Разработчик сценариев киберучений

С начала 2019 года компания «Перспективный мониторинг» проводит публичные киберучения для различных специалистов в области информационной безопасности на своей учебно-тренировочной платформе (киберполигоне) Ampire. Мы провели около пятидесяти занятий в онлайн и очном форматах. И все эти занятия объединяла одна вещь — участники проходили какой-либо сценарий киберучений.

Если интересно почитать про киберучения, про них больше написано тут:

Технофест

SOC Forum

ДВФУ

Что такое «сценарий» в терминах Ampire

Если опустить кучу деталей, то киберполигон Ampire — это модель инфраструктуры предприятия, реализованная в виртуальной среде.

В начале занятий преподаватель запускает «предприятие» и выбирает сценарий атаки, который будет проигрываться в ходе данной тренировки. Автоматический нарушитель начинает предпринимать какие-то действия, направленные на инфраструктуру, согласно разработанного сценария. Нарушитель может сканировать сеть, проверять наличие уязвимостей на узлах инфраструктуры, эксплуатировать их, брутфорсить учётные записи — всё то, чем занимаются реальные нарушители.

Задача разработчика автоматических действий атакующего («сценариста») — превращать идеи атак в возможность запустить сценарий одной кнопкой в Ampire.

Из чего состоит сценарий

Сценарий состоит из шести составляющих. Сценарий не считается законченным, пока нет хотя бы одной части.

  • Скрипт атакующего, который содержит некую программную логику для реализации компьютерной атаки, а также перечень дополнительных модулей, артефактов или IoC, характерных для конкретного сценария (почтовые вложения, ВПО, тексты писем и т.д.).

  • Чекеры — это набор скриптов, проверяющих наличие и статус уязвимостей, входящих в сценарий.

  • Виртуальные машины, которые содержат заложенные в сценарий уязвимости или слабости. Скрипт атакующего эксплуатирует уязвимости и слабости. Эти уязвимости проверяются чекерами.

  • Средства детектирования действий злоумышленника — события IDS, логи, антивирусы и т.п.

  • В некоторых сценариях важную часть играют пользовательские скрипты, имитирующие действия реальных пользователей (например, эксплуатация XSS или чтение документа с вредоносным вложением).

  • Документы на сценарий — руководства студента и преподавателя.

То есть цепочка будет довольно простой: автоматический нарушитель должен отработать свой порядок действий, средства защиты — зафиксировать эту активность, а студенты и преподаватель — понять, что произошло и как разобраться с этим инцидентом.

Что нужно будет делать

  • Руководить небольшой группой разработчиков сценариев, писать скрипты на python для автоматизации действий нарушителя.
  • Участвовать в подготовке к релизам.
  • Тестировать, отлаживать и поддерживать разработанные скрипты и сценарии (в том числе те, которые разработали не вы).
  • Готовить стенды виртуальных машин для создания и демонстрации скриптов нарушителя.
  • Разрабатывать, тестировать и поддерживать скрипты, имитирующих работу обычных пользователей (работа с приложениями, сайтами, почтой и т.д.).
  • Писать и поддерживать методические документы для сценариев (для этого разработаны инструкции, есть структура и требования, придумывать ничего не придётся).
  • При желании есть возможность участвовать в проектах по тестированию на проникновение.

С кем придётся работать

У нас уже есть «сценарист», который поможет разобраться и введёт в курс дела.

Интегрировать сценарии и доработать инфраструктуру виртуального предприятия помогут сотрудники отдела инфраструктуры — системные администраторы и девопсы.

По инструментам атакующего и эксплойтам могут проконсультировать пентестеры. Они же являются основными генераторами идей для сценариев. Идей с описаниями сценариев у нас уже очень много — бери и делай. Если появятся вопросы по работе средств защиты информации, используемым в инфраструктуре предприятия, помочь смогут сотрудники нашего Security Operations Center.

Методички студента и преподавателя редактирует технический писатель.

Какие нужны опыт и квалификация

  • Понимание основных угроз информационной безопасности ИС, типов уязвимостей.
  • Желателен практический опыт проведения тестов на проникновение и анализа защищённости информационных систем. Понимание методологии проведения тестов на проникновение и анализа защищённости (Web-приложения, внешний периметр (демилитаризованная зона), корпоративная сеть).
  • Опыт участия в CTF, решения задач на HackTheBox, Vulnhub и других площадках.
  • Понимание работы PoC и эксплойтов.
  • Опыт работы с основными инструментами для проведения тестов на проникновение и анализа защищённости ПО (nmap, hydra, metasploit, и т.д.).
  • Знание Python и наличие опыта разработки на нём от 1 года.

Условия работы:

  • Работа в офисе в Технопарке «Отрадное», метро Отрадное.
  • начало работы с 8.00 до 11.00, продолжительность рабочего дня 8 часов + 1 час на обед.
  • оплачиваемое работодателем питание в офисе или кафе.
  • ДМС (добровольное медицинское страхование) — различные варианты программ, страховка от несчастных случаев.
  • корпоративные мероприятия и спортивные инициативы (футбол).
  • тренажёрный зал в здании офисного центра.
  • изучение английского в офисе.
  • возможность получения профессиональных сертификатов и прохождения курсов повышения квалификации за счёт компании.

Отликнуться на вакансию
Разработчик сценариев киберучений
Фамилия Имя Отчество
Адрес электронной почты
Телефон
Расскажите о себе
и о своем опыте работы