DFIR (Digital Forensics and Incident Response) — направление в кибербезе, занимающееся реагированием на инциденты и объединяющее в себе, как ни странно, два ключевых процесса:

👣 Digital Forensics (Цифровая криминалистика) – сбор, анализ и сохранение цифровых доказательств с устройств (компьютеры, телефоны, серверы, облачные хранилища) для расследования инцидентов. То, как именно собираются и обрабатываются данные - особенно важно, так как впоследствии может использоваться для судебных разбирательств

🚀 Incident Response (Реагирование на инциденты) – классическая модель реагирования на инциденты с этапами обнаружения, сдерживания, устранения и восстановления после кибератак любого плана: от утечек и дефейсов до целевых атак с продвинутыми APT-угрозами

Важно разделять направление классической криминалистики от DFIR, так как, несмотря на схожесть отдельных процессов (например, по сбору артефактов), принципы и функционал самих специалистов существенно отличаются. Об этом писала здесь. Если коротко, криминалист не реагирует на инцидент! Он говорит фактами, что происходило с конкретным устройством. Респондер (ака специалист по реагированию, иногда величают форензиком) распутывает всю цепочку атаки, дает рекомендации, что делать сейчас и потом, может охотиться за злоумышленниками рука об руку с ИТ-специалистами, а может делать ретроспективный анализ спустя время

Основные обязанности специалиста по реагированию:
- расследование атак на любых этапах ее развития
- активное реагирование с конечной целью полностью вытеснить злоумышленника из скомпрометированной сети. Тут может потребоваться в режиме реального времени что-то поделать ручками на пораженных машинках
- подготовка отчетов для технических инженеров, в том числе для последующего улучшения защищенности пострадавшей инфраструктуры, руководства или суда
- анализ вредоносного ПО, которое было найдено в процессе
- опционально: восстановление удаленных/поврежденных данных. Чаще всего, это только про базовые методы карвинга
- опционально: проактивное выявление следов компрометации до реализации финальной стадии атаки. Пример: есть подозрение о компрометации сети, но очевидных следов этого пока что нет (никто в телеге про это еще не написал, сеть не пошифрована и в целом все вполне функционирует). Задача специалиста: доказать или опровергнуть подозрения, а значит исследовать очень много машин

Как стать таким специалистом? Минимальный перечень требований:
- знание операционных систем на уровне администратора (семейства Windows/Linux, идеально, если еще и macOS)
- понимание сетевых протоколов и атак
- опыт работы с основными инструментами криминалистики (FTK Imager, Volatility для анализа памяти, The Sleuth Kit, Eric Zimmerman тулы)
- знание законодательства (например, что такое GDPR и 152-ФЗ)
Еще больше деталей - в этом видео

Подводя итог, реагирование на инциденты и цифровая криминалистика (DFIR) – это реагирование с использованием практик и методов цифровой криминалистики. Далеко не всегда штатное логирование ОС дает полную картину случившегося, про EDR и централизованный сбор телеметрии слышали далеко не все, либо по иным причинам до конца непонятно, что произошло: как раз здесь может помочь криминалистика, ее методы и подходы к анализу данных. Более глубокое и тщательное изучение данных помогает не только построить полную картину инцидента, но и улучшить защищенность сети исходя из своих же ошибок, а оформление всех этапов реагирования позволяет при необходимости предоставлять соответствующие отчеты в правоохранительные органы.

👨‍🏫 Менторство ИБ | Чат

Специалист по сетевой безопасности | Часть 1

Специалист по сетевой безопасности — это инженер, специализирующийся на сетевых угрозах и средствах защиты. Его задача — обеспечить безопасность сетевой инфраструктуры компании. По сути, это не отдельная должность, а, скорее, специализация в рамках должности. Безопасники с такими знаниями востребованы на двух позициях. Первая — аналитик SOC L2 и выше. В таком случае, специалист по сетевой безопасности занимается расследованием сетевых атак и помогает другим специалистам SOC со сбором логов с сетевых устройств. Таких специалистов, на самом деле не так много, так как очень мало SOC-ов делит специалистов по их направлениям. Второй вариант, который на данный момент встречается гораздо чаще — это инженеры СЗИ со специализацией на сетях. Такие специалисты занимаются внедрением и настройкой средств защиты сетей — межсетевые экраны, IDS/IPS, VPN и т.д.

Чем занимается специалист по сетевой безопасности?
Он работает со средствами защиты сетевой инфраструктуры, включая:
- Криптография (VPN, ZTA).
- Межсетевые экраны (МСЭ/Firewall) разных видов (от пакетных фильтров до NGFW) и уровней (от всё тех же пакетных фильтров до WAF)
- Средства защиты от DDoS-атак
- Системы обнаружения/предотвращения вторжений (IDS/IPS).
Помимо работы непосредственно со средствами защиты сети, специалист по сетевой безопасности так же работает и с другими сетевыми устройствами, такими как коммутаторы, маршрутизаторы, балансировщики, прокси-сервера и т.д. А так же занимается проектированием безопасной сетевой архитектуры.

