Операционная кибербезопасность

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты мониторинга событий и инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов мониторинга событий и инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие мониторингом и обработкой событий и инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями общей кибербезопасности на уровне курса ANT0000. Кроме того, необходимо обладать знаниями о работе сетей TCP/IP на уровне курса ANT-N101, а также знаниями об операционных системах на уровне курсов ANT-OW101 и ANT-OL101.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология мониторинга событий и инцидентов.

События и инциденты кибербезопасности.
Процессы мониторинга.
Инструменты и инфраструктура мониторинга.
Операционные метрики для мониторинга.

Модуль 3 – Мониторинг сетевой инфраструктуры.

Log’и и информация о сетевой активности.
Сбор и анализ сетевого трафика.
Статистические данные сетевой активности.
Централизованные и распределенные системы сетевого мониторинга.
Развертывание и поддержка системы сетевого мониторинга.

Модуль 4 – Мониторинг конечных устройств.

Политики мониторинга и log’и Windows.
Подсистема аудита Windows.
Развертывание и поддержка мониторинга Windows.
Настройки мониторинга и log’и Linux.
Подсистема аудита Linux.
Развертывание и поддержка мониторинга Linux.

Модуль 5 – Мониторинг приложений.

Использование флагов и маяков в IT-инфраструктуре для мониторинга.
Мониторинг SMTP.
Мониторинг Web-приложений.
Мониторинг баз данных.
Мониторинг облачных приложений.

Модуль 6 – Мониторинг событий и инцидентов в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности.
Интеграция систем мониторинга.
Дифференция событий и инцидентов кибербезопасности.
Подтверждение инцидентов кибербезопасности.
Обработка инцидентов кибербезопасности.
Цифровая криминалистика.

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты обработки инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов обработки инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями о мониторинге событий и инцидентов кибербезопасности на уровне курса ANT0041.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология обработки инцидентов кибербезопасности.

Процесс обработки инцидентов.
Инструменты и инфраструктура для обработки инцидентов.
Штатное расписание …
Мониторинг событий и инцидентов.
Цифровая криминалистика в рамках обработки инцидентов.

Модуль 3 – Реагирование на инциденты кибербезопасности.

Начальная реакция на инцидент.
Подтверждение инцидента.
Определение масштаба инцидента.
Разработка и применение немедленных мер по сдерживанию инцидента.
Разработка мер расширенного мониторинга инфраструктуры.
Разработка мер ликвидации вредоносной активности.
Разработка хронологии ликвидации вредоносной активности.
Специфика реакции на инциденты, связанные с базами данных.

Модуль 4 – Расширенный мониторинг инфраструктуры.

Расширенный мониторинг сети.
Расширенный мониторинг конечных устройств.
Расширенный мониторинг сервисов и приложений.
Отслеживание инцидента с помощью индикаторов компрометации.
Использование флагов и маяков в IT-инфраструктуре для мониторинга.

Модуль 5 – Цифровая криминалистика.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Артефакты файловых и операционных систем.
Артефакты оперативной памяти.
Восстановление хронологии событий по артефактам кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.
Diamond модель и TTP[Tactics, Technics, Procedures] информация.

Модуль 6 – Ликвидация вредоносной активности.

Использование индикаторов компрометации для обнаружения вредоносной активности.
Ликвидация вредоносной активности в сети.
Ликвидация вредоносной активности на конечных устройствах.
Ликвидация вредоносной активности сервисов и приложений.
Документирование процесса и результатов ликвидации вредоносной активности.

Модуль 7 – Обработка инцидентов в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности.
Рекомендации по стратегической модернизации процессов и архитектуры корпоративной кибербезопасности на основе данных об инцидентах.
Встраивание процессов обработки инцидентов в процессы корпоративной кибербезопасности.

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных операционных систем и приложений. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология цифровой криминалистики.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Принципы обработки удаленных и «дефектных» данных.
Восстановление цепи событий по артефактам кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.

Модуль 3 – Поиск и анализ артефактов в файловых системах.

Архитектура файловых систем.
Файловые системы FAT, NTFS, Ext*, UFS, ReFS, APFS.
Анализ метаданных файловых систем.
Загрузчики ОС.
Жесткие диски и их логические разделы.
Создание точной копии жесткого диска.
Анализ «пустого» пространства жесткого диска.
SleuthKit и Autopsy.
Encase.

Модуль 4 – Поиск и анализ артефактов в ОС Windows.

