Расследование инцидентов компьютерной безопасности v9

 

Код курса: CHFI.

Продолжительность обучения: 40 уч. часов/5 дней.

Время проведения курса:  очная дневная в удаленном режиме .

 

Центр повышения квалификации руководящих работников и специалистов в области ИТ предлагает авторизованный курс EC-Council CHFI «Расследование инцидентов компьютерной безопасности v9». Курс предназначен для инженеров по безопасности корпоративных систем и сетей, специалистов по защите информации, сотрудников служб информационной безопасности, связанных с расследованием вторжений в компьютерные сети. Курс полезен в качестве подготовки к получению международной сертификации. Ваучер на сдачу сертификационного экзамена включен в стоимость курса.

Слушатели курса получают актуальные знания и навыки, необходимые для обнаружения вторжения в систему, веб-приложения, мобильные устройства и облачные сервисы; по использованию методов и инструментов обнаружения и анализа вторжений.  По всем модулям программы курса предусмотрены лабораторные работы.

Для успешного освоения материала необходима предварительная подготовка:

• знания в объеме программ авторизованных курсов CEH и CND или эквивалентные знания и навыки;
• опыт работы с клиентскими и серверными операционными системами;
• понимание работы сети и сетевых устройств; понимание базовых концепций безопасности.

Занятия проходят онлайн. Каждый слушатель получает доступ к лабораторным работам, предоставляемым вендором, а также учебники в электронном виде. 

После успешной сдачи зачета выдается свидетельство о повышении квалификации установленного образца, утвержденного Министерством образования Республики Беларусь, сертификат EC-Council о прослушанном авторизованном курсе и ваучер на сдачу сертификационного экзамена.

Программа курса:

1. Расследование инцидентов ИБ в современном мире

1.1. Определение компьютерных угроз
1.2. Классификация кибер-атак
1.3. Вызовы для исследователей кибер-преступлений
1.4. Типы кибер-атак и основные правила расследования
1.5. Правила сбора доказательств и основные типы цифровых улик
1.6. Оценка готовности к рассмотрению инцидента и план действий
1.7. Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
1.8. Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента
2. Процесс расследования инцидента ИБ
2.1. Процесс расследования инцидента ИБ
2.2. Этапы процесса расследования инцидента ИБ
2.3. Требования к лабораторной среде и команде исследователей инцидента
2.4. Программное обеспечение для исследования
2.5. Задачи первых исследователей инцидента ИБ
2.6. Поиск улик и сбор доказательств
2.7. Размещение и хранение доказательств
2.8. Дедупликация данных, восстановление удалённых данных и проверка доказательств
2.9. Написание отчёта

Лабораторная работа:

• Восстановление данных с помощью EasyUS Data Recovery Wizard;
• Использование HashCalc для вычисления хэша, контрольной суммы или HMAC;
• Использование MD5 Calculator;
• Просмотр файлов различных форматов через File Viewer;
• Обнаружение следов работы с данными с помощью P2 Commander;
• Создание образа раздела с помощью R-Drive Image.

3. Сбор доказательств с дисков и файловых систем 
3.1. Классификация средств обеспечения безопасности компьютерных сетей
3.2. Методы и средства контроля доступа
3.3. Методы и средства аутентификации, авторизации и аудита доступа
3.4. Краткий обзор основных методов криптографической защиты информации
3.5. Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
3.6. Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы

Лабораторная работа:

• Обнаружение удалённых файлов с помощью WinHex;
• Анализ файловых систем с помощью The Sleuth Kit;
• Анализ Raw-изображений с помощью Autopsy.

4. Расследование инцидентов, связанных с операционной системой
4.1. Способы получения данных
4.2. Получение текущих данных
4.3. Поучение статических данных
4.4. Дупликация данных
4.5. Блокировка изменения устройств
4.6. Методы и средства получения данных
4.7. Получение данных в Windows и Linux

Лабораторная работа:

• Исследование NTFS раздела с помощью DiskExplorer for NTFS;
• Просмотр графического контента с помощью FTK Imager Tool.

5. Противодействие методам сокрытия доказательств
5.1. Противодействие методам сокрытия доказательств и цели противодействия
5.2. Обзор техник противодействия методам сокрытия доказательств
5.3. Извлечение доказательств с удалённых файлов и разделов, файлы с парольной защитой и стеганография
5.4. Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
5.5. Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов
5.6. Контр-меры по противодействию методов сокрытия улик

Лабораторная работа:

• Взлом паролей приложений;
• Обнаружение стеганографии.

6. Методы сбора и копирования данных
6.1. Проверка изменяющихся и неизменяющихся данных Windows
6.2. Анализ памяти и реестра Windows
6.3. Проверка кэша, куки-файлов и истории браузера
6.4. Проверка файлов и метаданных Windows
6.5. Анализ текстовых журналов и журналов событий Windows
6.6. Команды и файлы журналов Linux
6.7. Проверка журналов Mac

Лабораторная работа:

• Обнаружение и извлечение скрытых на компьютере материалов с помощью OSForensics;
• Получение информации о процессе загрузки с помощью ProcessExplorer;
• Просмотр, мониторинг и анализ событий с помощью Event Log Explorer;
• Исследование компьютера на предмет проникновения с помощью Helix;
• Получение изменяющихся (оперативных) данных в Linux;
• Анализ неизменяющихся (статичных) данных в Linux.

