Курс: Противодействие хакерским атакам: защита, предсказание, распознавание, ответ
Курс: Противодействие хакерским атакам: защита, предсказание, распознавание, ответ
Продолжительность курса: 40 ак. ч.
Описание курса:
Цель курса заключается в формировании компетенций, необходимых специалистам по информационной безопасности, администраторам корпоративных сетей и разработчикам решений в области кибербезопасности. Вы научитесь предотвращать и выявлять потенциальные угрозы, оперативно реагировать на инциденты и минимизировать последствия нарушений безопасности.
Аудитория:
• Специалисты по информационной безопасности (SOC-аналитики, инженеры, penetration testers);
• Системные и сетевые администраторы;
• Руководители IT- и ИБ-подразделений;
• Студенты IT-специальностей, желающие углубиться в практическую кибербезопасность.
Необходимая подготовка:
• Знание основ компьютерной архитектуры;
• Навыки работы с командной строкой Linux/Windows;
• Базовые знания о протоколах TCP/IP;
• Опыт работы с технологиями виртуализации;
• Основы программирования;
• Начальная практика работы с базами данных;
• Представление о принципах криптографии;
• Первоначальные представления о технологиях защиты.
Программа курса: Модуль 1. Сетевые атаки и стратегии защиты:
• Основная терминология:
o Активы;
o Угрозы;
o Нарушители;
o Уязвимости;
o Риски;
o Атаки;
• Сетевые атаки:
o Рекогносцировка;
o Прослушивание сети;
o Атака «Человек посередине» (MITM);
o Атаки на пароли;
o Повышение привилегий;
o Отравление DNS;
o Отравление ARP;
o DHCP Атаки:
DHCP старвация;
DHCP спуфинг;
Подмена MAC;
o Отказ в обслуживании (DoS);
o Распределенная атака на отказ в обслуживании (DDoS);
o Вредоносное ПО;
o Advanced Persistent Threats;
• Атаки на приложения:
o SQL инъекции;
o Межсайтовый скриптинг (XSS);
o Подмена параметров;
o Обход каталога;
o Межсайтовая подделка запросов (CSRF);
o Перехват сеанса;
o DoS на уровне приложений;
• Социальная инженерия;
• Атаки по электронной почте;
• Атаки на мобильные устройства;
• Атаки на облачные вычисления;
• Атаки на беспроводные сети;
• Методологии хакинга:
o Методология СЕН;
o Cyber Kill-Chain;
o MITRE ATT&CK;
• Цели и проблемы сетевой защиты;
• Стратегии защиты;
• Эшелонированная защита;
• Практическая работа:
o Изучение угроз сетевой безопасности;
o Выполнение атак SQL инъекций, XSS, сканирования и взлома паролей.
Модуль 2. Административные меры безопасности:
• Соответствие нормативным требованиям:
o Нормативно-правовая база;
o Как соответствовать требованиям;
• Стандарты и законодательство:
o PCI-DSS;
o GDPR;
o Другие законы и нормативные акты;
• Политики безопасности:
o Содержание политики безопасности;
o Пример политики безопасности;
o Виды политик безопасности;
• Осведомленность и тренинги;
• Другие административные меры;
• Практическая работа:
o Изучение политик безопасности;
o Применение групповых политик в домене Active Directory;
o Применение парольных политик в Linux;
o Мониторинг активности сотрудников.
Модуль 3. Технические меры безопасности:
• Контроль доступа;
• Контроль доступа в распределенных сетях;
• Управление идентификацией и доступом;
• Криптографические меры:
o Шифрование;
o Хэширование;
o Цифровая подпись;
o Инфраструктура открытых ключей (PKI);
• Криптографические алгоритмы:
o DES;
o AES;
o RC4, RC5, RC6;
o DSA и RSA;
o MD5;
o SHA;
o HMAC;
• Сегментирование сети;
• Решения сетевой безопасности:
o Фаерволлы;
o Мониторинг активности в сетях для выявления подозрительного поведения (IDS);
o Ложные цели для привлечения внимания хакеров и изучения методов атак (ловушки, Honeypots);
o Промежуточные сервера для проверки и преобразования запросов между клиентом и внешним миром (прокси-серверы);
o Инструменты для глубокого анализа пакетов данных в сети (анализаторы сетевых протоколов);
o Сервисы фильтрации и блокировки небезопасного веб-контента (фильтры веб-содержимого);
o Службы распределения нагрузки между серверами для оптимизации производительности и доступности (балансировщики NLB);
o Комплексные решения для защиты периметра сети, объединяющие файрволлы, VPN и антиспам (UTM);
o Интегрированные системы сбора и анализа событий для своевременного обнаружения угроз (SIEM);
o Системы контроля сетевого доступа (NAC);
o Виртуальные частные сети (VPN);
• Протоколы сетевой безопасности:
o RADIUS;
o Kerberos;
o PGP;
o S/MIME;
o HTTPS;
o IPSec;
• Практическая работа:
o Применение ролевого управления доступом с помощью JEA;
o Применение ролевого управления доступом с помощью WAC;
o Применение прокси-сервера Squid;
o Установка VPN подключения с помощью OpenVPN;
o Развертывание VPN сервера на основе Softether VPN.
