Цель курса – дать слушателям знания и навыки работы по ключевым методикам выявления компьютерных преступлений как в локальной сети, так и при взаимодействии в сети Интернет с мобильными клиентами и облачными сервисами. Также в курсе широко представлены программные продукты по сбору и обновлению информации, что свидетельствует о вторжении в систему.

Аудитория
Этот курс предоставляет развернутые знания по анализу безопасности современных компьютерных сетей и будет полезен всем заинтересованным ИТ-специалистам, включая сетевым и системным администраторам и ИТ-руководителям. Курс будет интересен сотрудникам службы информационной безопасности, сотрудникам правоохранительных органов и военным представителям, связанным с расследованием вторжений в компьютерных сетях. Кроме того, курс полезен специалистам в области безопасности как подготовка к получению международной сертификации.

После окончания курса слушатели смогут:
— самостоятельно обнаруживать вторжение в ОС, веб-приложения, мобильные устройства и облачные услуги;
— использовать проверенные методы выявления вторжений;
— собирать доказательную базу в подтверждение вторжения;
— использовать специализированные инструменты для анализа вторжений;
— анализировать потоки текстового, графического или медиа трафика по наличию закладок;
— проводить анализ систем хранения обнаружения следов вторжения;
— восстанавливать и анализировать состояние постоянной (энергонезависимой) и оперативной (энергозависимой) памяти с Windows, Mac и Linux;
— восстанавливать удаленные файлы и разделы в Windows, Mac и Linux;
— анализировать состояние систем по атакам инсайдеров;
— применять технику обратного инжиниринга для анализа атакующего кода;
— выявлять взлом (или попытку взлома) запароленых файлов;
— извлекать и анализировать журналы прокси-серверов, брандмауэров, систем обнаружения/предотвращения вторжений, рабочих станций, серверов, коммутаторов, маршрутизаторов, контроллеров домена, DNS и DHCP серверов, систем управления доступом и других устройств;
— выполнять необходимые меры передачи доказательств в правоохранительные органы.

Сертификационные экзамены
Курс помогает подготовиться к следующим сертификационным экзаменам:
312-49: Компьютер Hacking Forensic Investigator

Необходимая подготовка
Для эффективного обучения на курсе слушатели должны иметь следующие знания и навыки:
— опыт работы с клиентскими и серверными ОС;
— понимание работы сети и сетевых устройств;
— понимание базовых концепций сохранности;
— курсы CEH и CND или эквивалентные знания и навыки.

Материалы слушателя
Слушателям предоставляется фирменное учебное пособие и руководство по проведению лабораторных работ (электронно), а также другие материалы и программное обеспечение, необходимые для выполнения этих работ.

Модуль 1: Расследование инцидентов ИБ в мире
Темы

• Определение компьютерных угроз
• Классификация кибер-атак
• Вызовы для исследователей кибер-преступлений
• Типы кибер-атак и основные правила расследования
• Правила сбора доказательств и основные типы цифровых доказательств
• Оценка готовности к рассмотрению инцидента и план действий
• Сфера деятельности исследователей инцидентов компьютерной безопасности и сфера ответственности
• Обзор юридических, этических и конфиденциальных вопросов при расследовании инцидента

Модуль 2: Процесс расследования инцидента ИБ
Темы

• Процесс расследования инцидента ИБ
• Этапы процесса расследования инцидента ИБ
• Требования к лабораторной среде и команде исследователей инцидента
• Программное обеспечение для исследования
• Задачи первых исследователей инцидента ИБ
• Поиск доказательств и сбор доказательств
• Размещение и хранение доказательств
• Дедупликация данных, восстановление удаленных данных и проверка доказательств
  Написание отчета
  Лабораторная работа:
• Восстановление данных с помощью EasyUS Data Recovery Wizard;
• Использование HashCalc для вычисления хеша, контрольной суммы или HMAC;
• Использование MD5 Calculator;
• Просмотр файлов разных форматов через File Viewer;
• Выявление следов работы с данными с помощью P2 Commander;
• Создание образа раздела с помощью R-Drive Image.

Модуль 3: Сбор доказательств с дисков и файловых систем
Темы

• Классификация средств обеспечения безопасности компьютерных сетей
• Методы и средства контроля доступа
• Методы и средства аутентификации, авторизации и аудита доступа
• Краткий обзор основных методов криптографической защиты информации
• Основные классы технических и программных средств защиты компьютерных сетей и принципы их работы
• Сетевые протоколы, предназначенные для обеспечения безопасности, и принципы их работы
  Лабораторная работа:
• Выявление удаленных файлов с помощью WinHex;
• Анализ файловых систем с помощью The Sleuth Kit;
• Анализ Raw-изображений с помощью Autopsy.

Модуль 4: Расследование инцидентов, связанных с операционной системой
Темы

• Способы получения данных
• Получение текущих данных
• Поучение статических данных
• Дупликация данных
• Блокировка смены устройств
• Методы и средства получения данных
• Получение данных в Windows и Linux
  Лабораторная работа:
• Исследование раздела NTFS с помощью DiskExplorer for NTFS;
• Просмотр графического содержимого с помощью FTK Imager Tool.

Модуль 5: Противодействие методам сокрытия доказательств
Темы

• Противодействие методам сокрытия доказательств и цели противодействия
• Обзор техник противодействия методам сокрытия доказательств
• Удаление доказательств из удаленных файлов и разделов, файлы с парольной защитой и стеганография
• Запутывание кода, зачистка артефактов, перезапись данных/метаданных и шифрование
• Методы обнаружения протоколов шифрования, упаковщиков программ и руткитов.
• Контр-меры по противодействию методам сокрытия доказательств
  Лабораторная работа:
• Взлом паролей приложений;
• Выявление стеганографии.

