2. ИнБИТ
  3. Курсы
  4. Вендоры и направления
  5. Безопасность информационных технологий

Компьютерная криминалистика

Повышение квалификации в области информационной безопасности, в части освоения методов криминалистического исследования устройств и систем, сбора и документирования доказательной базы.

  Для кого:

  • руководителей и работников структурных подразделений по защите информации, экономической безопасности, служб безопасности, ИТ-отделов, информационно-аналитических отделов;
  • системных администраторов;
  • администраторов информационной безопасности и пр.

    Этот курс предназначен для обучения по профессиональному стандарту «Специалист по безопасности компьютерных систем и сетей».

    • Что должен знать слушатель

    От слушателей требуется высшее (высшее профессиональное) образование.

    Результаты обучения

    После прохождения курса вы будете:

    • Знать и уметь применять нормативные и правовые акты РФ при проведении криминалистического исследования;
    • Знать и уметь применять технологии поиска и анализа следов компьютерных правонарушений и инцидентов;
    • Знать и уметь применять методы проведения расследования компьютерных правонарушений и инцидентов;
    • Знать и быть способным реализовать порядок фиксации и документирования следов компьютерных правонарушений и инцидентов. .

    Программа обучения

    Модуль 1 Введение в компьютерную криминалистику▼

    • 1.1 Компьютерная криминалистка как самостоятельное научное направление, объединяющие в себе несколько дисциплин. Структура знаний по компьютерной криминалистике:
    • - первичное реагирование на инцидент, сбор и данных и представление в виде пригодном для дальнейшего изучения;
    • - знания в области файловых систем, операционных систем, прикладного ПО;
    • - знания в области вредоносного ПО, типовых схем злоумышленников;
    • - знания в области применения специализированного ПО, оборудования, СЗИ;
    • - знания в нормативной области, вопросы документирования доказательной базы.
    • 1.2 Постановка правильных вопросов и целей для компьютерно-технической экспертизы, криминалистического исследования и идентификация области поиска.
    • Лаб.раб. Семинар – обсуждение процессорного подхода к реагированию и расследованию компьютерного инцидента;
    • Лаб.раб. Семинар – обсуждение задач компьютерно-технической экспертизы, криминалистического исследования в зависимости от типа инцидента.

    Модуль 2 Нормативно-правовые аспекты расследования инцидентов ИБ сайтов▼

    • 2.1 Вопросы, связанные со статьями 80, 195 УПК РФ и иными нормативными основаниями компьютерно-технической экспертизы, криминалистических исследований и экспертной деятельности.
    • 2.2 Вопросы, связанные с законностью внутрикорпоративных расследований (легитимность доступа к данным корпоративных устройств) а также с идентификацией ситуаций, когда организация обязана обратиться в правоохранительные органы.
    • Лаб.раб. Семинар – обсуждение нормативных вопросов, связанных с компьютерно-технической экспертизой, криминалистическими исследованиями и внутрикорпоративными расследованиями.

    Модуль 3 Снятие дампов с различных носителей: достоверность и полнота информации▼

    • 3.1 Снятие данных со статичных и «живых» систем. Виды дампов (напр. дампы носителей информации, дампы оперативной памяти, данные файла подкачки, файла гибернации, дампы процессов, сетевого трафика).
    • 3.2 Вопросы, связанные с целостностью данных и защитой от перезаписи.
    • 3.3 Программное обеспечение и оборудование для съема информации (копировщики дисков, блокираторы записи).
    • Лаб.раб. Снятие образов носителей информации (в т.ч. с помощью dd Linux), создание дампа оперативной памяти, снятие данных файлов подкачки, гибернации и пр.;
    • Лаб.раб Захват подозрительного трафика;
    • Лаб.раб Получение дополнительных данных из корпоративных систем.
    • Лаб.раб Контрольный тест

