Фоновый баннер

Выявление и реагирование на инциденты информационной безопасности: анализ сетевого трафика и вредоносного кода, проведение расследования

Москва
Иконка

Дата: 13.05.2024

Цена: 128600 руб.

Записаться на курс

Москва
Иконка

Дата: 22.07.2024

Цена: 128600 руб.

Записаться на курс

Москва
Иконка

Дата: 11.11.2024

Цена: 128600 руб.

Записаться на курс

Подробнее о курсе

Краткое описание курса
Данный курс готовит специалистов по компьютерной криминалистике делая упор на детальное изучение рассматриваемых тем и их тщательную и очень детальную проработку на практике. В отличие от конкурентов, наш курс начинает с самых основ компьютерной криминалистики и проводит через все темы обеспечивая оптимальный баланс между теорией и практикой. Наши выпускники в состоянии начать работать в качестве начинающих специалистов-криминалистов в одной из криминалистических лабораторий, а дальнейший рост квалификации будет уже в рамках работы по данной специализации

Целевая аудитория курса
Данный курс готовит специалистов по компьютерной криминалистике делая упор на детальное изучение рассматриваемых тем и их тщательную и очень детальную проработку на практике

Получаемые знания и навыки

Наш курс начинает с самых основ компьютерной криминалистики и проводит через все темы обеспечивая оптимальный баланс между теорией и практикой. Наши выпускники в состоянии начать работать в качестве начинающих специалистов-криминалистов в одной из криминалистических лабораторий, а дальнейший рост квалификации будет уже в рамках работы по данной специализации.

В рамках практических заданий и лабораторных работ рассматриваются конкретные примеры использования средств обеспечения информационной безопасности информационной инфраструктуры организации.

В том числе:

  • система обнаружения вторжения (IDS) — Snort, Suricata или иная
  • SIEM-системы — Snort, Splunk, OSSEC, ELK-стек либо решение от вендоров, проработка использования системы управления событиями безопасности
  • виртуальные машины — VirtualBox, VMWare и т.д. (разворачивание стенда, моделирование и изучение произошедшего инцидента ИБ)
  • работа с различными ОС на виртуальных машинах: MacOS, Linux, Windows (задача занятия — где и какие артефакты нужно искать в различных операционных системах)
  • работа с журнальными файлами: Windows – Event Log Explorer, либо стандартный, Linux (задача занятия — где эти располагаются журналы и как их можно открывать через консоль)
  • средства анализа сетевого трафика – WireShark (предпочтительно), tcpdump, tshark или иные (задача занятия — понять, из чего состоит сетевой трафик, как его анализировать, как его снимать, как искать подозрительную активность)
  • web-анализ — BurpSuite, браузер Mozilla FireFox
  • анализ БД
  • реверс-инжиниринг (статический и динамический анализ вредоносного программного обеспечения) — IDA Pro, x64dbg, x32dbg (задача занятия – верхнеуровневое понимание принципов работы)

Краткая программа курса
Модуль 1 — Компьютерная криминалистика в современном мире

  • Разбор кейсов — примеры расследования компьютерных преступлений
  • Характеристики цифровых улик
  • Роль цифровых улик
  • Источники потенциальных улик
  • Готовность к криминалистическому расследованию

Модуль 2 — Процесс расследования компьютерных инцидентов

  • Форма сбора вещественных доказательств
  • Сбор и сохранение электронных улик
  • Работа с включенными компьютерами
  • Работа с выключенными компьютерами
  • Работа с сетевым компьютером
  • Работа с открытыми файлами и файлами автозагрузки
  • Процедура выключения операционной системы
  • Работа с рабочими станциями и серверами
  • Работа с портативными компьютерами
  • Работа с включенными портативными компьютерами
  • Методология расследования: защита улик
  • Управление уликами
  • Порядок передачи и хранения улик
  • Упаковка и транспортировка электронных улик
  • Нумерация вещественных доказательств
  • Хранение электронных вещественных доказательств
  • Методология расследования: сбор данных
  • Руководство по сбору данных
  • Дублирование данных
  • Проверка целостности образа
  • Восстановление данных
  • Методология расследования: анализ данных
  • Процесс анализа данных
  • Программное обеспечение для анализа данных
  • Этап после расследования
  • Методология расследования: экспертное свидетельствование
  • Профессиональное поведение

Модуль 3 — Memory Forensics

  • Что содержится в оперативной памяти
  • Преимущества анализа оперативной памяти перед анализом жесткого диска
  • Извлечение памяти Windows
  • Хранение дампов оперативной памяти (сравнение форматов)
  • Специфика pagefile.sys и swapfile.sys
  • Описание стандартных процесов
  • Действия с подозрительными DLL и EXE
  • Другие типы объектов в оперативной памяти

