Курс «Расследования компьютерных инцидентов. Компьютерная криминалистика»

Компьютерная форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о расследовании преступлений, связанных с утечкой защищенной информации. Расследование компьютерных инцидентов — сложное направление, но без таких специалистов не обходится ни один крупный бизнес. Курс академии «АйТи» проводится для специалистов по КБ организаций и сотрудников МВД, желающих повысить квалификацию и получить знания по расследованию киберпреступлений.

Программа курса состоит из теории и практики. На уроках слушатели будут осваивать навыки поиска следов преступлений в компьютерных системах, учиться выявлять источники атак, правильно фиксировать такие следы, составлять отчеты по расследованиям инцидента. Эксперты курса покажут, как применять криминалистические инструменты, а еще затронут тему психологических особенностей расследования преступления.

Краткое содержание курса «Расследования компьютерных инцидентов. Компьютерная криминалистика»:

1. Компьютерная криминалистика и ее применение.
2. Последовательность расследования компьютерных инцидентов.
3. Работа с жесткими дисками и файловыми системами.
4. Сбор данных и подготовка отчета проведении расследования.
5. Техники, затрудняющие криминалистическую экспертизу.

В результате выпускники сформируют знания и навыки по расследованию компьютерных инцидентов, что будет подтверждено дипломом установленного образца о повышении квалификации.

Модуль 1. Компьютерная криминалистика в современном мире

• Что такое компьютерная криминалистика и ее применение.
• Виды компьютерных преступлений.
• Разбор кейсов — примеры расследования компьютерных преступлений.
• Сложности криминалистической экспертизы.
• Расследование киберпреступлений (гражданское, уголовное, административное).
• Нормативные правовые акты в области информационных технологий и защиты информации.
• Уголовно-правовая характеристика компьютерных преступлений.
• Криминалистическая характеристика компьютерных преступлений.
• Ответственность за нарушения требований законодательства.
• Правила судебно-медицинской экспертизы.
• Расследование преступлений, совершенных организованными преступными группами (Enterprise Theory of Investigation).
• Цифровые улики и их типы.
• Характеристики цифровых улик.
• Роль цифровых улик.
• Источники потенциальных улик.
• Правила сбора доказательств.
• Требование представления наилучших доказательств.
• Кодекс доказательственного права.
• Производные доказательства.
• Научная рабочая группа по цифровым уликам (SWGDE).
• Готовность к криминалистическому расследованию.
• Компьютерная криминалистика как часть плана реагирования на инциденты.
• Необходимость компьютерной криминалистики.
• Роли и обязанности следователя судебной экспертизы.
• Проблемы криминалистического расследования.
• Правила этики.
• Ресурсы по компьютерной криминалистике.
• Лабораторная работа: Подготовка лаборатории для практических экспериментов.
• Лабораторная работа: Изучение основ расследования компьютерных преступлений.

Модуль 2. Процесс расследования компьютерных инцидентов

• Важность процесса расследования.
• Фазы процесса расследования.
• Этап предварительного расследования.
• Подготовка криминалистической лаборатории.
• Построение следственной группы.
• Обзор политик и законов.
• Создание процессов обеспечения качества.
• Знакомство со стандартами уничтожения данных.
• Следственные и процессуальные действия.
• Особенности осмотра места происшествия.
• Оценка риска и оперативное реагирование.
• Досмотр и изъятие.
• Проведение предварительных интервью.
• Особенности проведения выемки носителей информации.
• Ордер на обыск и изъятие.
• Работа с включенными компьютерами.
• Работа с выключенными компьютерами.
• Работа с сетевым компьютером.
• Работа с открытыми файлами и файлами автозагрузки.
• Процедура выключения операционной системы.
• Работа с рабочими станциями и серверами.
• Работа с портативными компьютерами.
• Работа с включенными портативными компьютерами.
• Защита и управление уликами.
• Сбор и восстановление данных.
• Анализ данных и программное обеспечение анализа данных.
• Этап после расследования.
• Оценка улик и найденных доказательств.
• Документация и отчетность.
• Документация по каждой фазе расследования.
• Сбор и упорядочивание информации.
• Написание отчета об исследовании.
• Экспертное свидетельствование.
• Лабораторная работа: Изучение и практическое применение программных средств, необходимых в процессе криминалистического расследования.

