Анализ угроз и уязвимостей, расследование сетевых инцидентов

Модуль 1 Основные актуальные сценарии сетевых атак; социальная инженерия и фишинг▼

• 1.1 Основные схемы атак посредствам распространения вредоносного программного обеспечения в зависимости от целей:
• — атаки на организации;
• — атаки, провоцирующие эффект «лавины»;
• — атаки на рядовых пользователей.
• 1.2 Основные техники социальной инженерии:
• — фишинг;
• — «Quid pro quo»;
• — «Дорожное яблоко»;
• — обратная социальная инженерия.
• Лаб.раб. Семинар — обсуждение основных сценариев проникновения в сеть и основных атак:
• — Реализации техники «lateral movement»;
• — XSS атак, sql инъекций;
• — DoS, DDoS-атак;
• — «man-in-the-middle» (MITM) и пр.;
• Зависимость сценария от типа жертвы и целей атаки; известные кейсы сетевых атак недавнего времени;
• Лаб.раб. Семинар — обсуждение основных схем применения злоумышленниками методов социальной инженерии, разбор примеров.
• Лаб.раб. Контрольный тест

Модуль 2 Основной инструментарий злоумышленников: инструменты сбора данных, эсплойты, бэкдоры, сетевые черви и пр.▼

• 2.1 Типы вредоносного программного обеспечения
• Лаб.раб.
• Семинар — обсуждение типологии и функционала вредоносного (потенциально вредоносного) программного обеспечения, используемого злоумышленниками.
• Лаб.раб. Контрольный тест

Модуль 3 Виды нарушителей: хакерские группировки (типология), конкурентная разведка, внутренние нарушители; психология нарушителя.▼

• 3.1 Внешние нарушители:
• - проправительственные хакерские группировки;
• - финансово-ориентированные хакерские группировки;
• - «хактивисты»;
• - конкурентные разведки.
• 3.2 Внутренние нарушители:
• - действующие с умыслом, в т.ч. по сговору со внешними;
• - действующие без умысла: создающие угрозу по причине халатности, низкого уровня цифровых компетенций и пр.Знакомство с издательским сайтом
• 3.3 Идентификация потенциального нарушителя по косвенным признакам:
• - вектор атаки;
• - подготовленность нарушителя;
• - техника атаки;
• - характер атаки (разовая или пролонгированная во времени);
• - наличие «посланий», характер «посланий».
• Оценка ущерба в соответствии с настоящей информацией
• Лаб.раб. Семинар — обсуждение модели нарушителя, в т.ч. с точки зрения юридической психологии;
• Лаб.раб. Семинар — разбор сценариев сетевых атак с акцентом на вопросы идентификации нарушителя;
• Лаб.раб. Контрольный тест

Модуль 4 Аудит безопасности: изучение сети организации с целью выявления уязвимостей, тестирование устойчивости ко взлому.▼

• 4.1 Техники самотестирования сети посредствам методов сетевой разведки:
• - Анализ внешних ресурсов организации;
• - DNS - разведка;
• - Анализ топологии сети;
• - Анализ системного программного обеспечения и его уязвимостей;
• - Анализ на предмет извлечения информации о прикладном программном обеспечении и его уязвимостях;
• - Анализ на предмет извлечения ключевой информации: логины, пароли и пр.
• 4.2 Оценка возможностей сбора информации о организации посредствам поисковых систем, социальных сетей и пр.
• 4.3 Использование специализированных сканеров уязвимостей и пр.
• Лаб.раб. Семинар — техники самотестирования сети.
• Лаб.раб. Лабораторные занятия по темам:
• Применение веб-сервисов для получения сведений о сети, и веб-ресурсах организации;
• Применения сканеров уязвимостей; инструментария тестов на безопасность на основе специальных сборок Linux.
• Лаб.раб. Контрольный тест

Модуль 5 Первичное реагирование на инцидент; сбор доказательной базы и документирование▼

