Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Алматы
Ташкент
Ереван
Баку
Ашхабад
Москва+7 495 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Тбилиси
Алматы
Ташкент
Ереван
Ашхабад
Личный кабинет
Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Алматы
Ташкент
Ереван
Баку
Ашхабад
Москва+7 495 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Тбилиси
Алматы
Ташкент
Ереван
Ашхабад
Информзащита
БТ17
Computer crime investigatio

Расследование компьютерных преступлений

Тип курса
Авторизованный
Длительность
40 ак. часов
Ближайшая дата
Отсутствует
Стоимость
97 500.00 RUB
Формируем расписание курса
Оставьте заявку, и мы проинформируем вас когда все будет готово.
Описание

Новая программа киберобучений от Group-IB «Расследование компьютерных преступлений» позволит вам понять, насколько вы готовы противостоять хакерам мирового уровня. Как оказаться умнее киберпреступников в собственной сети и не дать им заработать на вас? Курс научит, что делать при выявлении взлома, а также как проводить технический анализ данных по следам действий злоумышленников.

Программа составлена сертифицированными (GIAC GCFA, CISM, MCFE, ACE) специалистами по компьютерной криминалистике на основе реальных случаев расследования компьютерных инцидентов разного уровня сложности.

Специалисты Group-IB уверены, что ни одно средство защиты не дает 100% безопасности. На первый план выходят осведомленность технического персонала и умение настраивать сеть для эффективного мониторинга. Курс открывает реальность мира киберпреступников и способы противодействия их активности.

Данный курс представляет собой сочетание теоретических лекций, практических занятий, а также самостоятельное расследование реального инцидента информационной безопасности.

Профиль аудитории
  • Руководители и специалисты отделов ИБ.
  • Руководители и специалисты технических отделов.
  • Сетевые администраторы.
  • Команда специалистов по реагированию на инциденты информационной безопасности.
  • Специалисты центров по реагированию (CERT).
  • Специалисты по тестам на проникновение.
  • Компьютерные криминалисты и эксперты.
  • Red team.
  • Threat hunters.
Необходимая подготовка
  • Базовые знания о файловых системах.
  • Базовые знания об ОС семейства Windows.
  • Базовые знания об ОС семейства Linux.
  • Понимание основных принципов информационной безопасности и методов работы средств защиты.
Цели курса
  • Понимание того, от кого надо защищаться и как строить информационную безопасность в организации: автономная работа средств защиты не спасет от инцидента без специалистов, которые понимают суть современных компьютерных атак и методов их совершения
  • Критерии, по которым можно отличать критические срабатывания от ложных: событий от средств защиты много, а выявить надо совокупность факторов, говорящих, что прямо сейчас вы подвергаетесь атаке или уже взломаны
  • План по проведению первичного реагирования, чтобы своевременно найти хакеров в сети и избавиться от них: реагировать надо быстро и эффективно, от этого зависит, произойдет ли утечка данных, удаление/шифрование информации, кража денежных средств, компрометация почты и т.д.
  • Инструменты компьютерной криминалистики, позволяющие восстанавливать хронологию событий инцидентов при их расследовании: как вас взломали? распространялись по сети? как усилить защиту, чтобы такого не повторилось? детальный анализ скомпрометированных станций позволяет предотвратить эскалацию инцидента и выявить все закладки хакеров, чтобы перекрыть полностью каналы доступа в организацию
  • Методики поиска данных о лицах, причастных к инцидентам, из открытых источников и сбора доказательной базы.
Программа курса

День 1. Первичное реагирование

  • Тренды киберпреступлений и способы защиты корпоративной инфраструктуры.
  • Идентификация проникновения в корпоративную сеть.
  • План выявления злоумышленника в сети организации и всех скомпрометированных компьютеров.
  • Устранение всех установленных способов доступа злоумышленников в сеть организации.
  • Разработка мер по предотвращению и своевременному обнаружению взломов.
  • Поиск уликовой информации на компьютерах. Основные принципы изъятия компьютерной техники. В каких объектах содержится уликовая информация. Методы сокрытия таких данных от обнаружения.
  • Выявление методов и средств контр-криминалистики: полнодисковое шифрование, удаленное хранение информации и др. Особенности работы в данных условиях.
  • Сбор доказательной базы и ее оформление/хранение.
  • Особенности фиксации содержимого мобильных устройств: изоляция от беспроводных сетей передачи данных, предотвращение блокировки устройств, предотвращение удаленной модификации или уничтожения данных.
  • Игра-моделирование реальной атаки на организацию и тренировка навыков принятия мер по минимизации ущерба от нее.

