Код курса.
У каждого курса есть свой уникальный международный код. Зная этот код вы можете быстро найти курс в форме поиска.
Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 495 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Личный кабинет
Computer crime investigatio
Расследование компьютерных преступлений
Вендор
Тип курса
Авторизированный
Формы обучения
СмешаннаяДлительность, формат и расписание ежедневных занятий для каждого курса индивидуальны и будут высланы каждому слушателю до начала обучения.
Длительность
40 ак. часов
Ближайшая дата
26 апр. / Москва
Стоимость
97 500.00 RUB
97 500.00 RUB
Описание
Новая программа киберобучений от Group-IB «Расследование компьютерных преступлений» позволит вам понять, насколько вы готовы противостоять хакерам мирового уровня. Как оказаться умнее киберпреступников в собственной сети и не дать им заработать на вас? Курс научит, что делать при выявлении взлома, а также как проводить технический анализ данных по следам действий злоумышленников.
Программа составлена сертифицированными (GIAC GCFA, CISM, MCFE, ACE) специалистами по компьютерной криминалистике на основе реальных случаев расследования компьютерных инцидентов разного уровня сложности.
Специалисты Group-IB уверены, что ни одно средство защиты не дает 100% безопасности. На первый план выходят осведомленность технического персонала и умение настраивать сеть для эффективного мониторинга. Курс открывает реальность мира киберпреступников и способы противодействия их активности.
Данный курс представляет собой сочетание теоретических лекций, практических занятий, а также самостоятельное расследование реального инцидента информационной безопасности.
Профиль аудитории
- Руководители и специалисты отделов ИБ.
- Руководители и специалисты технических отделов.
- Сетевые администраторы.
- Команда специалистов по реагированию на инциденты информационной безопасности.
- Специалисты центров по реагированию (CERT).
- Специалисты по тестам на проникновение.
- Компьютерные криминалисты и эксперты.
- Red team.
- Threat hunters.
Необходимая подготовка
- Базовые знания о файловых системах.
- Базовые знания об ОС семейства Windows.
- Базовые знания об ОС семейства Linux.
- Понимание основных принципов информационной безопасности и методов работы средств защиты.
Цели курса
- Понимание того, от кого надо защищаться и как строить информационную безопасность в организации: автономная работа средств защиты не спасет от инцидента без специалистов, которые понимают суть современных компьютерных атак и методов их совершения
- Критерии, по которым можно отличать критические срабатывания от ложных: событий от средств защиты много, а выявить надо совокупность факторов, говорящих, что прямо сейчас вы подвергаетесь атаке или уже взломаны
- План по проведению первичного реагирования, чтобы своевременно найти хакеров в сети и избавиться от них: реагировать надо быстро и эффективно, от этого зависит, произойдет ли утечка данных, удаление/шифрование информации, кража денежных средств, компрометация почты и т.д.
- Инструменты компьютерной криминалистики, позволяющие восстанавливать хронологию событий инцидентов при их расследовании: как вас взломали? распространялись по сети? как усилить защиту, чтобы такого не повторилось? детальный анализ скомпрометированных станций позволяет предотвратить эскалацию инцидента и выявить все закладки хакеров, чтобы перекрыть полностью каналы доступа в организацию
- Методики поиска данных о лицах, причастных к инцидентам, из открытых источников и сбора доказательной базы.
Программа курса
День 1. Первичное реагирование
- Тренды киберпреступлений и способы защиты корпоративной инфраструктуры.
- Идентификация проникновения в корпоративную сеть.
- План выявления злоумышленника в сети организации и всех скомпрометированных компьютеров.
- Устранение всех установленных способов доступа злоумышленников в сеть организации.
- Разработка мер по предотвращению и своевременному обнаружению взломов.
- Поиск уликовой информации на компьютерах. Основные принципы изъятия компьютерной техники. В каких объектах содержится уликовая информация. Методы сокрытия таких данных от обнаружения.
- Выявление методов и средств контр-криминалистики: полнодисковое шифрование, удаленное хранение информации и др. Особенности работы в данных условиях.
- Сбор доказательной базы и ее оформление/хранение.
- Особенности фиксации содержимого мобильных устройств: изоляция от беспроводных сетей передачи данных, предотвращение блокировки устройств, предотвращение удаленной модификации или уничтожения данных.
- Игра-моделирование реальной атаки на организацию и тренировка навыков принятия мер по минимизации ущерба от нее.
День 2. Компьютерная криминалистика систем под управлением ОС Windows
- Основы компьютерной криминалистики и поиск артефактов в ОС Windows.
- Восстановление данных.
- Выявление методов сокрытия данных и их разоблачение.
- Выявление зараженных систем и восстановление хронологии заражения посредством plaso и log2timeline.
- Исследование систем при расследовании инсайдов.
- Использование криминалистически важной информации для Threat Hunting.
