Расследование компьютерных инцидентов. Компьютерная криминалистика
БТ17

• Руководители и специалисты отделов ИБ.
• Руководители и специалисты технических отделов.
• Сетевые администраторы.
• Команда специалистов по реагированию на инциденты информационной безопасности.
• Специалисты центров по реагированию (CERT).
• Специалисты по тестам на проникновение.
• Компьютерные криминалисты и эксперты.
• Red team.
• Threat hunters.

• Курс 20411D: Администрирование Windows Server 2012 R2 или Курс 20741B: Сетевое взаимодействие с Windows Server 2016 Успешное окончание курса Тактическая периметровая защита предприятия, или эквивалентная подготовка.
• Успешное окончание курса Этичный хакинг. Техники атак и инструменты противодействия , или эквивалентная подготовка.
• Английский язык для IT специалистов (pre - intermediate) или знание технического английского языка.

По окончании обучения слушатели получат знания:

• о компьютерной криминалистике и правовом обеспечении расследования инцидентов информационной безопасности;
• об анализе лог-файлов;
• об алгоритме расследования инцидентов информационной безопасности;
• о производстве компьютерно-технической экспертизы;
• об основных программных и аппаратных средствах поиска уликовых данных;
• о вскрытии защищенных данных, хранящихся в специализированных «контейнерах», запароленных архивах и т.п.

По окончании обучения слушатели будут уметь:

• самостоятельно проводить расследование инцидентов информационной безопасности;
• производить компьютерно-техническую экспертизу;
• выступать в качестве эксперта и специалиста в судебных заседаниях по гражданским и уголовным делам.

1. Введение
   • Что такое компьютерная криминалистика, ее роль в обеспечении информационной безопасности.
2. Расследование инцидентов информационной безопасности.
   • Цели расследования инцидентов информационной безопасности.
   • Основные субъекты таких расследований.
   • Неотложные действия после инцидента информационной безопасности.
   • Последовательность действий при расследовании.
3. Работа с лог-файлами. 
   • Анализ лог-файлов сетевого трафика.
   • Что такое сервис whois.
   • Утилита tracert.
   • Какую информацию может дать провайдерская компания.
4. Правовые основы производства экспертиз.
   • Правовая регламентация производства экспертиз по гражданским и уголовным делам.
   • Процессуальный статус эксперта и соблюдение норм законодательства.
   • Требования к экспертному заключению.
   • Допрос эксперта в суде.
5. Производство компьютерно-технической экспертизы. 
   • Основное оборудование и программные средства, необходимые для производства экспертизы.
   • Блокираторы записи и дубликаторы.
   • Экспертные системы – Belkasoft Evidence Center, Belkasoft Acquisition Tool, Belkasoft Live RAM Capturer, Forensic Toolkit, OSForensics, FTK Imager и другие.
   • Возможные виды проводимых исследований.
   • Планирование экспертизы в зависимости от вопросов, сформулированных следователем.
6. Поиск уликовой информации на компьютерах.
   • Основные принципы изъятия компьютерной техники.
   • В каких объектах содержится уликовая информация.
   • Методы сокрытия таких данных от обнаружения.
7. Артефакты ОС Windows. 
   • Исследование реестра ОС.
   • Системы сбора и анализа журналов ОС.
   • Корреляция событий.
   • Создание и исследование Timeline.
8. Исследование дампов оперативной памяти.
   • Утилиты volatility, redline и др.
9. Работа с системой Paraben Commander.
   • Поиск информации с помощью системы Paraben Commander.
10. Поиск сообщений электронной почты.
    • Основные почтовые программы и места, где они сохраняют данные.
    • Чтение почты с помощью Paraben Commander.
    • Структура почтового сообщения.
    • Анализ служебной информации.
11. Работа с криптографией.
    • Основные средства криптографической защиты.
    • AES, EFS, PGP, архиваторы с шифрованием, офисные пакеты, базы данных.
    • Основы поиска зашифрованных данных.
    • Вскрытие защищённых данных.
    • Программное обеспечение Passware Forensic Kit и ElcomSoft Password Recovery Bundle.
    • Взлом хешей MD5, SHA-1, SHA-256, LM, NTLM и т.д.
    • Извлечение паролей из браузеров, программ для мгновенного обмена сообщениями и других программ.
12. Итоговый зачет.