Модуль 4. Безопасность сетевого периметра:
• Фаерволлы:
o Концепции;
o Технологии;
o Топологии;
o Реализации;
o Возможности;
o Развертывание;
o Рекомендации;
o Администрирование;
• Системы обнаружения вторжений (IDS):
o Концепции;
o Классификации;
o Типы обнаружения вторжения;
o Компоненты IDS;
o Развертывание;
o Оповещения;
o Выбор решения;
o IDS решения;
• Маршрутизаторы и коммутаторы;
• Программно-определяемый периметр (SDP):
o Зачем программно определять периметр;
o Недостатки традиционной безопасности;
o Что такое SDP;
o Применение SDP;
o Архитектура SDP;
o Инструменты SDP;
• Практическая работа:
o Блокировка доступа к сайту с помощью pfSense Firewall;
o Закрытие портов с помощью pfSense Firewall;
o Блокировка доступа к FTP серверу с помощью Smoothwall;
o Применение Windows Firewall;
o Применение iptables;
o Применение Snort NIDS;
o Применение Suricata NIDS;
o Применение Zeek NIDS;
o Применение Wazuh HIDS.
Модуль 5. Безопасность хостов Windows:
• Вопросы безопасности хостов Windows:
o Операционные системы Windows;
o Архитектура Windows;
o Уязвимости хостов Windows;
• Компоненты системы безопасности Windows:
o Монитор ссылок безопасности;
o Сервис проверки подлинности локальной системы безопасности;
o Диспетчер учётных записей безопасности;
o Активный каталог;
o Пакеты проверки подлинности;
o Диспетчер входа в систему;
o Экран приветствия;
o Провайдеры учетных записей;
o Служба сетевого входа;
o Драйвер устройства безопасности ядра;
• Возможности безопасности Windows;
• Основной уровень безопасности Windows;
• Управление пользователями и паролями;
• Установка обновлений;
• Управление доступом пользователей:
o Ограничение доступа к файлам;
o Контроль учетных записей;
o Доступ к компонентам системы;
o Технология Just Enough Administration;
• Техники укрепления хостов Windows:
o Установка пароля на BIOS;
o Хранение хэшей;
o Ограничение установки программ;
o Настройка системных служб;
o Антивирусное ПО;
o Настройка брандмауэра Windows;
o Мониторинг реестра;
• Укрепление Active Directory;
• Укрепление сетевых служб и протоколов:
o Повышение безопасности PowerShell;
o Повышение безопасности RDP;
o Применение DNSSEC;
o Повышение безопасности SMB;
• Практическая работа:
o Выполнение базовых задач администрирования из командной строки;
o Настройка доступа к общим ресурсам в Active Directory;
o Анализ основного уровня безопасности с помощью MSCT;
o Установка обновлений с использованием BatchPatch;
o Установка обновлений с использованием ManageEngine Patch Manager;
o Делегирование административных полномочий в Active Directory;
o Защита паролей локальных администраторов с помощью LAPS.
Модуль 6. Безопасность хостов Linux:
• Вопросы безопасности хостов Linux:
o Архитектура Linux;
o Особенности Linux;
o Уязвимости хостов Linux;
• Установка и обновление Linux:
o Установка пароля на BIOS;
o Защита загрузчика;
o Управление установкой обновлений;
o Контрольный список по установке и обновлениям;
• Техники укрепления хостов Linux:
o Настройка системных служб;
o Удаление ненужных программ;
o Установка антивируса;
o Контрольный список по укреплению хостов Linux;
• Управление пользователями и паролями;
• Сетевая безопасность и удаленный доступ;
• Инструменты безопасности и фреймворки:
o Lynis;
o AppArmor;
o SELinux;
o OpenSCAP;
• Практическая работа:
o Выполнение базовых задач администрирования Linux;
o Установка и настройка AppArmor;
o Настройка и использование Lynis.
