«Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на инциденты информационной безопасности»
Дополнительная профессиональная программа повышения квалификации
Получить полное описание программы Дополнительная профессиональная программа повышения квалификации «Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на инциденты информационной безопасности»
Разработана на основе Профессионального стандарта "Специалист по моделированию, сбору и анализу данных цифрового следа", утвержденного приказом Министерства труда и социальной защиты Российской Федерации от 09 июля 2021г. № 462н (зарегистрирован Министерством юстиции Российской Федерации 30 июля 2021 г., регистрационный № 64502).
Данное обучение актуально, если вы:
– специалист по реагированию на инциденты,
–инженер по безопасности сетевой инфраструктуры,
– технический эксперт по защите информации,
– специалист в области информационной безопасности.
Этот курс может быть освоен даже теми, кто имеет базовый уровень знаний в ИТ/ ИБ.
Цель: изучение теоретических и практических аспектов информационной безопасности, позволяющих эффективно защищать информационные системы от компьютерных атак, с акцентом на формирование профессиональных компетенций, необходимых для успешного реагирования на инциденты информационной безопасности и ликвидации их последствий.
Разработка базового перечня нормативных документов в организации для различных информационных систем
2.Обнаружение и реагирование на инциденты ИБ:
Анализ сетевого трафика с помощью инструмента Wireshark.
Анализ образа диска и дампа оперативной памяти
3.Расследование инцидентов и предупреждение компьютерных атак:
Расследование инцидента ИБ на основе сетевого трафика и логов операционной системы. Составление цепочки атаки
– основные этапы процесса управления инцидентами ИБ;
– схема взаимосвязи терминов;
– жизненный цикл атаки.
– этапы реагирования;
– локализация инцидента ИБ;
– ликвидация последствий инцидента ИБ;
– анализ логов сетевого трафика;
– установление причин инцидента ИБ;
– восстановление работы информационной системы;
– закрытие инцидента и последующее составление отчёта.
2. Предупреждение повторного возникновения инцидента ИБ и мониторинг ИБ):
– инвентаризация информационных ресурсов;
– анализ уязвимостей;
– атрибуция компьютерных атак;
– карточка сравнения матриц MITRE ATT&CK и ФСТЭК России;
– модель угроз.
– подключение устройств сети как источников информации для SIEM;
– изучение принципов расследования инцидентов ИБ с использованием SIEM;
– правила нормализации и корреляции;
– разбор на реальном примере;
– написание правил корреляции.
3. Мониторинг ИБ и описание киберучений
– механизмы захвата, применяемые в PT NAD, их отличия и особенности применения;
– диагностика и мониторинг PT NAD;
– захват копии сетевого трафика и конфигурация сетевого оборудования;
– сохранение захваченных «сырых» и проиндексированных данных;
– анализ обработанных данных при расследовании инцидента ИБ.
– средства защиты информации, имеющиеся в инфраструктуре;
– принципы работы установленных средств защиты информации;
– проведение аудита инфраструктуры;
– формат отчёта в рамках курса, с указанием критериев оценивания;
– анализ минимальной компьютерной атаки (пример с инсайдером).
4. Киберучения, ликвидация последствий
– регистрация инцидента ИБ;
– определение вовлеченных в инцидент ИБ элементов информационной инфраструктуры;
– выявление последствий инцидента ИБ;
– ликвидация последствий;
– закрытие инцидента;
– составление отчета и отправка организаторам.
5. Расширенная информация для обнаружения, реагированию и ликвидации
Образовательные результаты: знать юридические аспекты, связанные с информационной безопасностью; методы идентификации и классификации типов компьютерных атак и уязвимостей; порядок принятия решений при возникновении инцидента ИБ в профессиональной деятельности на основе анализа событий, полученных в СЗИ; назначение, возможности структуру и принципы работы современных средств защиты информации; архитектуру, общие принципы функционирования сетевых устройств и программного обеспечения администрируемой информационно-коммуникационной системы, протоколы всех модели взаимодействия открытых систем; уметь применять методы и инструменты для обнаружения и предупреждения компьютерных атак; реагировать на инциденты ИБ с учетом утверждённых процедур и протоколов, в том числе проводить их анализ и оценку ущерба; формировать рекомендации по предупреждению компьютерных атак; проводить расследование инцидентов ИБ, оценивать последствия и применять меры по ликвидации последствий атак и возвращению к штатной деятельности.
Преимущества:
– практика на серверах ГИС-Академии;
– обратная связь по выполненным заданиям;
– поддержка преподавателей.
Форма обучения: заочная (на 1 ступени) и очная (на 2 ступени).
Срок обучения: 80 академических часов (10 учебных дней).
Режим занятий: 8 академических часов в день.
В рамках курсах предстоит:
1)изучить теоретический материал;
2)выполнить практические работы;
3)пройти тестирование.
Стоимость обучения: 145 000 руб.
При успешном прохождении курса обучающемуся выдаётся удостоверение о повышении квалификации.
Разработана на основе Профессионального стандарта "Специалист по моделированию, сбору и анализу данных цифрового следа", утвержденного приказом Министерства труда и социальной защиты Российской Федерации от 09 июля 2021г. № 462н (зарегистрирован Министерством юстиции Российской Федерации 30 июля 2021 г., регистрационный № 64502).
Данное обучение актуально, если вы:
– специалист по реагированию на инциденты,
–инженер по безопасности сетевой инфраструктуры,
– технический эксперт по защите информации,
– специалист в области информационной безопасности.
Этот курс может быть освоен даже теми, кто имеет базовый уровень знаний в ИТ/ ИБ.
