Сергей Жестов

Интенсивная работа в ИБ • Администратор защиты • Инженер по безопасности • Младший (Junior)

От 200 000 ₽ • Не ищу работу

Написать

Контакты

Войти

Возраст: 26 лет

Опыт работы: 3 года и 6 месяцев

Регистрация: 28.05.2023

Последний визит: 2 месяца назад

Местоположение: Россия, Санкт-Петербург

Дополнительно: готов к переезду и к удаленной работе

Рекомендательные письма0 Друзья2

Обо мне

zayneti Telegram

Поработал инженером в дата центре полтора года, живя в серверных.
Но после работы опыта в отделе безопасности полностью ушёл в направление ИБ.
Так я попал в банк в отдел SOC, где пишу правила в SIEM развивая сначала ArcSight, а потом KUMA. Попутно набирая опыт в расследовании инцидентов и аналитикой сработок.
Но и также внутри проекты развивал для безопасности инфраструктуры : TrapX + Wazuh.
Но больше всего удовольствия мне приносило работа с WAF (от SolidWall + Cisco FirePower), где надо работать с работой IPS сигнатурными как Snort + Surricata. В общем из всей деятельности сетевая безопасность больше всего привлекает.
К слову работу со сработками АВПО и расследовании файлов и их хешами - меньше всего нравится.

Навыки

Active directory

DevSecOps

Информационная безопасность

SIEM

Bash

Linux

Опыт работы

УЦСБ
Разработка продуктов, специализация — информационная безопасность.
Екатеринбург • От 100 до 1000 сотрудников
Аналитик SOC (Старший) • Старший аналитик L2 и L3
Февраль 2025 — По настоящее время (3 месяца)
ИНГОССТРАХ БАНК
Российский коммерческий банк
Санкт-Петербург • От 1000 до 5000 сотрудников
Аналитик SOC (Средний) • Ведущий специалист в L1
Июнь 2023 — Февраль 2025 (1 год и 9 месяцев)
- Мониторинг и обработка событий информационной безопасности и выявление инцидентов.
- Реагирование на инциденты информационной безопасности (локализация, противодействие,
устранение последствий).
- задачи по развитию инструментария группы мониторинга: создание корреляционных правил и дашбордов для SIEM ArcSight, KUMA.
- Развитие проекта DeceptionGrid внутри банка (определение vlan ов для ловушек, какие службы и на каких портал будут).
- Обработка feed ов уязвимостей: просмотр новых CVE и определение что они затрагивают в инфраструктуре, последующие определение по тому, что требуется для закрытия уязвимости. Формирование и отправка отчетов по затрагиваемым отделам.

- Мониторинг событий на WAF: Разбор http запросов на тип атаки и поиск по bgp пирингу AS, которую надо заблокировать.
- Реагирование и аналитика инцидентов на cisco firepower (чтение логов, по какому правилу сработало и выявление причин).
- Реагирование на DDOS атаки - оценка подавленного трафика, определение через какие AS идут и с какой мощностью. Передача информацию руководителям.
- Мониторинг сбоев и выяснение причин их у администраторов.
- Реагирование на события AD(сбросы паролей, блокировки критических УЗ, добавление в критичные группы). Все изучается через event is в журналах Windows, составляется сценарий который произошёл, узнаются причины
- Анализ возможных вредоносных программ через песочницы, например через Deep Discovery Inspector. Общение со службой поддержки Касперского, доктор веб с предоставление логов, файла и его трассировкой.
- Проверка возможных фишинговых писем, которые приходят сотрудникам. И блокировка адресов или целой подсети, откуда детектируются массовый фишинг.
Разобрал более 200 инцидентов. Создал дашборды по коннекторам в SIEMе, создал правила связанные с WAF и Cisco security port.
Через архитектурные схемы сделал списки всех критичных серверов инфраструктуры и АРМ всех важных сотрудников (поддержка актуальности списков для приметное в SIEM).
Почистил большое количество ложно-позитивных сработок на WAFe. Например, писал письмо в тп shadow-server.org, чтобы перестали сканировать.
Работал на сменах, когда пентестеры атаковали сеть - реагировал на всё, фиксировал и создавал отчет по работе их (какие уз захватили, что сканировали и как, какие типы атак были совершены и для чего).
SIEM • Защита от DDOS
Selectel
4.45
Провайдер ИТ-инфраструктуры
От 1000 до 5000 сотрудников
Стажер инженерно-технического отдела
Ноябрь 2021 — Май 2023 (1 год и 7 месяцев)
Монтаж/демонтаж серверного и сетевого оборудования в стойку с настройкой BIOS/BMC и установкой различных видов ОС и разные конфигурации дисковго пространства. Постоянное изучение самых разных дистрибутивов Linux, для сдачи серверов клиентам под их задачи. Диагностика серверов по различным неисправностям и возможных починкой неисправностей: определение неисправного комплектующей или неправильное настройки. Работа с дисковыми пространствами: сборка RAID массивов, диагностика неисправностей дисков по S.M.A.R.T показателям, также занимался тестированием необычных ОС по типу Эльбрус через fdisk для подготовки дискового пространства. Прокладывание медных и оптических кроссировок и их диагностика. Работа с клиентами по их тикетам и решение за короткий срок. В 2022 году я переходил в отдел безопасности на ротацию для опыта, где занимался: - Развертыванием инфраструктуры сканера открытых портов для серверов клиентов дата-центра. - Тестировал Secret Net Studio и LSP - Тестировал СДЗ Dallas Lock На преддипломной практике занимался разворачиванием инфраструктуры для локального репозитория правил IPS Snort для межсетевых экранов pfSense и FortiGate.