Модуль 7. Безопасность мобильных устройств:
• Использование мобильных устройств на предприятии:
o Политика BYOD;
o Политика CYOD;
o Политика COPE;
o Политика COBO;
• Риски, связанные с мобильными устройствами;
• Решения по управлению мобильными устройствами (MDM);
• Руководства и практические рекомендации;
• Безопасность Android;
• Безопасность iOS;
• Практическая работа:
o Применение Miradore MDM;
o Применение Comodo MDM.
Модуль 8. Безопасность IoT устройств:
• Определение концепции подключенных устройств («Интернет вещей»);
• Практическое применение устройств IoT в разных сферах;
• Структура и компоненты экосистемы IoT;
• Опасности и угрозы, возникающие при эксплуатации IoT-технологий;
• Обеспечение безопасности IoT-инфраструктуры;
• Рекомендации и методы укрепления защиты устройств и сетей IoT;
• Инструменты защиты и рекомендации;
• Практическая работа:
o Применение Miradore MDM;
o Применение Comodo MDM.
Модуль 9. Безопасность приложений:
• Применение белых и черных списков приложений:
o Правила ограничения доступа пользователей к определённым приложениям;
o Использование инструмента AppLocker для контроля над запускаемыми программами;
o Система централизованного администрирования рабочих станций MangeEngine Desktop Central;
o Настройка ограничений на установку стороннего ПО пользователями;
o Запрет на выполнение отдельных приложений через настройки проводника Windows;
o Программы и утилиты для реализации разрешений и запретов на использование конкретных приложений;
• Применение песочниц (Sandbox):
o Песочницы в Windows;
o Песочницы в Linux;
o Инструменты для внедрения песочниц;
• Обновление приложений:
o Инструменты для обновления приложений;
• Фаерволлы для веб-приложений (WAF):
o Концепции использования WAF;
o WAF инструменты;
• Практическая работа:
o Применение AppLocker;
o Применение SRP;
o Применение Firejail Sandbox;
o Применение URLScan WAF.
Модуль 10. Безопасность данных:
• Концепции защиты данных;
• Управление доступом к данным;
• Шифрование неактивных данных:
o Шифрование дисков;
o Шифрование дисков в Windows;
o Шифрование дисков в MacOS;
o Шифрование дисков в Linux;
o Шифрование дисков в Android;
o Шифрование дисков в iOS;
o Инструменты шифрования дисков;
• Шифрование файлов:
o Шифрование файлов в Windows;
o Шифрование файлов в MacOS;
o Шифрование файлов в Linux;
• Шифрование съемных носителей:
o Шифрование съемных носителей в Windows;
o Шифрование съемных носителей в MacOS;
o Шифрование съемных носителей в Linux;
• Шифрование баз данных:
o Шифрование в MS SQL;
o Шифрование в Oracle;
• Шифрование данных при передаче:
o Шифрование между браузером и веб сервером;
o Шифрование между сервером БД и веб сервером;
o Шифрование почты;
• Маскировка данных:
o Типы и техники маскировки данных;
o Маскировка данных в MS SQL;
o Маскировка данных в Oracle;
o Инструменты маскировки данных;
• Резервное копирование и хранение данных:
o Стратегии резервного копирования;
o Выбор носителя для резервной копии;
• Технология RAID:
o Что такое RAID системы;
o Архитектура RAID;
o Уровень RAID 0: Чередование дисков;
o Уровень RAID 1: Зеркалирование дисков;
o Уровень RAID 3: Чередование дисков с четностью;
o Уровень RAID 5: Распределенная четность;
o Уровень RAID 10: Дублирование и параллельная обработка;
o Уровень RAID 50: Распределенная четность и повышенная производительность;
o Выбор подходящих уровней RAID;
o Аппаратные и программные RAID;
o Практические рекомендации по использованию RAID;
• Сеть хранения данных (SAN):
o Практические рекомендации и инструменты;
• Сетевые хранилища (NAS):
o Типы NAS;
• Интегрированная система NAS;
• Шлюз системы NAS:
o Выбор подходящего метода резервного копирования;
o Выбор правильного места для резервного копирования;
o Типы резервного копирования:
Полное резервное копирование;
Обычное резервное копирование;
Разностное резервное копирование;
Добавочное резервное копирование;
o Выбор лучшего решения для резервного копирования;
o Программное обеспечение для резервного копирования;
o Резервное копирование баз данных;
o Резервное копирование электронной почты;
o Резервное копирование веб сервера;
o Политика хранения данных;
• Безвозвратное удаление данных:
o Инструменты безвозвратного удаления данных;
• Предотвращение утечек данных (DLP):
o Решения DLP;
o Рекомендации по внедрению DLP;
• Практическая работа:
o Шифрование данных с использованием VeraCrypt;
o Шифрование баз данных MS SQL;
o Применение OpenSSL;
o Защита Email с помощью PGP;
o Архивация данных в Windows;
o Восстановление удаленных данных;
o Восстановление разделов диска.