Цель: изучение теоретических и практических аспектов информационной безопасности, позволяющих эффективно защищать информационные системы от компьютерных атак, с акцентом на формирование профессиональных компетенций, необходимых для успешного реагирования на инциденты информационной безопасности и ликвидации их последствий.
Содержание программы
1 ступень
1.Основы информационной безопасности:- Основы информационной безопасности
- Правовые основы компьютерной безопасности
- Защищённые операционные системы
- Безопасность сетевого взаимодействия
Практика
Изучение основных принципов работы с операционными системами, создание и настройка домена и сети организацииРазработка базового перечня нормативных документов в организации для различных информационных систем
2.Обнаружение и реагирование на инциденты ИБ:
- Основы анализа инцидентов
- Анализ логов операционных систем
- Исследование сетевой активности
- Основы анализа вредоносного ПО
Практика
Анализ логов в Windows/Linux, обнаружение атакиАнализ сетевого трафика с помощью инструмента Wireshark.
Анализ образа диска и дампа оперативной памяти
3.Расследование инцидентов и предупреждение компьютерных атак:
- Открытые базы знаний об атаках, угрозах и уязвимостях. Изучение матриц угроз и уязвимостей MITRE&DEFEND и ФСТЭК России
- Жизненный цикл компьютерной атаки
- Принципы расследования инцидентов ИБ
- Средства защиты информации компьютерных систем
- Методы и этапы при реагировании на инциденты ИБ
- Этапы тестирования на проникновение
- Принципы работы центра мониторинга
Практика
Разбор реального сценария атаки с использованием матриц MITRE ATT&CK и ФСТЭК РоссииРасследование инцидента ИБ на основе сетевого трафика и логов операционной системы. Составление цепочки атаки
2 ступень
1. Введение, управление инцидентами ИБ, реагирование на инциденты ИБ):- Теоретические основы управления инцидентами ИБ:
– основные этапы процесса управления инцидентами ИБ;
– схема взаимосвязи терминов;
– жизненный цикл атаки.
Практика
Процесс управления инцидентами ИБ:– этапы реагирования;
– локализация инцидента ИБ;
– ликвидация последствий инцидента ИБ;
– анализ логов сетевого трафика;
– установление причин инцидента ИБ;
– восстановление работы информационной системы;
– закрытие инцидента и последующее составление отчёта.
2. Предупреждение повторного возникновения инцидента ИБ и мониторинг ИБ):
- Принятие мер по предупреждение возникновения инцидента ИБ:
– инвентаризация информационных ресурсов;
– анализ уязвимостей;
– атрибуция компьютерных атак;
– карточка сравнения матриц MITRE ATT&CK и ФСТЭК России;
– модель угроз.
- Принципы работы с SIEM:
– подключение устройств сети как источников информации для SIEM;
– изучение принципов расследования инцидентов ИБ с использованием SIEM;
– правила нормализации и корреляции;
– разбор на реальном примере;
– написание правил корреляции.
3. Мониторинг ИБ и описание киберучений
- Принципы работы с PT NAD:
– механизмы захвата, применяемые в PT NAD, их отличия и особенности применения;
– диагностика и мониторинг PT NAD;
– захват копии сетевого трафика и конфигурация сетевого оборудования;
– сохранение захваченных «сырых» и проиндексированных данных;
– анализ обработанных данных при расследовании инцидента ИБ.
- Описание киберучений:
– средства защиты информации, имеющиеся в инфраструктуре;
– принципы работы установленных средств защиты информации;
– проведение аудита инфраструктуры;
– формат отчёта в рамках курса, с указанием критериев оценивания;
– анализ минимальной компьютерной атаки (пример с инсайдером).
4. Киберучения, ликвидация последствий
- Проведение киберучения с заготовленным сценарием атаки:
– регистрация инцидента ИБ;
– определение вовлеченных в инцидент ИБ элементов информационной инфраструктуры;
– выявление последствий инцидента ИБ;
– ликвидация последствий;
– закрытие инцидента;
– составление отчета и отправка организаторам.
5. Расширенная информация для обнаружения, реагированию и ликвидации
- Разбор полного и корректного решения задачи с киберучения
- Обзор нормативно-правовой практики оценки последствий (кейсы)
- IOC, Threat Intelligence, APT, OSINT
Образовательные результаты: знать юридические аспекты, связанные с информационной безопасностью; методы идентификации и классификации типов компьютерных атак и уязвимостей; порядок принятия решений при возникновении инцидента ИБ в профессиональной деятельности на основе анализа событий, полученных в СЗИ; назначение, возможности структуру и принципы работы современных средств защиты информации; архитектуру, общие принципы функционирования сетевых устройств и программного обеспечения администрируемой информационно-коммуникационной системы, протоколы всех модели взаимодействия открытых систем; уметь применять методы и инструменты для обнаружения и предупреждения компьютерных атак; реагировать на инциденты ИБ с учетом утверждённых процедур и протоколов, в том числе проводить их анализ и оценку ущерба; формировать рекомендации по предупреждению компьютерных атак; проводить расследование инцидентов ИБ, оценивать последствия и применять меры по ликвидации последствий атак и возвращению к штатной деятельности.
Преимущества:
– практика на серверах ГИС-Академии;
– обратная связь по выполненным заданиям;
– поддержка преподавателей.
Форма обучения: заочная (на 1 ступени) и очная (на 2 ступени).
Срок обучения: 80 академических часов (10 учебных дней).
Режим занятий: 8 академических часов в день.
В рамках курсах предстоит:
1)изучить теоретический материал;
2)выполнить практические работы;
3)пройти тестирование.
Стоимость обучения: 145 000 руб.
При успешном прохождении курса обучающемуся выдаётся удостоверение о повышении квалификации.
