دوره SANS 530

دوره SANS SEC530

وضعیت کلی امنیت سازمان‌ها را ارتقا دهید!
دوره سنس 530 به گونه‌ای طراحی شده که به دانشجویان کمک کند یک معماری امنیتی دفاعی موثر و قدرتمند را ایجاد کنند. این دوره تمرکز زیادی بر بهره‌برداری از زیرساخت و دارایی‌های موجود از جمله سوییچ‌ها، روترها و فایروال‌ها دارد. دانشجویان می‌آموزند که چگونه باید چنین دستگاه‌هایی را پیکربندی کرد تا بتوانند در برابر چشم‌انداز تهدیدی که امروزه با آن روبه‌رو هستند موثر ظاهر شوند. علاوه بر این، در این دوره فناوری‌های جدیدتر نیز پیشنهاد خواهند شد که در ایجاد یک زیرساخت امنیت قابل اطمینان به ما کمک می‌کنند.
دوره‌ی SEC530، معماری و مهندسی امنیت دفاعی، به گونه‌ای طراحی شده که دانشجویان با گذراندن آن بتوانند رویکردی جامع و لایه‌لایه را نسبت به امنیت پیش بگیرند. برای دستیابی به سطح موثری از امنیتT لازم است میان ظرفیت‌های تشخیص، پیشگیری و پاسخ به حادثه تعادل برقرار شود؛ اما برای برقراری چنین تعادلی لازم است تمهیدات امنیتی در شبکه، اندپوینت‌ها و محیط‌های ابری پیاده‌سازی شوند. با جایگذاری، پیاده‌سازی و تنظیم استراتژیک راهکارهای مختلف، می‌توان نقاط ضعف یک راهکار را با نقاط قوت راهکاری دیگر پوشش داد.

در این دوره به طور کامل به این مساله پرداخته می‌شود؛ سرفصل‌ها و آموزش‌های دوره علاوه بر تمرکز روی مفاهیم استراتژیک مربوط به زیرساخت و جایگذاری مناسب ابزارهای مختلف، به طور عمیق به جنبه‌ی فنی آن‌ها نیز خواهند پرداخت. در طی دوره راهکارهای در دسترس شناسایی خواهند شد و درباره نحوه‌ی پیاده‌سازی و استقرار موفقیت‌آمیز آن‌ها نیز بحث می‌شود. مهم‌تر از همه، نقاط قوت و نقاط ضعف راهکارهای مختلف ارزیابی شده و نحوه‌ی استقرار لایه‌لایه و یکپارچه‌ی آن‌ها برای تحقق دفاع در عمق (in-depth) آموزش داده خواهد شد.
برای انطباق با تغییرات چشم‌انداز تهدید، علاوه بر رویکرد ذهنی و نگرش خود نسبت به تهدیدات، لازم است کاربری بسیاری از دستگاه‌ها را نیز تغییر دهیم. تحولات تهدیدات، ما را با سوالات زیادی روبه‌رو می‌کنند؛ سوالاتی مانند: با وجود چنین تحولاتی، برای دستگاه‌های سنتی مانند فایروال‌ها چه ملاحظاتی را باید در نظر گرفت؟ پیامدهای رمزگذاری تمام اطلاعات برای دستگاه‌هایی مانند سیستم‌های تشخیص نفوذ (IDS) چیست؟
در این دوره دانشجویان مفاهیم پایه‌ی معماری امنیت دفاعی، و نحوه‌ی مهندسی چنین معماری را می‌آموزند. در آموزش‌ها تمرکز سنگینی روی بهره‌برداری حداکثری از زیرساخت (و دارایی‌های) موجود مانند سوییچ‌ها، روترها و فایروال‌ها خواهیم داشت. دانشجویان می‌آموزند که چگونه این دستگاه‌ها را مجددا پیکربندی کرده و در چشم‌انداز تهدید پویای امروزی، قابلیت‌های سازمان متبوع خود را در پیشگیری از حوادث سایبری به طور قابل ملاحظه‌ای افزایش دهند. به علاوه این دوره به آخرین فناوری‌ها و قابلیت‌ها، نقاط قوت و نقاط ضعف آن‌ها نیز خواهد پرداخت. در طول دوره به دانشجویان توصیه‌ها و پیشنهاداتی می‌شود که می‌توانند در ایجاد یک زیرساخت امنیت قابل اطمینان به آن‌ها کمک کنند.
با این وجود که این دوره یک دوره‌ی مانیتورینگ نیست، مانیتورینگ پیوسته به خوبی در آن گنجانده شده است. در نظر گرفتن این مساله تضمین می‌کند که معماری امنیت نه‌تنها امکان پیشگیری را به وجود می‌آورد، بلکه لاگ‌های حیاتی را نیز که سیستم SIEM در مرکز عملیات امنیت به آن‌ها نیاز دارد، توسط این معماری تامین می‌شود.

