Расследование компьютерных инцидентов. Компьютерная криминалистика
БТ17
Курс обеспечивает слушателей знаниями и умениями, применяемыми при проведении расследований компьютерных преступлений и инцидентов информационной безопасности, разработки технических заданий при формировании групп реагирования на инциденты.
Форма проведения: очно / дистанционно.
Аудитория
- Руководители и специалисты отделов ИБ.
- Руководители и специалисты технических отделов.
- Сетевые администраторы.
- Команда специалистов по реагированию на инциденты информационной безопасности.
- Специалисты центров по реагированию (CERT).
- Специалисты по тестам на проникновение.
- Компьютерные криминалисты и эксперты.
- Red team.
- Threat hunters.
Предварительный уровень подготовки
- Курс 20411D: Администрирование Windows Server 2012 R2 или Курс 20741B: Сетевое взаимодействие с Windows Server 2016 Успешное окончание курса Тактическая периметровая защита предприятия, или эквивалентная подготовка.
- Успешное окончание курса Этичный хакинг. Техники атак и инструменты противодействия , или эквивалентная подготовка.
- Английский язык для IT специалистов (pre - intermediate) или знание технического английского языка.
Результат обучения
По окончании обучения слушатели получат знания:
- о компьютерной криминалистике и правовом обеспечении расследования инцидентов информационной безопасности;
- об анализе лог-файлов;
- об алгоритме расследования инцидентов информационной безопасности;
- о производстве компьютерно-технической экспертизы;
- об основных программных и аппаратных средствах поиска уликовых данных;
- о вскрытии защищенных данных, хранящихся в специализированных «контейнерах», запароленных архивах и т.п.
По окончании обучения слушатели будут уметь:
- самостоятельно проводить расследование инцидентов информационной безопасности;
- производить компьютерно-техническую экспертизу;
- выступать в качестве эксперта и специалиста в судебных заседаниях по гражданским и уголовным делам.
Программа курса
- Введение
- Что такое компьютерная криминалистика, ее роль в обеспечении информационной безопасности.
- Расследование инцидентов информационной безопасности.
- Цели расследования инцидентов информационной безопасности.
- Основные субъекты таких расследований.
- Неотложные действия после инцидента информационной безопасности.
- Последовательность действий при расследовании.
- Работа с лог-файлами.
- Анализ лог-файлов сетевого трафика.
- Что такое сервис whois.
- Утилита tracert.
- Какую информацию может дать провайдерская компания.
- Правовые основы производства экспертиз.
- Правовая регламентация производства экспертиз по гражданским и уголовным делам.
- Процессуальный статус эксперта и соблюдение норм законодательства.
- Требования к экспертному заключению.
- Допрос эксперта в суде.
- Производство компьютерно-технической экспертизы.
- Основное оборудование и программные средства, необходимые для производства экспертизы.
- Блокираторы записи и дубликаторы.
- Экспертные системы – Belkasoft Evidence Center, Belkasoft Acquisition Tool, Belkasoft Live RAM Capturer, Forensic Toolkit, OSForensics, FTK Imager и другие.
- Возможные виды проводимых исследований.
- Планирование экспертизы в зависимости от вопросов, сформулированных следователем.
- Поиск уликовой информации на компьютерах.
- Основные принципы изъятия компьютерной техники.
- В каких объектах содержится уликовая информация.
- Методы сокрытия таких данных от обнаружения.
- Артефакты ОС Windows.
- Исследование реестра ОС.
- Системы сбора и анализа журналов ОС.
- Корреляция событий.
- Создание и исследование Timeline.
- Исследование дампов оперативной памяти.
- Утилиты volatility, redline и др.
- Работа с системой Paraben Commander.
- Поиск информации с помощью системы Paraben Commander.
- Поиск сообщений электронной почты.
- Основные почтовые программы и места, где они сохраняют данные.
- Чтение почты с помощью Paraben Commander.
- Структура почтового сообщения.
- Анализ служебной информации.
- Работа с криптографией.
- Основные средства криптографической защиты.
- AES, EFS, PGP, архиваторы с шифрованием, офисные пакеты, базы данных.
- Основы поиска зашифрованных данных.
- Вскрытие защищённых данных.
- Программное обеспечение Passware Forensic Kit и ElcomSoft Password Recovery Bundle.
- Взлом хешей MD5, SHA-1, SHA-256, LM, NTLM и т.д.
- Извлечение паролей из браузеров, программ для мгновенного обмена сообщениями и других программ.
- Итоговый зачет.