EC-Council СHFI v10

Мета курсу – дати слухачам знання та навички роботи з ключовими методиками виявлення комп’ютерних злочинів як у локальній мережі, так і при взаємодії у мережі Інтернет з мобільними клієнтами та хмарними сервісами. Також у курсі широко представлені програмні продукти зі збирання та відновлення інформації, що свідчить про вторгнення в систему.

Аудиторія
Цей курс надає розгорнуті знання з аналізу безпеки сучасних комп’ютерних мереж та буде корисним усім зацікавленим ІТ-фахівцям, у тому числі мережевим та системним адміністраторам та ІТ-керівникам. Курс буде цікавий співробітникам служби інформаційної безпеки, співробітникам правоохоронних органів та військовим представникам, пов’язаним із розслідуванням вторгнень у комп’ютерні мережі. Крім того, курс корисний фахівцям у сфері безпеки як підготовка до отримання міжнародної сертифікації.

Після закінчення курсу слухачі зможуть:
– Самостійно виявляти вторгнення в ОС, веб-додатки, мобільні пристрої та хмарні послуги;
– Використовувати перевірені методи виявлення вторгнень;
– Збирати доказову базу на підтвердження вторгнення;
– Використовувати спеціалізовані інструменти для аналізу вторгнень;
– Аналізувати потоки текстового, графічного чи медіа трафіку щодо наявності закладок;
– Проводити аналіз систем зберігання виявлення слідів вторгнення;
– Відновлювати та аналізувати стан постійної (енергонезалежної) та оперативної (енергозалежної) пам’яті з ОС Windows, Mac та Linux;
– Відновлювати видалені файли та розділи у Windows, Mac та Linux;
– Аналізувати стан систем щодо атак інсайдерів;
– Застосовувати техніку зворотного інжинірингу для аналізу атакуючого коду;
– Виявляти зламування (або спробу зламування) запаролених файлів;
– Видобувати та аналізувати журнали проксі-серверів, брандмауерів, систем виявлення/запобігання вторгненням, робочих станцій, серверів, комутаторів, маршрутизаторів, контролерів домену, DNS та DHCP серверів, систем керування доступом та інших пристроїв;
– Виконувати необхідні заходи передачі доказів до правоохоронних органів.

Сертифікаційні іспити
Курс допомагає підготуватися до наступних сертифікаційних іспитів:
312-49: Computer Hacking Forensic Investigator

Необхідна підготовка
Для ефективного навчання на курсі слухачі повинні мати такі знання та навички:
– Досвід роботи з клієнтськими та серверними ОС;
– Розуміння роботи мережі та мережевих пристроїв;
– розуміння базових концепцій безпеки;
– Курси CEH та CND або еквівалентні знання та навички.

Матеріали слухача
Слухачам надається фірмовий навчальний посібник та посібник з проведення лабораторних робіт (електронно) а також інші матеріали та програмне забезпечення, необхідні для виконання цих робіт.

Модуль 1: Розслідування інцидентів ІБ у світі
Теми

• Визначення комп’ютерних загроз
• Класифікація кібер-атак
• Виклики для дослідників кібер-злочинів
• Типи кібер-атак та основні правила розслідування
• Правила збору доказів та основні типи цифрових доказів
• Оцінка готовності до розгляду інциденту та план дій
• Сфера діяльності дослідників інцидентів комп’ютерної безпеки та сфера відповідальності
• Огляд юридичних, етичних та конфіденційних питань під час розслідування інциденту

Модуль 2: Процес розслідування інциденту ІБ
Теми

• Процес розслідування інциденту ІБ
• Етапи процесу розслідування інциденту ІБ
• Вимоги до лабораторного середовища та команди дослідників інциденту
• Програмне забезпечення для дослідження
• Завдання перших дослідників інциденту ІБ
• Пошук доказів та збирання доказів
• Розміщення та зберігання доказів
• Дедуплікація даних, відновлення видалених даних та перевірка доказів
  Написання звіту
  Лабораторна робота:
• Відновлення даних за допомогою EasyUS Data Recovery Wizard;
• Використання HashCalc для обчислення хешу, контрольної суми або HMAC;
• Використання MD5 Calculator;
• Перегляд файлів різних форматів через File Viewer;
• Виявлення слідів роботи з даними за допомогою P2 Commander;
• Створення образу розділу за допомогою R-Drive Image.