ارائه مدرک معتبر در انتهای دوره

سرفصل‌های دوره SANS 530‎‌

سرفصل‌های این دوره به بخش‌های زیر تقسیم می‌شوند:

SEC530.1: معماری و مهندسی امنیت دفاعی

خلاصه

اولین بخش دوره به هاردنینگ سیستم‌ها و شبکه‌ها می‌پردازد و از معماری کلی و لایه‌های شبکه آغاز می‌کند.
این بخش با نگاهی کلی به شبکه‌ها و معماری‌های امنیت سنتی، و نقاط ضعف معمول آن‌ها آغاز می‌شود. ذهنیت امنیت دفاعی، ذهنیت «یک بار بساز، درست بساز» است. تمام شبکه‌ها باید کارکردهای عملیاتی خود را به طور موثر اجرا کنند، و امنیت می‌تواند این هدف را تکمیل کند. این که امنیت از همان ابتدای کار ایجاد شود خیلی بهینه‌تر از این است پس از پایان کار امنیت از صفر ایجاد شود.
سپس بحث به سمت مفاهیم مربوط به لایه‌های پایین‌تر شبکه می‌رود. در این بخش با تجربه‌های واقعی مدرس دوره آشنا خواهید شد و مثال‌هایی از VLANها خواهید دید که می‌توانند به طور موثری مانع حرکت تهدید از یک کلاینت به کلاینت دیگر شوند. در ادامه درباره‌ی 802.1X و NAC و نحوه‌ی مقابله با دستگاه‌های Rogue خواهید آموخت. برای هاردنینگ سوییچ‌ها نیز مثال‌هایی از دستورات خاص Cisco IOS خواهید دید.

مباحث

• Traditional Security Architecture Deficiencies
• Emphasis on Perimeter/Exploitation
• Lack of a True Perimeter ("De-perimeterization" as a Result of Cloud/Mobile)
• The Internet of Things
• Predominantly Network-centric
• Defensible Security Architecture
• Mindset
• Presumption of Compromise
• De-perimeterization
• Predominantly Network-centric
• Models
• Zero-Trust Model (Kindervag - Forrester)
• Intrusion Kill Chain
• Diamond Model of Intrusion Analysis
• Software-defined Networking and Virtual Networking
• Micro-Segmentation
• Threat, Vulnerability, and Data Flow Analysis
• Threat Vector Analysis
• Data Ingress Mapping
• Data Exfiltration Analysis
• Data Egress Mapping
• Detection Dominant Design
• Attack Surface Analysis
• Visibility Analysis
• Layer 1 Best Practices
• Network Closets
• Penetration Testing Dropboxes
• USB Keyboard Attacks (Rubber Ducky)
• Layer 2 Best Practices
• VLANs
• Hardening
• Private VLANs
• Layer 2 Attacks and Mitigation
• NetFlow
• Layer 2 and 3 NetFlow
• NetFlow, Sflow, Jflow, VPC Flow, Suricata and Endpoint Flow

