Аналіз захисту кіберпростору

Проводить захисні заходи та використовує інформацію, зібрану з різних джерел, для ідентифікації, аналізу та звітування про події, які виникають або можуть виникнути в мережі для захисту інформації, інформаційних систем та мереж від загроз.

Нижче наведені ролі для цього спеціального простору. Клацніть кожну роль, щоб побачити KSA (Знання, навички та здібності) та Завдання.

Аналітик системи захисту кіберпростору

(PR-CDA-001)
Використовує дані, зібрані за допомогою різних засобів кіберзахисту (наприклад, сповіщення системи виявлення атак, брандмауери, журнали реєстрації мережевого трафіку) для аналізу подій, що відбуваються в середовищах з метою пом’якшення загроз.

Завдання

  • T0020: Розробляти контент для інструментів кіберзахисту.
  • T0023: Характеризувати та аналізувати мережевий трафік з метою виявлення аномальної активності та потенційних загроз мережевим ресурсам.
  • T0043: Координувати свої дії з корпоративним персоналом кібербезпеки для перевірки мережевих сповіщень.
  • T0088: Забезпечувати зменшення встановленого ризику до прийнятного рівня за допомогою продуктів, які сприяють кібербезпеці, та інших компенсуючих технологій контролю безпеки.
  • T0155: Документувати та прогнозувати наслідки інцидентів (включаючи історію інциденту, його стан і потенційний вплив на подальші дії), які можуть чинити постійний і безпосередній вплив на навколишнє середовище.
  • T0164: Проводити аналіз тенденцій в області кібербезпеки та готувати звітні документи про результати такого аналізу.
  • T0166: Встановлювати взаємозв’язки між подіями, використовуючи для цього дані, отримані з різних джерел всередині організації, з метою отримання повної інформації про ситуацію, що склалася і визначення ефективності виявленої атаки.
  • T0178: Проводити аналіз системи безпеки, визначати вади в архітектурі безпеки, і на основі отриманих результатів розробляти рекомендації щодо їхнього включення в стратегію зниження негативних наслідків від реалізації ризиків.
  • T0187: Планувати та розробляти рекомендації щодо змін або коригувань на основі результатів застосування або інфраструктури системи.
  • T0198: Готувати щоденні підсумкові звіти про мережеві випадки та заходи, пов’язані з практичними підходами до захисту кіберпростору.
  • T0214: Приймати і аналізувати сигнали сповіщення про небезпеку від різних джерел всередині організації та визначення можливих причин появи таких сигналів.
  • T0258: Своєчасно виявляти, ідентифікувати і сповіщати про можливі атаки/вторгнення, аномальні процеси і неправомірні дії, а також виділяти такі інциденти і події серед правомочних дій.
  • T0259: Використовувати засоби відображення кібератак при безперервному моніторингу та аналізу активності системи з метою визначення шкідливої діяльності.
  • T0260: Аналізувати виявлені шкідливі процеси для визначення використовуваних в протиправних цілях вразливостей, методів такого протиправного використання, а також їх негативного впливу на систему та інформацію.
  • T0290: Визначати тактики, техніки і процедури (TTP) для запобігання вторгнень.
  • T0291: Досліджувати мережеві топології з метою розуміння напрямків потоків даних, що транслюються через мережу.
  • T0292: Надавати рекомендації щодо усунення вразливостей комп’ютерного середовища.
  • T0293: Визначати та аналізувати аномалії в мережевому трафіку з використанням метаданих.
  • T0294: Проводити дослідження, аналіз та перевірку взаємозв’язків широкого спектра сукупностей даних, отриманих з усіх джерел (показники і попередження).
  • T0295: Підтверджувати сигнали про небезпеку в системах виявлення вторгнень (IDS) на основі контролю мережевого трафіку з використанням інструментів аналізу пакетів.
  • T0296: Ізолювати і видаляти шкідливе ПЗ.
  • T0297: Визначати додатки і операційні системи мережевого пристрою на основі мережевого трафіку.
  • T0298: Відновлювати систему після шкідливих атак або процесів на основі мережевого трафіку.
  • T0299: Визначати заходи ідентифікації схеми мережі та операційної системи.
  • T0310: Приймати участь у створенні сигнатур, які можуть бути вбудовані в мережеві інструменти кіберзахисту у відповідь на нові або виявлені загрози всередині мережевої інфраструктури або корпоративного мережевого сегмента.
  • T0332: Сповіщати уповноважених керівників, спеціалістів з реагування на інциденти, членів групи провайдера послуг з кібербезпеки про очікувані інциденти в кіберпросторі, і озвучувати історію подій, статус і можливий вплив подальших заходів відповідно до плану реагування на кіберінциденти.
  • T0469: Аналізувати і готувати звітні документи про тенденції стану захищеності організації.
  • T0470: Аналізувати і готувати звітні документи за результатами аналізу тенденцій в зміні стану захищеності системи.
  • T0475: Оцінювати адекватні засоби доступу, засновані на принципах «мінімуму привілеїв» і «необхідно знати».
  • T0503: Проводити моніторинг зовнішніх джерел даних (наприклад, сайтів постачальників засобів кіберзахисту, груп реагування на надзвичайні комп’ютерні події, центр безпеки) з метою збереження поточного (допустимого) стану загрози в системі кіберзахисту, а також з метою визначення, які проблеми безпеки можуть здійснити негативний вплив на діяльність підприємства.
  • T0504: Аналізувати і проводити моніторинг кібербезпеки стосовно практик впровадження і тестування системи.
  • T0526: Надавати рекомендації з кібербезпеки керівництву на основі найважливіших загроз і вразливостей.
  • T0545: Співпрацювати із зацікавленими сторонами щодо врегулювання інцидентів в області комп’ютерної безпеки і погодження вимог щодо усунення вразливостей.
  • T0548: Забезпечувати консультації і дані для аварійного відновлення, резервування та забезпечення безперервності планів операцій.

