Выявление и реагирование на инциденты информационной безопасности: анализ сетевого трафика и вредоносного кода, проведение расследования
Подробнее о курсе
Краткое описание курса
Данный курс готовит специалистов по компьютерной криминалистике делая упор на детальное изучение рассматриваемых тем и их тщательную и очень детальную проработку на практике. В отличие от конкурентов, наш курс начинает с самых основ компьютерной криминалистики и проводит через все темы обеспечивая оптимальный баланс между теорией и практикой. Наши выпускники в состоянии начать работать в качестве начинающих специалистов-криминалистов в одной из криминалистических лабораторий, а дальнейший рост квалификации будет уже в рамках работы по данной специализации
Целевая аудитория курса
Данный курс готовит специалистов по компьютерной криминалистике делая упор на детальное изучение рассматриваемых тем и их тщательную и очень детальную проработку на практике
Получаемые знания и навыки
Наш курс начинает с самых основ компьютерной криминалистики и проводит через все темы обеспечивая оптимальный баланс между теорией и практикой. Наши выпускники в состоянии начать работать в качестве начинающих специалистов-криминалистов в одной из криминалистических лабораторий, а дальнейший рост квалификации будет уже в рамках работы по данной специализации.
В рамках практических заданий и лабораторных работ рассматриваются конкретные примеры использования средств обеспечения информационной безопасности информационной инфраструктуры организации.
В том числе:
- система обнаружения вторжения (IDS) — Snort, Suricata или иная
- SIEM-системы — Snort, Splunk, OSSEC, ELK-стек либо решение от вендоров, проработка использования системы управления событиями безопасности
- виртуальные машины — VirtualBox, VMWare и т.д. (разворачивание стенда, моделирование и изучение произошедшего инцидента ИБ)
- работа с различными ОС на виртуальных машинах: MacOS, Linux, Windows (задача занятия — где и какие артефакты нужно искать в различных операционных системах)
- работа с журнальными файлами: Windows – Event Log Explorer, либо стандартный, Linux (задача занятия — где эти располагаются журналы и как их можно открывать через консоль)
- средства анализа сетевого трафика – WireShark (предпочтительно), tcpdump, tshark или иные (задача занятия — понять, из чего состоит сетевой трафик, как его анализировать, как его снимать, как искать подозрительную активность)
- web-анализ — BurpSuite, браузер Mozilla FireFox
- анализ БД
- реверс-инжиниринг (статический и динамический анализ вредоносного программного обеспечения) — IDA Pro, x64dbg, x32dbg (задача занятия – верхнеуровневое понимание принципов работы)
Краткая программа курса
Модуль 1 — Компьютерная криминалистика в современном мире
- Разбор кейсов — примеры расследования компьютерных преступлений
- Характеристики цифровых улик
- Роль цифровых улик
- Источники потенциальных улик
- Готовность к криминалистическому расследованию
Модуль 2 — Процесс расследования компьютерных инцидентов
- Форма сбора вещественных доказательств
- Сбор и сохранение электронных улик
- Работа с включенными компьютерами
- Работа с выключенными компьютерами
- Работа с сетевым компьютером
- Работа с открытыми файлами и файлами автозагрузки
- Процедура выключения операционной системы
- Работа с рабочими станциями и серверами
- Работа с портативными компьютерами
- Работа с включенными портативными компьютерами
- Методология расследования: защита улик
- Управление уликами
- Порядок передачи и хранения улик
- Упаковка и транспортировка электронных улик
- Нумерация вещественных доказательств
- Хранение электронных вещественных доказательств
- Методология расследования: сбор данных
- Руководство по сбору данных
- Дублирование данных
- Проверка целостности образа
- Восстановление данных
- Методология расследования: анализ данных
- Процесс анализа данных
- Программное обеспечение для анализа данных
- Этап после расследования
- Методология расследования: экспертное свидетельствование
- Профессиональное поведение
Модуль 3 — Memory Forensics
- Что содержится в оперативной памяти
- Преимущества анализа оперативной памяти перед анализом жесткого диска
- Извлечение памяти Windows
- Хранение дампов оперативной памяти (сравнение форматов)
- Специфика pagefile.sys и swapfile.sys
- Описание стандартных процесов
- Действия с подозрительными DLL и EXE
- Другие типы объектов в оперативной памяти
Модуль 4 — Жесткие диски и файловые системы
- Обзор жестких дисков
- Жесткие диски (HDD)
- Твердотельные накопители (SSD)
- Физическая структура жесткого диска
- Логическая структура жесткого диска
- Типы интерфейсов жестких дисков
- Интерфейсы жестких дисков
- Треки
- Секторы
- Кластеры
- Плохие секторы
- Бит, байт и полубайт
- Адресация данных на жестком диске
- Плотность данных на жестком диске
- Расчет емкости диска
- Измерение производительности жесткого диска
- Разделы диска и процесс загрузки
- Дисковые разделы
- Блок параметров BIOS
- Главная загрузочная запись (MBR)
- Глобальный уникальный идентификатор (GUID)
- Что такое процесс загрузки?