SEC530.2: معماری و مهندسی امنیت شبکه

خلاصه

این بخش مبحث هاردنینگ زیرساخت را توسعه داده و توجه خود را معطوف مفاهیمی مانند دستگاه‌های روتینگ، فایروال‌ها و پروکسی‌های اپلیکیشن‌ها می‌کند. در این بخش مثال‌های عملی و واقع‌گرایانه‌ای از هاردنینگ روترها به همراه دستورات خاص Cisco IOS نیز برای اجرای هر مرحله فراهم شده‌اند.
این بخش در ادامه نگاهی عمیق به IPv6 می‌اندازد که به گفته‌ی گوگل در حال حاضر 23 درصد از ترافیک بک‌بون اینترنت را تشکیل می‌دهد، و بسیاری از سازمان‌ها با این که از آن استفاده می‌کنند، آن را نادیده می‌گیرند. در این دوره پیش‌زمینه‌ی عمیقی نسبت به IPv6 ارائه خواهد شد، اشتباهات رایج (مانند اعمال رویکردهای IPv4 به IPv6) مورد بحث قرار خواهند گرفت، و راهکارهایی عملی برای ایمن‌سازی این پروتکل ارائه خواهند شد. این بخش با مبحثی درباره‌ی فایروال‌ها و پروکسی‌های اپلیکیشن خاتمه می‌یابد.

مباحث

• Layer 3: Router Best Practices
• CIDR and Subnetting
• Layer 3 Attacks and Mitigation
• IP Source Routing
• ICMP Attacks
• Unauthorized Routing Updates
• Securing Routing Protocols
• Unauthorized Tunneling (Wormhole Attack)
• Layer 2 and 3 Benchmarks and Auditing Tools
• Baselines
• CISecurity
• Cisco's Best Practices
• Cisco Autosecure
• DISA STIGs
• Nipper-ng
• Securing SNMP
• SNMP Community String Guessing
• Downloading the Cisco IOS Config via SNMP
• Hardening SNMP
• SNMPv3
• Securing NTP
• NTP Authentication
• NTP Amplification Attacks
• Bogon Filtering, Blackholes, and Darknets
• Bogon Filtering
• Monitoring Darknet Traffic
• Building an IP Blackhole Packet Vacuum
• IPv6
• Dual-Stack Systems and Happy Eyeballs
• IPv6 Extension Headers
• IPv6 Addressing and Address Assignment
• Securing IPv6
• IPv6 Firewall Support
• Scanning IPv6
• IPv6 Tunneling
• IPv6 Router Advertisement Attacks and Mitigation
• VPN
• Path MTU Issues
• Fragmentation Issues Commonly Caused by VPN
• Layer 3/4 Stateful Firewalls
• Router ACLs
• Linux and BSD Firewalls
• pfSense
• Stateful
• Proxy
• Web Proxy
• SMTP Proxy
• Augmenting with Phishing Protection and Detection Mechanisms
• Explicit vs. Transparent
• Forward vs. Reverse

SEC530.3: امنیت بر محوریت شبکه

خلاصه

بسیاری از سازمان‌ها تعداد زیادی فناوری امنیتی مبتنی بر شبکه دارند، یا به تعداد زیادی از این فناوری‌ها دسترسی دارند. این فناوری‌ها بازه‌ی گسترده‌ای داشته و از فایروال‌های نسل بعد تا پروکسی‌های اپلیکیشن و سندباکس‌های بدافزار را شامل می‌شوند؛ اما موثر واقع شدن تمامی این فناوری‌ها مستقیما وابسته به پیاده‌سازی است. وابستگی بیش از حد به قابلیت‌های پیش‌ساخته مانند اپلیکیشن کنترل، آنتی‌ویروس، جلوگیری از نفوذ، جلوگیری از نشت داده یا دیگر موتورهای خودکار بررسی عمیق پکت که برای یافتن تهدیدات استفاده می‌شوند، باعث می‌شود فرایند پیاده‌سازی بیش از حد روی پیشگیری متمرکز باشد، و هم در امر پیشگیری و هم در تشخیص، شکاف‌های بزرگی به وجود بیاید.
این بخش روی استفاده از راهکارهای لایه‌ی اپلیکیشن تمرکز می‌کند؛ این راهکارها از قبل در سازمان وجود دارند، ولی در این بخش می‌آموزید که چگونه می‌توان با ذهنیتی مدرن از این راهکارها استفاده کرد. اگر خود را به چارچوب‌های رایج محدود نکنیم، حتی کنترل‌های قدیمی مثل یک دستگاه تشخیص اسپم می‌تواند برای شناسایی حملات مدرن مانند فیشینگ از طریق دامنه‌های مشابه و دیگر روش‌های جعل و فریب استفاده شود. و همان‌طور که گفته شد، با مهندسی راهکارهای دفاعی به تناسب حملات مدرن، هم قابلیت پیشگیری و هم قابلیت تشخیص به طور قابل ملاحظه‌ای بهبود می‌یابد.

