Расследование инцидентов компьютерной безопасности
Продолжительность: 5 дней, 40 академических часов.
Цель курса – дать слушателям знания и навыки работы с ключевыми методиками обнаружения компьютерных преступлений как в локальной сети, так и при взаимодействии в сети Интернет с мобильными клиентами и облачными сервисами. Также в курсе широко представлены программные продукты по сбору и восстановлению информации, свидетельствующей о вторжении в систему.
Курс предоставляет развернутые знания по анализу безопасности современных компьютерных сетей и будет полезен всем заинтересованным ИТ-специалистам, в том числе сетевым и системным администраторам и ИТ-руководителям. Курс будет интересен сотрудникам службы информационной безопасности, сотрудникам правоохранительных органов и военным представителям, связанным с расследованием вторжений в компьютерные сети. Кроме того курс полезен специалистам в сфере безопасности в качестве подготовки к получению международной сертификации.
Необходимая подготовка
Для эффективного обучения на курсе слушатели должны обладать следующими знаниями и навыками:
- Опыт работы с клиентским и серверными ОС;
- Понимание работы сети и сетевых устройств;
- Понимание базовых концепций безопасности;
- Курсы CEH и CND или эквивалентные знания и навыки.
По окончании курса слушатели смогут:
- Самостоятельно обнаруживать вторжения в ОС, веб-приложения, мобильные устройства и облачные сервисы;
- Использовать проверенные методы обнаружения вторжений;
- Собирать доказательную базу для подтверждения вторжения;
- Использовать специализированные инструменты для анализа вторжений;
- Анализировать потоки текстового, графического или медиа трафика на предмет наличия закладок;
- Проводить анализ систем хранения для обнаружения следов вторжения;
- Восстанавливать и анализировать состояние постоянной(энергонезависимой) и оперативной(энергозависимой) памяти из ОС Windows, Mac и Linux;
- Восстанавливать удалённые файлы и разделы в Windows, Mac и Linux;
- Анализировать состояние систем на предмет атак инсайдеров;
- Применять технику обратного инжиниринга для анализа атакующего кода;
- Обнаруживать взлом (или попытку взлома) запароленных файлов;
- Извлекать и анализировать журналы прокси-серверов, брандмауэров, систем обнаружения/предотвращения вторжений, рабочих станций, серверов, коммутаторов, маршрутизаторов, контроллеров домена, DNS и DHCP серверов, систем управления доступом и других устройств;
- Выполнять необходимые мероприятия для передачи доказательств в правоохранительные органы.
Программа
Модуль 1: Расследование инцидентов ИБ в современном мире
- Определение компьютерных угроз
- Классификация кибер-атак
- Вызовы для исследователей кибер-преступлений
- Типы кибер-атак и основные правила расследования
- Правила сбора доказательств и основные типы цифровых улик
- Оценка готовности к рассмотрению инцидента и план действий
- Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
- Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента
Модуль 2: Процесс расследования инцидента ИБ
- Процесс расследования инцидента ИБ
- Этапы процесса расследования инцидента ИБ
- Требования к лабораторной среде и команде исследователей инцидента
- Программное обеспечение для исследования
- Задачи первых исследователей инцидента ИБ
- Поиск улик и сбор доказательств
- Размещение и хранение доказательств
- Дедупликация данных, восстановление удалённых данных и проверка доказательств
- Написание отчёта
Модуль 3: Сбор доказательств с дисков и файловых систем
- Классификация средств обеспечения безопасности компьютерных сетей
- Методы и средства контроля доступа
- Методы и средства аутентификации, авторизации и аудита доступа
- Краткий обзор основных методов криптографической защиты информации
- Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
- Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы
Модуль 4: Расследование инцидентов, связанных с операционной системой