Знання

  • K0001: Знання концепцій і протоколів комп’ютерних мереж, а також методології забезпечення мережевої безпеки.
  • K0002: Знання процесів аналізу і зниження ризиків (наприклад, методів аналізу та зниження негативних наслідків від реалізації ризиків).
  • K0003: Знання законів, нормативних правових актів, політик і етичних норм, і як вони пов’язані з забезпеченням кібербезпеки і конфіденційності.
  • K0004: Знання принципів забезпеченням кібербезпеки і конфіденційності.
  • K0005: Знання кіберзагроз та вразливостей.
  • K0006: Знання конкретних функціональних наслідків в результаті помилок в системі безпеки.
  • K0007: Знання методів автентифікації, авторизації та контролю доступу.
  • K0013: Знання засобів оцінки систем кіберзахисту і вразливостей, а також їх можливостей.
  • K0015: Знання комп’ютерних алгоритмів.
  • K0018: Знання алгоритмів шифрування.
  • K0019: Знання концепцій криптографії та забезпечення криптографічними ключами.
  • K0024: Знання систем баз даних.
  • K0033: Знання механізмів контролю доступу до IP-вузлів/мереж (наприклад, перелік засобів контролю доступу, переліки можливостей).
  • K0040: Знання джерел поширення інформації про уразливість (наприклад, попередження, рекомендації, списки помилок і бюлетені).
  • K0042: Знання методології реагування на інциденти і обробки даних інцидентів.
  • K0044: Знання принципів і методів кібербезпеки та конфіденційності, а також організаційних вимог (щодо забезпечення конфіденційності, цілісності, доступності, автентифікації і неспростовності).
  • K0046: Знання методології виявлення вторгнень і способів виявлення вторгнень в IP-вузли і мережі.
  • K0049: Знання принципів і методів забезпечення безпеки у сфері інформаційних технологій (ІТ) (наприклад, мережеві екрани, ДМЗ, шифрування).
  • K0056: Знання мережевого доступу, параметрів справжності та забезпечення доступу (наприклад, інфраструктура відкритих ключів, автентифікація об’єктів, відкриті ідентифікатори, мова розмітки для контролю захищеності, мова розмітки для надання послуг).
  • K0058: Знання методів аналізу мережевого трафіку.
  • K0059: Знання нових і перспективних ІТ і технологій забезпечення кібербезпеки.
  • K0060: Знання операційних систем.
  • K0061: Знання теорії управління потоками в мережах (наприклад, протоколу управління передачею (TCP), протоколу міжмережевого обміну даними (IP), моделі взаємодії відкритих систем (OSI), бібліотеки інфраструктури інформаційних технологій, поточної версії [ITIL]).
  • K0065: Знання засобів контролю доступу, адаптивних до ризиків і заснованих на політиці.
  • K0070: Знання загроз і вразливостей безпеки систем і прикладних процесів (наприклад, перевищення допустимого завантаження буферної пам’яті, мобільний код, процедурна мова/мова структурованих запитів [PL/SQL] і вторгнення, уразливості типу «стан гонки», незахищений канал, повторна передача, повторно-орієнтовані атаки, шкідливий код).
  • K0074: Знання основних концепцій забезпечення безпеки (наприклад, Управління версіями, Патч-менеджмент).
  • K0075: Знання засобів, методів і способів проектування систем безпеки.
  • K0093: Знання концепцій телекомунікацій (наприклад, комунікаційні канали, бюджетування системних каналів зв’язку, спектральна ефективність, мультиплексування).
  • K0098: Знання структури і процедур підготовки звітних документів провайдером, який надає послуги з кіберзахисту в рамках власної організації
  • K0104: Знання систем забезпечення безпеки віртуальних приватних мереж (VPN).
  • K0106: Знання того, що являє собою мережева атака, і який існує зв’язок між мережевими атаками і загрозами та вразливостями.
  • K0107: Знання засобів і законів нормативних правових актів розслідування внутрішніх загроз, підготовки звітних документів і проведення кіберрозслідувань.
  • K0110: Знання тактики, способів і процедур протиборства.
