Detekce a analýza v síťovém provozu

Kurz „Detekce a analýza v síťovém provozu“ poskytuje komplexní vzdělání v oblasti monitorování, analýzy a zabezpečení počítačových sítí. Účastníci se seznámí se základními principy fungování sítí a klíčovými charakteristikami síťových protokolů, naučí se efektivně shromažďovat a analyzovat síťová data pomocí moderních nástrojů, a budou znát typické útoky a techniky jejich mitigace. Kurz je doprovázen sadou praktických cvičení a simulací reálných analytických případů tak, aby nabyté znalosti mohli absolventi přímo uplatnit ve své stávající praxi.

Obsah kurzu je rozdělený do čtyř bloků, přičemž výuka probíhá dvakrát dva dny v týdnu (celkově 28 hodin).

Blok 1: Analýza síťového provozu

V prvním bloku kurzu jsou krátce shrnuty základní principy fungování sítí a představeny klíčové charakteristiky základních síťových protokolů (TLS, DNS, QUIC, …). Dále jsou představeny různé formy shromažďování síťových dat a postupy jejich analýzy pomocí moderních analytických nástrojů (Wireshark, Arkime, Zui, Zeek). V poslední části bloku jsou představeny nástroje pro monitorování velkých sítí, ať už pomocí specializovaných sond, tak síťových prvků.

Blok 2: Infrastruktura pro zabezpečení sítí

Druhý blok kurzu je věnován základním postupům zabezpečení a monitoringu sítě. V začátku bloku jsou představeny nástroje pro aktivní skenování síťových zařízení a systémy pro správu aktiv (NetBox). Dále jsou diskutovány základní postupy zabezpečení sítí pomocí firewallů a segmentace, včetně zero-trust architektur. V návaznosti na firewally jsou představeny IDS/IPS systémy (Suricata, Snort) a zdroje Cyber Threat Intelligence dat. Závěrečná část bloku je věnována problematice SOC systémů a komplexního monitorování sítě využívající volně dostupné nástroje (OpenSearch, Zeek, Suricata).

Blok 3: Analýza a hledání hrozeb

Třetí blok kurzu představuje typické útoky na sítě a síťové služby s ohledem na framework MITRE ATT&CK. K jednotlivým útokům jsou následně postupně diskutovány možné způsoby jejich detekce na úrovni síťového provozu a jejich mitigace pomocí vhodných postupů a nástrojů. Druhá část bloku je zaměřena na tvorbu detekčních metod s pomocí volně dostupných nástrojů nebo samostatných skriptů (Python). Dále jsou představeny nástroje pro pokročilou analýzu heterogenních dat a jejich propojení v rámci komplexních analytických playbooků (Jupyter Notebook).

Blok 4: Analýza útoků

Závěrečný blok kurzu se věnuje problematice analýzy dat v případě pokročilých a komplexních útoků. V první části bloku jsou diskutovány základní analytické postupy a principy analytického myšlení. Současně je představen nástroj pro správu analytických poznatků podporující vyšetřování incidentů (DFIR IRIS). Druhá část bloku je zaměřena na analýzu komplexního incidentu a tvorbu výsledného reportu, včetně jeho prezentace.

Uplatnění znalostí

Po absolvování kurzu bude účastník rozumět oblasti kybernetické bezpečnosti se specializací na monitorování, analýzu a zabezpečení počítačových sítí. Bude znát základní principy fungování sítí, klíčové charakteristiky základních síťových protokolů a bude schopen efektivně sbírat a analyzovat síťová data. Dále bude absolvent schopný identifikovat a mitigovat typické útoky na sítě a síťové služby pomocí tvorby detekčních metod a analytických playbooků. Účastník kurzu bude znát a umět aplikovat vhodné analytické postupy, efektivně přispívat k zabezpečení IT infrastruktury a rychle reagovat na bezpečnostní hrozby.

Podmínky pro přijetí

Podmínkou přijetí je podání přihlášky a uhrazení poplatku za kurzovně ve stanoveném termínu. Kurz je nabízen do naplnění kapacity (max. 24 účastníků).

Předpokladem úspěšného absolvování kurzu je povědomí o fungování sítí a běžných síťových protokolů. Dále je třeba základní znalost administrace oparačních systémů (primárně Linux) a programování v jazyce Python.

Podmínky pro ukončení

Podmínkou úspěšného absolvování kurzu je osobní účast na výuce a prezentace výsledků analýzy kompexního bezpečnostního incidentu v rámci posledního bloku výuky.

Lektoři