О курсе

Вопрос заключается не в том, случится ли кибератака, а в том, когда она произойдет. Тезис выглядит пугающим, но с каждым днем проблема становится все более актуальной.. Это связано с тем, что ландшафт киберугроз быстро развивается. Преступники регулярно придумывают новые тактики, методы и процедуры, что мешает специалистам ИБ и бизнесу идти в ногу со временем. В реальности, у большинства компаний по всему миру нет подходящей стратегии или команды реагирования на инциденты. Но даже, если есть, лишь немногие члены команды осведомлены о последних тенденциях кибератак и методах обеспечения безопасности.

Этот трехдневный интенсивный курс предназначен для заполнения таких пробелов и предоставления специалистам этой области знаний и инструментов, необходимых им для быстрого и эффективного реагирования на различные инциденты безопасности.

Курс доступен в формате записанных видеолекций и практических сессий с тренером. За 2 недели до начала курса вы получите лекции для самостоятельного изучения, а на занятиях с тренером сможете закрепить знания на практике.

Ключевые темы:

  • Cyber kill-chain и модели MITRE ATT&CK
  • Процесс реагирования на инцидент
  • Важнейшие источники доказательств
  • Методы сбора данных
  • Артефакты Windows для реагирования на инциденты
  • Артефакты Linux для реагирования на инциденты

После окончания курса вы сможете:

  • Понимать процесс реагирования на инциденты
  • Собирать соответствующие данные
  • Анализировать артефакты Windows
  • Анализировать артефакты Linux

Для кого этот курс:

  • Энтузиасты в области реагирования на инциденты
  • Технические специалисты с опытом в ИБ
  • Специалисты по информационной безопасности
  • Сотрудники SOC/CERT

Навыки для успешного прохождения курса:

  • Базовое понимание процесса реагирования на инцидент
  • Опыт в области ИБ

Программа курса

Видео, теория, демонстрация

Видео охватывает теоретические основы, необходимые для реагирования на инциденты. Участники изучат основные этапы процесса реагирования, структуру команды и распределение ролей между ее членами.

День 1: теория, демонстрация, практика

Первый день начнется с обсуждения методов сбора данных и полезных инструментов. Участники узнают о критически важных источниках данных и отработают свои навыки создания триажа. Затем мы рассмотрим, как анализировать собранные данные, и наш первый шаг — анализ журнала событий. Мы обсудим полезные источники событий и их интерпретации. Чтобы закрепить полученные знания, участники расследуют инцидент, используя журналы событий. Завершится первый день обсуждением процесса обработки индикаторов компрометации (IoCs) и разработкой правил обнаружения.

День 2: теория, демонстрация, практика

На второй день мы продолжим тему анализа собранных данных, уделяя особое внимание артефактам хоста Windows. Участники узнают, как исследовать артефакты, наиболее часто используемые при реагировании на инциденты, и проверят свои навыки на примере реального кейса самостоятельно.

День 3: теория, демонстрация, практика

В начале третьего дня участникам предложат разобрать еще один кейс, чтобы попрактиковаться в своих навыках реагирования на инциденты. Им предстоит собирать необходимые данные, анализировать их, реконструировать хронологию атаки и составлять план дальнейших действий. Заключительная часть обучения — разбор типичных инцидентов с Linux-хостами и основы их анализа.