Расследование компьютерных преступлений

День 1. Первичное реагирование

• Тренды киберпреступлений и способы защиты корпоративной инфраструктуры.
• Идентификация проникновения в корпоративную сеть.
• План выявления злоумышленника в сети организации и всех скомпрометированных компьютеров.
• Устранение всех установленных способов доступа злоумышленников в сеть организации.
• Разработка мер по предотвращению и своевременному обнаружению взломов.
• Поиск уликовой информации на компьютерах. Основные принципы изъятия компьютерной техники. В каких объектах содержится уликовая информация. Методы сокрытия таких данных от обнаружения.
• Выявление методов и средств контр-криминалистики: полнодисковое шифрование, удаленное хранение информации и др. Особенности работы в данных условиях.
• Сбор доказательной базы и ее оформление/хранение.
• Особенности фиксации содержимого мобильных устройств: изоляция от беспроводных сетей передачи данных, предотвращение блокировки устройств, предотвращение удаленной модификации или уничтожения данных.
• Игра-моделирование реальной атаки на организацию и тренировка навыков принятия мер по минимизации ущерба от нее.

День 2. Компьютерная криминалистика систем под управлением ОС Windows

• Основы компьютерной криминалистики и поиск артефактов в ОС Windows.
• Восстановление данных.
• Выявление методов сокрытия данных и их разоблачение.
• Выявление зараженных систем и восстановление хронологии заражения посредством plaso и log2timeline.
• Исследование систем при расследовании инсайдов.
• Использование криминалистически важной информации для Threat Hunting.
• Практические занятия со скомпрометированными системами.

День 3. Криминалистика оперативной памяти

• Принцип работы оперативной памяти, межпроцессный обмен данными и внедрение вредоносного кода в процессы.
• Live-анализ оперативной памяти для выявления признаков компрометации системы.
• Создание дампов оперативной памяти и специфика их анализа посредством volatility, Rekall, Redline. Особенности исследования для разных ОС.
• Исследование файлов гибернации и подкачки на предмет поиска криминалистических артефактов.
• Алгоритм выявления аномалий и вредоносной активности в оперативной памяти.
• Практические занятия на восстановление хронологии атак на основе дампов оперативной памяти.

День 4. Сетевая криминалистика

• Общие сведения о сетях и сетевом взаимодействии.
• Основные принципы проведения сетевой криминалистики. Регламент действий сотрудников с целью получения максимально подробной информации для проведения анализа.
• Типовые источники данных для проведения сетевой криминалистики и их исследование.
• Особенности инструментария для создания дампа сетевого трафика.
• Анализ трафика с помощью ПО Wireshark, Sguil, Xplico, Squer, SecurityOnion и др.
• OSINT.
• Практические занятия по анализу вредоносного трафика, зашифрованного трафика и выявление аномальной активности.

День 5. Самостоятельное расследование

• Определение типа атаки и задействованных в атаке людей на примере образов из скомпрометированной сети.
• Выстраивание поминутного сценария атаки и компрометации данных.
• Оформление отчета и разработка рекомендаций по предупреждению атак подобного характера.