• 5.1 Основные принципы и аспекты внутрикорпоративных расследований
• 5.2 Снятие данных со статичных и «живых» систем. Виды дампов
• 5.3 Использование данных системы логирования сетевого оборудования, операционных систем и систем защиты информации
• 5.4 Программное обеспечение и оборудование для съема информации (копировщики дисков, блокираторы).
• 5.5 Рекомендации по предотвращению поражения других сегментов сети.
• Лаб.раб. 5.1 Семинар – правовые основы внутрикорпоративного расследования;
• Лаб.раб. 5.2 Семинар – полный цикл мероприятий по расследованию инцидента информационной безопасности
• Лаб.раб. 5.2 Лабораторные занятия по темам:
• Сбор информации о инциденте;
• Снятие образов носителей информации (в т.ч. с помощью dd Linux), захват дампа оперативной памяти;
• Захват подозрительного трафика.
• Лаб.раб. 5.2 Контрольный тест

Модуль 6 Исследование артефактов инцидента: данные сетевого оборудования, логи СЗИ, дампы, журналы и пр.▼

• 6.1 Анализ извлеченных артефактов, в частности дампов разного рода.
• 6.2 Анализ процессов «живых» систем.
• 6.3 Анализ сетевого трафика.
• 6.4 Поиск артефактов удаленных подключений.
• 6.5 Идентификация вредоносного программного обеспечения.
• 6.6 Разбор данных логов, журналов системного и прикладного программного обеспечения, средств защиты информации.
• 6.7 Анализ иных источников, например, SQLite баз.
• 6.8 Специализированное программное обеспечение, утилиты для анализа дампов, процессов, трафика и пр.
• Лаб.раб. Лабораторные занятия по темам:
• 1.1 Анализ данных образа жёсткого диска с помощью Autopsy от (свободно распространяемая программа от Basis Technology Corp. с открытым исходным кодом, основой разработчик кода Brian Carrier);
• 1.2 Анализ данных оперативной памяти с помощью Volatility (проект от Mark Mckinnon, исп. модуль для Autopsy) и иных утилит;
• 1.3 Анализ сетевого трафика посредствам WireShark (свободно распространяемая программа от The Wireshark team);
• 1.4 Анализ журналов Windows, данных систем логирования и пр.
• Лаб.раб. Контрольный тест

Модуль 7 Вопросы выбора, эффективной настройки и эксплуатации СЗИ▼

• 7.1 Вопросы повышения эффективности использования средств защиты информации:
• - обсуждение сертифицированных отечественных продуктов в области защиты информации;
• - обсуждение их «сочетаемости» и нюансов настройки;
• - обсуждение штата специалистов, ответственных за защиту информации и расследование инцидентов, связанных с информацией в организации в зависимости от масштаба и профиля организации, а также от характеристик защищаемой информациив безопасность
• Лаб.раб. Семинар по программно-аппаратным средств защиты информации (МЭ, IDS/IPS, DLP, SIEM, средства защиты от НСД, cродства антивирусной защиты и пр.), а также криптографическим средствам защиты информации (PKI, продукты для построения защищенных виртуальных сетей и пр.)
• Лаб.раб. Контрольный тест

Модуль 8 Организационные вопросы управления процессами ИБ в организации, повышение осведомленности сотрудников▼

• 8.1 Организационные аспекты реагирования на инциденты информационной безопасности в организации (напр. разработка «Инструкции по реагированию на инциденты информационной безопасности в организации»).
• 8.2 Организационные аспекты реагирования на инциденты в области защиты информации в рамках исполнения требований 187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации».
• 8.3 Вопросы, связанные с набором документов на информационные системы и документированием процессов информационной безопасности.
• 8.4 Вопросы, связанные с практической реализацией разграничения доступа к информационным активам.
• 8.5 Вопросы, связанные с обязательностью резервного сохранения данных.
• 8.6 Вопросы связанные с повышением осведомленности сотрудников организации в области корпоративной цифровой гигиены.
• Лаб.раб. Семинар – организационные основы реагирования на инциденты и обсуждение внедрения направления Threat Intelligence в организации;
• Лаб.раб. Семинар - обсуждение функционала Security operation center (SOC);
• Лаб.раб. Семинар организационные и практические аспекты исполнения требований 187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации»;