Основные обязанности:
1. Развертывание и настройка СЗИ (в случае работы на позиции инженера):
- Установка и конфигурация VPN, ZTA, IDS/IPS.
- Настройка правил межсетевых экранов (Check Point, Fortinet, Континент, ViP Net).
2. Мониторинг и реагирование (в случае работы на позиции SOC-аналитика):
- Анализ логов МСЭ, IDS/IPS, сетевых устройств, расследование инцидентов.
3. Поддержка соответствия стандартам:
- Подготовка к проверкам местных надзорных органов, таких как ФСТЭК и ФСБ и аудитам, например, на соответствие PCI DSS.
- Документирование политик безопасности (например, Политика ИБ по приказу №17 ФСТЭК).

---

Почему специалист по сетевой безопасности важен?
- Законодательные требования: Без сертифицированных сетевых средств защиты компании не могут работать с гостайной или персданными (152-ФЗ), а так же пройти различные аудиты.
- Защита от кибератак: Правильно настроенные СЗИ блокируют до 90% стандартных атак.
- Репутационные риски: Утечки данных ведут к штрафам и потере клиентов.

👨‍🏫 Менторство ИБ | Чат

Специалист по сетевой безопасности | Часть 2

Как может выглядеть рабочий день специалиста по сетевой безопасности?
1. Проверка алертов NGFW/IDS/IPS/WAF, анализ ночных событий (например, подозрительные подключения).
2. Работа с оборудованием:
- Обновление правил межсетевого экрана после согласования с инфраструктурной командой.
- Настройка криптографических средств.
3. Документирование:
- Заполнение Журнала учета СЗИ (требование ФСТЭК).
- Подготовка отчета о выполнении Плана мероприятий по ИБ.
- Создание схемы сети.
4. Совместные задачи:
- Участие в аттестации объекта (для госорганизаций).
- Проведение пилотного проекта нового МСЭ (например, PT NGFW).
5. ЧС и инциденты:
- Реагирование на DDoS-атаку (блокировка отдельных адресов, корректировка правил anti-DDoS и WAF).
- Расследование срабатывания IDS (например, Suricata).

Как стать инженером специалистом по сетевой безопасности?
1. Базовые знания:
- Модель OSI, сетевые устройства.
- ОС (в первую очередь - Linux), работа с терминалом.
- Основы криптографии (сертификаты, ГОСТ Р 34.12).
- Нормативные документы (ФСТЭК, 152-ФЗ).
2. Инструменты:
- Российские СЗИ: ViPNet, Континент, PT NGFW.
- Международные: Palo Alto, Fortinet, Cloudflare, Cisco ASA, CheckPoint.
3. Сертификации (не обязательно, но может помочь при поиске работы):
- в РФ — вендорские сертификации: «Администрирование Континент 4», «Администрирование системы защиты информации ViPNet» — обычно, эти сертификации проводят уже после трудоустройства. Но, если вы получите одну из них на этапе поиска работы, это может сильно упростить процесс.
- за рубежом — вендорские сертификации, ISC2 (CC), CompTIA (Security+), CompTIA (Network+), CCNA (сертификация вендорская, но очень широко котируемая).
4. Практика:
- Стажировка в ЦОДах или госструктурах.
- Проектирование и настройка небольшой сети в Cisco Packet Tracer.
- Лабораторные работы с демо-стендами от компаний-производителей средств защиты, либо Open-source продуктами
- Практические задачи по анализу сетевого трафика на сайтах типа hackthebox.com, letsdefend.io и malware-traffic-analysis.net

Суммируем
Сетевая безопасность - фундамент инфраструктурной безопасности. Хороший инженер по сетевой безопасности может не только настроить новое правило на межсетевом экране, но и с нуля спроектировать и внедрить систему сетевой безопасности, а так же предотвратить сетевую атаку или помочь своим коллегам расследовать инцидент ИБ.

Сетевая безопасность — высокооплачиваемая область, которая, часто, предлагает большое число командировок. При этом, в рамках сетевой безопасности затруднена удалённая работа и переход с российского рынка на международный. В сетевую безопасность можно довольно легко перейти специалистам, которые до этого занимались инфраструктурой - системным администраторам и сетевым инженерам. После освоения этой роли и получения некоторого опыта, можно как продолжить развиваться в этой роли, так и начать двигаться в направлении Архитектора информационной безопасности.

👨‍🏫 Менторство ИБ | Чат