• A
  • A
  • A
  • АБB
  • АБB
  • АБB
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
Магистратура 2024/2025

Технологии детектирования атак и управления инцидентами

Статус: Курс обязательный (Кибербезопасность)
Когда читается: 2-й курс, 2, 3 модуль
Охват аудитории: для своего кампуса
Язык: русский

Программа дисциплины

Аннотация

Возможные атаки на компьютерные системы представляют серьёзную проблему при разработке комплекса мер по защиты информации. Данный курс направлен на формирование у студентов знаний и навыков в области защиты от компьютерных атак. Программа курса предусматривает изучение видов компьютерных атак, принципов организации и проведения компьютерных атак злоумышленниками, различных способов защиты от таких атак, а также устройства систем обнаружения атак и особенностей их применения на практике. При обучении предусмотрен контроль знаний студентов в виде лабораторных работ, домашнего задания и экзамена.
Цель освоения дисциплины

Цель освоения дисциплины

  • Сформировать у студентов понимание принципов детектирования атак, познакомить с основными типами уязвимостей и способами их обнаружений, методологией тестирования на проникновение, лучшими практиками управления инцидентами.
Планируемые результаты обучения

Планируемые результаты обучения

  • Рассчитывает стоимость инцидента и понимает как на нее влияет раннее обнаружение атак.
  • Определяет основные типы журналов (логов) и умеет настраивать и анализировать журналы (логи).
  • Выделяет типовые индикаторы присутствия хакера и анализирует типовые индикаторы присутствия хакера.
  • Разбирается в видах SIEM-систем.
  • Анализирует журналы приложений для выявления подозрительной активности и выявления присутствия хакера.
  • Разрабатывает правила корреляции для детектирования атак.
  • Ориентируется в основных статьях НПА, регулирующих деятельность пентестера и последствия нарушения законодательства.
  • Разбирается, что должен включать договор на оказание услуг по пентесту, как составляется и что содержит авторизационное письмо.
  • Называет перечень действий, которые нельзя делать пентестеру при оказании услуг.
  • Составляет авторизационное письмо для проведения пентеста.
  • Формирует ответственное и этичное поведение пентестера.
  • Ориентируется в основных видах пентеста и выделяет их отличия.
  • Разбирается в основных этапах и методологиях проведения пентеста, может комбинировать методологии проведения пентеста.
  • Воспроизводит, что включает в себя три части отчета пентестера: общие выводы, детализированные результаты, рекомендации по устранению.
  • Обосновывает выбор методологии проведения пентеста.
  • Воспроизводит основные методы и инструменты OSINT и умеет пользоваться основными инструментами и сервисами.
  • Использует основные автоматизированные инструменты пентестера.
  • Определяет основные типы уязвимостей на внешнем периметре.
  • Получает из открытых источников информацию о сетевой инфраструктуре компании.
  • Использует инструменты автоматизированного и ручного выявления уязвимостей веб-приложений.
  • Определяет активные хосты и службы на этих хостах.
  • Идентифицирует и использует уязвимости в низковисящих фруктах для проникновения в сеть.
  • Использует инструменты внутреннего тестирования на проникновения.
  • Проводит сканирование сети, анализирует трафик, эксплуатирует типовые уязвимости и получает доступ к системам внутри сети.
  • Проводит тестирование на различных операционных системах (iOS, Android) и устройствах.
  • Использует инструменты статического (декомпиляторы, статические анализаторы кода) и динамического (дебаггеры, эмуляторы и пакетные снифферы) анализа мобильных приложений.
  • Ориентируется в типовых уязвимостях мобильных приложений.
  • Проводит тестирование мобильных приложений в анализаторе MobSF.
  • Объясняет как реализуются атаки с использованием техник социальной инженерии: основные этапы, принципы, методы и инструменты реализации фишинговой атаки.
  • Применяет атаку Reflected XSS для нахождения уязвимостей веб-приложений и дальнейшей реализации фишинговой атаки.
  • В рамках тестирования на проникновение и под руководством преподавателя может провести основные этапы фишинговой атаки на компанию, сформировать отчет и рекомендации по защиты от фишинговой атаки.
  • Разбирается в основных средствах для проведения анализа кода приложений и их применении для анализа кода приложений.
  • Разрабатывает простые правила статических анализаторов кода.
  • Работает с SAST semgrep.
  • Обходит ограничения на подключение к сети и атаки на LAN и WiFi сети.
  • Анализирует трафик с целью получения необходимой информации.
  • Использует утилиты по записи трафика, подбору пароля к WiFi.
  • Описывает методологию Red Teaming и отличает от тестирования на проникновение.
  • Выбирает оптимальное решение для компании по тестированию эффективности кибербезопасности.
  • Воспроизводит этапы работ, состав команды, приводит примеры инструментов, описывает типовую инфраструктуру.
  • Описывает основные концепции контейнеризации и технологии Docker & k8s.
  • Разворачивает и управляет контейнерами, использует основные команды Docker и Kubernetes.
  • Ориентируется в типовых уязвимостях и атаках на Docker, методах защиты контейнеров от этих атак
  • Описывает основные этапы и механизмы развития киберпреступности и приводит примеры известных киберпреступлений и их последствий.
  • Объясняет как реализуется методология расследования киберпреступлений, включая сбор и анализ цифровых доказательств, идентификация потенциальных подозреваемых и принятие мер к пресечению и предотвращению преступлений.
  • Использует открытые источники информации (OSINT) для сбора и анализа данных в ходе расследования киберпреступлений.
  • Анализирует и идентифицирует цифровые следы, оставленные преступниками в ходе выполнения этих видов атак.
  • Объясняет процесс Threat Intelligence: для чего он используется и какие задачи ИБ решает, принципы построения и внедрения процесса Threat Intelligence.
  • Описывает основные характеристики и преимущества отечественных и зарубежных платформ и выбирает подходящее для организации решение.
  • На практике производит детектирование атак на внутреннюю инфраструктуру компании.
  • Выполняет подготовку к расследованию инцидентов.
  • Работает с основными инструментами для анализа событий Windows.
  • Анализирует лог файлы в Windows.
  • Описывает основные вектора атак на Linux системы.
  • Выполняет настройки журналирования syslog, auditd.
  • Разбирает атаки по журналам syslog и auditd.
  • Анализирует лог файлы в Unix.
Содержание учебной дисциплины

