Продолжаю делиться информацией о своей базе знаний по старту карьеры в кибербезопасности. Судя по наплыву людей в личку и мои соцсети, предыдущий пост про сайты с практическими заданиями, людям пришёлся по душе, поэтому, сегодня продолжим разговор о практике...
Итак, вы потренировались на сайтах, которые иммитируют самые популярные ИБ-продукты - все эти SIEM-ки, NGFW-шки, EDR-ы... И поняли, что хотите получить опыт ещё более приближенный к практике - иммитация вас не устраивает. Что делать в таком случае? Собирать свою мини-систему защиты на реальных, "боевых" продуктах. Благо, некоторые вендоры предоставляют их в бесплатное пользование, да и Open-source ПО в реальных системах используется немало.
Всё описанное ниже подходит, в первую очередь для людей, которые планируют в будущем заниматься внедрением средств защиты, но полезно будет и для потенциальных участников красной и синей команд - так, например, прописывание или настройка коннекторов в тех же SIEM, часто ложится на плечи инженеров SOC 1 линии. Да и для пентеста неплохо бы понимать, как работает и настраивается то или иное средство защиты.
Вариантов стенда для самостоятельной практики может быть множество. Ниже приведён один из вариантов, который не должен сильно нагрузить вашу систему (мы же отталкиваемся от того, что поднимать это будут вчерашние студенты на личном компьютере, купленном "для учёбы"). Можете не зацикливаться на схеме ниже, и просто пойти изучать какие-то конкретные продукты из списка по курсам на Youtube, например
В качестве Firewall, IPS, Monitoring System и SIEM можно выбрать любой подходящий продукт из списков ниже.
IPS ставить опционально. Многие из межсетевых экранов содержат её, как встроенный модуль, можно с её функционалом познакомиться через них.
Ниже всё ПО будет разделено на категории - средства защиты популярные во всём мире, только на российском или только на зарубежном рынках.
Продуктов таких немало, подозреваю, в посте перечислена лишь небольшая часть. Но, думаю, в комментариях предложат ещё немало вариантов
Популярное во всём мире:
Системы мониторинга:
Zabbix - https://www.zabbix.com/ru - ПО для мониторинга различных параметров оборудования и ПО. Популярно в SOC и не только
Grafana - https://grafana.com/grafana/ - ПО для мониторинга различных параметров оборудования и ПО. Популярно в SOC и не только
IPS/IDS:
Suricata - https://suricata.io/download/ - самая популярная на мировом рынке open-source IPS систем. Имеет топорный интерфейс, но огромная часть коммерческих IPS - это Surricata с небольшими дорfботками и приделанным GUI, поэтому, стоит ознакомиться с ней - при работе с российскими IDS/IPS часто придётся иметь дело, именно, с Суррикатой.
Snort - https://www.snort.org/downloads - одна из самых популярных на мировом рынке open-source IPS систем. Имеет топорный интерфейс, но немалая часть коммерческих IPS - это Snort с небольшими дорfботками и приделанным GUI
Межсетевой экран:
pfsense - https://www.pfsense.org/download/ - самый широко используемый open-source межсетевой экран. Не дотягивает до NGFW, но вполне полноценный UTM
opensense - https://opnsense.org/download/ - форк pfsense, не такой популярный, но обладает более удобным интерфейсом, поэтому, более простой в основении.
SIEM, EDR:
Wazuh - https://wazuh.com/ - Самая популярная open-source SIEM-ка и EDR
Дистрибутивы Linux для пентеста
Kali Linux - https://www.kali.org/ - самый популярный ИБ дистрибутив. Наиболее популярен среди пентестеров, особенно, на начальном уровне. Удобен тем, что в нём предустановлено очень много ПО для тестирования на проникновение.
Parrot Security OS - https://www.parrotsec.org/ - чуть менее популярный (но от этого не менее хороший) среди пентестеров дистрибутив
VPN-сервера (Для отработки их настройки лучше поднять отдельный стенд - в рамках представленного на схеме они просто будут отъедать лишние ресурсы ПК)
Wireshark - https://www.wireshark.org/download.html - Анализатор траффика. Может быть полезен, как для пентеста, так и для расследования инцидентов.
OpenVPN - https://openvpn.net/ - популярное VPN-решение. Постепенно переходит в разряд “востребованных за рубежом”
Востребованные в РФ:
Infotecs (ViPNet) - https://infotecs.ru/downloads/demo/ - самый популярный (по числу внедрений на 2023 год) ГОСТовый криптошлюз (VPN-сервер)+клиенты
Код безопасности (Континент 4) - https://www.securitycode.ru/company/news/testovyy-stend-kontinent-4/ - полноценный стенд из нескольких продуктов от одного из самых популярных в РФ производителей решений для обеспечения информационной безопасности. Можно поднять всё в соответствии с предложенной схемой, хотя ваш ПК вряд ли потянет всё разом.
Востребованные за рубежом:
Splunk - https://www.splunk.com/en_us/download.html - одна из самых популярных в мире SIEM-систем. Предоставляет полугодовой пробный период для ознакомления.
Sophos Free Firewall Home Edition https://www.sophos.com/en-us/free-tools/sophos-xg-firewall-home-edition - не самый популярный на мировом рынке NGFW, но один из немногих, предоставляющих бесплатную версию своего продукта для тестирования и персонального использования.
Ну и напоследок пара ссылок для тех, кому лень листать вверх...
Та самая база знаний по старту карьеры в Информационной безопасности