Модуль 11. Защита виртуальных сетей:
• Имитация физических сред средствами программного обеспечения;
• Основы технологии разделения аппаратных ресурсов;
• Создание виртуальных сетевых инфраструктур;
• Способы взлома изолированных сегментов локальной сети (VLAN);
• Методы защиты сегментации локальных сетей (VLAN);
• Архитектура управления сетью через программное обеспечение (SDN);
• Переход функций сетевого оборудования на уровень виртуального исполнения (NFV);
• Безопасность виртуализации:
o Контейнеры;
o Докеры;
o Kubernetes;
• Руководства и рекомендации по безопасности;
• Практическая работа:
o Аудит безопасности докера с помощью Docker-Bench-Security;
o Защита SDN коммуникации с помощью SSL.
Модуль 12. Безопасность облачных вычислений:
• Основные идеи распределённых вычислительных ресурсов;
• Вопросы защищённости данных и приложений в виртуальных средах;
• Компании-поставщики услуг удалённого хранения и обработки данных;
• Особенности защиты инфраструктуры AWS;
• Методы обеспечения безопасности среды Microsoft Azure;
• Подходы к обеспечению конфиденциальности и целостности данных в Google Cloud Platform (GCP);
• Советы и средства повышения уровня защиты облачной инфраструктуры;
• Практическая работа:
o Управление доступом в AWS;
o Управление ключами в AWS;
o Защита хранилища AWS.
Модуль 13. Wi-Fi. Защита беспроводных сетей:
• Основные термины;
• Беспроводные сети;
• Беспроводные стандарты;
• Беспроводные топологии:
o Ad-hoc;
o Инфраструктура;
• Использование беспроводных сетей:
o Расширение проводной сети;
o Несколько точек доступа;
o Маршрутизируемые беспроводные сети;
o 3G Hotspot;
• Компоненты беспроводной сети:
o Точка доступа;
o Сетевой адаптер;
o Модем;
o Мост;
o Ретранслятор;
o Маршрутизатор;
o Шлюзы;
o USB-адаптер;
o Антенна;
• Типы шифрования в беспроводных сетях:
o WEP;
o WPA;
o WPA2;
o WPA3;
• Методы проверки подлинности:
o Открытая система;
o Аутентификация по общему ключу;
• Использование сервера централизованной аутентификации;
• Меры повышения безопасности беспроводных сетей:
o Инвентаризация устройств;
o Размещение точек доступа;
o Выключение трансляции SSID;
o Применение надежного шифрования;
o Фильтрация MAC адреса;
o Мониторинг беспроводного трафика;
o Обнаружение поддельных точек доступа;
o Настройка параметров точки доступа;
• Практическая работа:
o Настройка параметров безопасности беспроводной точки доступа.
Модуль 14. Мониторинг и анализ сетевого трафика:
• Общее знакомство с наблюдением и оценкой сетевых потоков данных;
• Выбор места установки датчиков для отслеживания сетевого трафика;
• Образцы шаблонов для распознавания особенностей сетевого взаимодействия:
o Сигнатуры нормального трафика;
o Сигнатуры сетевых атак;
o Техники анализа сигнатур сетевых атак:
Контентный анализ
Контекстный анализ
Композитный анализ
Анализ одного пакета
• Сниффер N1: Wireshark:
o Компоненты Wireshark;
o Фильтры отображения и захвата;
o Мониторинг и анализ трафика;
• Обнаружение сетевых атак:
o Примеры обнаружения сетевых атак;
• Концепции мониторинга производительности сети;
• Практическая работа:
o Анализ сетевого трафика с помощью Wireshark;
o Обнаружение атак посредством анализа сетевого трафика;
o Анализ сетевого трафика с помощью PRTG;
o Анализ сетевого трафика с помощью ntopng;
o Анализ сетевого трафика с помощью Capsa.