- Практические занятия со скомпрометированными системами.
День 3. Криминалистика оперативной памяти
- Принцип работы оперативной памяти, межпроцессный обмен данными и внедрение вредоносного кода в процессы.
- Live-анализ оперативной памяти для выявления признаков компрометации системы.
- Создание дампов оперативной памяти и специфика их анализа посредством volatility, Rekall, Redline. Особенности исследования для разных ОС.
- Исследование файлов гибернации и подкачки на предмет поиска криминалистических артефактов.
- Алгоритм выявления аномалий и вредоносной активности в оперативной памяти.
- Практические занятия на восстановление хронологии атак на основе дампов оперативной памяти.
День 4. Сетевая криминалистика
- Общие сведения о сетях и сетевом взаимодействии.
- Основные принципы проведения сетевой криминалистики. Регламент действий сотрудников с целью получения максимально подробной информации для проведения анализа.
- Типовые источники данных для проведения сетевой криминалистики и их исследование.
- Особенности инструментария для создания дампа сетевого трафика.
- Анализ трафика с помощью ПО Wireshark, Sguil, Xplico, Squer, SecurityOnion и др.
- OSINT.
- Практические занятия по анализу вредоносного трафика, зашифрованного трафика и выявление аномальной активности.
День 5. Самостоятельное расследование
- Определение типа атаки и задействованных в атаке людей на примере образов из скомпрометированной сети.
- Выстраивание поминутного сценария атаки и компрометации данных.
- Оформление отчета и разработка рекомендаций по предупреждению атак подобного характера.
Доступные формы обучения
Описание фомата
Смешанное обучение совмещает в себе очные и дистанционные форматы. Часть программы студенты могут пройти удаленно, а часть – в учебном центре. Некоторые темы в программе не требуют личного присутствия обучающегося, а более сложные для объяснения элементы (в основном уровня advanced) рассматриваются непосредственно в аудитории-лаборатории. Практические занятия проходят под руководством опытного инструктора на территории учебного центра, в то время как теорию обучающиеся проходят в удаленной форме под дистанционным контролем.
Длительность, формат и расписание ежедневных занятий для каждого курса индивидуальны и будут высланы каждому слушателю до начала обучения.
Смешанный формат позволяет оптимизировать процесс обучения и сократить время на ежедневную логистику «до» и «от» учебного центра в часы пик.
Расписание курса
FAQ
По окончании обучения слушатели получают либо Сертификат Учебного Центра о прохождении курса, либо Удостоверение о повышении квалификации, зарегистрированное в ФРДО (Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении). Для получения Свидетельства необходимо, чтобы длительность обучения превышала 16 академических часов, а также необходимо предоставить оригинал Диплома о профессиональном или высшем образовании государственного образца.
Помимо этого, по факту прохождения авторизованных курсов вендоров Cisco, Postgres, AstraLinux, Microsoft, ICAgile выдается электронный сертификат вендора.
Возьмите паспорт и Диплом об окончании профессионального или высшего образования. Диплом понадобится для получения Удостоверения о повышении квалификации (в случае отсутствия Диплома, по окончании курса будет выдан Сертификат Учебного Центра, подтверждающий факт пройденного обучения).
За несколько дней до начала обучения (обычно за неделю) все слушатели получают приглашение по указанной электронной почте (если обучение заказывалось централизованно, ваш персональный мейл могли не передать - обратитесь к специалисту вашей организации, кто заказывал курсы, приглашение есть у него). В приглашении указан адрес и прочая полезная для слушателя информация. Если вы не получили приглашение – обратитесь к нам любым удобным для вас способом, и мы сообщим адрес и продублируем приглашение на вашу почту.
В основном корпусе в Москве по адресу Дербеневская набережная д.7 стр.5, БЦ «Оазис», парковки, к сожалению, нет. Зато есть муниципальная платная парковка на всех прилегающих улицах.
По поводу остальных филиалов и корпусов – уточняйте информацию у наших менеджеров. Мы постараемся сделать всё возможное для вашего комфортного обучения.
Да, во время занятий для слушателей всегда доступны чай, кофе, прохладительные напитки и орешки, печеньки и другие снеки на кофе-брейках. Помимо этого, в обеденный перерыв будет предложен полноценный горячий обед.
Наш центр работает с корпоративными и частными клиентами. Для каждой категории клиентов мы разработали различные варианты сотрудничества, позволяющие гибко подходить к ценообразованию и вариантам оплаты.
Обо всех специальных условиях читайте в разделе Спецпредложения.
Недостаточно информации? Напишите нам, и мы сделаем вам предложение, от которого невозможно отказаться.
Не нашли подходящиего курса?
Оставьте заявку на обучение для вашей организации
Специальные предложения
Подпишитесь и будьте в курсе
Информация о новинках, скидках и акциях. Уже более 36 000 подписчиков!
