Расследование компьютерных преступлений (Computer crime investigation)
Код курса
БТ17
Продолжительность
40 ак. часов (5 дней)
Вендор
F.A.C.C.T.
Стоимость
115 000 ₽
Форма обучения
Очно
Онлайн-трансляция
Тип программы
Практический курс
Ближайшая дата
31 марта - 04 апреля 2025
Расследование компьютерных преступлений (Computer crime investigation)
Код курса БТ17, 5 дней
Статус
Авторский курс Компании F.A.С.С.T.
Аннотация
Новая программа киберобучений от F.A.С.С.T. «Расследование компьютерных преступлений» позволит вам понять, насколько вы готовы противостоять хакерам мирового уровня. Как оказаться умнее киберпреступников в собственной сети и не дать им заработать на вас? Курс научит, что делать при выявлении взлома, а также как проводить технический анализ данных по следам действий злоумышленников.
Программа составлена сертифицированными (GIAC GCFA, CISM, MCFE, ACE) специалистами по компьютерной криминалистике на основе реальных случаев расследования компьютерных инцидентов разного уровня сложности.
Специалисты F.A.С.С.T. уверены, что ни одно средство защиты не дает 100% безопасности. На первый план выходят осведомленность технического персонала и умение настраивать сеть для эффективного мониторинга. Курс открывает реальность мира киберпреступников и способы противодействия их активности.
Данный курс представляет собой сочетание теоретических лекций, практических занятий, а также самостоятельное расследование реального инцидента информационной безопасности.
Аудитория
- Руководители и специалисты отделов ИБ.
- Руководители и специалисты технических отделов.
- Сетевые администраторы.
- Команда специалистов по реагированию на инциденты информационной безопасности.
- Специалисты центров по реагированию (CERT).
- Специалисты по тестам на проникновение.
- Компьютерные криминалисты и эксперты.
- Red team.
- Threat hunters.
Предварительная подготовка
- Базовые знания о файловых системах.
- Базовые знания об ОС семейства Windows.
- Базовые знания об ОС семейства Linux.
- Понимание основных принципов информационной безопасности и методов работы средств защиты.
В результате обучения
В ходе курса вы получите:
- Понимание того, от кого надо защищаться и как строить информационную безопасность в организации: автономная работа средств защиты не спасет от инцидента без специалистов, которые понимают суть современных компьютерных атак и методов их совершения
- Критерии, по которым можно отличать критические срабатывания от ложных: событий от средств защиты много, а выявить надо совокупность факторов, говорящих, что прямо сейчас вы подвергаетесь атаке или уже взломаны
- План по проведению первичного реагирования, чтобы своевременно найти хакеров в сети и избавиться от них: реагировать надо быстро и эффективно, от этого зависит, произойдет ли утечка данных, удаление/шифрование информации, кража денежных средств, компрометация почты и т.д.
- Инструменты компьютерной криминалистики, позволяющие восстанавливать хронологию событий инцидентов при их расследовании: как вас взломали? распространялись по сети? как усилить защиту, чтобы такого не повторилось? детальный анализ скомпрометированных станций позволяет предотвратить эскалацию инцидента и выявить все закладки хакеров, чтобы перекрыть полностью каналы доступа в организацию
- Методики поиска данных о лицах, причастных к инцидентам, из открытых источников и сбора доказательной базы.
Пакет слушателя
- Презентация курса с необходимыми для практических занятий материалами раздается в формате PDF
- Учебные материалы в электронном виде для самостоятельной работы.
Дополнительно
После успешной сдачи зачета выпускники получают:
- свидетельства об обучении в Учебном центре «Информзащита»,
- сертификаты Компании F.A.С.С.T..
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа курса
День 1. Первичное реагирование
- Тренды киберпреступлений и способы защиты корпоративной инфраструктуры.
- Идентификация проникновения в корпоративную сеть.
- План выявления злоумышленника в сети организации и всех скомпрометированных компьютеров.
- Устранение всех установленных способов доступа злоумышленников в сеть организации.
- Разработка мер по предотвращению и своевременному обнаружению взломов.
- Поиск уликовой информации на компьютерах. Основные принципы изъятия компьютерной техники. В каких объектах содержится уликовая информация. Методы сокрытия таких данных от обнаружения.
- Выявление методов и средств контр-криминалистики: полнодисковое шифрование, удаленное хранение информации и др. Особенности работы в данных условиях.
- Сбор доказательной базы и ее оформление/хранение.
- Особенности фиксации содержимого мобильных устройств: изоляция от беспроводных сетей передачи данных, предотвращение блокировки устройств, предотвращение удаленной модификации или уничтожения данных.
- Игра-моделирование реальной атаки на организацию и тренировка навыков принятия мер по минимизации ущерба от нее.
День 2. Компьютерная криминалистика систем под управлением ОС Windows
- Основы компьютерной криминалистики и поиск артефактов в ОС Windows.
- Восстановление данных.
- Выявление методов сокрытия данных и их разоблачение.
- Выявление зараженных систем и восстановление хронологии заражения посредством plaso и log2timeline.
- Исследование систем при расследовании инсайдов.
- Использование криминалистически важной информации для Threat Hunting.
- Практические занятия со скомпрометированными системами.
День 3. Криминалистика оперативной памяти
- Принцип работы оперативной памяти, межпроцессный обмен данными и внедрение вредоносного кода в процессы.
- Live-анализ оперативной памяти для выявления признаков компрометации системы.
- Создание дампов оперативной памяти и специфика их анализа посредством volatility, Rekall, Redline. Особенности исследования для разных ОС.
- Исследование файлов гибернации и подкачки на предмет поиска криминалистических артефактов.
- Алгоритм выявления аномалий и вредоносной активности в оперативной памяти.
- Практические занятия на восстановление хронологии атак на основе дампов оперативной памяти.
День 4. Сетевая криминалистика
- Общие сведения о сетях и сетевом взаимодействии.
- Основные принципы проведения сетевой криминалистики. Регламент действий сотрудников с целью получения максимально подробной информации для проведения анализа.
- Типовые источники данных для проведения сетевой криминалистики и их исследование.
- Особенности инструментария для создания дампа сетевого трафика.
- Анализ трафика с помощью ПО Wireshark, Sguil, Xplico, Squer, SecurityOnion и др.
- OSINT.
- Практические занятия по анализу вредоносного трафика, зашифрованного трафика и выявление аномальной активности.
День 5. Самостоятельное расследование
- Определение типа атаки и задействованных в атаке людей на примере образов из скомпрометированной сети.
- Выстраивание поминутного сценария атаки и компрометации данных.
- Оформление отчета и разработка рекомендаций по предупреждению атак подобного характера.