О курсе

Программа-вымогатель по-прежнему остается самой распространенной угрозой для большинства корпоративных сетей, поэтому шансы столкнуться с подобными инцидентами достаточно высоки. Чтобы максимально эффективно реагировать на эту угрозу, вы должны знать своего противника. Этот 3-дневный курс погружает вас в мир современных атак программ-вымогателей, управляемых человеком: начиная с обзора ландшафта угроз и тактик, методов и процедур, общих для таких субъектов угроз, заканчивая практическими упражнениями по сбору информации о связанных киберугрозах и реконструкции инцидентов.

Ключевые темы:

  • История атак программ-вымогателей, управляемых людьми
  • Жизненный цикл атаки программ-вымогателей
  • Процесс реагирования на инциденты, связанные с программами-вымогателями
  • Тактики, методы и процедуры атакующих
  • Сбор и производство информации о киберугрозах, связанных с программами-вымогателями
  • Использование криминалистических артефактов для реконструкции атак программ-вымогателей

После окончания курса вы сможете:

  • Понимание современных атак программ-вымогателей с участием человека
  • Собирать и генерировать информацию о киберугрозах, связанных с программами-вымогателями
  • Использовать криминалистические артефакты для реконструкции атаки программы-вымогателя
  • Реагировать на атаку программ-вымогателей

Для кого этот курс:

  • Специалисты по реагированию на инциденты
  • SOC-аналитики
  • Практикующие специалисты ИБ/ИТ

Навыки для успешного прохождения курса:

  • Опыт реагирования или расследования инцидентов от 1 года
  • Базовое понимание общего жизненного цикла атаки
  • Понимание распространенных криминалистических артефактов
  • Навыки работы с инструментами (Autopsy, EZ Tools, NirSoft tools, Sandboxes, CyberChef, Autoruns, Volatility)
  • Опыт администрирования Windows приветствуется

Программа курса

День 1
arrow_drop_down
Теория
Демонстрация
Практика

День начинается с истории современных атак программ-вымогателей, управляемых человеком, после чего следует обсуждение жизненного цикла таких атак. Он продолжается введением Unified Ransomware Kill Chain, включая практическую часть — маппингом атаки программ-вымогателей из отчетов с открытым исходным кодом. День заканчивается обсуждением наиболее распространенных тактик, методов и процедур (TTP), используемых различными филиалами программ-вымогателей.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

Второй день курса разделен на две части. Он начинается с изучения различных источников информации о киберугрозах, после чего следует практика — использование этих источников для сбора информации, связанной с программами-вымогателями. Вторая часть связана с деконструкцией TTP субъектов угрозы, чтобы сопоставить их с соответствующими криминалистическими артефактами.

День 3
arrow_drop_down
Демонстрация
Практика

В последний день участники используют все знания, полученные в течение первых двух дней, для расследования двух атак программ-вымогателей на основе реальных сценариев.