Обязательные знания и навыки в кибербезе

Знания и навыки

  • Знание основ сетевых технологий (модель OSI, стек протоколов TCP/IP);
  • Знание основ управления учётными записями и привилегиями в Windows, Unix, PostgreSQL, MSSQL;
  • Знание архитектуры ОС семейства Windows и Linux;
  • Общее представление о типах журналов Windows;
  • Знание основ администрирования СУБД;
  • Знания принципов и сценариев реализации компьютерных атак;
  • Понимание принципов работы SIEM систем;
  • Понимание работы протоколов SMB, NTLM, Kerberos, SSH, HTTP(S);
  • Понимание критичности уязвимостей;
  • Понимание методологий MITRE ATT&CK и Cyber Kill Chain;
  • Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД;
  • Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, приложений и т.п.
  • Навыки написания скриптов на Python, PowerShell, написание SQL-запросов;
  • Навыки администрирования операционных систем семейства Unix;

Детальное описание знаний и навыков

  • Знание того, как устроены ОС Windows и Linux (токены доступа, дескрипторы безопасности; rwx, sticky/suid/guid bits), какие есть виды учетных записей (системные типа www-data, привилегированные типа SYSTEM, root или администратор; nobody, guest и т.д.), какие у пользователей есть возможности и что от них можно ожидать (например, от SYSTEM мы не ожидаем выполнение whoami), особенные группы (sudo, Administrators);
  • Знание того, какие бывают службы и приложения в ОС Linux и Windows, как обычно используются легитимными пользователями и атакующими: WMI, sshd, Task Scheduler/cron, cmd.exe, reg.exe, conhost.exe, mshta.exe, веб-серверы (Apache, Nginx, Microsoft IIS, Python HTTP Simple), FTP-серверы (vsftpd), почтовые агенты (exim, Outlook), архиваторы (7-Zip);
  • Знание базовых команд и утилит для выполнения команд, разведки, удаленного создания и запуска служб, сбора системной информации: cmd/PowerShell/*sh: cd, ls, mv, whoami, uname, find, curl, wget, cron; dir, net, systeminfo, tasklist, taskkill, schtasks, psexec, qwinsta, qappsrv, Invoke-WebRequest и т.д.;
  • Знание портов основных протоколов;
  • Понимание классов протоколов по области применения;
  • Понимание того, какие протоколы для корпоративной сети являются стандартными (LDAP, DNS, Kerberos, SMB), а какие – аномальными или требующими внимания (RDP, VNC, TeamViewer, SOCKS5, SMBv1);
  • Понимание работы Kerberos, LDAP, SMB, RDP, SSH, SOCKS5, WinRM;

См. Примерные темы студенческих работ по кибербезу