Анализ реестра Windows.
Файлы подкачки и гибернации.
История ОС и приложений.
Анализ log’ов ОС.
Восстановление хронологии кибератаки.

Модуль 5 – Поиск и анализ артефактов в ОС Linux.

Анализ процессов и используемых ими файлов.
Файлы подкачки.
История ОС и приложений.
Анализ log’ов ОС.
Восстановление хронологии кибератаки.

Модуль 6 – Поиск и анализ артефактов в macOS.

Анализ процессов и используемых ими файлов.
Файлы подкачки.
История ОС и приложений.
Анализ log’ов ОС.
Восстановление хронологии кибератаки.

Модуль 7 – Поиск и анализ артефактов в приложениях.

Анализ активности электронной почты.
Анализ web-активности.

Модуль 8 – Введение в анализ оперативной памяти и быстро изменяющейся информации.

Методы получения информации из оперативной памяти.
Методы получения информации из регистров и кэша процессора.
Основные методы анализа dump’ов оперативной памяти.

Модуль 9 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности
Мониторинг событий и инцидентов кибербезопасности.
Реагирование на события и инциденты кибербезопасности.
Организация процессов цифровой криминалистики.
Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.

Описание курса:

Материал данного курса позволит слушателю изучить принципы, механизмы и инструменты проведения тестирования на возможность проникновение – pentest’а – в сетевую инфраструктуру и подключенные к ней сервисы и приложения. В данном курсе пентест рассматривается как один из процессов, необходимых для построения архитектуры корпоративной кибербезопасности, поэтому в нём также поднимаются методологические вопросы организации пентеста, а также использования данных, полученных в результате его проведения.

Аудитория курса:

Инженеры, занимающиеся проведением тестирований на проникновения, а также инженеры, проектирующие архитектуру корпоративной кибербезопасности.

Предварительные требования к аудитории:

Необходимы знания общей кибербезопасности на уровне курса ANT0000, а также знания о работе сетей TCP/IP на уровне курса ANT-N101. Рекомендуется иметь знания о моделировании угроз на уровне курса ANT0052

Содержание курса:

Модуль 1 – Принципы организации пентеста.

Цели и задачи проведения пентеста.
Pentest в рамках архитектуры корпоративной безопасности.
Цикл жизни кибератак.
Модели кибератак.
Инструменты для проведения пентеста.
Обработка результатов проведения пентеста.

Модуль 2 – Подготовка к проведению кибератаки.

Использование информации из открытых источников. OSINT.
Сканирование целей и выявление уязвимых мест для кибератак.
Подбор нужных инструментов и методов проведения кибератаки.

Модуль 3 – Организация кибератак типа DoS/DDoS.

Организация DDoS-кибератаки на сеть.
Организация DoS-кибератаки на сетевые сервисы.
Организация DoS-кибератаки на приложения.

Модуль 4 – Организация кибератак на сетевые сервисы.

Перехват трафика.
Получение доступа к Wi-Fi сети.
Методы обхода систем сетевой кибербезопасности.
Организация кибератак на протоколы маршрутизации.
Организация кибератак на протокол DNS.
Организация кибератак на протокол DHCP.
Организация кибератак на сервисы аутентификации.
Организация кибератак на сервисы удаленного управления ОС.

Модуль 5 – Организация кибератак через электронную почту.

Подготовка вредоносных вложений.
Базовые принципы социальной инженерии.
Кибератаки на протоколы электронной почты.
Получение доступа к ОС пользователей через вредоносные вложения.

Модуль 6 – Развитие кибератаки с базовым доступом к ОС.

Извлечение данных и учетных записей.
Эскалация привилегий учетной записи.
Распространение контроля над другими системами в ходе кибератаки.
Удаление следов кибератаки.

Модуль 7 – Подготовка отчета о проведении пентеста.

Модель угроз и результаты проведения пентеста.
Управление рисками на основе данных, выявленных пентестом.
Модернизация корпоративной программы учета уязвимостей.
Модернизация стратегических метрик кибербезопасности.

Описание курса:

Материал данного курса позволит слушателю изучить принципы, механизмы и инструменты проведения тестирования на возможность проникновение – pentest’а – в Web-приложения. В данном курсе пентест рассматривается как один из процессов, необходимых для построения архитектуры корпоративной кибербезопасности, поэтому в нём также поднимаются методологические вопросы организации пентеста, а также использования данных, полученных в результате его проведения.

