ГлавнаяКаталог курсов › EC-Council СHFI v9

EC-Council СHFI v9

Код курса
СHFI-9
40
часов
5
дней
Январь
-
Февраль
Март
-
Апрель
-
EC-Council СHFI v9

Цель курса – дать слушателям знания и навыки работы по ключевым методикам выявления компьютерных преступлений как в локальной сети, так и при взаимодействии в сети Интернет с мобильными клиентами и облачными сервисами. Также в курсе широко представлены программные продукты по сбору и обновлению информации, что свидетельствует о вторжении в систему.

Аудитория
Этот курс предоставляет развернутые знания по анализу безопасности современных компьютерных сетей и будет полезен всем заинтересованным ИТ-специалистам, включая сетевым и системным администраторам и ИТ-руководителям. Курс будет интересен сотрудникам службы информационной безопасности, сотрудникам правоохранительных органов и военным представителям, связанным с расследованием вторжений в компьютерных сетях. Кроме того, курс полезен специалистам в области безопасности как подготовка к получению международной сертификации.

После окончания курса слушатели смогут:
— самостоятельно обнаруживать вторжение в ОС, веб-приложения, мобильные устройства и облачные услуги;
— использовать проверенные методы выявления вторжений;
— собирать доказательную базу в подтверждение вторжения;
— использовать специализированные инструменты для анализа вторжений;
— анализировать потоки текстового, графического или медиа трафика по наличию закладок;
— проводить анализ систем хранения обнаружения следов вторжения;
— восстанавливать и анализировать состояние постоянной (энергонезависимой) и оперативной (энергозависимой) памяти с Windows, Mac и Linux;
— восстанавливать удаленные файлы и разделы в Windows, Mac и Linux;
— анализировать состояние систем по атакам инсайдеров;
— применять технику обратного инжиниринга для анализа атакующего кода;
— выявлять взлом (или попытку взлома) запароленых файлов;
— извлекать и анализировать журналы прокси-серверов, брандмауэров, систем обнаружения/предотвращения вторжений, рабочих станций, серверов, коммутаторов, маршрутизаторов, контроллеров домена, DNS и DHCP серверов, систем управления доступом и других устройств;
— выполнять необходимые меры передачи доказательств в правоохранительные органы.

Сертификационные экзамены
Курс помогает подготовиться к следующим сертификационным экзаменам:
312-49: Компьютер Hacking Forensic Investigator

Необходимая подготовка
Для эффективного обучения на курсе слушатели должны иметь следующие знания и навыки:
— опыт работы с клиентскими и серверными ОС;
— понимание работы сети и сетевых устройств;
— понимание базовых концепций сохранности;
— курсы CEH и CND или эквивалентные знания и навыки.

Материалы слушателя
Слушателям предоставляется фирменное учебное пособие и руководство по проведению лабораторных работ (электронно), а также другие материалы и программное обеспечение, необходимые для выполнения этих работ.

Модуль 1: Расследование инцидентов ИБ в мире
Темы

  • Определение компьютерных угроз
  • Классификация кибер-атак
  • Вызовы для исследователей кибер-преступлений
  • Типы кибер-атак и основные правила расследования
  • Правила сбора доказательств и основные типы цифровых доказательств
  • Оценка готовности к рассмотрению инцидента и план действий
  • Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
  • Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента

Модуль 2: Процесс расследования инцидента ИБ
Темы

  • Процесс расследования инцидента ИБ
  • Этапы процесса расследования инцидента ИБ
  • Требования к лабораторной среде и команде исследователей инцидента
  • Программное обеспечение для исследования
  • Задачи первых исследователей инцидента ИБ
  • Поиск доказательств и сбор доказательств
  • Размещение и хранение доказательств
  • Дедупликация данных, восстановление удаленных данных и проверка доказательств
    Написание отчета
    Лабораторная работа:
  • Восстановление данных с помощью EasyUS Data Recovery Wizard;
  • Использование HashCalc для вычисления хеша, контрольной суммы или HMAC;
  • Использование MD5 Calculator;
  • Просмотр файлов разных форматов через File Viewer;
  • Выявление следов работы с данными с помощью P2 Commander;
  • Создание образа раздела с помощью R-Drive Image.

Модуль 3: Сбор доказательств с дисков и файловых систем
Темы

  • Классификация средств обеспечения безопасности компьютерных сетей
  • Методы и средства контроля доступа
  • Методы и средства аутентификации, авторизации и аудита доступа
  • Краткий обзор основных методов криптографической защиты информации
  • Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
  • Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы
    Лабораторная работа:
  • Выявление удаленных файлов с помощью WinHex;
  • Анализ файловых систем с помощью The Sleuth Kit;
  • Анализ Raw-изображений с помощью Autopsy.

Модуль 4: Расследование инцидентов, связанных с операционной системой
Темы

  • Способы получения данных
  • Получение текущих данных
  • Поучение статических данных
  • Дупликация данных
  • Блокировка смены устройств
  • Методы и средства получения данных
  • Получение данных в Windows и Linux
    Лабораторная работа:
  • Исследование раздела NTFS с помощью DiskExplorer for NTFS;
  • Просмотр графического содержимого с помощью FTK Imager Tool.

Модуль 5: Противодействие методам сокрытия доказательств
Темы

  • Противодействие методам сокрытия доказательств и цели противодействия
  • Обзор техник противодействия методам сокрытия доказательств
  • Удаление доказательств из удаленных файлов и разделов, файлы с парольной защитой и стеганография
  • Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
  • Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов.
  • Контр-меры по противодействию методам сокрытия доказательств
    Лабораторная работа:
  • Взлом паролей приложений;
  • Выявление стеганографии.