Модуль 3: Збір доказів з дисків та файлових систем
Теми

• Класифікація засобів забезпечення безпеки комп’ютерних мереж
• Методи та засоби контролю доступу
• Методи та засоби аутентифікації, авторизації та аудиту доступу
• Короткий огляд основних методів криптографічного захисту інформації
• Основні класи технічних та програмних засобів захисту комп’ютерних мереж та принципи їх роботи
• Мережеві протоколи, призначені для забезпечення безпеки, та принципи їх роботи
  Лабораторна робота:
• Виявлення видалених файлів за допомогою WinHex;
• Аналіз файлових систем за допомогою The Sleuth Kit;
• Аналіз Raw-зображень за допомогою Autopsy.

Модуль 4: Розслідування інцидентів, пов’язаних із операційною системою
Теми

• Способи отримання даних
• Отримання поточних даних
• Повчання статичних даних
• Дуплікація даних
• Блокування зміни пристроїв
• Методи та засоби отримання даних
• Отримання даних у Windows та Linux
  Лабораторна робота:
• Дослідження розділу NTFS за допомогою DiskExplorer for NTFS;
• Перегляд графічного вмісту за допомогою FTK Imager Tool.

Модуль 5: Протидія методам приховування доказів
Теми

• Протидія методам приховування доказів та мети протидії
• Огляд технік протидії методам приховування доказів
• Вилучення доказів з видалених файлів та розділів, файли з парольним захистом та стеганографія
• Заплутування коду, зачистка артефактів, перезапис даних/метаданих та шифрування
• Методи виявлення протоколів шифрування, пакувальників програм та руткітів.
• Контр-заходи щодо протидії методів приховування доказів
  Лабораторна робота:
• Зламування паролів додатків;
• Виявлення стеганографії.

Модуль 6: Методи збирання та копіювання даних
Теми

• Перевірка даних, що змінюються і незмінюються Windows
• Аналіз пам’яті та реєстру Windows
• Перевірка кешу, файлів cookie та історії браузера
• Перевірка файлів та метаданих Windows
• Аналіз текстових журналів та журналів подій Windows
• Команди та файли журналів Linux
• Перевірка журналів Mac
  Лабораторна робота:
• Виявлення та вилучення прихованих на комп’ютері матеріалів за допомогою OSForensics;
• Отримання інформації про процес завантаження за допомогою ProcessExplorer;
• Перегляд, моніторинг та аналіз подій за допомогою Event Log Explorer;
• Дослідження комп’ютера щодо проникнення з допомогою Helix;
• Отримання змінних (оперативних) даних у Linux;
• Аналіз незмінних (статичних) даних у Linux.

Модуль 7: Розслідування інцидентів, пов’язаних із мережевими технологіями
Теми

• Мережеві вторгнення
• Основні концепції журналування
• Огляд способів зіставлення подій
• Перевірка маршрутизаторів, брандмауерів, IDS, DHCP та журналів ODBC
• Перевірка мережевого трафіку
• Збір доказів проникнення в мережу
• Реконструкція вторгнення
  Лабораторна робота:;
• Перехоплення та аналіз подій за допомогою GFI EventsManager;
• Розслідування інциденту та збір даних за допомогою XpoLog Center Suite;
• Розслідування мережевих атак за допомогою Kiwi Log Viewer;
• Відстеження мережевого трафіку за допомогою Wireshark.

