О курсе
Вопрос заключается не в том, случится ли кибератака, а в том, когда она произойдет. Тезис выглядит пугающим, но с каждым днем проблема становится все более актуальной.. Это связано с тем, что ландшафт киберугроз быстро развивается. Преступники регулярно придумывают новые тактики, методы и процедуры, что мешает специалистам ИБ и бизнесу идти в ногу со временем. В реальности, у большинства компаний по всему миру нет подходящей стратегии или команды реагирования на инциденты. Но даже, если есть, лишь немногие члены команды осведомлены о последних тенденциях кибератак и методах обеспечения безопасности.
Этот трехдневный интенсивный курс предназначен для заполнения таких пробелов и предоставления специалистам этой области знаний и инструментов, необходимых им для быстрого и эффективного реагирования на различные инциденты безопасности.
Курс доступен в формате записанных видеолекций и практических сессий с тренером. За 2 недели до начала курса вы получите лекции для самостоятельного изучения, а на занятиях с тренером сможете закрепить знания на практике.
Ключевые темы:
- Cyber kill-chain и модели MITRE ATT&CK
- Процесс реагирования на инцидент
- Важнейшие источники доказательств
- Методы сбора данных
- Артефакты Windows для реагирования на инциденты
- Артефакты Linux для реагирования на инциденты
После окончания курса вы сможете:
- Понимать процесс реагирования на инциденты
- Собирать соответствующие данные
- Анализировать артефакты Windows
- Анализировать артефакты Linux
Для кого этот курс:
- Энтузиасты в области реагирования на инциденты
- Технические специалисты с опытом в ИБ
- Специалисты по информационной безопасности
- Сотрудники SOC/CERT
Навыки для успешного прохождения курса:
- Базовое понимание процесса реагирования на инцидент
- Опыт в области ИБ
Программа курса
Видео охватывает теоретические основы, необходимые для реагирования на инциденты. Участники изучат основные этапы процесса реагирования, структуру команды и распределение ролей между ее членами.
Первый день начнется с обсуждения методов сбора данных и полезных инструментов. Участники узнают о критически важных источниках данных и отработают свои навыки создания триажа. Затем мы рассмотрим, как анализировать собранные данные, и наш первый шаг — анализ журнала событий. Мы обсудим полезные источники событий и их интерпретации. Чтобы закрепить полученные знания, участники расследуют инцидент, используя журналы событий. Завершится первый день обсуждением процесса обработки индикаторов компрометации (IoCs) и разработкой правил обнаружения.
На второй день мы продолжим тему анализа собранных данных, уделяя особое внимание артефактам хоста Windows. Участники узнают, как исследовать артефакты, наиболее часто используемые при реагировании на инциденты, и проверят свои навыки на примере реального кейса самостоятельно.
В начале третьего дня участникам предложат разобрать еще один кейс, чтобы попрактиковаться в своих навыках реагирования на инциденты. Им предстоит собирать необходимые данные, анализировать их, реконструировать хронологию атаки и составлять план дальнейших действий. Заключительная часть обучения — разбор типичных инцидентов с Linux-хостами и основы их анализа.