Код курса: CHFI.
Продолжительность обучения: 40 уч. часов/5 дней.
Время проведения курса: очная дневная в удаленном режиме .
Центр повышения квалификации руководящих работников и специалистов в области ИТ предлагает авторизованный курс EC-Council CHFI «Расследование инцидентов компьютерной безопасности v9». Курс предназначен для инженеров по безопасности корпоративных систем и сетей, специалистов по защите информации, сотрудников служб информационной безопасности, связанных с расследованием вторжений в компьютерные сети. Курс полезен в качестве подготовки к получению международной сертификации. Ваучер на сдачу сертификационного экзамена включен в стоимость курса.
Слушатели курса получают актуальные знания и навыки, необходимые для обнаружения вторжения в систему, веб-приложения, мобильные устройства и облачные сервисы; по использованию методов и инструментов обнаружения и анализа вторжений. По всем модулям программы курса предусмотрены лабораторные работы.
Для успешного освоения материала необходима предварительная подготовка:
Занятия проходят онлайн. Каждый слушатель получает доступ к лабораторным работам, предоставляемым вендором, а также учебники в электронном виде.
После успешной сдачи зачета выдается свидетельство о повышении квалификации установленного образца, утвержденного Министерством образования Республики Беларусь, сертификат EC-Council о прослушанном авторизованном курсе и ваучер на сдачу сертификационного экзамена.
Программа курса:
1. Расследование инцидентов ИБ в современном мире
1.1. Определение компьютерных угроз
1.2. Классификация кибер-атак
1.3. Вызовы для исследователей кибер-преступлений
1.4. Типы кибер-атак и основные правила расследования
1.5. Правила сбора доказательств и основные типы цифровых улик
1.6. Оценка готовности к рассмотрению инцидента и план действий
1.7. Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
1.8. Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента
2. Процесс расследования инцидента ИБ
2.1. Процесс расследования инцидента ИБ
2.2. Этапы процесса расследования инцидента ИБ
2.3. Требования к лабораторной среде и команде исследователей инцидента
2.4. Программное обеспечение для исследования
2.5. Задачи первых исследователей инцидента ИБ
2.6. Поиск улик и сбор доказательств
2.7. Размещение и хранение доказательств
2.8. Дедупликация данных, восстановление удалённых данных и проверка доказательств
2.9. Написание отчёта
Лабораторная работа:
3. Сбор доказательств с дисков и файловых систем
3.1. Классификация средств обеспечения безопасности компьютерных сетей
3.2. Методы и средства контроля доступа
3.3. Методы и средства аутентификации, авторизации и аудита доступа
3.4. Краткий обзор основных методов криптографической защиты информации
3.5. Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
3.6. Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы
Лабораторная работа:
4. Расследование инцидентов, связанных с операционной системой
4.1. Способы получения данных
4.2. Получение текущих данных
4.3. Поучение статических данных
4.4. Дупликация данных
4.5. Блокировка изменения устройств
4.6. Методы и средства получения данных
4.7. Получение данных в Windows и Linux
Лабораторная работа:
5. Противодействие методам сокрытия доказательств
5.1. Противодействие методам сокрытия доказательств и цели противодействия
5.2. Обзор техник противодействия методам сокрытия доказательств
5.3. Извлечение доказательств с удалённых файлов и разделов, файлы с парольной защитой и стеганография
5.4. Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
5.5. Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов
5.6. Контр-меры по противодействию методов сокрытия улик
Лабораторная работа:
6. Методы сбора и копирования данных
6.1. Проверка изменяющихся и неизменяющихся данных Windows
6.2. Анализ памяти и реестра Windows
6.3. Проверка кэша, куки-файлов и истории браузера
6.4. Проверка файлов и метаданных Windows
6.5. Анализ текстовых журналов и журналов событий Windows
6.6. Команды и файлы журналов Linux
6.7. Проверка журналов Mac
Лабораторная работа:
7. Расследование инцидентов, связанных с сетевыми технологиями
7.1. Сетевые вторжения
7.2. Основные концепции журналирования
7.3. Обзор способов сопоставления событий
7.4. Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
7.5. Проверка сетевого трафика
7.6. Сбор доказательств по проникновению в сеть
7.7. Реконструкция вторжения
Лабораторная работа:
8. Расследование атак на веб-приложения
8.1. Угрозы для веб-приложений
8.2. Архитектура веб-приложений
8.3. Веб-атаки и шаги их осуществления
8.4. Веб-атаки на сервера Windows
8.5. Архитектура сервера IIS и работа с его журналом
8.6. Архитектура веб-сервера Apache и работа с его журналом
8.7. Способы атак на веб-приложения
Лабораторная работа:
9. Расследование инцидентов, связанных с СУБД
9.1. Угрозы базам данных
9.2. Угрозы MSSQL
9.3. Признаки вторжения в базе данных
9.4. Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
9.5. Угрозы MySQL
9.6. Архитектура MySQL и определение структуры директорий данных
9.7. Утилиты для анализа и сбора доказательств проникновения в MySQL
9.8. Угрозы MySQL для баз веб-приложений на WordPress
Лабораторная работа:
10. Расследование инцидентов, связанных с облачными приложениями
10.1. Описание принципов облачных вычислений
10.2. Атаки на облако
10.3. Способы защиты облаков
10.4. Заинтересованные лица защите облаков
10.5. Облачные сервисы DropBox и GoogleDrive
Лабораторная работа:
11. Расследование инцидентов, связанных с вредоносным кодом
11.1. Способы проникновения вредоносного ПО в ОС
11.2. Базовые компоненты и распространение вредоносного ПО
11.3. Концепции защиты от вредоносного ПО
11.4. Обнаружение и извлечение вредоносного ПО из систем
11.5. Анализ вредоносного ПО – правила анализа и тестовая среда
11.6. Статический и динамический анализ вредоносного ПО
Лабораторная работа:
12. Расследование инцидентов, связанных с электронной почтой
12.1. Почтовые системы, почтовые клиенты и почтовые сервера
12.2. Управление аккаунтами
12.3. Атаки на электронную почту
12.4. Компоненты сообщений электронной почты
12.5. Общие заголовки и X-заголовки
12.6. Обнаружения атак на почту
12.7. Средства анализа почтовых сообщений
12.8. Американский закон CAN-SPAM
Лабораторная работа:
13. Расследование инцидентов, связанных с мобильными устройствами
13.1. Угрозы мобильным устройствам
13.2. Особенности взлома мобильных устройств и мобильных ОС
13.3. Архитектура мобильных устройств
13.4. Архитектура стека Android и процесс загрузки
13.5. Архитектура стека iOS и процесс загрузки
13.6. Хранилища мобильных данных
13.7. Подготовка и вторжение в мобильную ОС
Лабораторная работа:
14. Подготовка отчетов о расследовании инцидента
14.1. Структура отчёта о расследование инцидента
14.2. Признаки хорошего отчёта
14.3. Шаблон отчёта о расследовании инцидента
14.4. Классификация отчётов и руководства по их написанию
14.5. Экспертные заключения в отчёте
14.6. Различия технических и экспертных заключений
14.7. Стандарты Дауберта (Daubert) и Фёе (Fyre)
14.8. Этические нормы при ведении расследования
Поиск курса
Бронирование курса
Если у Вас не получается отправить форму - напишите нам на почту education@it-training.by.