مباحث

• NGFW
• Application Filtering
• Implementation Strategies
• NIDS/NIPS
• IDS/IPS Rule Writing
• Snort
• Suricata
• Bro
• Network Security Monitoring
• Power of Network Metadata
• Know Thy Network
• Sandboxing
• Beyond Inline
• Integration with Endpoint
• Feeding the Sandbox Potential Specimens
• Malware Detonation Devices
• Encryption
• The "Encrypt Everything" Mindset
• Internal and External
• Free SSL/TLS Certificate Providers
• SSL/SSH Inspection
• SSL/SSH Decrypt Dumps
• SSL Decrypt Mirroring
• Certificate Pinning
• Malware Pins
• HSTS
• Crypto Suite Support
• Qualys SSL Labs
• Secure Remote Access
• Access into Organization
• Dual Factor for All Remote Access (and More)
• Google Authenticator/TOTP: Open Authentication
• IPSec VPNs
• SSH VPNs
• SSL/TLS VPN
• Jump Boxes
• Distributed Denial-of-Service
• Impact of Internet of Things
• Types of Attacks
• Mitigation Techniques

SEC530.4: امنیت با محوریت داده

خلاصه

سازمان‌ها نمی‌توانند از چیزی حفاظت کنند که از وجود آن اطلاع ندارند. مشکل اینجاست که داده‌های حساس و حیاتی پراکنده هستند. مساله‌ی دیگری که مشکل را پیچیده‌تر هم می‌کند، این است که داده معمولا توسط یک استک کامل نرم‌افزاری کنترل می‌شود که شامل چندین سرویس است؛ سرویس‌هایی که ممکن است به صورت محلی یا ابری میزبانی شوند.
این بخش بر شناسایی داده‌های مهم، محل‌هایی که در آن‌ها این داده‌ها یافت می‌‎شوند و نحوه‌ی حفاظت از این داده‌ها تمرکز می‌کند. برای محافظت از این داده‌ها، هم باید از راهکارهای حاکمیت داده (Data Governance) و ابزارهای امنیت کامل استک نرم‌افزاری مانند فایروال‌های برنامه تحت وب (WAF) و مانیتورینگ فعالیت‌های دیتابیس استفاده کرد، و هم توجهی جدی به ایمن‌سازی سیستم‌هایی داشت که سرویس‌های اصلی را میزبانی می‌کنند؛ سیستم‌هایی مثل هایپروایزرهای محلی، بسترهای رایانش ابری و سرویس‌های کانتینر مانند Docker.
رویکرد امنیت بر محوریت داده بر این مساله تمرکز دارد که چه چیزهایی اهمیت حیاتی برای یک سازمان دارند و کنترل‌های امنیتی را حول این مساله اولویت‌بندی می‌کند. چرا هزینه و وقت زیادی را صرف کنیم و همه‌چیز را ایمن کنیم، در حالی که می‌توان کنترل‌های امنیتی را بهینه کرد و فقط روی ایمن‌سازی چیزهایی تمرکز کرد که اهمیت دارند؟ باید این حقیقت را در نظر داشت: بعضی سیستم‌ها از دیگر سیستم‌ها حیاتی‌ترند.

مباحث

• Application (Reverse) Proxies
• Full Stack Security Design
• Web Server
• App Server
• DB Server
• Web Application Firewalls
• Whitelisting and Blacklisting
• WAF Bypass
• Normalization
• Dynamic Content Routing
• Database Firewalls/Database Activity Monitoring
• Data Masking
• Advanced Access Controls
• Exfiltration Monitoring
• File Classification
• Data Discovery
• Scripts vs. Software Solutions
• Find Sensitive Data in Databases or Files/Folders
• Advanced Discovery Techniques such as Optical Character Recognition Scanning of Pictures and Saved Scan Files
• Methods of Classification
• Dynamic Access Control
• Data Loss Prevention (DLP)
• Network-based
• Endpoint-base
• Cloud Application Implementations
• Data Governance
• Policy Implementation and Enforcement
• Access Controls vs. Application Enforcement and Encryption
• Auditing and Restrictions
• Mobile Device Management (MDM) and Mobile Application Management (MAM)
• Security Policies
• Methods for Enforcement
• End-user Experience and Impact
• Private Cloud Security
• Securing On-premise Hypervisors (vSphere, Xen, Hyper-V)
• Network Segmentation (Logical and Physical)
• VM Escape
• Surface Reduction
• Visibility Advantages
• Public Cloud Security
• SaaS vs. PaaS vs. IaaS
• Shared Responsibility Implications
• Cloud Strengths and Weaknesses
• Data Remanence and Lack of Network Visibility
• Container Security
• Impact of Containers on On-premise or Cloud Architectures
• Security Concerns
• Protecting against Container Escape