Аудитория курса:

Инженеры, занимающиеся проведением тестирований на проникновения, а также инженеры, проектирующие архитектуру корпоративной кибербезопасности.

Предварительные требования к аудитории:

Необходимы знания общей кибербезопасности на уровне курса ANT0000, а также знания о работе сетей TCP/IP на уровне курса ANT-N101. Рекомендуется иметь знания о моделировании угроз на уровне курса ANT0052

Содержание курса:

Модуль 1 – Принципы организации пентеста.

Цели и задачи проведения пентеста.
Pentest в рамках архитектуры корпоративной безопасности.
Цикл жизни кибератак.
Модели кибератак.
Инструменты для проведения пентеста.
Обработка результатов проведения пентеста.

Модуль 2 – Подготовка к проведению кибератаки.

Использование информации из открытых источников. OSINT.
Сканирование целей и выявление уязвимых мест для кибератак.
Подбор нужных инструментов и методов проведения кибератаки.

Модуль 3 – Архитектура и компоненты Web-приложений.

HTML и HTTP.
Кодировки данных.
Web-серверы.
Web-клиенты.
Расширения browser’ов.
«Активный» контент.
Архитектура Progressive Web App.
Атаки на web-приложения. OWASP top 10.

Модуль 4 – Перехват Web-трафика.

Организация перехвата web-трафика.
Proxy-сервисы.
Анализ Web-трафика и извлечение данных.

Модуль 5 – Атаки на серверную часть Web-приложения.

Организация DoS-атак на Web-приложения.
Эксплуатация ошибок в правилах авторизации и работы с файлами.
Эксплуатация логических ошибок работы Web-приложений.
Эксплуатация ошибок в настройках и уязвимостей CMS.
Организация вредоносного внедрения в ОС Web-приложения.
Перехват HTTP-сессий и данных cookie.
Обход шифрования HTTPS/TLS.
Получение доступа к учетным записям Web-приложений.
Эксплуатация Web-приложений через SQL-инъекции.
Организация атак на базы данных web-приложений.
Организация кибератак типа SSRF.

Модуль 6 – Атаки на клиентскую часть Web-приложения.

Организация кибератак типа XSS.
Организация кибератак типа XXE.
Организация кибератак типа CSRF.
Организация атак типа Clickjacking.

Модуль 7 – Развитие кибератаки через Web-приложение.

Извлечение данных.
Эскалация привилегий учетной записи.
Распространение контроля над другими системами в ходе кибератаки.
Удаление следов кибератаки.

Модуль 8 – Подготовка отчета о проведении пентеста.

Модель угроз и результаты проведения пентеста.
Управление рисками на основе данных, выявленных пентестом.
Модернизация корпоративной программы учета уязвимостей.
Модернизация стратегических метрик кибербезопасности.

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных в оперативной памяти. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и OL101, знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401, а также знаниями в области цифровой криминалистики на уровне курсов ANT0402 и ANT0403.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология цифровой криминалистики.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Методика обработки инцидентов кибербезопасности.
Восстановление цепи событий по артефактам кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.

Модуль 3 – Принципы анализа оперативной памяти и быстро изменяющейся информации.

Методы получения информации из оперативной памяти.
Методы получения информации из регистров и кэша процессора.
Основные методы анализа dump’ов оперативной памяти.

Модуль 4 – Анализ оперативной памяти Windows.

Объекты и пулы ресурсов.
Процессы и их компоненты.
Поиск вредоносного п/о и его артефактов.
Анализ данных реестра.
Log’и и события.
Артефакты сетевой подсистемы.
Сервисы Windows.
Данные ядра и поиск rootkit’ов.
Анализ данных подсистемы GUI.
Артефакты пользовательских действий и приложений.
Артефакты вспомогательных системных процессов.
Восстановление хронологии кибератаки.

Модуль 5 – Анализ оперативной памяти Linux.

Процессы и их компоненты.
Поиск вредоносного п/о и его артефактов.
Log’и и события.
Артефакты сетевой подсистемы.
Данные ядра и поиск rootkit’ов.
Артефакты пользовательских действий и приложений.
Артефакты вспомогательных системных процессов.
Восстановление хронологии кибератаки.

Модуль 6 – Анализ оперативной памяти macOS.

Процессы и их компоненты.
Поиск вредоносного п/о и его артефактов.
Log’и и события.
Артефакты сетевой подсистемы.
Данные ядра и поиск rootkit’ов.
Артефакты пользовательских действий и приложений.
Артефакты вспомогательных системных процессов.
Восстановление хронологии кибератаки.

