Курс "Расследование хакерских инцидентов (СЕН3)"

Звонок с сайта		Купить дешевле

Курс "Расследование хакерских инцидентов (СЕН3)" обучает успешно выявлять, расследовать и устранять последствия компьютерных преступлений. Слушатели изучают порядок действий по выявлению фактов проникновения хакера в систему и получают рекомендации по отслеживанию действий потенциального нарушителя.

На курсе не только изучаются теоретические основы расследования хакерских инцидентов — новые знания слушатели закрепляют выполнением лабораторных работ, которые включают практику расследования киберпреступлений. Практические задания максимально приближены к реальной работе специалистов по информационной безопасности.

Темы, разбираемые на курсе

• Требования к сбору цифровых улик
• Снятие образов: жесткого диска, оперативной памяти и сетевого трафика
• Анализ состояния операционной системы (live-анализ и анализ образа RAM)
• Анализ файловой системы (инструментарий и возможности)
• Анализ сетевого трафика
• Подготовка TimeLine и восстановление деталей инцидента

Подготовка к сертификации

Данный курс готовит к сдаче экзамена Computer Hacking Forensic Investigator.

Целевая аудитория курса

• Квалифицированные специалисты, желающие освоить технологии проведения расследований
• Специалисты в области информационных технологий, желающие улучшить свои знания и навыки в области расследования компьютерных инцидентов
• Системные администраторы или администраторы безопасности, сетевые инженеры и аудиторы ИБ, работающие или предполагающие работать на средних и крупных предприятиях

Программа курса

Модуль 1. Компьютерная криминалистика в современном мире

• Что такое компьютерная криминалистика и ее применение
• Виды компьютерных преступлений
• Разбор кейсов — примеры расследования компьютерных преступлений
• Сложности криминалистической экспертизы
• Расследование киберпреступлений (гражданское, уголовное, административное)
• Правила судебно-медицинской экспертизы
• Расследование преступлений, совершенных организованными преступными группами (Enterprise Theory of Investigation)
• Цифровые улики и их типы
• Характеристики цифровых улик
• Роль цифровых улик
• Источники потенциальных улик
• Правила сбора доказательств
• Требование представления наилучших доказательств
• Кодекс доказательственного права
• Производные доказательства
• Научная рабочая группа по цифровым уликам (SWGDE)
• Готовность к криминалистическому расследованию
• Компьютерная криминалистика как часть плана реагирования на инциденты
• Необходимость компьютерной криминалистики
• Роли и обязанности следователя судебной экспертизы
• Проблемы криминалистического расследования
• Правила этики
• Ресурсы по компьютерной криминалистике
• Лабораторная работа: Подготовка лаборатории для практических экспериментов
• Лабораторная работа: Изучение основ расследования компьютерных преступлений

Модуль 2. Процесс расследования компьютерных инцидентов

• Важность процесса расследования
• Фазы процесса расследования
• Этап предварительного расследования
• Подготовка криминалистической лаборатории
• Построение следственной группы
• Обзор политик и законов
• Создание процессов обеспечения качества
• Знакомство со стандартами уничтожения данных
• Оценка риска
• Этап расследования
• Процесс расследования
• Методология расследования: оперативное реагирование
• Методология расследования: досмотр и изъятие
• Проведение предварительных интервью
• Планирование досмотра и изъятия
• Ордер на обыск и изъятие
• Вопросы здоровья и безопасности
• Защита и оценка сцены преступления: контрольный список
• Методология расследования: сбор улик
• Сбор вещественных доказательств
• Форма сбора вещественных доказательств
• Сбор и сохранение электронных улик
• Работа с включенными компьютерами
• Работа с выключенными компьютерами
• Работа с сетевым компьютером
• Работа с открытыми файлами и файлами автозагрузки
• Процедура выключения операционной системы
• Работа с рабочими станциями и серверами
• Работа с портативными компьютерами
• Работа с включенными портативными компьютерами
• Методология расследования: защита улик
• Управление уликами
• Порядок передачи и хранения улик
• Упаковка и транспортировка электронных улик
• Нумерация вещественных доказательств
• Хранение электронных вещественных доказательств
• Методология расследования: сбор данных
• Руководство по сбору данных
• Дублирование данных
• Проверка целостности образа
• Восстановление данных
• Методология расследования: анализ данных
• Процесс анализа данных
• Программное обеспечение для анализа данных
• Этап после расследования
• Методология расследования: оценка улик
• Оценка найденных доказательств
• Приобщение улик к делу
• Обработка оценки месторасположения
• Сбор данных из социальных сетей
• Рекомендации по исследованию социальных сетей
• Рекомендации по оценке улик
• Методология расследования: документация и отчетность
• Документация по каждой фазе расследования
• Сбор и упорядочивание информации
• Написание отчета об исследовании
• Методология расследования: экспертное свидетельствование
• Выступление в качестве эксперта-свидетеля
• Закрытие дела
• Профессиональное поведение
• Лабораторная работа: Изучение и практическое применение программных средств, необходимых в процессе криминалистического расследования

