CHFI – Расследование инцидентов компьютерной безопасности (v.9)
CHFI - Расследование инцидентов компьютерной безопасности (v.9)
Цель курса
Дать слушателям знания и навыки работы с ключевыми методиками обнаружения компьютерных преступлений как в локальной сети, так и при взаимодействии в сети Интернет с мобильными клиентами и облачными сервисами. Также в курсе широко представлены программные продукты по сбору и восстановлению информации, свидетельствующей о вторжении в систему.
Аудитория
Этот курс предоставляет развернутые знания по анализу безопасности современных компьютерных сетей и будет полезен всем заинтересованным ИТ-специалистам, в том числе сетевым и системным администраторам и ИТ-руководителям. Курс будет интересен сотрудникам службы информационной безопасности, сотрудникам правоохранительных органов и военным представителям, связанным с расследованием вторжений в компьютерные сети. Кроме того, курс полезен специалистам в сфере безопасности в качестве подготовки к получению международной сертификации.
По окончании курса слушатели смогут:
Самостоятельно обнаруживать вторжения в ОС, веб-приложения, мобильные устройства и облачные сервисы;
Использовать проверенные методы обнаружения вторжений;
Собирать доказательную базу для подтверждения вторжения;
Использовать специализированные инструменты для анализа вторжений;
Анализировать потоки текстового, графического или медиа трафика на предмет наличия закладок;
Проводить анализ систем хранения для обнаружения следов вторжения;
Восстанавливать и анализировать состояние постоянной(энергонезависимой) и оперативной(энергозависимой) памяти из ОС Windows, Mac и Linux;
Восстанавливать удалённые файлы и разделы в Windows, Mac и Linux;
Анализировать состояние систем на предмет атак инсайдеров;
Применять технику обратного инжиниринга для анализа атакующего кода;
Обнаруживать взлом (или попытку взлома) запароленных файлов;
Извлекать и анализировать журналы прокси-серверов, брандмауэров, систем обнаружения/предотвращения вторжений, рабочих станций, серверов, коммутаторов, маршрутизаторов, контроллеров домена, DNS и DHCP серверов, систем управления доступом и других устройств;
Выполнять необходимые мероприятия для передачи доказательств в правоохранительные органы.
Сертификационные экзамены
Курс помогает подготовиться к следующим сертификационным экзаменам:
312-49: Computer Hacking Forensic Investigator
Необходимая подготовка
Для эффективного обучения на курсе слушатели должны обладать следующими знаниями и навыками:
Опыт работы с клиентским и серверными ОС;
Понимание работы сети и сетевых устройств;
Понимание базовых концепций безопасности;
Курсы CEH и CND или эквивалентные знания и навыки.
Материалы слушателя
Слушателям предоставляется фирменное учебное пособие и руководство по проведению лабораторных работ (в электронном виде) а также прочие материалы и программное обеспечение, необходимые для выполнения этих работ.
Модуль 1: Расследование инцидентов ИБ в современном мире
Определение компьютерных угроз
Классификация кибер-атак
Вызовы для исследователей кибер-преступлений
Типы кибер-атак и основные правила расследования
Правила сбора доказательств и основные типы цифровых улик
Оценка готовности к рассмотрению инцидента и план действий
Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента
Модуль 2: Процесс расследования инцидента ИБ
Процесс расследования инцидента ИБ
Этапы процесса расследования инцидента ИБ
Требования к лабораторной среде и команде исследователей инцидента
Программное обеспечение для исследования
Задачи первых исследователей инцидента ИБ
Поиск улик и сбор доказательств
Размещение и хранение доказательств
Дедупликация данных, восстановление удалённых данных и проверка доказательств
Написание отчёта
Лабораторная работа:
Восстановление данных с помощью EasyUS Data Recovery Wizard;
Использование HashCalc для вычисления хэша, контрольной суммы или HMAC;
Использование MD5 Calculator;
Просмотр файлов различных форматов через File Viewer;
Обнаружение следов работы с данными с помощью P2 Commander;
Создание образа раздела с помощью R-Drive Image.
Модуль 3: Сбор доказательств с дисков и файловых систем
Классификация средств обеспечения безопасности компьютерных сетей
Методы и средства контроля доступа
Методы и средства аутентификации, авторизации и аудита доступа
Краткий обзор основных методов криптографической защиты информации
Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы
Лабораторная работа:
Обнаружение удалённых файлов с помощью WinHex;
Анализ файловых систем с помощью The Sleuth Kit;
Анализ Raw-изображений с помощью Autopsy.
Модуль 4: Расследование инцидентов, связанных с операционной системой
Способы получения данных
Получение текущих данных
Поучение статических данных
Дупликация данных
Блокировка изменения устройств
Методы и средства получения данных
Получение данных в Windows и Linux
Лабораторная работа:
Исследование NTFS раздела с помощью DiskExplorer for NTFS;
Просмотр графического контента с помощью FTK Imager Tool.
