Программа курса
Курс по компьютерным расследованиям разработан для системного изучения всех этапов работы с цифровыми доказательствами. Он начинается с основ и постепенно переходит к сложным техникам анализа.
Основы цифровых расследований
Первый модуль знакомит с базовыми понятиями. На курсе рассматривают, что такое цифровые доказательства и какую роль они играют в работе SOC-специалиста. Также студенты узнают об обязанностях расследователя цифровых преступлений и сложностях, с которыми сталкиваются специалисты во время расследования киберпреступлений.
Организация процесса расследования
Второй модуль посвящен правильному построению процесса расследования. Здесь разбирают все этапы - от предварительного расследования и оперативного реагирования до стадии непосредственного расследования и последующего анализа полученных результатов.
Работа с носителями информации
Третий модуль охватывает работу с накопителями и файловыми системами. Студенты изучают различные типы носителей, их логическую структуру и процесс загрузки операционных систем. Также рассматривают инструменты для исследования файловых систем, стандарты кодирования, HEX-редакторы и методы анализа популярных форматов файлов.
Сбор и подготовка данных
Четвертый модуль обучает методикам сбора цифровых доказательств. На курсе рассказывают о правильной методологии сбора данных и показывают, как подготовить файл образа для дальнейшего исследования.
Противодействие техникам злоумышленников
Пятый модуль посвящен борьбе с методами, которые используют злоумышленники. Здесь рассматривают способы восстановления удаленных данных, методы противодействия парольной защите, стеганографию и обфускацию. Также студенты научатся выявлять и нейтрализовывать попытки уничтожения артефактов, метаданных и шифрования, изучат работу программ-упаковщиков и контрмеры для противодействия злонамеренным действиям.
Работа с операционными системами
Шестой и седьмой модули охватывают получение доказательств из различных операционных систем. Для Windows это сбор краткосрочной и долгосрочной информации, анализ памяти, реестра, информации браузеров, текстовых журналов и журналов событий. Для Linux - использование TSK для анализа образов файловой системы, исследование памяти и особенности работы с Mac OS.
Сетевые расследования
Восьмой модуль обучает работе с сетевыми доказательствами. Студенты узнают об особенностях расследования в сети, логировании и корреляции событий. Научатся определять показатели компрометации из журналов сети, исследовать сетевой трафик, выявлять инциденты и работать с инструментами SIEM. Также рассматривают мониторинг и противодействие атакам беспроводной сети.
Облачные технологии и контейнеры
Девятый модуль охватывает современные направления - работу с облачными средами и контейнерными технологиями. Студенты изучат базовые концепции облачных вычислений, особенности цифровых расследований в облаках, основы Amazon Web Services и Microsoft Azure. Также научатся расследовать инциденты безопасности на этих платформах и освоят методологию цифровых расследований для контейнеров и микросервисов.
Результаты обучения
После завершения курса студенты ознакомятся со стандартами организации сбора цифровых доказательств для судебных разбирательств. Получат практические навыки использования инструментов поиска доказательств злонамеренных действий. Научатся правильно получать, хранить цифровые доказательства и готовить отчеты для дальнейшего использования в суде.
Требования к студентам
Для успешного прохождения курса нужно уверенно пользоваться ПК, иметь опыт администрирования операционных систем и знания о сетевых технологиях.
Особенности курса
Студенты получают учебные материалы в электронном виде. Имеют доступ к среде для лабораторных работ в течение всего курса. После успешного завершения обучения выдается сертификат.
