О курсе

Операционные системы семейства Linux являются неотъемлемой частью инфраструктуры многих современных компаний и часто становятся мишенью для злоумышленников. В последние годы количество инцидентов, связанных с Linux-системами, неуклонно растет. В то же время компании часто не в состоянии провести полноценное расследование и должным образом отреагировать на инциденты, в которых задействованы Linux-системы.

Данный двухдневный интенсивный курс разработан с целью помочь компаниям справляться с инцидентами, связанными с системами Linux, и дать специалистам по информационной безопасности понимание трех основных элементов Linux DFIR: методов сбора данных, криминалистики оперативной памяти и анализа данных на хосте для успешного реагирования на инциденты.

Ключевые темы:

  • Введение в криминалистику *nix систем
  • Основы BASH
  • Структура файловой системы
  • Обзор полезных инструментов
  • Сбор данных
  • Анализ хоста
  • Анализ памяти

После окончания курса вы сможете:

  • Понимать методы сбора данных
  • Использовать методы криминалистики памяти и хоста для реагирования на инциденты
  • Создание и анализ криминалистической копии и дампа памяти
  • Реконструкция TTP, используемых злоумышленниками

Для кого этот курс:

  • Специалисты по информационной безопасности
  • Технические специалисты с опытом в ИБ
  • Специалисты по реагированию на инциденты

Требования к слушателям:

  • Навыки и опыт администрирования Linux
  • Базовое понимание файловых систем, процесса кибератак и принципов работы вредоносного ПО

Программа курса

Видео
arrow_drop_down

В этой части слушатели знакомятся с теорией, необходимой для успешного практического занятия. Мы расскажем об основах и особенностях проверки хостов с операционной системой Linux. Участники также изучают основные команды BASH и структуру файловой системы.

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Первый день практики посвящен созданию и анализу криминалистических образов. Мы обсудим основные артефакты хоста и способы их анализа, узнаем, как собирать информацию о пользователях, построить таймлайн и определить наиболее распространенные тактики и методы, используемые злоумышленниками. В конце ожидается, что участники самостоятельно проанализируют реальный кейс и определят действия, предпринятые злоумышленниками.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

На второй день слушатели знакомятся с особенностями создания и анализа дампов памяти в Linux. Мы расскажем о методах получения информации о пользователях и их действиях в системе и научимся искать следы вредоносной активности. В конце участники самостоятельно практикуются в расследовании хоста, задействованного в инциденте, используя все полученные ранее знания и навыки.