Модуль 6: Методы сбора и копирования данных
Темы

• Проверка изменяемых и неизменяемых данных Windows
• Анализ памяти и реестра Windows
• Проверка кэша, файлов cookie и истории браузера
• Проверка файлов и метаданных Windows
• Анализ текстовых журналов и событий Windows
• Команды и файлы журналов Linux
• Проверка журналов Mac
  Лабораторная работа:
• Выявление и извлечение скрытых на компьютере материалов с помощью OSForensics;
• получение информации о процессе загрузки с помощью ProcessExplorer;
• Просмотр, мониторинг и анализ событий с помощью Event Log Explorer;
• Исследование компьютера по проникновению с помощью Helix;
• получение переменных (оперативных) данных в Linux;
• Анализ постоянных (статических) данных в Linux.

Модуль 7: Расследование инцидентов, связанных с сетевыми технологиями
Темы

• Сетевые вторжения
• Основные концепции журналирования
• Обзор способов сопоставления событий
• Проверка маршрутизаторов, брандмауэров, IDS, DHCP и журналов ODBC
• Проверка сетевого трафика
• Сбор доказательств проникновения в сеть
• Реконструкция вторжения
  Лабораторная работа:
• Перехват и анализ событий с помощью GFI EventsManager;
• Расследование инцидента и сбор данных с помощью XpoLog Center Suite;
• Расследование сетевых атак с помощью Kiwi Log Viewer;
• Отслеживание сетевого трафика с помощью Wireshark.

Модуль 8: Расследование атак на веб-приложения
Темы

• Угрозы для веб-приложений
• Архитектура веб-приложений
• Веб-атаки и шаги их осуществления
• Веб-атаки на сервере Windows
• Архитектура сервера IIS и работа с его журналом
• Архитектура веб-сервера Apache и работа с его журналом
• Способы атак на веб-приложения
  Лабораторная работа:
• Анализ сети домена и запросов IP-адресов с помощью SmartWhois.

Модуль 9: Расследование инцидентов, связанных с СУБД
Темы

• Угрозы баз данных
• Угрозы MSSQL
• Признаки вторжения в базе данных
• Сбор доказательств вторжения с помощью SQL Server Management Studio и Apex SQL DBA
• Угрозы MySQL
• Архитектура MySQL и определение структуры директорий данных
• Утилиты для анализа и сбора доказательств проникновения в MySQL
• Угрозы MySQL для баз веб-приложений на WordPress
  Лабораторная работа:
• Удаление базы данных с Android-устройств с помощью Andriller;
• Анализ базы SQLite с помощью DB Browser for SQLite;
• Исследование базы данных MySQL.

Модуль 10: Расследование инцидентов, связанных с облачными программами
Темы

• Описание принципов облачных вычислений
• Атаки на облако
• Способы защиты облаков
• Заинтересованные лица защиты облаков
• Облачные сервисы DropBox и GoogleDrive
  Лабораторная работа:
• Выявление уязвимостей в DropBox;
• Исследование Google Drive.

Модуль 11: Расследование инцидентов, связанных с вредоносным кодом
Темы

• Способы проникновения вредоносного ПО в ОС
• Базовые компоненты и распространение вредоносного ПО
• Концепции защиты от вредоносного ПО
• Выявление и удаление вредоносного ПО из систем
• Анализ вредоносного ПО – правила анализа и тестовая среда
• Статический и динамический анализ вредоносного ПО
  Лабораторная работа:
• Статический анализ подозрительных файлов;
• Динамический анализ вредоносного кода;
• Анализ зараженных PDF-файлов;
• Сканирование PDF-файлов с помощью веб-ресурсов;
• Сканирование подозрительных файлов MS Office.

Модуль 12: Расследование инцидентов, связанных с электронной почтой
Темы

• Почтовые системы, почтовые клиенты и почтовые серверы
• Управление аккаунтами
• Атаки на электронную почту
• Компоненты сообщений электронной почты
• Общие заголовки и X-заголовки
• Обнаружение атак на почту
• Средства анализа почтовых сообщений
• Американский закон CAN-SPAM
  Лабораторная работа:
• Восстановление удаленных сообщений в электронной почте с помощью Recover My Email;
• Выявление опасных сообщений с помощью Paraben’s Email Examiner;
• Отслеживание сообщений электронной почты с помощью eMailTrackerPro.

Модуль 13: Расследование инцидентов, связанных с мобильными устройствами
Темы

• Угрозы мобильным устройствам
• Особенности взлома мобильных устройств и мобильных ОС
• Архитектура мобильных устройств
• Архитектура стека Android и процесс загрузки
• Архитектура стека iOS и процесс загрузки
• Хранилища мобильных данных
• Подготовка и вторжение в мобильную ОС
  Лабораторная работа:
• анализ опасных изображений и восстановление удаленных файлов с помощью Autopsy;
• Исследование Android-устройства с помощью Andriller.

Модуль 14: Подготовка отчетов о расследовании инцидента
Темы

• Структура отчета о расследовании инцидента
• Признаки хорошего отчета
• Шаблон отчета о расследовании инцидента
• Классификация отчетов и пособия по их написанию
• Экспертные заключения в отчете
• Различия технических и экспертных выводов
• Стандарты Дауберта (Daubert) и Фее (Fyre)
• Этические нормы при проведении расследования

Полная информация о курсе computer-hacking-forensic-investigator-v9

Цена курса 1500$