- Основные системные файлы Windows
- Процесс загрузки Windows
- Идентификация таблицы разделов GUID
- Анализ заголовка и записей GPT
- Артефакты GPT
- Процесс загрузки Linux
- Файловые системы
- Общие сведения о файловых системах
- Типы файловых систем
- Файловые системы Windows
- Файловые системы Linux
- Виртуальная файловая система (VFS)
- Система хранения RAID
- Уровни RAID
- Защищенные области хоста (HPA)
- Анализ файловой системы
- Выделение однородных массивов данных
- Анализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений)
- Анализ файла PDF
- Анализ файлов Word
- Анализ файлов PPT
- Анализ файлов Excel
- Шестнадцатеричный вид популярных форматов файлов (видео, аудио)
- Анализ файловой системы
Модуль 5 — Сбор и дублирование данных
- Концепции сбора и дублирования данных, типы систем сбора данных
- Получение данных в реальном времени
- Порядок волатильности
- Типичные ошибки при сборе изменчивых данных
- Методология сбора изменчивых данных
- Получение статических данных
- Статические данные
- Эмпирические правила
- Дубликаты образов
- Побитовая копия и резервная копия
- Проблемы с копированием данных
- Шаги по сбору и дублированию данных
- Подготовка формы передачи улик
- Включение защиты от записи на носителях-уликах
- Подготовка целевого носителя: руководство NIST SP 800-88
- Определение формата сбора данных
- Методы сбора данных
- Определение лучшего метода сбора данных
- Выбор инструмента для сбора данных
- Сбор данных с RAID-дисков
- Удаленное получение данных
- Ошибки при сборе данных
- Планирование нештатных ситуаций
- Рекомендации по сбору данных
Модуль 6 — Техники, затрудняющие криминалистическую экспертизу
- Что такое антифорензика и ее цели
- Техники антифорензики
- Удаление данных / файлов, что происходит при удалении файла в Windows
- Восстановление файлов
- Средства восстановления файлов в Windows
- Восстановление файлов в Linux
- Восстановление удаленных разделов
- Защита паролем
- Типы паролей
- Работа взломщика паролей
- Техники взлома паролей
- Пароли по умолчанию
- Использование радужных таблиц для взлома хэшей
- Аутентификация Microsoft
- Взлом системных паролей
- Обход паролей BIOS
- Инструменты для сброса пароля администратора, паролей приложений, системных паролей
- Стеганография и стеганализ
- Скрытие данных в структурах файловой системы
- Обфускация следов
- Стирание артефактов
- Перезапись данных и метаданных
- Шифрование
- Шифрующая файловая система (EFS)
- Инструменты восстановления данных EFS
- Шифрованные сетевые протоколы
- Упаковщики
- Руткиты, шаги для их обнаружения
- Минимизация следов
- Эксплуатация ошибок криминалистических инструментов
- Детектирование криминалистических инструментов
- Меры противодействия антифорензике
- Инструменты, затрудняющие криминалистическую экспертизу
Модуль 7 — Криминалистическая экспертиза операционных систем
- Введение в криминалистическую экспертизу ОС
- Криминалистическая экспертиза Windows
- Методология криминалистической экспертизы Windows
- Сбор энергозависимой информации (системное время, зарегистрированные пользователи, открытые файлы, информация о сети, сетевые подключения, информация о процессах, сопоставление процессов и портов, память процесса, состояние сети, файлы очереди печати и др.)
- Сбор энергонезависимой информации (файловые системы, настройки реестра, идентификаторы безопасности (SID), журналы событий, файл базы данных ESE, подключенные устройства, файлы гибернации, файл подкачки, скрытые альтернативные потоки и др.)