SEC530.5: معماری زیرو-تراست: حل مشکل مهاجمانی که از قبل در شبکه حضور دارند

خلاصه

امروزه یکی از شعارهای پرکاربرد دنیای امنیت این است که «اعتماد کنید ولی اعتبارسنجی انجام دهید». ولی این مفهوم، چندان درست نیست؛ کامپیوترهای امروزی قدرت محاسباتی بسیار بالاتری دارند و به راحتی می‌توانند به عنوان یک کلاینت مورد اعتماد وارد شبکه شوند؛ به همین خاطر است که سازمان‌ها باید به جای تفکر «اعتماد در کنار اعتبارسنجی» رویکرد «اعتبارسنجی و سپس اعتماد» را پیاده‌سازی کنند. با این کار به طور هم‌زمان با تغییر یا ایجاد دسترسی، سطوح دسترسی را نیز می‌توان به میزان مناسبی محدود کرد.
این بخش تمرکز خود را بر پیاده‌سازی معماری زیرو-تراست قرار می‌دهد؛ در این معماری دیگر فرد یا دستگا به صورت پیشفرض قابل اطمینان تلقی نشده و قابلیت اطمینان ابتدا باید اثبات شود. با انجام این کار، می‌توان از یک مدل اعتماد متغیر استفاده کرد؛ مدلی که در آن سطح دسترسی به صورت دینامیک تغییر می‌کند. این کار به نوبه خود، امکان پیاده‌سازی کنترل‌های امنیتی کمتر یا بیشتر را فراهم می‌کند. لزوم وجود هر کنترل را قابلیت اعتماد کاربر و دستگاه در طول زمان مشخص می‌کند. تمرکز این بخش روی این مساله است که معماری زیرو-تراست با فناوری‌های امنیتی موجود پیاده‌سازی شود تا ارزش و اثرگذاری آن‌ها برای زیرساخت امنیت یک سازمان به حداکثر برسد.
در این بخش از رمزگذاری و احراز هویت برای هاردنینگ شبکه – چه خارجی و چه داخلی – استفاده می‌شود. علاوه بر این، تکنیک‌های دفاعی پیشرفته‌ای پیاده‌سازی می‌شوند تا ابزارهای حمله‌ی مدرن را متوقف کرده و در عین حال سرویس را برای دسترسی مجاز کاملا عملیاتی نگه دارند.

مباحث

• Zero Trust Architecture
• Why Perimeter Security Is Insufficient
• What Zero Trust Architecture Means
• "Trust but Verify" vs. "Verify then Trust"
• Implementing Variable Access
• Logging and Inspection
• Network Agent-based Identity Controls
• Credential Rotation
• Certificates
• Passwords and Impact of Rotation
• Endpoints
• Compromised Internal Assets
• Pivoting Adversaries
• Insider Threat
• Securing the Network
• Authenticating and Encrypting Endpoint Traffic
• Domain Isolation (Making Endpoint Invisible to Unauthorized Parties)
• Mutual TLS
• Single Packet Authorization
• Tripwire and Red Herring Defenses
• Honeynets, Honeypots, and Honeytokens
• Single Access Detection Techniques
• Proactive Defenses to Change Attacker Tool Behaviors
• Increasing Prevention Capabilities while Adding Solid Detection
• Patching
• Automation via Scripts
• Deputizing Endpoints as Hardened Security Sensors
• End-user Privilege Reduction
• Application Whitelisting
• Host Hardening
• EMET
• Host-based IDS/IPS
• As Tripwires
• Endpoint Firewalls
• Pivot Detection
• Scaling Endpoint Log Collection/Storage/Analysis
• How to Enable Logs that Matter
• Designing for Analysis Rather than Log Collection