Модуль 7 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности
Мониторинг событий и инцидентов кибербезопасности.
Реагирование на события и инциденты кибербезопасности.
Организация процессов цифровой криминалистики.
Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований баз данных. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и OL101, знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401, а также знаниями в области цифровой криминалистики на уровне курсов ANT0402 и ANT0403.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология цифровой криминалистики.

Процесс проведения криминалистических исследований.
Специфика реакции на инциденты, связанные с базами данных.
Методика обработки инцидентов кибербезопасности.
Инструменты цифровой криминалистики.
Восстановление хронологии кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.

Модуль 3 – Принципы работы баз данных SQL.

Базы данных и системы управления базами данных SQL.
SQL-запросы.
Транзакции и принцип ACID.
Реляционная целостность данных.

Модуль 4 – Криминалистика SQL Server’а.

Архитектура SQL Server’а.
Форматы данных и файлов.
Управление памятью.
Параметры безопасности.
Методы получения данных.
Методология криминалистических исследований SQL Server’а.
Получение и анализ артефактов кибератак.
Поиск и анализ Rootkit’ов.

Модуль 5 – Криминалистика Oracle DBA.

Архитектура Oracle DBA.
Форматы данных и файлов.
Управление памятью.
Параметры безопасности.
Методы получения данных.
Методология криминалистических исследований Oracle DBA.
Получение и анализ артефактов кибератак.
Поиск и анализ Rootkit’ов.

Модуль 6 – Криминалистика SQLite.

Архитектура SQLite.
Применение базы данных SQLite.
Форматы данных и файлов.
Восстановление записей SQLite.
Использование журналов.
Write-ahead log’и.
Расширения SQLite.

Модуль 7 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности
Мониторинг событий и инцидентов кибербезопасности.
Реагирование на события и инциденты кибербезопасности.
Организация процессов цифровой криминалистики.
Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.

Описание курса:

Материал данного курса позволит слушателю изучить принципы, механизмы и инструменты
обхода средств и систем кибербезопасности во время проведения тестирования на проникновение
– pentest’а – в сетевую инфраструктуру и подключенные к ней сервисы и приложения.

Аудитория курса:

Инженеры, занимающиеся проведением тестирований на проникновения, а также инженеры,
проектирующие архитектуру корпоративной кибербезопасности.

Предварительные требования к аудитории:

Необходимы знания общей кибербезопасности на уровне курса ANT0000, знания о работе сетей
TCP/IP на уровне курса ANT-N101, а также знания о проведении пентестов на уровне курса
ANT0404. Рекомендуется иметь знания о моделировании угроз на уровне курса ANT0052

Содержание курса:

Модуль 1 – Принципы организации Pentest’а.

Цели и задачи проведения Pentest’а.
Pentest в рамках архитектуры корпоративной безопасности.
Цикл жизни кибератак.
Модели кибератак.
Инструменты для проведения Pentest’а.
Обработка результатов проведения pentest’а.

Модуль 2 – Подготовка к проведению кибератаки.

Использование информации из открытых источников. OSINT.
Сканирование целей и выявление уязвимых мест для кибератак.
Анализ данных DNS для организации кибератак.
Анализ данных SMB для организации кибератак.
Анализ данных SMTP для организации кибератак.
Анализ данных SNMP для организации кибератак.
Анализ уязвимостей сервисов для организации кибератак.
Подбор нужных инструментов и методов проведения кибератаки.

Модуль 3 – Использование уязвимостей типа Buffer Overflow.

Условия существования уязвимостей Buffer Overflow.
Принципы использования уязвимостей Buffer Overflow.
Уязвимости Buffer Overflow в ОС Windows.
Уязвимости Buffer Overflow в ОС Linux.

Модуль 4 – Использование инъекций в процессы ОС.

Условия осуществления инъекций в процессы ОС.
Принципы осуществления инъекций в процессы ОС.
Инъекции DLL.
Инъекции Reflective DLL.
Использование техники Process Hollowing.

Модуль 5 – Методы обхода систем антивирусной защиты.

Принципы обхода систем антивирусной защиты.
Использование кодировок и шифрования.
Искажение характеристик поведения.
Использование инструментов PowerShell и VBA.
Использование API в ОС Windows.
Работа с AMSI.

Модуль 6 – Методы обхода систем фильтрации приложений и данных.

