Мы в Твиттере
Мы в Контакте
Поиск

Курс EC-Council CHFI

 

Расследование инцидентов компьютерной безопасности v9

Computer Hacking Forensics Investigator v9
Продолжительность курса: 5 дней - 40 часов
Группа формируется по мере поступления заявок.
Стоимость обучения: 95000 ₽
Цель курса – дать слушателям знания и навыки работы с ключевыми методиками обнаружения компьютерных преступлений как в локальной сети, так и при взаимодействии в сети Интернет с мобильными клиентами и облачными сервисами. Также в курсе широко представлены программные продукты по сбору и восстановлению информации, свидетельствующей о вторжении в систему.
Аудитория
Этот курс предоставляет развернутые знания по анализу безопасности современных компьютерных сетей и будет полезен всем заинтересованным ИТ-специалистам, в том числе сетевым и системным администраторам и ИТ-руководителям. Курс будет интересен сотрудникам службы информационной безопасности, сотрудникам правоохранительных органов и военным представителям, связанным с расследованием вторжений в компьютерные сети. Кроме того курс полезен специалистам в сфере безопасности в качестве подготовки к получению международной сертификации.
По окончании курса слушатели смогут:
  • Самостоятельно обнаруживать вторжения в ОС, веб-приложения, мобильные устройства и облачные сервисы;
  • Использовать проверенные методы обнаружения вторжений;
  • Собирать доказательную базу для подтверждения вторжения;
  • Использовать специализированные инструменты для анализа вторжений;
  • Анализировать потоки текстового, графического или медиа трафика на предмет наличия закладок;
  • Проводить анализ систем хранения для обнаружения следов вторжения;
  • Восстанавливать и анализировать состояние постоянной(энергонезависимой) и оперативной(энергозависимой) памяти из ОС Windows, Mac и Linux;
  • Восстанавливать удалённые файлы и разделы в Windows, Mac и Linux;
  • Анализировать состояние систем на предмет атак инсайдеров;
  • Применять технику обратного инжиниринга для анализа атакующего кода;
  • Обнаруживать взлом (или попытку взлома) запароленных файлов;
  • Извлекать и анализировать журналы прокси-серверов, брандмауэров, систем обнаружения/предотвращения вторжений, рабочих станций, серверов, коммутаторов, маршрутизаторов, контроллеров домена, DNS и DHCP серверов, систем управления доступом и других устройств;
  • Выполнять необходимые мероприятия для передачи доказательств в правоохранительные органы.
Сертификационные экзамены
Курс помогает подготовиться к следующим сертификационным экзаменам:
  • 312-49: Computer Hacking Forensic Investigator
Необходимая подготовка
Для эффективного обучения на курсе слушатели должны обладать следующими знаниями и навыками:
  • Опыт работы с клиентским и серверными ОС;
  • Понимание работы сети и сетевых устройств;
  • Понимание базовых концепций безопасности;
  • Курсы CEH и CND или эквивалентные знания и навыки.
Материалы слушателя
Слушателям предоставляется фирменное учебное пособие и руководство по проведению лабораторных работ (в электронном виде) а также прочие материалы и программное обеспечение, необходимые для выполнения этих работ.
Модуль 1: Расследование инцидентов ИБ в современном мире
Темы
  • Определение компьютерных угроз
  • Классификация кибер-атак
  • Вызовы для исследователей кибер-преступлений
  • Типы кибер-атак и основные правила расследования
  • Правила сбора доказательств и основные типы цифровых улик
  • Оценка готовности к рассмотрению инцидента и план действий
  • Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
  • Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента
Модуль 2: Процесс расследования инцидента ИБ
Темы
  • Процесс расследования инцидента ИБ
  • Этапы процесса расследования инцидента ИБ
  • Требования к лабораторной среде и команде исследователей инцидента
  • Программное обеспечение для исследования
  • Задачи первых исследователей инцидента ИБ