ارائه مدرک معتبر در انتهای دوره

پیش‌نیاز شرکت در دوره سنس SEC530

این دوره یکی از دوره‌های پیشرفته‌ی امنیت دفاعی به شمار رفته و از این رو برای افرادی مناسب است که سطح نسبتا بالایی از دانش امنیت یا شبکه دارند. افراد شرکت‌کننده در این دوره باید دانش پایه نسبت به پروتکل‌ها و دستگاه‌های شبکه داشته باشند و تجربه‌ی کار با لینوکس از طریق خط فرمان را نیز داشته باشند. اگرچه داشتن سابقه کار برای شرکت در این دوره الزامی نیست، توصیه می‌شود متقاضیان شرکت در دوره دو سال سابقه‌ی کار در بخش IT یا امنیت را داشته باشند.

مهارت‌های کسب‌شده در طول دوره سنس 530

دانشجویان پس از گذراندن دوره می‌توانند:

• یک معماری امنیتی را تحلیل کرده و نواقص را بیابند.
• فناوری‌های لازم را برای بهبود قابلیت‌های پیشگیری، تشخیص و پاسخ به حادثه پیاده‌سازی کنند.
• نواقص موجود در راهکارهای امنیتی را درک کرده و نحوه‌ی تنظیم و کار با آن‌ها را می‌آموزند.
• اصول آموخته‌شده در طول دوره را به اجرا درآورند و یک معماری امنیت دفاعی را پیاده‌سازی کنند.
• نیازهای مربوط به مانیتورینگ امنیت را برای سازمان‌های با اندازه‌های مختلف تعیین کنند.
• با پیکربندی مجدد دارایی‌های موجود، بازده سرمایه‌گذاری‌های انجام‌‌شده در معماری امنیت فعلی را به حداکثر برسانند.
• قابلیت‌های مورد نیاز برای ایجاد امکان مانیتورینگ پیوسته‌ی کنترل‌های حیاتی امنیت را تعیین کنند.
• یک سیستم لاگ‌گیری و مانیتورینگ مناسب برای استفاده در مرکز عملیات امنیت و مراکز مانیتورینگ پیوسته پیکربندی کنند.

با وجود این که لیست بالا به طور مختصر کلیات دانش و مهارت آموخته‌شده در این دوره را عنوان می‌کند، تنها دیدگاهی سطحی از محتوای این دوره به شما می‌دهد. رویکرد عملی این دوره باعث می‌شودمفاهیم و اصول کلیدی به طور کامل آموخته شوند؛ علاوه بر این که استفاده از ابزارهای اسکریپت‌نویسی را نیز در این دوره می‌آموزید.
این دوره شما را آماده می‌کند تا:

• راهکارهای امنیتی را در لایه‌های مختلف از شبکه تا اندپوینت و هم‌چنین فناوری‌های ابری پیاده‌سازی کنید.
• تاثیرات جایگذاری صحیح کنترل‌های فنی را درک کنید.
• تکنیک‌ها، فناوری‌ها و قابلیت‌های امنیتی را تنظیم، اصلاح و پیاده‌سازی کنید.
• خارج از چارچوب عمل کرده و برای راهکارهای امنیتی رایج، کاربردهایی نوآورانه بیابید.
• میان تشخیص و پیشگیری تعادل برقرار کنید و زمان پاسخگویی را ارتقا داده و قابلیت‌های زیرساخت را بهبود دهید.
• به طور کامل درک کنید که در چه موقعیت‌هایی امکان عدم عملکرد صحیح فناوری‌های پیشگیرانه وجود دارد و دقیقا چه نوع فناوری‌های تشخیصی را باید برای آن‌ها فراهم کرد.
• با دیدگاهی کاملا فنی، نحوه‌ی کار زیرساخت و راهکارهای امنیت و نحوه‌ی پیاده‌سازی بهتر آن‌ها را درک کنید.

چه کسانی باید در دوره SEC530 شرکت کنند؟

• معماران امنیت
• مهندسان شبکه
• معماران شبکه
• تحلیل‌گران امنیت
• مهندسان ارشد امنیت
• ادمین‌های سیستم
• مدیران فنی امنیت
• تحلیل‌گران دفاع از شبکه‌های کامپیوتری (CND)
• کارشناسان مانیتورینگ امنیت
• محققان تهدیدات سایبری