Принципы обхода систем контроля приложений.
Использование NTFS ADS.
Использование специализированных DLL.
Обход средств AppLocker.
Использование SSH туннелей для сокрытия кибератак.
Использование DNS туннелей для сокрытия кибератак.

Модуль 7 – Методы обхода систем Web-фильтрации.

Использование ошибок работы парсеров Web-контента.
Использование методик обфускации.
Использование HTTP туннелей для сокрытия кибератак.

Модуль 8 – Подготовка отчета о проведении Pentest’а.

Модель угроз и результаты проведения pentest’а.
Управление рисками на основе данных, выявленных pentest’ом.
Модернизация корпоративной программы учета уязвимостей.
Модернизация стратегических метрик кибербезопасности.

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты
проведения криминалистических исследований цифровых данных о сетевой активности
корпоративных систем и приложений. Материал курса охватывает также вопросы организации
процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной
кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры,
занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов
ANT-OW101 и OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на
уровне курса ANT0401.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология цифровой криминалистики.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Принципы обработки удаленных и «дефектных» данных.
Восстановление хронологии кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.

Модуль 3 – Сбор сетевого трафика.

Принципы сбора сетевого трафика в корпоративной инфраструктуре.
«Зеркалирование» сетевого трафика.
Хранение собранного сетевого трафика.

Модуль 4 – Анализ сетевого трафика с помощью Wireshark’а.

Архитектура и возможности Wireshark’а.
Препроцессоры.
Фильтры.
Компоненты Mate.
Обнаружение и анализ сетевых атак и вредоносной сетевой активности
dump’ах трафика.

Описание курса:

Материал данного курса позволит слушателю изучить принципы и механизмы получения,
обработки и использования информации о киберугрозах, кибератах и их последствиях – т.н.
информации Threat Intelligence. Также материал курса подробно раскрывает тему Threat
Intelligence не просто с позиции получения нужной информации, но с позиции процессов и их
использования для обеспечения корпоративной кибербезопасности. Кроме того в материале курса
описывается проектирование и интеграция Threat Intelligence в архитектуру корпоративной
кибербезопасности.

Аудитория курса:

Инженеры, обеспечивающие кибербезопасность корпоративной инфраструктуры, инженеры,
проектирующие архитектуру кибербезопасности, инженеры, занимающиеся обработкой
инцидентов кибербезопасности, а также аналитики, работающие с данными Threat Intelligence.

Предварительные требования к аудитории:
Необходимы знания общей кибербезопасности на уровне курса ANT0000, знания в области
фильтрации трафика на уровне курса ANT0011, знания в области моделирования угроз и
управления рисками кибербезопасности на уровне курсов ANT0052 и ANT0501, соответственно.

Содержание курса:

Модуль 1 – Критерии защищенности информации.

Конфиденциальность, целостность, доступность.
Контроль доступа и его типы.
Механизмы контроля доступа.
Принципы построения архитектуры кибербезопасности.

Модуль 2 – Задачи фильтрации трафика.

Модель угроз кибербезопасности.
Классификация механизмов фильтрации трафика.
Концепция Unified Threat Management (UTM).

Модуль 3 – Обнаружение и обработка инцидентов

кибербезопасности.
Мониторинг событий и инцидентов кибербезопасности.
Реагирование на события и инциденты кибербезопасности.

Модуль 4 – Архитектура Threat Intelligence.

Threat Intelligence в архитектуре корпоративной кибербезопасности.
Процессы Threat Intelligence.
Компоненты Threat Intelligence.
Модель Cyber Kill Chain.
Модель Diamond.
Источники информации Threat Intelligence.
Методы обработки информации Threat Intelligence.
Threat Intelligence для обнаружения кибератак.
Threat Intelligence для обнаружения инцидентов кибербезопасности.
Threat Intelligence для обнаружения утечек данных.
Threat Intelligence для управления рисками.

Модуль 5 – Threat Intelligence для обнаружения кибератак.

Модель Pyramid of Pain.
Репутационная фильтрация трафика.
Сигнатуры и аномалии для обнаружения кибератак.
Обнаружение вредоносного п/о и индикаторов заражения.
Индикаторы компрометации (IoC) и их использование.
Методы корреляции информации Threat Intelligence.

Модуль 6 – Threat Intelligence в архитектуре корпоративной

кибербезопасности.
Архитектура корпоративной кибербезопасности.
Построение процессов Threat Intelligence в Центре Операционной
Безопасности (SoC).