Высшее образование

СПбГУПТД
Санкт-Петербургский государственный университет промышленных технологий и дизайна
Санкт-Петербург • 757 выпускников
Институт информационных технологий и автоматизации
Сентябрь 2019 — Июль 2023 (3 года и 10 месяцев)
Информационная безопасность.
Участвовал в Инфотелеком-2022 в вузе СПБГУТ Бонч-Буревича по направлению Безопасность компьютерных систем. Защищенные системы и сети связи.
Занял 3 место с докладом о применении межсетевых экранов в дата-центре в летней школе по информационной безопасности в СПБГУТ.

Дополнительное образование

Skillbox
Онлайн-университет
Москва • 4971 выпускник
Специалист по кибербезопасности
Январь 2023 — По настоящее время (2 года и 3 месяца)
Введение в SIEM и SIEM Kuma

Основы SIEM: Изучение принципов работы SIEM-систем, их роли в мониторинге безопасности, сборе и анализе логов.
Знакомство с SIEM Kuma: Обзор функциональных возможностей платформы, ее архитектуры и преимуществ перед другими решениями.
Сценарии использования: Понимание, как SIEM Kuma может быть использована для обнаружения инцидентов, расследования и предотвращения атак.

2. Развертывание SIEM Kuma

Установка и настройка:
Подготовка инфраструктуры (серверы, хранилища данных, сетевые настройки).
Установка SIEM Kuma на выбранную платформу (например, Linux-сервер).
Настройка базовых параметров: роли пользователей, доступы, интеграция с Active Directory или LDAP.
Сбор и нормализация логов:
Настройка источников данных (лог-серверы, сетевые устройства, приложения).
Нормализация логов для унификации форматов данных.
Интеграция с другими системами: Настройка интеграции с базами данных, системами тикетов (например, Jira), SOAR-платформами.

3. Работа с логами и событиями

Анализ логов:
Изучение структуры логов (например, Syslog, Windows Event Log, журналы веб-серверов).
Поиск аномалий и подозрительных событий.
Создание дашбордов:
Настройка визуализации данных для мониторинга ключевых показателей безопасности (KPI).
Использование графиков, диаграмм и отчетов для анализа данных.

4. Создание корреляционных правил

Основы корреляции:
Понимание принципов корреляции событий для выявления сложных атак.
Изучение встроенных правил и шаблонов.
Написание простых правил:
Создание правил для обнаружения базовых угроз (например, множественные неудачные попытки входа, сканирование портов).
Разработка сложных правил:
Использование логических операторов (AND, OR, NOT) для создания многоуровневых правил.
Пример: обнаружение атаки методом "перебор учетных данных" (Brute Force) с учетом временных интервалов и количества попыток.
Тестирование и оптимизация правил:
Проверка корректности работы правил на тестовых данных.
Оптимизация производительности для минимизации ложных срабатываний.

5. Расследование инцидентов

Триггеры и уведомления:
Настройка оповещений (email, SMS, интеграция с мессенджерами).
Анализ инцидентов:
Использование SIEM Kuma для расследования инцидентов, включая поиск root-причины.
Работа с цепочками событий (Event Correlation).
Создание отчетов:
Генерация отчетов для руководства и аудиторов.

6. Расширенные возможности SIEM Kuma

Интеграция с Threat Intelligence:
Использование внешних источников данных об угрозах для улучшения корреляции.
Автоматизация:
Настройка автоматических ответов на инциденты (например, блокировка IP-адресов через интеграцию с файрволом).
Масштабирование системы:
Оптимизация производительности для работы с большими объемами данных.

7. Практические кейсы

Реальные сценарии:
Анализ кейсов из реальной жизни, таких как атаки методом SQL-инъекций, фишинговые кампании, атаки на IoT-устройства.
Симуляции атак:
Проведение учебных атак (например, с использованием Metasploit) и их обнаружение с помощью SIEM Kuma.

8. Итоговая аттестация

Тестирование знаний:
Проверка понимания принципов работы SIEM, навыков настройки и написания корреляционных правил.
Практический экзамен:
Развертывание SIEM Kuma в тестовой среде, настройка источников данных и создание корреляционных правил для обнаружения сложных угроз.

Сетевая безопасность • Firewall • SIEM • Защита от DDOS • Безопасность сетей • IDS
Специалист по кибербезопасности
Январь 2022 — По настоящее время (3 года и 3 месяца)

Сергей Жестов

Контакты

Обо мне

Навыки

Опыт работы

Высшее образование

СПбГУПТД

Дополнительное образование

Skillbox

Введение в SIEM и SIEM Kuma

2. Развертывание SIEM Kuma

3. Работа с логами и событиями

4. Создание корреляционных правил

5. Расследование инцидентов

6. Расширенные возможности SIEM Kuma

7. Практические кейсы

8. Итоговая аттестация