Модуль 5: Противодействие методам сокрытия доказательств
Противодействие методам сокрытия доказательств и цели противодействия
Обзор техник противодействия методам сокрытия доказательств
Извлечение доказательств с удалённых файлов и разделов, файлы с парольной защитой и стеганография
Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов
Контр-меры по противодействию методов сокрытия улик
Лабораторная работа:
Взлом паролей приложений;
Обнаружение стеганографии.
Модуль 6: Методы сбора и копирования данных
Проверка изменяющихся и неизменяющихся данных Windows
Анализ памяти и реестра Windows
Проверка кэша, куки-файлов и истории браузера
Проверка файлов и метаданных Windows
Анализ текстовых журналов и журналов событий Windows
Команды и файлы журналов Linux
Проверка журналов Mac
Лабораторная работа:
Обнаружение и извлечение скрытых на компьютере материалов с помощью OSForensics;
Получение информации о процессе загрузки с помощью ProcessExplorer;
Просмотр, мониторинг и анализ событий с помощью Event Log Explorer;
Исследование компьютера на предмет проникновения с помощью Helix;
Получение изменяющихся (оперативных) данных в Linux;
Анализ неизменяющихся (статичных) данных в Linux.
Модуль 7: Расследование инцидентов, связанных с сетевыми технологиями
Сетевые вторжения
Основные концепции журналирования
Обзор способов сопоставления событий
Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
Проверка сетевого трафика
Сбор доказательств по проникновению в сеть
Реконструкция вторжения
Лабораторная работа:;
Перехват и анализ событий с помощью GFI EventsManager;
Расследование инцидента и сбор данных с помощью XpoLog Center Suite;
Расследование сетевых атак с помощью Kiwi Log Viewer;
Отслеживание сетевого трафика с помощью Wireshark.
Модуль 8: Расследование атак на веб-приложения
Угрозы для веб-приложений
Архитектура веб-приложений
Веб-атаки и шаги их осуществления
Веб-атаки на сервера Windows
Архитектура сервера IIS и работа с его журналом
Архитектура веб-сервера Apache и работа с его журналом
Способы атак на веб-приложения
Лабораторная работа:
Анализ сети домена и запросов IP-адресов с помощью SmartWhois.
Модуль 9: Расследование инцидентов, связанных с СУБД
Угрозы базам данных
Угрозы MSSQL
Признаки вторжения в базе данных
Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
Угрозы MySQL
Архитектура MySQL и определение структуры директорий данных
Утилиты для анализа и сбора доказательств проникновения в MySQL
Угрозы MySQL для баз веб-приложений на WordPress
Лабораторная работа:
Извлечение базы данных с Android-устройств с помощью Andriller;
Анализ базы SQLiteс помощью DB Browser for SQLite;
Изучение базы данных на MySQL.
Модуль 10: Расследование инцидентов, связанных с облачными приложениями
Описание принципов облачных вычислений
Атаки на облако
Способы защиты облаков
Заинтересованные лица защите облаков
Облачные сервисы DropBox и GoogleDrive
Лабораторная работа:
Обнаружение уязвимостей в DropBox;
Исследование Google Drive.
Модуль 11: Расследование инцидентов, связанных с вредоносным кодом
Способы проникновения вредоносного ПО в ОС
Базовые компоненты и распространение вредоносного ПО
Концепции защиты от вредоносного ПО
Обнаружение и извлечение вредоносного ПО из систем
Анализ вредоносного ПО – правила анализа и тестовая среда
Статический и динамический анализ вредоносного ПО
Лабораторная работа:
Статический анализ подозрительных файлов;
Динамический анализ вредоносного кода;
Анализ заражённых PDF-файлов;
Сканирование PDF-файлов с помощью веб-ресурсов;
Сканирование подозрительных файлов MS Office.
Модуль 12: Расследование инцидентов, связанных с электронной почтой
Почтовые системы, почтовые клиенты и почтовые сервера
Управление аккаунтами
Атаки на электронную почту
Компоненты сообщений электронной почты
Общие заголовки и X-заголовки
Обнаружения атак на почту
Средства анализа почтовых сообщений
Американский закон CAN-SPAM
Лабораторная работа:
Восстановление удалённых сообщений в эл.почте с помощью Recover My Email;
Обнаружение опасных сообщений с помощью Paraben’s Email Examiner;
Отслеживание эл.сообщений с помощью eMailTrackerPro.
Модуль 13: Расследование инцидентов, связанных с мобильными устройствами
Угрозы мобильным устройствам
Особенности взлома мобильных устройств и мобильных ОС
Архитектура мобильных устройств
Архитектура стека Android и процесс загрузки
Архитектура стека iOS и процесс загрузки
Хранилища мобильных данных
Подготовка и вторжение в мобильную ОС
Лабораторная работа:
Анализ опасных изображений и восстановление удалённых файлов с помощью Autopsy;
Исследование Android-устройства с помощью Andriller.
Модуль 14: Подготовка отчетов о расследовании инцидента
Структура отчёта о расследование инцидента
Признаки хорошего отчёта
Шаблон отчёта о расследовании инцидента
Классификация отчётов и руководства по их написанию
Экспертные заключения в отчёте
Различия технических и экспертных заключений
Стандарты Дауберта (Daubert) и Фёе (Fyre)
Этические нормы при ведении расследования