  • K0111: Знання засобів мережевого контролю (наприклад, утиліта ping, трасування (прокладка) маршруту, nslookup).
  • K0112: Знання принципів системи ешелонованої захисту і архітектури безпеки мережі.
  • K0113: Знання різних типів мереж зв’язку (наприклад, LAN, WAN, MAN, WLAN, WWAN).
  • K0116: Знання розширень файлів (наприклад, .dll, .bat, .zip, .pcap, .gzip).
  • K0139: Знання інтерпретованих і компільованих комп’ютерних мов.
  • K0142: Знання процесів забезпечення, можливостей і обмежень системи збору даних.
  • K0143: Знання зовнішніх систем збору даних, включаючи перехоплення, фільтрацію трафіку і відбір даних.
  • K0157: Знання політик, процедур і нормативних правових актів в області інформаційної безпеки та кіберзахисту.
  • K0160: Знання загальних напрямків атак на мережевому рівні.
  • K0161: Знання різних класів атак (наприклад, пасивні, активні, інсайдерські, наступальні, розподілені атаки).
  • K0162: Знання типів порушників, які здійснюють кібератаки (наприклад, недосвідчені хакери («скрипткідді»), загрози з боку інсайдерів, спонсовані і не спонсовані державами).
  • K0167: Знання способів підвищення вимог до системного і мережевого адміністрування та операційних систем.
  • K0168: Знання діючих законів, законодавчих актів парламенту (наприклад, статті 10, 18, 32, 50 кодексу США), директив президента, постанов і розпоряджень органів виконавчої влади та/або кодексу і процедур адміністративного/кримінального права.
  • K0177: Знання етапів проведення кібератак (наприклад, розвідка, перелік, отримання доступу, розширення привілеїв, утримання доступу, використання мережевих вразливостей, приховування слідів).
  • K0179: Знання концепцій архітектури безпеки мережі, включаючи топологію, протоколи, компоненти і принципи (наприклад, прикладна система ешелонованої захисту).
  • K0180: Знання принципів, моделей, методів та засобів забезпечення мережевих систем (наприклад, наскрізний моніторинг пропускної здатності систем).
  • K0190: Знання методології шифрування.
  • K0191: Знання наслідків впровадження сигнатурного аналізу вірусів, шкідливого ПЗ і атак.
  • K0192: Знання портів і послуг, що надаються ОС Windows/Unix.
  • K0203: Знання моделей системи безпеки (наприклад, модель Белла-Лападули, моделі забезпечення цілісності «Biba» і Кларка-Вілсона).
  • K0221: Знання моделі відкритої системної взаємодії OSI і базових мережевих протоколів (наприклад, протоколів TCP/IP).
  • K0222: Знання відповідних законів, органів юстиції, обмежувальних заходів і нормативних правових актів, що стосуються заходів кіберзахисту.
  • K0260: Знання стандартів безпеки Особистих ідентифікаційних даних (PII).
  • K0261: Знання стандартів безпеки даних в сфері платіжних карт PCI.
  • K0262: Знання стандартів безпеки медичних персональних даних (PHI).
  • K0290: Знання методів тестування та оцінки захищеності систем.
  • K0297: Знання процесів розробки контрзаходів для виявлення ризиків безпеки.
  • K0300: Знання типологій мережевого відображення і відтворення мереж.
  • K0301: Знання відповідних засобів, що використовуються при аналізі на пакетному (мережевому) рівні (наприклад, програмні комплекси аналізу трафіку «Wireshark», «tcpdump»).
  • K0303: Знання засобів, використовуваних для сегментування мереж.
  • K0318: Знання засобів командного рядка, що надаються ОС.
  • K0322: Знання вбудованих систем.
  • K0324: Знання інструментів та додатків Системи виявлення вторгнень (IDS) та Системи запобігання вторгнень (IPS).
  • K0332: Знання мережевих протоколів, таких, як TCP/IP, динамічного конфігурування вузлів, системи доменних імен (DNS) і послуг, що надаються Службою єдиного каталогу.
  • K0339: Знання того, як використовувати засоби мережевого аналізу для визначення вразливостей.
  • K0342: Знання принципів, засобів і способів тестування на проникнення.
  • K0624: Знання ризиків безпеки додатків (рейтинг Відкритого проекту з безпеки прикладних програм Інтернету).

