Видео 0. Расследование локального инцидента компьютерной безопасности.

Описание: Видео 0. Расследование локального инцидента компьютерной безопасности.

Добро пожаловать в практический курс цифровой криминалистики. Этот курс будет состоять из 3-х комплексных курсов, котрые в свою очередь тоже будут разбиты на части для простоты и улучшения усвоения материала.

Курс практический, полностью построен на лучших методологиях и материалах Агентства Европейского союза по кибербезопасности с моими обновлениями и дополнениями.

По легенде коммерческая организация обнаружила, что некоторые из ее конфиденциальных данных были опубликованы в сети. В связи с юридическими обязательствами и в целях обеспечения непрерывности всех бизнес процесов компании была вовлечена команда CSIRT которой было поручено провести все необходимые ответные меры в связи с инцидентом а также собственно расследование инцидента.

Информация опубликованная онлайн содержит конфиденциальные данные компании, ее клиентов а также включает уведомление об угрозе согласно которому вскоре последует публикация дополнительных данных.

Так как инцидент ИБ ведет к компьютеру конкретного сотрудника внутри компании, то CSIRT команда, которой поручено расследование инцидента, начинает расследование с его компьютера.

Этот курс содержит, как теоретические так и практические этапы реагирования на инцидент и непосредственно процесс расследования.

В нем мы рассмотрим типичный случай, когда сообщается о вредоносном действии и цель состоит в том, чтобы найти источник и обработать инцидент ИБ как локальный, ограниченный только рабочей станцией.

В начале акцент будет делается на правильной подготовке - принципах, инструментах и методах. Представлен систематический и последовательный подход к реагированию на инциденты.

После теоретического введениея следует смоделированный отчёт об инциденте, с которого начнётся наша ответная реакция.

Расследование инцидента, будет производится с полным соблюдением правил компьютерной криминалистики и цепи обеспечения сохранности доказательств (о ней я расскажу подробнее).

Во второй части курса мы проведем криминалистический анализ рабочей станции на базе Microsoft Windows , сохраняя при этом цепь обеспечения сохранности по принятым мерам и параллельно будем восстанавливать график событий и журнал ндикаторов компроментации поминутно.

Этот курс завершится кратким изложением последующих вопросов расследования, локализации инцидента ИБ, ликвидации последствий и правильном информировании об инцидентах ИБ в соответствии с общепринятыми международными протоколами.

Необходимо:

1. Подготовить к работе Oracle VM Virtualbox

https://www.virtualbox.org/
https://www.virtualbox.org/wiki/Downl...
   • Oracle VM VirtualBox  

2. Скачать образ операционной системы компьютерного криминалиста (3,4G)

http://enisa.europa.eu/ftp/Caine_v1.4...

Контрольная сумма SHA256:
466cdc863ea0ca06ba1096bc60cb3e11f92de8fc461a6dcc982314ee2a11d436

3. Скачать образ виртуального диска с уликами (6,9G):

https://www.enisa.europa.eu/ftp/ENISA...

Контрольная сумма SHA256:
d812fa6b99cfb679134ee9bf589c6b35f6a690c444e28817313b4176c883acc7

4. Скачать программу XMind:

https://www.xmind.net/download/

Изучить:

https://en.wikipedia.org/wiki/Europea...
https://www.caine-live.net/