О курсе
Операционные системы семейства Linux являются неотъемлемой частью инфраструктуры многих современных компаний и часто становятся мишенью для злоумышленников. В последние годы количество инцидентов, связанных с Linux-системами, неуклонно растет. В то же время компании часто не в состоянии провести полноценное расследование и должным образом отреагировать на инциденты, в которых задействованы Linux-системы.
Данный двухдневный интенсивный курс разработан с целью помочь компаниям справляться с инцидентами, связанными с системами Linux, и дать специалистам по информационной безопасности понимание трех основных элементов Linux DFIR: методов сбора данных, криминалистики оперативной памяти и анализа данных на хосте для успешного реагирования на инциденты.
Ключевые темы:
- Введение в криминалистику *nix систем
- Основы BASH
- Структура файловой системы
- Обзор полезных инструментов
- Сбор данных
- Анализ хоста
- Анализ памяти
После окончания курса вы сможете:
- Понимать методы сбора данных
- Использовать методы криминалистики памяти и хоста для реагирования на инциденты
- Создание и анализ криминалистической копии и дампа памяти
- Реконструкция TTP, используемых злоумышленниками
Для кого этот курс:
- Специалисты по информационной безопасности
- Технические специалисты с опытом в ИБ
- Специалисты по реагированию на инциденты
Требования к слушателям:
- Навыки и опыт администрирования Linux
- Базовое понимание файловых систем, процесса кибератак и принципов работы вредоносного ПО
Программа курса
В этой части слушатели знакомятся с теорией, необходимой для успешного практического занятия. Мы расскажем об основах и особенностях проверки хостов с операционной системой Linux. Участники также изучают основные команды BASH и структуру файловой системы.
Первый день практики посвящен созданию и анализу криминалистических образов. Мы обсудим основные артефакты хоста и способы их анализа, узнаем, как собирать информацию о пользователях, построить таймлайн и определить наиболее распространенные тактики и методы, используемые злоумышленниками. В конце ожидается, что участники самостоятельно проанализируют реальный кейс и определят действия, предпринятые злоумышленниками.
На второй день слушатели знакомятся с особенностями создания и анализа дампов памяти в Linux. Мы расскажем о методах получения информации о пользователях и их действиях в системе и научимся искать следы вредоносной активности. В конце участники самостоятельно практикуются в расследовании хоста, задействованного в инциденте, используя все полученные ранее знания и навыки.