Модуль 3. Жесткие диски и файловые системы

• Обзор жестких дисков.
• Жесткие диски (HDD).
• Твердотельные накопители (SSD).
• Физическая структура жесткого диска.
• Логическая структура жесткого диска.
• Типы интерфейсов жестких дисков.
• Интерфейсы жестких дисков.
• Треки.
• Секторы.
• Кластеры.
• Плохие секторы.
• Бит, байт и полубайт.
• Адресация данных на жестком диске.
• Плотность данных на жестком диске.
• Расчет емкости диска.
• Измерение производительности жесткого диска.
• Разделы диска и процесс загрузки.
• Дисковые разделы.
• Блок параметров BIOS.
• Главная загрузочная запись (MBR).
• Глобальный уникальный идентификатор (GUID).
• Что такое процесс загрузки?
• Основные системные файлы Windows.
• Процесс загрузки Windows.
• Идентификация таблицы разделов GUID.
• Анализ заголовка и записей GPT.
• Артефакты GPT.
• Процесс загрузки Linux.
• Файловые системы.
• Общие сведения о файловых системах.
• Типы файловых систем.
• Файловые системы Windows.
• Файловые системы Linux.
• Виртуальная файловая система (VFS).
• Система хранения RAID.
• Уровни RAID.
• Защищенные области хоста (HPA).
• Анализ файловой системы.
• Выделение однородных массивов данных.
• Анализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений).
• Анализ файла PDF.
• Анализ файлов Word.
• Анализ файлов PPT.
• Анализ фалов Excel.
• Шестнадцатеричный вид популярных форматов файлов (видео, аудио).
• Анализ файловой системы.
• Лабораторная работа: Восстановление удаленных файлов.
• Лабораторная работа: Анализ файловых систем.

Модуль 4. Сбор и дублирование данных

• Концепции сбора и дублирования данных, типы систем сбора данных.
• Получение данных в реальном времени.
• Порядок волатильности.
• Типичные ошибки при сборе изменчивых данных.
• Методология сбора изменчивых данных.
• Получение статических данных.
• Статические данные.
• Эмпирические правила.
• Дубликаты образов.
• Побитовая копия и резервная копия.
• Проблемы с копированием данных.
• Шаги по сбору и дублированию данных.
• Подготовка формы передачи улик.
• Включение защиты от записи на носителях-уликах.
• Подготовка целевого носителя: руководство NIST SP 800-88.
• Определение формата сбора данных.
• Методы сбора данных.
• Определение лучшего метода сбора данных.
• Выбор инструмента для сбора данных.
• Сбор данных с RAID-дисков.
• Удаленное получение данных.
• Ошибки при сборе данных.
• Планирование нештатных ситуаций.
• Рекомендации по сбору данных.
• Поиск цифровых артефактов (следов) компрометации штатными средствами ОС Windows, Linux.
• Сбор данных c web-серверов.
• Лабораторная работа: Применение программных средств для извлечения данных с жестких дисков.

Модуль 5. Техники, затрудняющие криминалистическую экспертизу

• Что такое антифорензика и ее цели.
• Техники антифорензики.
• Удаление данных / файлов, что происходит при удалении файла в Windows.
• Восстановление файлов.
• Средства восстановления файлов в Windows.
• Восстановление файлов в Linux.
• Восстановление удаленных разделов.
• Защита паролем.
• Типы паролей.
• Работа взломщика паролей.
• Техники взлома паролей.
• Пароли по умолчанию.
• Использование радужных таблиц для взлома хэшей.
• Аутентификация Microsoft.
• Взлом системных паролей.
• Обход паролей BIOS.
• Инструменты для сброса пароля администратора, паролей приложений, системных паролей.
• Стеганография и стеганализ.
• Скрытие данных в структурах файловой системы.
• Обфускация следов.
• Стирание артефактов.
• Перезапись данных и метаданных.
• Шифрование.
• Шифрующая файловая система (EFS).
• Инструменты восстановления данных EFS.
• Шифрованные сетевые протоколы.
• Упаковщики.
• Руткиты, шаги для их обнаружения.
• Минимизация следов.
• Эксплуатация ошибок криминалистических инструментов.
• Детектирование криминалистических инструментов.
• Меры противодействия антифорензике.
• Инструменты, затрудняющие криминалистическую экспертизу.
• Лабораторная работа: Применение программных средств для взлома паролей приложений.
• Лабораторная работа: Обнаружение стеганографии.

Модуль 6. Подготовка отчета о расследовании

• Подготовка отчета об исследовании.
• Показания эксперта-свидетеля.
• Свидетельство в суде.
• Показания, приобщенные к материалам дела.
• Работа со СМИ.
• Разработка документов, необходимых для проведения расследования компьютерных инцидентов.
• Разработка Частной политики управления инцидентами.
• Разработка Регламента расследования.
• Проведение расследования компьютерного инцидента.
• Взаимодействие с правоохранительными органами, специализированными организациями и представительство интересов организации в суде.
• Практическая работа: Проведение расследования компьютерного инцидента.

Модуль 7. Психологические особенности расследования компьютерных инцидентов

• Психологический анализ личности преступника.
• Особенности формирования преступной мотивации.
• Системы DLP.
• Выявление и расследование корпоративного мошенничества.
• Расследование утечек информации.

• Формат
  Самостоятельно
  Живые вебинары
  Обучение в ЛК на сайте автора
• Уровень сложности
  Для новичков
• Когда вы будете учиться
  Строго по расписанию
• Документ об обучении
  Удостоверение Освоение программы курса
• Техническая поддержка
  Чат в вкЧат в мессенджереЭлектронная почтаТелефон
• Год выхода
  2023 Последнее обновление: 13.04.2024
• Академических часов
  40