- Анализ памяти Windows (виртуальные жесткие диски (VHD), дамп памяти, механизм создания процесса, анализ содержимого памяти, анализ памяти процесса, извлечение образа процесса, сбор содержимого из памяти процесса)
- Анализ реестра Windows (устройство реестра, структура реестра, реестр как файл журнала, анализ реестра, системная информация, информация о часовом поясе, общие папки, беспроводные идентификаторы SSID, служба теневого копирования томов, загрузка системы, вход пользователя, активность пользователя, ключи реестра автозагрузки, USB-устройства, монтируемые устройства, отслеживание активности пользователей, ключи UserAssist)
- Кэш, Cookie и анализ истории (Mozilla Firefox, Google Chrome, Microsoft Edge и Internet Explorer)
- Анализ файлов Windows (точки восстановления системы, Prefetch-файлы, ярлыки, файлы изображений)
- Исследование метаданных (типы метаданных, метаданные в разных файловых системах, метаданные в файлах PDF, метаданные в документах Word, инструменты анализа метаданных)
- Журналы (типы событий входа в систему, формат файла журнала событий, организация записей событий, структура ELF_LOGFILE_HEADER, структура записи журнала, журналы событий Windows 10, криминалистический анализ журналов событий)
- Инструменты криминалистического анализа Windows
- Криминалистическая экспертиза LINUX
- Команды оболочки
- Файлы журнала Linux
- Сбор энергозависимых данных
- Сбор энергонезависимых данных
- Область подкачки
Модуль 8 — Сетевые расследования, логи и дампы сетевого трафика
- Введение в сетевую криминалистику (анализ по журналам и в реальном времени, сетевые уязвимости, сетевые атаки, где искать доказательства)
- Основные понятия ведения журналов (лог-файлы как доказательство, законы и нормативные акты, законность использования журналов, записи о регулярно проводимой деятельности в качестве доказательства)
- Корреляция событий
- Типы корреляции событий
- Пререквизиты для корреляции событий
- Подходы к корреляции событий
- Обеспечение точности лог-файлов
- Записывать все
- Сохранение времени
- Цель синхронизации времени компьютеров
- Протокол сетевого времени (NTP)
- Использование нескольких датчиков
- Управления журналами
- Функции инфраструктуры управления журналами
- Проблемы с управлением журналами
- Решение задач управления журналами
- Централизованное ведение журнала
- Протокол Syslog
- Обеспечение целостности системы
- Контроль доступа к журналам
- Цифровая подпись, шифрование и контрольные суммы
- Анализ журналов
- Механизм сетевого криминалистического анализа
- Средства сбора и анализа журналов
- Анализ журналов маршрутизатора
- Сбор информации из таблицы ARP
- Анализ журналов брандмауэра, IDS, Honeypot, DHCP, ODBC
- Исследование сетевого трафика
- Сбор улик посредством сниффинга
- Анализаторы сетевых пакетов
- Документирование сетевых улик
- Реконструкция улик
Модуль 9 — Расследование зловредного программного обеспечения
- Концепции и типы вредоносного ПО
- Различные способы проникновения вредоносного ПО в систему
- Обычные методы, используемые злоумышленниками для распространения вредоносного ПО в интернете
- Компоненты вредоносного ПО
- Криминалистическая экспертиза вредоносных программ
- Зачем анализировать вредоносное ПО
- Идентификация и извлечение вредоносных программ
- Лаборатория для анализа вредоносных программ
- Подготовка тестового стенда для анализа вредоносных программ
- Инструменты для анализа вредоносных программ
- Общие правила анализа вредоносных программ
- Организационные вопросы анализа вредоносных программ
- Типы анализа вредоносных программ
- Статический анализ
- Статический анализ вредоносных программ: отпечатки файлов
- Онлайн-службы анализа вредоносных программ
- Локальное и сетевое сканирование вредоносных программ
- Выполнение поиска строк
- Определение методов упаковки / обфускации
- Поиск информации о переносимых исполняемых файлах (PE)
- Определение зависимостей файлов
- Дизассемблирование вредоносных программ
- Средства анализа вредоносных программ
- Динамический анализ
- Мониторинг процессов, файлов и папок, реестра, активности сети, портов, DNS, вызовов API, драйверов устройств, программ автозагрузки, служб Windows
- Анализ вредоносных документов
- Проблемы анализа вредоносных программ
Модуль 10 — Подготовка отчета о расследовании
- Подготовка отчета об исследовании
- Классификация отчетов
- Руководство по написанию отчета
- Рекомендации по написанию отчета
- Показания эксперта-свидетеля
- Кто такой эксперт-свидетель и его роль
- Технический свидетель и эксперт-свидетель
- Свидетельство в суде
- Общий порядок судебных разбирательств
- Общая этика при свидетельстве
- Значение графики в показаниях
- Как избежать проблем с показаниями
- Свидетельствование во время прямой экспертизы
- Свидетельствование во время перекрестного допроса
- Показания, приобщенные к материалам дела
- Работа со СМИ