[OTUS] Компьютерная криминалистика (Тимур Джамгарян, Андрей Бельц)

​

Раскрытие цифровых преступлений: от основ технологий до расследования инцидентов

Для кого этот курс?

• Специалисты по безопасности
• Аудиторы/консультанты ИБ
• Руководители отделов/групп
• Системные администраторы

Какие знания необходимы?
Базовые знания информационной безопасности

Что даст вам этот курс?
Курс даст системное понимание цифровой криминалистики и практические навыки расследования инцидентов: от сбора и анализа сетевого трафика и памяти виртуальных машин до реверс-анализа вредоносного ПО и расследования сложных APT-атак. Вы научитесь применять современные инструменты и методики, оформлять результаты расследований и создавать защитные меры.

• Основы компьютерной криминалистики, модели угроз, типы инцидентов
• Этические и правовые аспекты (целостность доказательств, сохранение цепочки хранения)
• Сбор и анализ сетевого трафика (Wireshark, tcpdump, Kismet, EtherApe)
• Анализ VoIP (SIP, RTP) и VPN-трафика
• Поиск и детектирование вредоносной сетевой активности и сигнатурный анализ
• Анализ прошивок, целостности ОС, обнаружение XXE, SSRF, SQL-инъекций
• Методы обнаружения локального повышения привилегий в Windows и Linux, обходы SELinux/AppArmor
• Инструменты реверс-инжиниринга, fuzzy-хеширование (ssdeep) для выявления сходства
• Снятие и анализ памяти хоста и гостевых систем, особенности вложенной виртуализации
• Методики расследования APT, утечек данных, внутренней угрозы, алгоритмы удаления данных

Почему стоит освоить?
На курсе предлагается развитие профессиональных навыков. Например, обучение методам сбора, анализа и интерпретации цифровых данных, навыки по расследованию вредоносных программ, киберпреступлений и утечек данных, работа с современными инструментами.

Прохождение курса позволит получить востребованные на рынке труда знания и навыки, которые позволят не только расследовать киберпреступления, но и стать ценным специалистом в области ИБ.

Программа:

• Введение в компьютерную криминалистику
• Анализ сетевой компоненты Инфраструктуры
• Анализ системной компоненты Инфраструктуры
• Криминалистический анализ данных
• Анализ сред виртуализации
• Расследование сложных инцидентов
• Проектная работа

Программа курса:

Введение в компьютерную криминалистику
В этом модуле вы познакомитесь с основами цифровой криминалистики, такими как: ключевые понятия, принципы сбора и сохранения цифровых доказательств, стадии расследования инцидентов. А также рассмотрите основные юридические аспекты и стандарты в области цифровой экспертизы.
Тема 1: Основы компьютерной криминалистики. Модели угроз // ДЗ
Тема 2: Объекты и инструменты компьютерной криминалистики
Тема 3: Практика. Настройка виртуальной лаборатории // ДЗ
Тема 4: Q&A - сессия

Анализ сетевой компоненты Инфраструктуры
В этом модуле вы изучите сетевое взаимодействие с точки зрения цифровой криминалистики. Рассмотрите модель OSI, особенности её применения в облачной инфраструктуре, а также инструменты перехвата и анализа трафика. Особое внимание уделяется анализу различных типов сетевого трафика, включая VoIP и VPN, а также методам обнаружения вредоносной активности.
Тема 1: Сетевой стек стандартной модели OSI и модели OSI в Облаке
Тема 2: Практика. Стандартные инструменты анализа сетевого трафика. Kismet, EtherApe, wireshark, tcpdump, etc // ДЗ
Тема 3: Анализ типов трафика различных протоколов. Обезличение дампа
Тема 4: Практика. Анализ VoIP (SIP, RTP) и VPN трафика
Тема 5: Инструменты обнаружения вредоносной активности в сети // ДЗ
Тема 6: Q&A - сессия

Анализ системной компоненты Инфраструктуры
В этом модуле вы получите ответы на вопросы об анализе и обеспечении безопасности на уровне операционной системы и встроенного ПО. Рассмотрите сохранение целостности компонентов, выявление уязвимостей и способы их эксплуатации (в том числе SSRF, XXE, SQL-инъекций), а также поработаете с системами контроля доступа (SeLinux, AppArmor).
Тема 1: Целостность встроенного ПО (firmware) и ОС // ДЗ
Тема 2: Обнаружение небезопасной загрузки файлов, XXE, SSRF
Тема 3: Обнаружение SQL-инъекций // ДЗ
Тема 4: SeLinux, AppArmor, etc. Методы и механизмы обхода
Тема 5: Обнаружение локального повышения в ОС Windows & Linux // ДЗ
Тема 6: Q&A - сессия

Криминалистический анализ данных
В этом модуле вы изучите ключевые аспекты цифровой криминалистики, включая классификацию компьютерных инцидентов, методы анализа вредоносного ПО, основы реверс-инжиниринга и применение нечеткого хеширования для анализа подозрительных файлов.
Тема 1: Типы компьютерных инцидентов
Тема 2: Методы и инструменты модификации вредоносного ПО
Тема 3: Расследование вредоносного ПО. Статический, динамический и поведенческий анализ
Тема 4: Методы анализа на основе кусочно-контекcтного нечеткого хеширования ssdeep
Тема 5: Инструменты реверс инженеринга ПО // ДЗ
Тема 6: Q&A - сессия

Анализ сред виртуализации
Этот модуль посвящён безопасности и криминалистическому анализу в средах виртуализации. Вы рассмотрите методы анализа памяти виртуализированных систем, в том числе вложенных, уязвимости на аппаратном уровне и сигнатурный анализ образов виртуальных машин.
Тема 1: Анализ памяти хоста виртуализации // ДЗ
Тема 2: Анализ памяти при вложенной виртуализации (Nested virtualization) // ДЗ
Тема 3: Аппаратные уязвимости
Тема 4: Сигнатурный анализ виртуальных дисков (машин)

Расследование сложных инцидентов
В этом модуле вы познакомитесь с методиками выявления и расследования сложных киберинцидентов, включая APT-атаки, утечки данных и инсайдерские угрозы. Вы также изучите методы удаления следов атак и снятия отпечатков систем и устройств.
Тема 1: Расследование сложных инцидентов. Расследование APT-атак (Advanced Persistent Threat)
Тема 2: Расследование утечек данных и инсайдерских угроз
Тема 3: Алгоритмы и инструменты удаления данных
Тема 4: Снятие отпечатков ОС и аппаратного обеспечения (fingerprint OS & hardware) // ДЗ
Тема 5: Q&A - сессия

Проектная работа
Тема 1: Выбор темы и организация проектной работы
Тема 2: Консультация по проектам и домашним заданиям
Тема 3: Защита проектных работ
Тема 4: Подведение итогов курса
Скрытый текст. Доступен только зарегистрированным пользователям.Нажмите, чтобы раскрыть...