Модуль 15. Мониторинг и анализ сетевых журналов:
• Концепции ведения журналов:
o Форматы журналов;
o Типы журналирования;
• Анализ журналов Windows;
• Анализ журналов Linux;
• Анализ журналов Mac OS;
• Анализ журналов фаерволлов;
• Анализ журналов маршрутизаторов;
• Анализ журналов веб серверов;
• Централизованное ведение журналов:
o Инструменты для централизованного ведения журналов;
• Практическая работа:
o Анализ сетевого трафика с помощью Wireshark;
o Обнаружение атак посредством анализа сетевого трафика;
o Анализ сетевого трафика с помощью PRTG;
o Анализ сетевого трафика с помощью ntopng;
o Анализ сетевого трафика с помощью Capsa.
Модуль 16. Управление реагированием на инциденты:
• Реагирование на инциденты;
• Состав команды: Роли и обязанности;
• Оперативное реагирование на инцидент:
o Первые шаги по реагированию для сетевых администраторов;
• Процедура выявления, устранения и контроля происшествия в сфере ИБ;
• Алгоритм шагов, выполняемых при обнаружении нарушения безопасности;
• Изучение обстоятельств произошедшего события в области информационной безопасности;
• Практическая работа: обработка инцидентов информационной безопасности в OSSIM.
Модуль 17. Непрерывность бизнеса и восстановление после сбоев:
• Идеи поддержания бесперебойной работы бизнеса и быстрого возвращения в рабочее состояние после аварий;
• Действия для поддержки устойчивости бизнеса и оперативного возобновления деятельности;
• Документы, регламентирующие меры предотвращения перерывов в работе и быстрое восстановление функционирования;
• Нормативные требования и рекомендации по поддержанию стабильности бизнес-процессов и восстановлению после кризисов;
• Практическая работа: применение технологии NLB в Windows Server.
Модуль 18. Управление рисками:
• Концепции управления рисками:
o Роли и ответственности при управлении рисками;
o Ключевые индикаторы риска;
• Программа управления рисками;
• Фазы управления рисками:
o Идентификация рисков;
o Оценка риска:
Уровни риска;
Матрица рисков;
o Обработка риска;
o Пересмотр риска;
• Фреймворки по управлению рисками:
o Вендоры ERM решений;
o Рекомендации по эффективному управлению рисками;
• Управление уязвимостями:
o Обнаружение;
o Расстановка приоритетов;
o Оценка уязвимостей;
o Составление отчетов:
Примеры отчетов;
o Устранение уязвимостей;
o Проверка;
• Сканирование и инвентаризация уязвимостей;
• Практическая работа:
o Проведение аудита безопасности сети с помощью OSSIM;
o Проведение аудита безопасности сети с помощью Nessus;
o Проведение аудита безопасности сети с помощью GFI LanGuard;
o Проведение аудита безопасности сети с помощью NSAuditor;
o Проведение аудита безопасности веб сайта с помощью OWASP ZAP.
Модуль 19. Определение угроз и анализ поверхности атаки:
• Описание понятия "анализ уязвимых мест системы";
• Графическое представление возможных точек атак;
• Показатели последствий влияния угроз (IoE);
o Симуляция атаки (BAS): вендоры решений по симуляции атак;
• Снижение поверхности атаки;
• Анализ поверхности атаки для облачных вычислений и IoT;
• Практическая работа:
o Анализ поверхности атаки с использованием Windows Attack Surface Analyzer;
o Анализ поверхности атаки веб приложения с использованием OWASP Attack Surface Detector;
o Составление карты поверхности атаки с помощью Amass.
Модуль 20. Анализ киберугроз:
• Значимость анализа информации о киберрисках (CTI) для защиты сетей;
• Разновидности данных о потенциальных рисках безопасности;
• Индикаторы киберугроз:
o Индикатор компрометации (IoC);
o Индикатор атаки (IoA);
• Классификация уровней опасности кибератак;
• Средства мониторинга и оценки рисков информационной безопасности;
• Защита и противодействие киберугрозам;
• Практическая работа: изучение OTX Threat Feeds в OSSIM.
Окончательная цена указывается в договоре на обучение.