  • Поиск улик и сбор доказательств
  • Размещение и хранение доказательств
  • Дедупликация данных, восстановление удалённых данных и проверка доказательств
  • Написание отчёта
Лабораторная работа:
  • Восстановление данных с помощью EasyUS Data Recovery Wizard;
  • Использование HashCalc для вычисления хэша, контрольной суммы или HMAC;
  • Использование MD5 Calculator;
  • Просмотр файлов различных форматов через File Viewer;
  • Обнаружение следов работы с данными с помощью P2 Commander;
  • Создание образа раздела с помощью R-Drive Image.
Модуль 3: Сбор доказательств с дисков и файловых систем
Темы
  • Классификация средств обеспечения безопасности компьютерных сетей
  • Методы и средства контроля доступа
  • Методы и средства аутентификации, авторизации и аудита доступа
  • Краткий обзор основных методов криптографической защиты информации
  • Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
  • Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы
Лабораторная работа:
  • Обнаружение удалённых файлов с помощью WinHex;
  • Анализ файловых систем с помощью The Sleuth Kit;
  • Анализ Raw-изображений с помощью Autopsy.
Модуль 4: Расследование инцидентов, связанных с операционной системой
Темы
  • Способы получения данных
  • Получение текущих данных
  • Поучение статических данных
  • Дупликация данных
  • Блокировка изменения устройств
  • Методы и средства получения данных
  • Получение данных в Windows и Linux
Лабораторная работа:
  • Исследование NTFS раздела с помощью DiskExplorer for NTFS;
  • Просмотр графического контента с помощью FTK Imager Tool.
Модуль 5: Противодействие методам сокрытия доказательств
Темы
  • Противодействие методам сокрытия доказательств и цели противодействия
  • Обзор техник противодействия методам сокрытия доказательств
  • Извлечение доказательств с удалённых файлов и разделов, файлы с парольной защитой и стеганография
  • Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
  • Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов
  • Контр-меры по противодействию методов сокрытия улик
Лабораторная работа:
  • Взлом паролей приложений;
  • Обнаружение стеганографии.
Модуль 6: Методы сбора и копирования данных
Темы
  • Проверка изменяющихся и неизменяющихся данных Windows
  • Анализ памяти и реестра Windows
  • Проверка кэша, куки-файлов и истории браузера
  • Проверка файлов и метаданных Windows
  • Анализ текстовых журналов и журналов событий Windows
  • Команды и файлы журналов Linux
  • Проверка журналов Mac
Лабораторная работа:
  • Обнаружение и извлечение скрытых на компьютере материалов с помощью OSForensics;
  • Получение информации о процессе загрузки с помощью ProcessExplorer;
  • Просмотр, мониторинг и анализ событий с помощью Event Log Explorer;
  • Исследование компьютера на предмет проникновения с помощью Helix;
  • Получение изменяющихся (оперативных) данных в Linux;
  • Анализ неизменяющихся (статичных) данных в Linux.
Модуль 7: Расследование инцидентов, связанных с сетевыми технологиями
Темы
  • Сетевые вторжения
  • Основные концепции журналирования
  • Обзор способов сопоставления событий
  • Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
  • Проверка сетевого трафика
  • Сбор доказательств по проникновению в сеть
  • Реконструкция вторжения
Лабораторная работа:;
  • Перехват и анализ событий с помощью GFI EventsManager;
  • Расследование инцидента и сбор данных с помощью XpoLog Center Suite;
  • Расследование сетевых атак с помощью Kiwi Log Viewer;
  • Отслеживание сетевого трафика с помощью Wireshark.
Модуль 8: Расследование атак на веб-приложения
Темы
  • Угрозы для веб-приложений
  • Архитектура веб-приложений
  • Веб-атаки и шаги их осуществления
  • Веб-атаки на сервера Windows
  • Архитектура сервера IIS и работа с его журналом
  • Архитектура веб-сервера Apache и работа с его журналом
  • Способы атак на веб-приложения