Модуль 8: Розслідування атак на веб-додатки
Теми

• Загрози для веб-застосунків
• Архітектура веб-додатків
• Веб-атаки та кроки їх здійснення
• Веб-атаки на сервері Windows
• Архітектура сервера IIS та робота з його журналом
• Архітектура веб-сервера Apache та робота з його журналом
• Способи атак на веб-застосунки
  Лабораторна робота:
• Аналіз мережі домену та запитів IP-адрес за допомогою SmartWhois.

Модуль 9: Розслідування інцидентів, пов’язаних із СУБД
Теми

• Загрози баз даних
• Загрози MSSQL
• Ознаки вторгнення у базі даних
• Збір доказів вторгнення за допомогою SQL Server Management Studio та Apex SQL DBA
• Погрози MySQL
• Архітектура MySQL та визначення структури директорій даних
• Утиліти для аналізу та збору доказів проникнення у MySQL
• Загрози MySQL для баз веб-застосунків на WordPress
  Лабораторна робота:
• Вилучення бази даних з Android-пристроїв за допомогою Andriller;
• Аналіз бази SQLite за допомогою DB Browser for SQLite;
• Вивчення бази даних MySQL.

Модуль 10: Розслідування інцидентів, пов’язаних із хмарними програмами
Теми

• Опис принципів хмарних обчислень
• Атаки на хмару
• Способи захисту хмар
• Зацікавлені особи захисту хмар
• Хмарні сервіси DropBox та GoogleDrive
  Лабораторна робота:
• Виявлення вразливостей у DropBox;
• Дослідження Google Drive.

Модуль 11: Розслідування інцидентів, пов’язаних із шкідливим кодом
Теми

• Способи проникнення шкідливого ПЗ в ОС
• Базові компоненти та поширення шкідливого ПЗ
• Концепції захисту від шкідливого ПЗ
• Виявлення та вилучення шкідливого ПЗ із систем
• Аналіз шкідливого ПЗ – правила аналізу та тестове середовище
• Статичний та динамічний аналіз шкідливого ПЗ
  Лабораторна робота:
• Статичний аналіз підозрілих файлів;
• Динамічний аналіз шкідливого коду;
• Аналіз заражених PDF-файлів;
• Сканування PDF-файлів за допомогою веб-ресурсів;
• Сканування підозрілих файлів MS Office.

Модуль 12: Розслідування інцидентів, пов’язаних із електронною поштою
Теми

• Поштові системи, поштові клієнти та поштові сервери
• Управління акаунтами
• Атаки на електронну пошту
• Компоненти повідомлень електронної пошти
• Загальні заголовки та X-заголовки
• Виявлення атак на пошту
• Засоби аналізу поштових повідомлень
• Американський закон CAN-SPAM
  Лабораторна робота:
• Відновлення видалених повідомлень в електронній пошті за допомогою Recover My Email;
• Виявлення небезпечних повідомлень за допомогою Paraben’s Email Examiner;
• Відстеження електронних повідомлень за допомогою eMailTrackerPro.

Модуль 13: Розслідування інцидентів, пов’язаних із мобільними пристроями
Теми

• Загрози мобільним пристроям
• Особливості злому мобільних пристроїв та мобільних ОС
• Архітектура мобільних пристроїв
• Архітектура стека Android та процес завантаження
• Архітектура стека iOS та процес завантаження
• Сховища мобільних даних
• Підготовка та вторгнення в мобільну ОС
  Лабораторна робота:
• Аналіз небезпечних зображень та відновлення видалених файлів за допомогою Autopsy;
• Дослідження Android-пристрою за допомогою Andriller.

Модуль 14: Підготовка звітів про розслідування інциденту
Теми

• Структура звіту про розслідування інциденту
• Ознаки гарного звіту
• Шаблон звіту про розслідування інциденту
• Класифікація звітів та посібники з їх написання
• Експертні висновки у звіті
• Відмінності технічних та експертних висновків
• Стандарти Дауберта (Daubert) та Феє (Fyre)
• Етичні норми під час проведення розслідування

Повна інформація про курс computer-hacking-forensic-investigator-v9

Ціна курсу 1500$