Центр обучения команд по кибербезопасности

Участвовал в очной программе для руководителей. Очень высокий уровень экспертов и формат подачи: не лекция, а диалог, кейсы, дискуссии. За два дня получил больше, чем от многих недельных программ. Отличная организация и атмосфера.

На мой взгляд, практикум наиболее релевантен для аналитиков NTA-решений. В моем случае ключевая польза заключалась в том, что в рамках рабочих обязанностей аналитика Threat Hunting я смог поработать с NTA-системой PT NAD. Особенно ценными оказались практические задания: именно на реальных кейсах я увидел, каким образом атаки могут алертить.

Одним из наиболее важных навыков, полученных на практикуме, считаю четкое понимание отличий false-сработок от реальных атак. В реальной инфраструктуре атаки происходят настолько редко, что можно сказать не происходят вовсе (и это хорошо). После прохождения практикума я стал больше обращать внимание на алерты в ленте активностей PT NAD и сделал массу исключений для false-срабатываний.

Самый важный навык, который я получил, — умение смотреть на состояние защищенности своей инфраструктуры. Теперь ясно не только как защищать, но и как реально проверять уровень защищенности. Очень полезным было знакомство с модулем НСС в MaxPatrol. На виртуальном стенде удалось реализовать несколько атак на сетевую инфраструктуру, и я понял, что подобный полигон можно развернуть и у себя для отработки навыков.

Благодаря практикуму мне стали понятны общие принципы харденинга, теперь я планирую пересмотреть ряд регламентирующих документов по ИБ и изменить некоторые процессы, чтобы повысить их эффективность.

Я бы сказал, что практикум будет особенно ценен для начинающих специалистов по ИБ и ИТ: он дает понимание инфраструктуры и формирует грамотный подход к настройке безопасности. Материал помогает получить систематизированные знания для решения повседневных задач. Для специалистов по информационной безопасности, решивших изменить направление развития, практикум станет хорошей точкой входа. А для руководителей ИТ и ИБ он полезен с точки зрения понимания работы смежных структур и выстраивания совместных процессов.

Практикум особенно полезен тимлидам и руководителям: важно правильно спланировать работу, а по пройденному материалу уже можно выстраивать процесс как оркестратор. Для технических специалистов это хорошая база, хотя объем знаний может оказаться избыточным.

Пройдя практикум, я смог значительно улучшить навыки в области харденинга и организации работ по обеспечению ИБ. Знания по ряду областей значительно углубились: появились конкретные команды и чек-листы. Я увидел слабые места в сегментации сетей для разных сред (prod/dev/test), что поможет более грамотно подходить к настройке сетевой безопасности. Особенно полезным стало умение оценивать важность активов и приоритизировать задачи по ИБ — это позволяет эффективнее распределять ресурсы и внимание на наиболее критичные области.

Одним из ключевых моментов стало осознание важности фиксации изменений после проделанных работ. Раньше часто возникали ситуации, когда было непонятно, что и как было сделано. Теперь я вижу, как можно визуально реализовать и поддерживать прозрачность в IT-инфраструктуре. Отдельным блоком планирую повторно проработать AppSec и DevSecOps: это пока «серая зона», но теперь у меня есть понятный план действий.

Раньше мы часто выполняли задачи хаотично, без четкого планирования и последующей проверки результатов. Теперь я понимаю, как выстроить процесс работы так, чтобы всё было системно и эффективно, появился четкий стек задач, которые нужно выполнить. Сразу после практикума я начал составлять стратегию с учетом полученных знаний, чтобы подойти к внедрению системно.

На практикуме по безопасной разработке я наконец понял, как внедрять защиту без ущерба для скорости. Всё подано просто, по делу, с реальными примерами. Уровень экспертов и качество материалов — выше всех похвал.

Практикум по управлению уязвимостями даёт хорошее представление о самом процессе: новичкам поможет разобраться в основах, тем, кто в теме, — систематизировать подход и взглянуть под новым углом. Практика на реальных кейсах позволяет лучше усвоить материал и познакомиться с инструментами. Преподаватели делятся живым опытом, что делает обучение особенно ценным. В итоге формируется цельная картина зрелого процесса, к которому хочется стремиться.

Программа по управлению уязвимостями помогла выстроить целостный подход к процессу. Раньше было хаотично, теперь — системно и прозрачно. Отдельное спасибо за шаблоны и практику на реальных сценариях.

Практикум по анализу сетевого трафика отлично помогает прокачать навык «слышать» трафик и видеть за ним действия злоумышленников. Реальные кейсы, инструменты и живая работа с дампами — всё по делу. Отдельно благодарю преподавателей за глубокую экспертизу и умение объяснять сложное простым языком.

Шёл на практикум по архитектуре сетевой безопасности, чтобы выйти из профессионального вакуума — и получил не только подтверждение актуальности своих знаний, но и системный рост. Практикующие преподаватели, живой диалог, реальные кейсы — всё это создало уникальную атмосферу. Особенно важным было переосмысление MITRE ATT&CK, понимание недопустимых событий и умение обсуждать бизнес-риски с заказчиком. Программа насыщенная, гибкая, и очень вовлекающая.

На мой взгляд практикум будет особенно полезен инженерам и аналитикам ИБ, администраторам, эксплуатирующим NTA-решения, а также экспертам SOC. Частью моей работы являются пилоты, обучающие вебинары и демонстрации продуктов Positive Technologies, включая PT NAD. У меня уже был опыт анализа событий и проведения расследований, однако практикум позволил расширить навыки именно в этой области. Понимание того, как работает инструментарий, используемый пентестерами и злоумышленниками, поможет мне качественнее готовить пилоты и демонстрации. 

Лично для меня особенно ценным оказался разбор инструментов и техник, с которыми я регулярно сталкиваюсь: impacket, meterpreter, NTLM relay, фреймворки постэксплуатации, атаки DCSync, Zerologon и DCShadow. Эти сценарии часто встречаются практически на каждом пилоте, и возможность проработать их в лабораториях значительно облегчает анализ событий. Также я по-новому взглянул на атаку DCSync. Раньше из-за ограниченного времени на пилотах я предпочитал демонстрировать более простые события и лишь вскользь упоминал о проблемах с DCSync. После практикума у меня появилось четкое понимание механизма атаки, используемых инструментов и признаков, на которые стоит обращать внимание при анализе.