке: финансовое обоснование (TCO) для сравнения вариантов построения SOC, стратегический язык (CMM) для оценки текущей зрелости и построения дорожной карты развития. Это превращает проект SOC из технического мероприятия в управляемую бизнес-стратегию. Плюс понимание того, как отчитываться перед топ-менеджментом о снижении MTTR и уровне остаточного риска. Вторая группа — руководители SOC и старшие инженеры, готовящиеся к повышению. Они отвечают за превращение стратегии в работающий механизм. Специалист получает практическое знание о том, как функционально разделять зоны ответственности, как спроектировать архитектуру на базе SIEM и SOAR, как формализовать процессы реагирования (Playbooks), что критически важно для сокращения MTTR. Плюс понимание, сколько людей нужно, с какими функциями, и как задействовать смежные подразделения, чтобы избежать перегрузки L1-аналитиков.

Занятие от Алексея Лукацкого по аналитике, графикам и эффективности SOC стало для меня настоящим прорывом. Как CISO, я уже обладаю всей необходимой технической базой, но остро нуждался именно в процессах, метриках и понимании эффективности — и здесь я получил всё это сполна. Очень много чего для себя уяснил. Теперь буду внедрять систему метрик по оценке эффективности и серьезно дорабатывать нашу отчетность, чтобы она показывала реальную ценность работы SOC. На мой взгляд практикум будет полезен руководству компаний, менеджерам проектов, менеджерам SOC и тем, кто только планирует строить центр мониторинга, но не знает, с чего начать и во сколько это реально обойдется. Здесь есть ответы на все эти вопросы.

В самую первую очередь займусь харденингом по своей части. Также запрошу права на чтение в NTA, WAF, SIEM и других системах, чтобы изучать продуктивные инсталляции у коллег и понимать, как они настраивают свои системы защиты. Думаю, что практикум в первую очередь полезен инженерам кибербезопасности и ИБ любых направлений для систематизации знаний и расширения кругозора, потому что наша область очень разношерстная. Из руководителей подойдет тем, кто относительно недавно вырос из рядовых инженеров и еще помнит техническую часть. Для топов, которые давно не касались технологий руками, практикум может оказаться слишком детальным.

Огромное спасибо разработчикам и создателям программы АСБ, всем, кто имеет отношение к разработке как самой программы обучения, так и созданию полноценных учебных стендов, а также продуктов PT EdTechLab и PT Matrix! От двух последних получил большое удовольствие во время обучения, пытаясь максимально извлечь пользу от предоставленного материала и решения кейсов различного уровня сложности. Сценарий, разобранный в PT Matrix, стал для меня итоговым испытанием, которое показало, чему лично я смог научиться и какой процент материала был впитан за время обучения. Практикум полезен для любого человека, который отвечает в организации за информационную безопасность, начиная с начинающего специалиста и заканчивая CISO. И чем раньше работник познакомится с программой, тем лучше. Я считаю, что подобные образовательные программы должны быть доступны для каждой организации, и освежать знания необходимо минимум раз в год. Самым полезным навыком для меня стала работа в PT NAD, буду использовать навыки для проведения пентеста, о которых подробно рассказал на занятии Артем Павлов. Теперь буду более тщательно и профессионально подходить к процессу харденинга инфраструктуры, разработаю по-настоящему полезные шаблоны в PT NAD для результативного мониторинга сетевых атак.

Самыми полезными инструментами и навыками из практикума для меня стали несколько направлений. Во-первых, харденинг как системный подход к защите. Во-вторых, весь раздел по моделям действий злоумышленника, который дал понимание, как они мыслят и действуют. Также WAF и углубленное представление о работе SOC. Отдельно хочу выделить управление рисками и РКБ, потому что это именно те области, где нужно было усилить экспертизу для принятия обоснованных решений в области безопасности.
Практикум подойдет инженерам ИБ, которые хотят расширить свой кругозор в области информационной безопасности в целом. Правда, инженеры SOC могут быть не особо довольны, так как много материала им уже знакомо. Зато тем, кто хочет стать архитекторами, будет очень полезно, потому что есть возможность расширить свой кругозор ИБ в целом, получить практику работы с различными типами СЗИ и укрепить понимание принципов работы систем защиты.