День 2. Компьютерная криминалистика систем под управлением ОС Windows

  • Основы компьютерной криминалистики и поиск артефактов в ОС Windows.
  • Восстановление данных.
  • Выявление методов сокрытия данных и их разоблачение.
  • Выявление зараженных систем и восстановление хронологии заражения посредством plaso и log2timeline.
  • Исследование систем при расследовании инсайдов.
  • Использование криминалистически важной информации для Threat Hunting.
  • Практические занятия со скомпрометированными системами.

День 3. Криминалистика оперативной памяти

  • Принцип работы оперативной памяти, межпроцессный обмен данными и внедрение вредоносного кода в процессы.
  • Live-анализ оперативной памяти для выявления признаков компрометации системы.
  • Создание дампов оперативной памяти и специфика их анализа посредством volatility, Rekall, Redline. Особенности исследования для разных ОС.
  • Исследование файлов гибернации и подкачки на предмет поиска криминалистических артефактов.
  • Алгоритм выявления аномалий и вредоносной активности в оперативной памяти.
  • Практические занятия на восстановление хронологии атак на основе дампов оперативной памяти.

День 4. Сетевая криминалистика

  • Общие сведения о сетях и сетевом взаимодействии.
  • Основные принципы проведения сетевой криминалистики. Регламент действий сотрудников с целью получения максимально подробной информации для проведения анализа.
  • Типовые источники данных для проведения сетевой криминалистики и их исследование.
  • Особенности инструментария для создания дампа сетевого трафика.
  • Анализ трафика с помощью ПО Wireshark, Sguil, Xplico, Squer, SecurityOnion и др.
  • OSINT.
  • Практические занятия по анализу вредоносного трафика, зашифрованного трафика и выявление аномальной активности.

День 5. Самостоятельное расследование

  • Определение типа атаки и задействованных в атаке людей на примере образов из скомпрометированной сети.
  • Выстраивание поминутного сценария атаки и компрометации данных.
  • Оформление отчета и разработка рекомендаций по предупреждению атак подобного характера.
FAQ

По окончании обучения слушатели получают либо Сертификат Учебного Центра о прохождении курса, либо Удостоверение о повышении квалификации, зарегистрированное в ФРДО (Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении). Для получения Удостоверения необходимо, чтобы длительность обучения превышала 16 академических часов, а также необходимо предоставить оригинал Диплома о профессиональном или высшем образовании государственного образца.

Помимо этого, по факту прохождения авторизованных курсов вендоров Cisco, Postgres, AstraLinux, Microsoft, ICAgile выдается электронный сертификат вендора.

Возьмите паспорт и Диплом об окончании профессионального или высшего образования. Диплом понадобится для получения Удостоверения о повышении квалификации (в случае отсутствия Диплома, по окончании курса будет выдан Сертификат Учебного Центра, подтверждающий факт пройденного обучения).

За несколько дней до начала обучения (обычно за неделю) все слушатели получают приглашение по указанной электронной почте (если обучение заказывалось централизованно, ваш персональный мейл могли не передать - обратитесь к специалисту вашей организации, кто заказывал курсы, приглашение есть у него). В приглашении указан адрес и прочая полезная для слушателя информация. Если вы не получили приглашение – обратитесь к нам любым удобным для вас способом, и мы сообщим адрес и продублируем приглашение на вашу почту.

В основном корпусе в Москве по адресу Дербеневская набережная д.7 стр.5, БЦ «Оазис», парковки, к сожалению, нет. Зато есть муниципальная платная парковка на всех прилегающих улицах.

По поводу остальных филиалов и корпусов – уточняйте информацию у наших менеджеров. Мы постараемся сделать всё возможное для вашего комфортного обучения.

Да, во время занятий для слушателей всегда доступны чай, кофе, прохладительные напитки и орешки, печеньки и другие снеки на кофе-брейках. Помимо этого, в обеденный перерыв будет предложен полноценный горячий обед.

Наш центр работает с корпоративными и частными клиентами. Для каждой категории клиентов мы разработали различные варианты сотрудничества, позволяющие гибко подходить к ценообразованию и вариантам оплаты.

Обо всех специальных условиях читайте в разделе Спецпредложения.

Недостаточно информации? Напишите нам, и мы сделаем вам предложение, от которого невозможно отказаться.

Не нашли подходящиего курса?
Оставьте заявку на обучение для вашей организации
Подпишитесь и будьте в курсе
Информация о новинках, скидках и акциях. Уже более 36 000 подписчиков!