Навички

  • S0020: Навичка розробки і використання сигнатур.
  • S0025: Навичка виявлення вторгнення, що використовують IP-вузли або мережі, за допомогою технологій виявлення вторгнень (наприклад, мережева система «Snort»).
  • S0027: Навичка визначення, як буде функціонувати система безпеки (включаючи її властивості відмовостійкості і функціональної надійності), а також, які зміни умов функціонування, функцій або інфраструктури вплинуть на її показники.
  • S0036: Навичка оцінки адекватності проектів щодо забезпечення безпеки.
  • S0054: Навичка використання методології реагування на інциденти.
  • S0057: Навичка використання аналізаторів протоколу.
  • S0063: Навичка збору даних різних ресурсів системи захисту кіберпростору.
  • S0078: Навичка розпізнавання та класифікації різних типів вразливостей і пов’язаних з ними атак.
  • S0096: Навичка читання та інтерпретування сигнатур (наприклад, мережева система запобігання і виявлення вторгнень з відкритим вихідним кодом).
  • S0147: Навичка оцінки засобів контролю безпеки на основі принципів і доктрин кібербезпеки (наприклад, стандарти «CIS CSC», NIST SP 800-53, Керівні принципи сфери кібербезпеки і т.п.).
  • S0156: Навичка здійснення аналізу на мережевому (пакетному) рівні.
  • S0167: Навичка виявлення уразливостей в захищених системах (наприклад, сканування вразливостей і перевірка відповідності).
  • S0169: Навичка проведення аналізу тенденцій.
  • S0367: Навичка застосування принципів кібербезпеки і конфіденційності при формуванні організаційних вимог (що торкаються забезпечення конфіденційності, цілісності, доступності, автентифікації і неспростовності).
  • S0370: Навичка використання структури і процесів підготовки звітних документів, що надійшли від компанії-постачальника послуг, про відображення кібератак.

Вміння

  • A0010: Вміння аналізувати шкідливе ПЗ.
  • A0015: Вміння проводити процедури сканування вразливостей і розпізнавання вразливостей в захищених системах.
  • A0066: Вміння збирати точні та повні дані, які використовуються в засобах розвідки, оцінки та/або планування.
  • A0123: Вміння застосовувати принципи кібербезпеки і конфіденційності при формуванні організаційних вимог (що торкаються забезпечення конфіденційності, цілісності, доступності, автентифікації і неспростовності).
  • A0128: Вміння застосовувати техніки виявлення вторгнень в хости і мережі за допомогою використання технологій виявлення вторгнень.
  • A0159: Вміння інтерпретувати інформацію, зібрану за допомогою засобів мережевого контролю (наприклад, утиліта ping, трасування (прокладка) маршруту, nslookup).