Модуль 4 — Жесткие диски и файловые системы

  • Обзор жестких дисков
  • Жесткие диски (HDD)
  • Твердотельные накопители (SSD)
  • Физическая структура жесткого диска
  • Логическая структура жесткого диска
  • Типы интерфейсов жестких дисков
  • Интерфейсы жестких дисков
  • Треки
  • Секторы
  • Кластеры
  • Плохие секторы
  • Бит, байт и полубайт
  • Адресация данных на жестком диске
  • Плотность данных на жестком диске
  • Расчет емкости диска
  • Измерение производительности жесткого диска
  • Разделы диска и процесс загрузки
  • Дисковые разделы
  • Блок параметров BIOS
  • Главная загрузочная запись (MBR)
  • Глобальный уникальный идентификатор (GUID)
  • Что такое процесс загрузки?
  • Основные системные файлы Windows
  • Процесс загрузки Windows
  • Идентификация таблицы разделов GUID
  • Анализ заголовка и записей GPT
  • Артефакты GPT
  • Процесс загрузки Linux
  • Файловые системы
  • Общие сведения о файловых системах
  • Типы файловых систем
  • Файловые системы Windows
  • Файловые системы Linux
  • Виртуальная файловая система (VFS)
  • Система хранения RAID
  • Уровни RAID
  • Защищенные области хоста (HPA)
  • Анализ файловой системы
  • Выделение однородных массивов данных
  • Анализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений)
  • Анализ файла PDF
  • Анализ файлов Word
  • Анализ файлов PPT
  • Анализ файлов Excel
  • Шестнадцатеричный вид популярных форматов файлов (видео, аудио)
  • Анализ файловой системы

Модуль 5 — Сбор и дублирование данных

  • Концепции сбора и дублирования данных, типы систем сбора данных
  • Получение данных в реальном времени
  • Порядок волатильности
  • Типичные ошибки при сборе изменчивых данных
  • Методология сбора изменчивых данных
  • Получение статических данных
  • Статические данные
  • Эмпирические правила
  • Дубликаты образов
  • Побитовая копия и резервная копия
  • Проблемы с копированием данных
  • Шаги по сбору и дублированию данных
  • Подготовка формы передачи улик
  • Включение защиты от записи на носителях-уликах
  • Подготовка целевого носителя: руководство NIST SP 800-88
  • Определение формата сбора данных
  • Методы сбора данных
  • Определение лучшего метода сбора данных
  • Выбор инструмента для сбора данных
  • Сбор данных с RAID-дисков
  • Удаленное получение данных
  • Ошибки при сборе данных
  • Планирование нештатных ситуаций
  • Рекомендации по сбору данных

Модуль 6 — Техники, затрудняющие криминалистическую экспертизу

  • Что такое антифорензика и ее цели
  • Техники антифорензики
  • Удаление данных / файлов, что происходит при удалении файла в Windows
  • Восстановление файлов
  • Средства восстановления файлов в Windows
  • Восстановление файлов в Linux
  • Восстановление удаленных разделов
  • Защита паролем
  • Типы паролей
  • Работа взломщика паролей
  • Техники взлома паролей
  • Пароли по умолчанию
  • Использование радужных таблиц для взлома хэшей
  • Аутентификация Microsoft
  • Взлом системных паролей
  • Обход паролей BIOS
  • Инструменты для сброса пароля администратора, паролей приложений, системных паролей
  • Стеганография и стеганализ
  • Скрытие данных в структурах файловой системы
  • Обфускация следов
  • Стирание артефактов
  • Перезапись данных и метаданных
  • Шифрование
  • Шифрующая файловая система (EFS)
  • Инструменты восстановления данных EFS
  • Шифрованные сетевые протоколы
  • Упаковщики
  • Руткиты, шаги для их обнаружения
  • Минимизация следов
  • Эксплуатация ошибок криминалистических инструментов
  • Детектирование криминалистических инструментов
  • Меры противодействия антифорензике
  • Инструменты, затрудняющие криминалистическую экспертизу