Модуль 3. Жесткие диски и файловые системы

• Обзор жестких дисков
• Жесткие диски (HDD)
• Твердотельные накопители (SSD)
• Физическая структура жесткого диска
• Логическая структура жесткого диска
• Типы интерфейсов жестких дисков
• Интерфейсы жестких дисков
• Треки
• Секторы
• Кластеры
• Плохие секторы
• Бит, байт и полубайт
• Адресация данных на жестком диске
• Плотность данных на жестком диске
• Расчет емкости диска
• Измерение производительности жесткого диска
• Разделы диска и процесс загрузки
• Дисковые разделы
• Блок параметров BIOS
• Главная загрузочная запись (MBR)
• Глобальный уникальный идентификатор (GUID)
• Что такое процесс загрузки?
• Основные системные файлы Windows
• Процесс загрузки Windows
• Идентификация таблицы разделов GUID
• Анализ заголовка и записей GPT
• Артефакты GPT
• Процесс загрузки Linux
• Файловые системы
• Общие сведения о файловых системах
• Типы файловых систем
• Файловые системы Windows
• Файловые системы Linux
• Виртуальная файловая система (VFS)
• Система хранения RAID
• Уровни RAID
• Защищенные области хоста (HPA)
• Анализ файловой системы
• Выделение однородных массивов данных
• Анализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений)
• Анализ файла PDF
• Анализ файлов Word
• Анализ файлов PPT
• Анализ файлов Excel
• Шестнадцатеричный вид популярных форматов файлов (видео, аудио)
• Анализ файловой системы
• Лабораторная работа: Восстановление удаленных файлов
• Лабораторная работа: Анализ файловых систем

Модуль 4. Сбор и дублирование данных

• Концепции сбора и дублирования данных, типы систем сбора данных
• Получение данных в реальном времени
• Порядок волатильности
• Типичные ошибки при сборе изменчивых данных
• Методология сбора изменчивых данных
• Получение статических данных
• Статические данные
• Эмпирические правила
• Дубликаты образов
• Побитовая копия и резервная копия
• Проблемы с копированием данных
• Шаги по сбору и дублированию данных
• Подготовка формы передачи улик
• Включение защиты от записи на носителях-уликах
• Подготовка целевого носителя: руководство NIST SP 800-88
• Определение формата сбора данных
• Методы сбора данных
• Определение лучшего метода сбора данных
• Выбор инструмента для сбора данных
• Сбор данных с RAID-дисков
• Удаленное получение данных
• Ошибки при сборе данных
• Планирование нештатных ситуаций
• Рекомендации по сбору данных
• Лабораторная работа: Применение программных средств для извлечения данных с жестких дисков

Модуль 5. Техники, затрудняющие криминалистическую экспертизу

• Что такое антифорензика и ее цели
• Техники антифорензики
• Удаление данных / файлов, что происходит при удалении файла в Windows
• Восстановление файлов
• Средства восстановления файлов в Windows
• Восстановление файлов в Linux
• Восстановление удаленных разделов
• Защита паролем
• Типы паролей
• Работа взломщика паролей
• Техники взлома паролей
• Пароли по умолчанию
• Использование радужных таблиц для взлома хэшей
• Аутентификация Microsoft
• Взлом системных паролей
• Обход паролей BIOS
• Инструменты для сброса пароля администратора, паролей приложений, системных паролей
• Стеганография и стеганализ
• Скрытие данных в структурах файловой системы
• Обфускация следов
• Стирание артефактов
• Перезапись данных и метаданных
• Шифрование
• Шифрующая файловая система (EFS)
• Инструменты восстановления данных EFS
• Шифрованные сетевые протоколы
• Упаковщики
• Руткиты, шаги для их обнаружения
• Минимизация следов
• Эксплуатация ошибок криминалистических инструментов
• Детектирование криминалистических инструментов
• Меры противодействия антифорензике
• Инструменты, затрудняющие криминалистическую экспертизу
• Лабораторная работа: Применение программных средств для взлома паролей приложений
• Лабораторная работа: Обнаружение стеганографии

В конце обучения на курсе проводится итоговая аттестация в виде теста или на основании оценок за практические работы, выполненных в процессе обучения.

Защита конфиденциаль­ной информации в условиях жесточай­шей конкурентной борьбы стала ключевой задачей ИТ-специалистов. Хотите всегда с успехом предотвращать угрозы ИТ-безопасности и поддерживать информационную безопасность предприятия на высоком уровне? Учебный центр « Интерфейс» научит Вас успешно предотвращать внешние системные вторжения, заражение вирусами и обеспечивать надежную политику информационной безопасности предприятия.

Курсы предназначены для системных администраторов, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры, а также для тех, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

Наши преподаватели расскажут о нюансах работы службы безопасности предприятия, поделятся своим опытом и на реальных примерах расскажут о проблемах, с которыми сталкиваются сегодня руководители бизнеса.

Учебный центр "Интерфейс" оказывает консалтинговые услуги по построению моделей бизнес-процессов, проектированию информационных систем, разработке структуры баз данных и т.д.

• Нужна помощь в поиске курса?
  Наша цель заключается в обеспечении подготовки специалистов, когда и где им это необходимо. Возможна корректировка программ курсов по желанию заказчиков! Мы расскажем Вам о том, что интересует именно Вас, а не только о том, что жестко зафиксировано в программе курса. Если вам нужен курс, который вы не видите на графике или у нас на сайте, или если Вы хотите пройти курс в другое время и в другом месте, пожалуйста, сообщите нам, по адресу mail@interface.ru или shopadmin@itshop.ru