Содержание учебной дисциплины

  • Раздел 1. Детектирование атак
  • Раздел 2. Законодательное обеспечение пентеста
  • Раздел 3. Введение в тестирование на проникновение
  • Раздел 4. Тестирование внешнего периметра и веб-ресурсов
  • Раздел 5. Внутреннее тестирование на проникновение
  • Раздел 6. Тестирование мобильных приложений
  • Раздел 7. Тестирование на проникновение с использованием методов социальной инженерии
  • Раздел 8. Статический и динамический анализ исходного кода
  • Раздел 9. Тестирование на проникновение LAN и WiFi-сетей
  • Раздел 10. Основы Red Teaming
  • Раздел 11. Тестирование технологий: Docker & k8s. Атаки на интерфейсы управления.
  • Раздел 12. Теории и практики расследования киберпреступлений
  • Раздел 13. Threat intelligence - продвинутое (превентивное) нахождение уязвимостей
  • Раздел 14. Практика детектирования атак
Элементы контроля

Элементы контроля

  • неблокирующий Тесты и задания с самопроверкой
  • неблокирующий Домашние задания с проверкой преподавателем
    Процедура сдачи: 1. Создайте Google Документ, выполните все предлагаемые этапы задания: • Выберите организацию для анализа • Выполните поиск диапазонов IP-адресов организации • Найдите доступные в интернете хосты • Найдите доступные сетевые устройства • Найдите поддомены организации • Выполните сбор скриншотов об анализируемой организации • Найдите скомпрометированные учётные записи или проверьте свой адрес электронной почты на утечки • Подготовьте краткий отчёт по сбору данных в Google Документе 2. Загрузите файл на Google Диск и прикрепите ссылку на файл с выполненным заданием в LMS. Важно: убедитесь, что по ссылке есть доступ. Название файла должно содержать фамилию и имя студента и номер ДЗ Максимальная оценка за выполненное задание — 10 баллов
  • неблокирующий Практическая работа на полигоне киберучений
    Итоговый экзамен по дисциплине проводится в форме выполнения итоговой работы по расследованию инцидентов на полигоне киберучений. Студентам предоставляется задание, связанное с расследованием и управлением инцидентами. Итоговая работа, может включать в себя элементы всех тем курса. Результатом работы студента должен являться отчет по расследованию инцидента, созданный через Google Документы/Таблицы/Презентации или MS Word/Excel/PowerPoint. Название файла должно содержать номер группы, фамилию, имя и название занятия. Студент выполняет итоговое задание до заключительного вебинара по дисциплине и загружает в ЛМС. Преподаватель проверяет работы. На вебинаре преподаватель даёт студентам обратную связь и выставляет оценку.
Промежуточная аттестация

Промежуточная аттестация

  • 2024/2025 3rd module
    0.4 * Домашние задания с проверкой преподавателем + 0.4 * Практическая работа на полигоне киберучений + 0.2 * Тесты и задания с самопроверкой
Список литературы

Список литературы

Рекомендуемая основная литература

  • Бирюков, А. А. Информационная безопасность: защита и нападение / А. А. Бирюков. — 2-е изд. — Москва : ДМК Пресс, 2017. — 434 с. — ISBN 978-5-97060-435-9. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/93278 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.
  • Диогенес, Ю. Кибербезопасность. стратегия атак и обороны / Ю. Диогенес, Э. Озкайя , перевод с английского Д. А. Беликова. — Москва : ДМК Пресс, 2020. — 326 с. — ISBN 978-5-97060-709-1. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/131717 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.

Рекомендуемая дополнительная литература

  • Булычёв, Г. Г. Программно-аппаратные средства защиты информации : учебно-методическое пособие / Г. Г. Булычёв. — Москва : РТУ МИРЭА, 2022 — Часть 2 — 2022. — 177 с. — ISBN 978-5-7339-1653-8. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/310784 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.

Авторы

  • Яганова Мадина Владимировна
  • Аксенова Ольга Вениаминовна
  • Евсютин Олег Олегович