Модуль 7 — Криминалистическая экспертиза операционных систем

  • Введение в криминалистическую экспертизу ОС
  • Криминалистическая экспертиза Windows
  • Методология криминалистической экспертизы Windows
  • Сбор энергозависимой информации (системное время, зарегистрированные пользователи, открытые файлы, информация о сети, сетевые подключения, информация о процессах, сопоставление процессов и портов, память процесса, состояние сети, файлы очереди печати и др.)
  • Сбор энергонезависимой информации (файловые системы, настройки реестра, идентификаторы безопасности (SID), журналы событий, файл базы данных ESE, подключенные устройства, файлы гибернации, файл подкачки, скрытые альтернативные потоки и др.)
  • Анализ памяти Windows (виртуальные жесткие диски (VHD), дамп памяти, механизм создания процесса, анализ содержимого памяти, анализ памяти процесса, извлечение образа процесса, сбор содержимого из памяти процесса)
  • Анализ реестра Windows (устройство реестра, структура реестра, реестр как файл журнала, анализ реестра, системная информация, информация о часовом поясе, общие папки, беспроводные идентификаторы SSID, служба теневого копирования томов, загрузка системы, вход пользователя, активность пользователя, ключи реестра автозагрузки, USB-устройства, монтируемые устройства, отслеживание активности пользователей, ключи UserAssist)
  • Кэш, Cookie и анализ истории (Mozilla Firefox, Google Chrome, Microsoft Edge и Internet Explorer)
  • Анализ файлов Windows (точки восстановления системы, Prefetch-файлы, ярлыки, файлы изображений)
  • Исследование метаданных (типы метаданных, метаданные в разных файловых системах, метаданные в файлах PDF, метаданные в документах Word, инструменты анализа метаданных)
  • Журналы (типы событий входа в систему, формат файла журнала событий, организация записей событий, структура ELF_LOGFILE_HEADER, структура записи журнала, журналы событий Windows 10, криминалистический анализ журналов событий)
  • Инструменты криминалистического анализа Windows
  • Криминалистическая экспертиза LINUX
  • Команды оболочки
  • Файлы журнала Linux
  • Сбор энергозависимых данных
  • Сбор энергонезависимых данных
  • Область подкачки

Модуль 8 — Сетевые расследования, логи и дампы сетевого трафика

  • Введение в сетевую криминалистику (анализ по журналам и в реальном времени, сетевые уязвимости, сетевые атаки, где искать доказательства)
  • Основные понятия ведения журналов (лог-файлы как доказательство, законы и нормативные акты, законность использования журналов, записи о регулярно проводимой деятельности в качестве доказательства)
  • Корреляция событий
  • Типы корреляции событий
  • Пререквизиты для корреляции событий
  • Подходы к корреляции событий
  • Обеспечение точности лог-файлов
  • Записывать все
  • Сохранение времени
  • Цель синхронизации времени компьютеров
  • Протокол сетевого времени (NTP)
  • Использование нескольких датчиков
  • Управления журналами
  • Функции инфраструктуры управления журналами
  • Проблемы с управлением журналами
  • Решение задач управления журналами
  • Централизованное ведение журнала
  • Протокол Syslog
  • Обеспечение целостности системы
  • Контроль доступа к журналам
  • Цифровая подпись, шифрование и контрольные суммы
  • Анализ журналов
  • Механизм сетевого криминалистического анализа
  • Средства сбора и анализа журналов
  • Анализ журналов маршрутизатора
  • Сбор информации из таблицы ARP
  • Анализ журналов брандмауэра, IDS, Honeypot, DHCP, ODBC
  • Исследование сетевого трафика
  • Сбор улик посредством сниффинга
  • Анализаторы сетевых пакетов
  • Документирование сетевых улик
  • Реконструкция улик

Модуль 9 — Расследование зловредного программного обеспечения

  • Концепции и типы вредоносного ПО
  • Различные способы проникновения вредоносного ПО в систему
  • Обычные методы, используемые злоумышленниками для распространения вредоносного ПО в интернете
  • Компоненты вредоносного ПО
  • Криминалистическая экспертиза вредоносных программ
  • Зачем анализировать вредоносное ПО
  • Идентификация и извлечение вредоносных программ
  • Лаборатория для анализа вредоносных программ
  • Подготовка тестового стенда для анализа вредоносных программ
  • Инструменты для анализа вредоносных программ
  • Общие правила анализа вредоносных программ
  • Организационные вопросы анализа вредоносных программ
  • Типы анализа вредоносных программ
  • Статический анализ
  • Статический анализ вредоносных программ: отпечатки файлов
  • Онлайн-службы анализа вредоносных программ
  • Локальное и сетевое сканирование вредоносных программ
  • Выполнение поиска строк
  • Определение методов упаковки / обфускации
  • Поиск информации о переносимых исполняемых файлах (PE)
  • Определение зависимостей файлов
  • Дизассемблирование вредоносных программ
  • Средства анализа вредоносных программ
  • Динамический анализ
  • Мониторинг процессов, файлов и папок, реестра, активности сети, портов, DNS, вызовов API, драйверов устройств, программ автозагрузки, служб Windows
  • Анализ вредоносных документов
  • Проблемы анализа вредоносных программ

Модуль 10 — Подготовка отчета о расследовании

  • Подготовка отчета об исследовании
  • Классификация отчетов
  • Руководство по написанию отчета
  • Рекомендации по написанию отчета
  • Показания эксперта-свидетеля
  • Кто такой эксперт-свидетель и его роль
  • Технический свидетель и эксперт-свидетель
  • Свидетельство в суде
  • Общий порядок судебных разбирательств
  • Общая этика при свидетельстве
  • Значение графики в показаниях
  • Как избежать проблем с показаниями
  • Свидетельствование во время прямой экспертизы
  • Свидетельствование во время перекрестного допроса
  • Показания, приобщенные к материалам дела
  • Работа со СМИ

Отзывы по курсу