3 дня10:00 – 16:00

Incident Responder

Практический курс по эффективному реагированию на выявленный инцидент и ликвидации его последствий

О курсе

Вопрос заключается не в том, случится ли кибератака, а в том, когда она произойдет. Киберпреступники постоянно осваивают новые тактики, техники и процедуры, тогда как в большинстве компаний до сих пор нет команды по реагированию на инциденты и стратегии реагирования.

Трехдневный интенсив позволит специалистам заполнить пробелы и получить знания и инструменты, необходимые для эффективного реагирования и оперативной локализации инцидента.

Программа курса

Курс длится три дня. В первый день вы прослушаете теоретическую часть о введении в реагирование на инциденты. Второй и третий дни предполагают практику, в рамках которой у вас будет возможность потренироваться в реагировании на инциденты и применить полученные теоретические знания. Курс также предназначен для тех, кто интересуется реагированием на инциденты и хочет проводить их качественный анализ.

День 1

В первый день курса вас ознакомят с текущим положением дел в кибербезопасности и самыми последними тенденциями в этой области.

После этого вам расскажут о том, как проходит процесс реагирования на инциденты. Вы узнаете, как выявлять основные факторы, связанные с инцидентом (масштаб и т.п.) и определять критичность инцидента путем анализа всех связанных с ним факторов. Эти знания помогут вам правильно приоритизировать инциденты. Также пройдет обсуждение того, как работать с индикаторами компрометации и как получать их из публичных отчетов.

День 2

Вы изучите лучшие практики сбора данных и создания триаж-копий. Вы также узнаете, как анализировать и приоритизировать цифровые доказательства и как использовать IoC для создания YARA-правил для применения в рамках реагирования на инциденты.

Далее мы перейдем к обсуждению основных артефактов и их обработки. К артефактам относятся журналы событий, реестр, артефакты файловой системы, а анализ каждого из них позволяет реагировать на инциденты быстрее и эффективнее.

На протяжении всего дня теоретическая часть будет сопровождаться практическим тренингом по сбору и обработке артефактов.

День 3

Большая часть дня будет посвящена практическим демонстрациям и индивидуальным заданиям. Вы начнете с самостоятельного выполнения упражнений по созданию триаж-копий. Вы поработаете в виртуальных средах, анализируя образы. Третий день обучения включает два кейса:

  • Первый кейс ориентирован на создание и анализ Triage. Слушатели потренируются в использовании KAPE и написании target для получения необходимых артефактов, попробуют проанализировать собранные данные, получить из них полезные индикаторы компрометации и написать на их основе YARA правила. Результатом практики будет реконструкция действий атакующего и набор соответствующих индикаторов компрометации.
  • Второй кейс также подразумевает снятие и анализ данных Triage, но теперь слушателям будет предоставлена возможность провести более глубокий анализ, реконструировать действия атакующих и на основе проведенного исследования составить рекомендации по ликвидации и восстановлению.

Цель третьего дня — применение полученных знаний и уверенное освоение навыков специалиста по реагированию на инциденты.

Для успешного прохождения курса слушателям желательно обладать базовым пониманием процесса реагирования на инциденты.

После окончания курса вы сможете:

  • Выбирать актуальные источники данных для экспресс-анализа
  • Собирать и обрабатывать цифровые артефакты
  • Реконструировать действия атакующих на основе полученных результатов
  • Понимать методы восстановления после инцидента
Для кого этот курс?
Специалисты по реагированию на инциденты
Технические специалисты с опытом в области ИБ
Специалисты по информационной безопасности
Сотрудники SOC/CERT

По итогам курса вы получите:

Видео лекций и практические материалы, используемые в ходе курса

Плакат с описанием основных артефактов и инструментов для их обработки

Именной сертификат о прохождении обучающего курса Group-IB

Ценный опыт и информацию, которую вы можете использовать в своей профессиональной деятельности

Почему Group-IB?

Опыт международных расследований

Обучение проводится на основе более 1300 успешных расследований за 18 лет работы в области кибербезопасности.

Интересные практические занятия

Обучение преимущественно состоит из практических заданий на основе реальных кейсов.

Практикующие эксперты

Обучение проводят действующие специалисты Group-IB, поэтому слушатели получают самую актуальную информацию из первых рук.

Актуальная программа курсов

Программа регулярно пополняется новыми кейсами из опыта Group-IB, поэтому всегда отражает последние тренды.

Индивидуальный подбор обучения

Свяжитесь с нами для получения консультации по образовательным программам Group-IB