Лабораторная работа:
  • Анализ сети домена и запросов IP-адресов с помощью SmartWhois.
Модуль 9: Расследование инцидентов, связанных с СУБД
Темы
  • Угрозы базам данных
  • Угрозы MSSQL
  • Признаки вторжения в базе данных
  • Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
  • Угрозы MySQL
  • Архитектура MySQL и определение структуры директорий данных
  • Утилиты для анализа и сбора доказательств проникновения в MySQL
  • Угрозы MySQL для баз веб-приложений на WordPress
Лабораторная работа:
  • Извлечение базы данных с Android-устройств с помощью Andriller;
  • Анализ базы SQLiteс помощью DB Browser for SQLite;
  • Изучение базы данных на MySQL.
Модуль 10: Расследование инцидентов, связанных с облачными приложениями
Темы
  • Описание принципов облачных вычислений
  • Атаки на облако
  • Способы защиты облаков
  • Заинтересованные лица защите облаков
  • Облачные сервисы DropBox и GoogleDrive
Лабораторная работа:
  • Обнаружение уязвимостей в DropBox;
  • Исследование Google Drive.
Модуль 11: Расследование инцидентов, связанных с вредоносным кодом
Темы
  • Способы проникновения вредоносного ПО в ОС
  • Базовые компоненты и распространение вредоносного ПО
  • Концепции защиты от вредоносного ПО
  • Обнаружение и извлечение вредоносного ПО из систем
  • Анализ вредоносного ПО – правила анализа и тестовая среда
  • Статический и динамический анализ вредоносного ПО
Лабораторная работа:
  • Статический анализ подозрительных файлов;
  • Динамический анализ вредоносного кода;
  • Анализ заражённых PDF-файлов;
  • Сканирование PDF-файлов с помощью веб-ресурсов;
  • Сканирование подозрительных файлов MS Office.
Модуль 12: Расследование инцидентов, связанных с электронной почтой
Темы
  • Почтовые системы, почтовые клиенты и почтовые сервера
  • Управление аккаунтами
  • Атаки на электронную почту
  • Компоненты сообщений электронной почты
  • Общие заголовки и X-заголовки
  • Обнаружения атак на почту
  • Средства анализа почтовых сообщений
  • Американский закон CAN-SPAM
Лабораторная работа:
  • Восстановление удалённых сообщений в эл.почте с помощью Recover My Email;
  • Обнаружение опасных сообщений с помощью Paraben’s Email Examiner;
  • Отслеживание эл.сообщений с помощью eMailTrackerPro.
Модуль 13: Расследование инцидентов, связанных с мобильными устройствами
Темы
  • Угрозы мобильным устройствам
  • Особенности взлома мобильных устройств и мобильных ОС
  • Архитектура мобильных устройств
  • Архитектура стека Android и процесс загрузки
  • Архитектура стека iOS и процесс загрузки
  • Хранилища мобильных данных
  • Подготовка и вторжение в мобильную ОС
Лабораторная работа:
  • Анализ опасных изображений и восстановление удалённых файлов с помощью Autopsy;
  • Исследование Android-устройства с помощью Andriller.
Модуль 14: Подготовка отчетов о расследовании инцидента
Темы
  • Структура отчёта о расследование инцидента
  • Признаки хорошего отчёта
  • Шаблон отчёта о расследовании инцидента
  • Классификация отчётов и руководства по их написанию
  • Экспертные заключения в отчёте
  • Различия технических и экспертных заключений
  • Стандарты Дауберта (Daubert) и Фёе (Fyre)
  • Этические нормы при ведении расследования

Сертификационные экзамены
№ 312-49
Расследование инцидентов компьютерной безопасности v9
Для курса желательны знания курсов
№ CEH v10 Этичный хакинг: тестирование на проникновение v10
№ CND Обеспечение безопасности компьютерных сетей

Документ об окончании:
Международный сертификат EC-Council
Международный сертификат EC-Council

# По всем вопросам подготовки специалистов обращайтесь к менеджерам учебного центра
Калининой Лиле, Карповой Елене, Смирновой Светлане, Богдановой Ирине, Литвиновой Елене тел. 8 (812) 718-6184 (многоканальный).

# По вопросам заказа тестов в центре тестирования Pearson VUE просьба обращаться к администратору центра тестирования
Марии Смирновой тел. 8 (812) 326-78-30.