    Модуль 4 Специализированное ПО для криминалистического анализа▼

    • 4.1 Специализированное программное обеспечение для криминалистических исследований.
    • 4.2 Обзор существующих экспертных систем на основе предоставляемой в открытый доступ технической документации
    • 4.3 Обзор, на основе предоставляемой в открытый доступ технической документации, отдельных программ и утилит для анализа данных энергозависимой памяти: Volatility, Memoryze, Redline, Memparser, средств в составе систем криминалистического анализа и пр.
    • 4.4 Обзор на основе предоставляемой в открытый доступ технической документации программного обеспечения для восстановления паролей
    • 4.5 Обзор на основе предоставляемой в открытый доступ технической документации программ для анализа сетевого взаимодействия
    • 4.6 Обзор на основе предоставляемой в открытый доступ технической документации для анализа систем мобильных устройств
    • 4.7 Обзор на основе предоставляемой в открытый доступ технической документации иного программного обеспечения
    • Лаб.раб. Обсуждение вопросов использования данных программ и утилит, применимости к различным кейсам расследований инцидентов;
    • Лаб.раб. Сбор цифровых доказательств в программе Autopsy.
    • Лаб.раб. Контрольный тест

    Модуль 5 Работа с различными ОС и файловыми системами, механизмы восстановления данных▼

    • 5.1 Обзор основных операционных систем Windows, Linux, Mac OS, Android и пр.
    • 5.2 Обзор основных файловых систем FAT, NTFS, ReFS, файловых системах семейства Ext для Linux и пр. Вопросы восстановления данных в этих системах.
    • Лаб.раб. 5.1 Структуры данных и вопросы восстановления данных в NTFS
    • Лаб.раб. 5.2 Контрольный тест

    Модуль 6 Криминалистика данных энергозависимой памяти (дамп оперативной памяти, данные файла подкачки, файла гибернации)▼

    • 6.1 Источники данных энергозависимой памяти (дамп оперативной памяти, данные из файла подкачки, файла гибернации). Типы данных, которые возможно извлечь: процессы, данные буфера обмена, учетные данные, вредоносный код и пр.
    • 6.2 Анализ данных энергозависимой памяти с помощью Volatility (проект от Mark Mckinnon, исп. модуль для Autopsy), и иных утилит.
    • Лаб.раб. Анализ данных оперативной памяти, извлечение значимой информации.
    • Лаб.раб. Контрольный тест

    Модуль 7 Сетевая криминалистика и криминалистика на «живых» системах▼

    • 7.1 Расследование сетевых инцидентов, поиск вредоносного кода, артефактов удаленных подключений, анализ конфигурации систем, анализ сетевого трафика, работа с данными систем логирования СЗИ, сетевого программного обеспечения.
    • 7.2 Вопросы локализации инцидента.
    • Лаб.раб. Расследование сетевого инцидента;
    • Лаб.раб. Анализ сетевого трафика (при помощи Wireshark).
    • Лаб.раб. Контрольный тест

    Модуль 8 Криминалистика мобильных устройств▼

    • 8.1 Вопросы криминалистического анализа устройств на базе Android, IOS.
    • 8.2 Структуры данных, энергозависимая память, механизмы блокировки доступа.
    • 8.3 Работа с устройствами и дампами/резервными копиями.
    • Лаб.раб. Криминалистический анализ устройства на базе Android;
    • Лаб.раб. Контрольный тест

    Модуль 9 Сбор доказательной базы и документирование▼

    • 9.1 Сбор уликовой информации в соответствие целью и вопросами для компьютерно-технической экспертизы, криминалистического исследования.
    • 9.2 Опрос сотрудников организации.
    • 9.3 Верификация данных (сохранение хеш-сумм, применение защиты от перезаписи, опечатывание, актирование), построение time-lines и пр.
    • 9.4 Подготовка заключения.
    • Лаб.раб. Семинар – подготовка материалов исследования, оформление заключения.
    • Лаб.раб. Контрольный тест