Темы
- Способы получения данных
- Получение текущих данных
- Поучение статических данных
- Дупликация данных
- Блокировка изменения устройств
- Методы и средства получения данных
- Получение данных в Windows и Linux
Модуль 5: Противодействие методам сокрытия доказательств
Темы
- Противодействие методам сокрытия доказательств и цели противодействия
- Обзор техник противодействия методам сокрытия доказательств
- Извлечение доказательств с удалённых файлов и разделов, файлы с парольной защитой и стеганография
- Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
- Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов
- Контр-меры по противодействию методов сокрытия улик
Модуль 6: Методы сбора и копирования данных
Темы
- Проверка изменяющихся и неизменяющихся данных Windows
- Анализ памяти и реестра Windows
- Проверка кэша, куки-файлов и истории браузера
- Проверка файлов и метаданных Windows
- Анализ текстовых журналов и журналов событий Windows
- Команды и файлы журналов Linux
- Проверка журналов Mac
Модуль 7: Расследование инцидентов, связанных с сетевыми технологиями
Темы
- Сетевые вторжения
- Основные концепции журналирования
- Обзор способов сопоставления событий
- Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
- Проверка сетевого трафика
- Сбор доказательств по проникновению в сеть
- Реконструкция вторжения
Модуль 8: Расследование атак на веб-приложения
Темы
- Угрозы для веб-приложений
- Архитектура веб-приложений
- Веб-атаки и шаги их осуществления
- Веб-атаки на сервера Windows
- Архитектура сервера IIS и работа с его журналом
- Архитектура веб-сервера Apache и работа с его журналом
- Способы атак на веб-приложения
Модуль 9: Расследование инцидентов, связанных с СУБД
Темы
- Угрозы базам данных
- Угрозы MSSQL
- Признаки вторжения в базе данных
- Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
- Угрозы MySQL
- Архитектура MySQL и определение структуры директорий данных
- Утилиты для анализа и сбора доказательств проникновения в MySQL
- Угрозы MySQL для баз веб-приложений на WordPress
Модуль 10: Расследование инцидентов, связанных с облачными приложениями
Темы
- Описание принципов облачных вычислений
- Атаки на облако
- Способы защиты облаков
- Заинтересованные лица защите облаков
- Облачные сервисы DropBox и GoogleDrive
Модуль 11: Расследование инцидентов, связанных с вредоносным кодом
Темы
- Способы проникновения вредоносного ПО в ОС
- Базовые компоненты и распространение вредоносного ПО
- Концепции защиты от вредоносного ПО
- Обнаружение и извлечение вредоносного ПО из систем
- Анализ вредоносного ПО – правила анализа и тестовая среда
- Статический и динамический анализ вредоносного ПО
Модуль 12: Расследование инцидентов, связанных с электронной почтой
Темы
- Почтовые системы, почтовые клиенты и почтовые сервера
- Управление аккаунтами
- Атаки на электронную почту
- Компоненты сообщений электронной почты
- Общие заголовки и X-заголовки
- Обнаружения атак на почту
- Средства анализа почтовых сообщений
- Американский закон CAN-SPAM
Модуль 13: Расследование инцидентов, связанных с мобильными устройствами
Темы
- Угрозы мобильным устройствам
- Особенности взлома мобильных устройств и мобильных ОС
- Архитектура мобильных устройств
- Архитектура стека Android и процесс загрузки
- Архитектура стека iOS и процесс загрузки
- Хранилища мобильных данных
- Подготовка и вторжение в мобильную ОС
Модуль 14: Подготовка отчетов о расследовании инцидента
Темы
- Структура отчёта о расследование инцидента
- Признаки хорошего отчёта
- Шаблон отчёта о расследовании инцидента
- Классификация отчётов и руководства по их написанию
- Экспертные заключения в отчёте
- Различия технических и экспертных заключений
- Стандарты Дауберта (Daubert) и Фёе (Fyre)
- Этические нормы при ведении расследования
- Лекции 0
- Тесты 0
- Учебное время 50 hours
- Навык Все уровни
- Язык English
- Студенты 1
- Оценки Да
