О курсе

Вопрос заключается не в том, случится ли кибератака, а в том, когда она произойдет. Тезис выглядит пугающим, но с каждым днем проблема становится все более актуальной.. Это связано с тем, что ландшафт киберугроз быстро развивается. Преступники регулярно придумывают новые тактики, методы и процедуры, что мешает специалистам ИБ и бизнесу идти в ногу со временем. В реальности, у большинства компаний по всему миру нет подходящей стратегии или команды реагирования на инциденты. Но даже, если есть, лишь немногие члены команды осведомлены о последних тенденциях кибератак и методах обеспечения безопасности.

Этот трехдневный интенсивный курс предназначен для заполнения таких пробелов и предоставления специалистам этой области знаний и инструментов, необходимых им для быстрого и эффективного реагирования на различные инциденты безопасности.

Курс доступен в формате записанных видеолекций и практических сессий с тренером. За 2 недели до начала курса вы получите лекции для самостоятельного изучения, а на занятиях с тренером сможете закрепить знания на практике.

Ключевые темы:

  • Cyber kill-chain и модели MITRE ATT&CK
  • Процесс реагирования на инцидент
  • Важнейшие источники доказательств
  • Методы сбора данных
  • Артефакты Windows для реагирования на инциденты
  • Артефакты Linux для реагирования на инциденты

После окончания курса вы сможете:

  • Понимать процесс реагирования на инциденты
  • Собирать соответствующие данные
  • Анализировать артефакты Windows
  • Анализировать артефакты Linux

Для кого этот курс:

  • Энтузиасты в области реагирования на инциденты
  • Технические специалисты с опытом в ИБ
  • Специалисты по информационной безопасности
  • Сотрудники SOC/CERT

Навыки для успешного прохождения курса:

  • Базовое понимание процесса реагирования на инцидент
  • Опыт в области ИБ

Программа курса

Видео, теория, демонстрация
arrow_drop_down

Видео охватывает теоретические основы, необходимые для реагирования на инциденты. Участники изучат основные этапы процесса реагирования, структуру команды и распределение ролей между ее членами.

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Первый день начнется с обсуждения методов сбора данных и полезных инструментов. Участники узнают о критически важных источниках данных и отработают свои навыки создания триажа. Затем мы рассмотрим, как анализировать собранные данные, и наш первый шаг — анализ журнала событий. Мы обсудим полезные источники событий и их интерпретации. Чтобы закрепить полученные знания, участники расследуют инцидент, используя журналы событий. Завершится первый день обсуждением процесса обработки индикаторов компрометации (IoCs) и разработкой правил обнаружения.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

На второй день мы продолжим тему анализа собранных данных, уделяя особое внимание артефактам хоста Windows. Участники узнают, как исследовать артефакты, наиболее часто используемые при реагировании на инциденты, и проверят свои навыки на примере реального кейса самостоятельно.

День 3
arrow_drop_down
Теория
Демонстрация
Практика

В начале третьего дня участникам предложат разобрать еще один кейс, чтобы попрактиковаться в своих навыках реагирования на инциденты. Им предстоит собирать необходимые данные, анализировать их, реконструировать хронологию атаки и составлять план дальнейших действий. Заключительная часть обучения — разбор типичных инцидентов с Linux-хостами и основы их анализа.