Модуль 6: Методы сбора и копирования данных
Темы

  • Проверка изменяемых и неизменяемых данных Windows
  • Анализ памяти и реестра Windows
  • Проверка кэша, файлов cookie и истории браузера
  • Проверка файлов и метаданных Windows
  • Анализ текстовых журналов и событий Windows
  • Команды и файлы журналов Linux
  • Проверка журналов Mac
    Лабораторная работа:
  • Выявление и извлечение скрытых на компьютере материалов с помощью OSForensics;
  • получение информации о процессе загрузки с помощью ProcessExplorer;
  • Просмотр, мониторинг и анализ событий с помощью Event Log Explorer;
  • Исследование компьютера по проникновению с помощью Helix;
  • получение переменных (оперативных) данных в Linux;
  • Анализ постоянных (статических) данных в Linux.

Модуль 7: Расследование инцидентов, связанных с сетевыми технологиями
Темы

  • Сетевые вторжения
  • Основные концепции журналирования
  • Обзор способов сопоставления событий
  • Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
  • Проверка сетевого трафика
  • Сбор доказательств проникновения в сеть
  • Реконструкция вторжения
    Лабораторная работа:
  • Перехват и анализ событий с помощью GFI EventsManager;
  • Расследование инцидента и сбор данных с помощью XpoLog Center Suite;
  • Расследование сетевых атак с помощью Kiwi Log Viewer;
  • Отслеживание сетевого трафика с помощью Wireshark.

Модуль 8: Расследование атак на веб-приложения
Темы

  • Угрозы для веб-приложений
  • Архитектура веб-приложений
  • Веб-атаки и шаги их осуществления
  • Веб-атаки на сервере Windows
  • Архитектура сервера IIS и работа с его журналом
  • Архитектура веб-сервера Apache и работа с его журналом
  • Способы атак на веб-приложения
    Лабораторная работа:
  • Анализ сети домена и запросов IP-адресов с помощью SmartWhois.

Модуль 9: Расследование инцидентов, связанных с СУБД
Темы

  • Угрозы баз данных
  • Угрозы MSSQL
  • Признаки вторжения в базе данных
  • Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
  • Угрозы MySQL
  • Архитектура MySQL и определение структуры директорий данных
  • Утилиты для анализа и сбора доказательств проникновения в MySQL
  • Угрозы MySQL для баз веб-приложений на WordPress
    Лабораторная работа:
  • Удаление базы данных с Android-устройств с помощью Andriller;
  • Анализ базы SQLite с помощью DB Browser for SQLite;
  • Исследование базы данных MySQL.

Модуль 10: Расследование инцидентов, связанных с облачными программами
Темы

  • Описание принципов облачных вычислений
  • Атаки на облако
  • Способы защиты облаков
  • Заинтересованные лица защиты облаков
  • Облачные сервисы DropBox и GoogleDrive
    Лабораторная работа:
  • Выявление уязвимостей в DropBox;
  • Исследование Google Drive.

Модуль 11: Расследование инцидентов, связанных с вредоносным кодом
Темы

  • Способы проникновения вредоносного ПО в ОС
  • Базовые компоненты и распространение вредоносного ПО
  • Концепции защиты от вредоносного ПО
  • Выявление и удаление вредоносного ПО из систем
  • Анализ вредоносного ПО – правила анализа и тестовая среда
  • Статический и динамический анализ вредоносного ПО
    Лабораторная работа:
  • Статический анализ подозрительных файлов;
  • Динамический анализ вредоносного кода;
  • Анализ зараженных PDF-файлов;
  • Сканирование PDF-файлов с помощью веб-ресурсов;
  • Сканирование подозрительных файлов MS Office.

Модуль 12: Расследование инцидентов, связанных с электронной почтой
Темы

  • Почтовые системы, почтовые клиенты и почтовые серверы
  • Управление аккаунтами
  • Атаки на электронную почту
  • Компоненты сообщений электронной почты
  • Общие заголовки и X-заголовки
  • Обнаружение атак на почту
  • Средства анализа почтовых сообщений
  • Американский закон CAN-SPAM
    Лабораторная работа:
  • Восстановление удаленных сообщений в электронной почте с помощью Recover My Email;
  • Выявление опасных сообщений с помощью Paraben’s Email Examiner;
  • Отслеживание сообщений электронной почты с помощью eMailTrackerPro.

Модуль 13: Расследование инцидентов, связанных с мобильными устройствами
Темы

  • Угрозы мобильным устройствам
  • Особенности взлома мобильных устройств и мобильных ОС
  • Архитектура мобильных устройств
  • Архитектура стека Android и процесс загрузки
  • Архитектура стека iOS и процесс загрузки
  • Хранилища мобильных данных
  • Подготовка и вторжение в мобильную ОС
    Лабораторная работа:
  • анализ опасных изображений и восстановление удаленных файлов с помощью Autopsy;
  • Исследование Android-устройства с помощью Andriller.

Модуль 14: Подготовка отчетов о расследовании инцидента
Темы

  • Структура отчета о расследовании инцидента
  • Признаки хорошего отчета
  • Шаблон отчета о расследовании инцидента
  • Классификация отчетов и пособия по их написанию
  • Экспертные заключения в отчете
  • Различия технических и экспертных выводов
  • Стандарты Дауберта (Daubert) и Фее (Fyre)
  • Этические нормы при проведении расследования

Полная информация о курсе computer-hacking-forensic-investigator-v9

Цена курса 1500$

Поделиться
регистрация на курс
* обязательные поля для заполнения

Для предварительной записи на курсы или уточнения информации позвоните по телефонам: +380 44 230 34 74

E-mail: education@erc.ua