7. Расследование инцидентов, связанных с сетевыми технологиями
7.1. Сетевые вторжения
7.2. Основные концепции журналирования
7.3. Обзор способов сопоставления событий
7.4. Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
7.5. Проверка сетевого трафика
7.6. Сбор доказательств по проникновению в сеть
7.7. Реконструкция вторжения

Лабораторная работа:

• Перехват и анализ событий с помощью GFI EventsManager;
• Расследование инцидента и сбор данных с помощью XpoLog Center Suite;
• Расследование сетевых атак с помощью Kiwi Log Viewer;
• Отслеживание сетевого трафика с помощью Wireshark.

8. Расследование атак на веб-приложения
8.1. Угрозы для веб-приложений
8.2. Архитектура веб-приложений
8.3. Веб-атаки и шаги их осуществления
8.4. Веб-атаки на сервера Windows
8.5. Архитектура сервера IIS и работа с его журналом
8.6. Архитектура веб-сервера Apache и работа с его журналом
8.7. Способы атак на веб-приложения

Лабораторная работа:

• Анализ сети домена и запросов IP-адресов с помощью SmartWhois.

9. Расследование инцидентов, связанных с СУБД
9.1. Угрозы базам данных
9.2. Угрозы MSSQL
9.3. Признаки вторжения в базе данных
9.4. Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
9.5. Угрозы MySQL
9.6. Архитектура MySQL и определение структуры директорий данных
9.7. Утилиты для анализа и сбора доказательств проникновения в MySQL
9.8. Угрозы MySQL для баз веб-приложений на WordPress

Лабораторная работа:

• Извлечение базы данных с Android-устройств с помощью Andriller;
• Анализ базы SQLiteс помощью DB Browser for SQLite;
• Изучение базы данных на MySQL.

10. Расследование инцидентов, связанных с облачными приложениями
10.1. Описание принципов облачных вычислений
10.2. Атаки на облако
10.3. Способы защиты облаков
10.4. Заинтересованные лица защите облаков
10.5. Облачные сервисы DropBox и GoogleDrive

Лабораторная работа:

• Обнаружение уязвимостей в DropBox;
• Исследование Google Drive.

11. Расследование инцидентов, связанных с вредоносным кодом
11.1. Способы проникновения вредоносного ПО в ОС
11.2. Базовые компоненты и распространение вредоносного ПО
11.3. Концепции защиты от вредоносного ПО
11.4. Обнаружение и извлечение вредоносного ПО из систем
11.5. Анализ вредоносного ПО – правила анализа и тестовая среда
11.6. Статический и динамический анализ вредоносного ПО

Лабораторная работа:

• Статический анализ подозрительных файлов;
• Динамический анализ вредоносного кода;
• Анализ заражённых PDF-файлов;
• Сканирование PDF-файлов с помощью веб-ресурсов;
• Сканирование подозрительных файлов MS Office.

12. Расследование инцидентов, связанных с электронной почтой
12.1. Почтовые системы, почтовые клиенты и почтовые сервера
12.2. Управление аккаунтами
12.3. Атаки на электронную почту
12.4. Компоненты сообщений электронной почты
12.5. Общие заголовки и X-заголовки
12.6. Обнаружения атак на почту
12.7. Средства анализа почтовых сообщений
12.8. Американский закон CAN-SPAM

Лабораторная работа:

• Восстановление удалённых сообщений в эл.почте с помощью Recover My Email;
• Обнаружение опасных сообщений с помощью Paraben’s Email Examiner;
• Отслеживание эл.сообщений с помощью eMailTrackerPro.

13. Расследование инцидентов, связанных с мобильными устройствами
13.1. Угрозы мобильным устройствам
13.2. Особенности взлома мобильных устройств и мобильных ОС
13.3. Архитектура мобильных устройств
13.4. Архитектура стека Android и процесс загрузки
13.5. Архитектура стека iOS и процесс загрузки
13.6. Хранилища мобильных данных
13.7. Подготовка и вторжение в мобильную ОС

Лабораторная работа:

• Анализ опасных изображений и восстановление удалённых файлов с помощью Autopsy;
• Исследование Android-устройства с помощью Andriller.

14. Подготовка отчетов о расследовании инцидента
14.1. Структура отчёта о расследование инцидента
14.2. Признаки хорошего отчёта
14.3. Шаблон отчёта о расследовании инцидента
14.4. Классификация отчётов и руководства по их написанию
14.5. Экспертные заключения в отчёте
14.6. Различия технических и экспертных заключений
14.7. Стандарты Дауберта (Daubert) и Фёе (Fyre)
14.8. Этические нормы при ведении расследования