Магистратура
2024/2025
Технологии детектирования атак и управления инцидентами
Статус:
Курс обязательный (Кибербезопасность)
Когда читается:
2-й курс, 2, 3 модуль
Охват аудитории:
для своего кампуса
Язык:
русский
Программа дисциплины
Аннотация
Возможные атаки на компьютерные системы представляют серьёзную проблему при разработке комплекса мер по защиты информации. Данный курс направлен на формирование у студентов знаний и навыков в области защиты от компьютерных атак. Программа курса предусматривает изучение видов компьютерных атак, принципов организации и проведения компьютерных атак злоумышленниками, различных способов защиты от таких атак, а также устройства систем обнаружения атак и особенностей их применения на практике. При обучении предусмотрен контроль знаний студентов в виде лабораторных работ, домашнего задания и экзамена.
Цель освоения дисциплины
- Сформировать у студентов понимание принципов детектирования атак, познакомить с основными типами уязвимостей и способами их обнаружений, методологией тестирования на проникновение, лучшими практиками управления инцидентами.
Планируемые результаты обучения
- Рассчитывает стоимость инцидента и понимает как на нее влияет раннее обнаружение атак.
- Определяет основные типы журналов (логов) и умеет настраивать и анализировать журналы (логи).
- Выделяет типовые индикаторы присутствия хакера и анализирует типовые индикаторы присутствия хакера.
- Разбирается в видах SIEM-систем.
- Анализирует журналы приложений для выявления подозрительной активности и выявления присутствия хакера.
- Разрабатывает правила корреляции для детектирования атак.
- Ориентируется в основных статьях НПА, регулирующих деятельность пентестера и последствия нарушения законодательства.
- Разбирается, что должен включать договор на оказание услуг по пентесту, как составляется и что содержит авторизационное письмо.
- Называет перечень действий, которые нельзя делать пентестеру при оказании услуг.
- Составляет авторизационное письмо для проведения пентеста.
- Формирует ответственное и этичное поведение пентестера.
- Ориентируется в основных видах пентеста и выделяет их отличия.
- Разбирается в основных этапах и методологиях проведения пентеста, может комбинировать методологии проведения пентеста.
- Воспроизводит, что включает в себя три части отчета пентестера: общие выводы, детализированные результаты, рекомендации по устранению.
- Обосновывает выбор методологии проведения пентеста.
- Воспроизводит основные методы и инструменты OSINT и умеет пользоваться основными инструментами и сервисами.
- Использует основные автоматизированные инструменты пентестера.
- Определяет основные типы уязвимостей на внешнем периметре.
- Получает из открытых источников информацию о сетевой инфраструктуре компании.
- Использует инструменты автоматизированного и ручного выявления уязвимостей веб-приложений.
- Определяет активные хосты и службы на этих хостах.
- Идентифицирует и использует уязвимости в низковисящих фруктах для проникновения в сеть.
- Использует инструменты внутреннего тестирования на проникновения.
- Проводит сканирование сети, анализирует трафик, эксплуатирует типовые уязвимости и получает доступ к системам внутри сети.
- Проводит тестирование на различных операционных системах (iOS, Android) и устройствах.
- Использует инструменты статического (декомпиляторы, статические анализаторы кода) и динамического (дебаггеры, эмуляторы и пакетные снифферы) анализа мобильных приложений.
- Ориентируется в типовых уязвимостях мобильных приложений.
- Проводит тестирование мобильных приложений в анализаторе MobSF.
- Объясняет как реализуются атаки с использованием техник социальной инженерии: основные этапы, принципы, методы и инструменты реализации фишинговой атаки.
- Применяет атаку Reflected XSS для нахождения уязвимостей веб-приложений и дальнейшей реализации фишинговой атаки.
- В рамках тестирования на проникновение и под руководством преподавателя может провести основные этапы фишинговой атаки на компанию, сформировать отчет и рекомендации по защиты от фишинговой атаки.
- Разбирается в основных средствах для проведения анализа кода приложений и их применении для анализа кода приложений.
- Разрабатывает простые правила статических анализаторов кода.
- Работает с SAST semgrep.
- Обходит ограничения на подключение к сети и атаки на LAN и WiFi сети.
- Анализирует трафик с целью получения необходимой информации.
- Использует утилиты по записи трафика, подбору пароля к WiFi.
- Описывает методологию Red Teaming и отличает от тестирования на проникновение.
- Выбирает оптимальное решение для компании по тестированию эффективности кибербезопасности.
- Воспроизводит этапы работ, состав команды, приводит примеры инструментов, описывает типовую инфраструктуру.
- Описывает основные концепции контейнеризации и технологии Docker & k8s.
- Разворачивает и управляет контейнерами, использует основные команды Docker и Kubernetes.
- Ориентируется в типовых уязвимостях и атаках на Docker, методах защиты контейнеров от этих атак
- Описывает основные этапы и механизмы развития киберпреступности и приводит примеры известных киберпреступлений и их последствий.
- Объясняет как реализуется методология расследования киберпреступлений, включая сбор и анализ цифровых доказательств, идентификация потенциальных подозреваемых и принятие мер к пресечению и предотвращению преступлений.
- Использует открытые источники информации (OSINT) для сбора и анализа данных в ходе расследования киберпреступлений.
- Анализирует и идентифицирует цифровые следы, оставленные преступниками в ходе выполнения этих видов атак.
- Объясняет процесс Threat Intelligence: для чего он используется и какие задачи ИБ решает, принципы построения и внедрения процесса Threat Intelligence.
- Описывает основные характеристики и преимущества отечественных и зарубежных платформ и выбирает подходящее для организации решение.
- На практике производит детектирование атак на внутреннюю инфраструктуру компании.
- Выполняет подготовку к расследованию инцидентов.
- Работает с основными инструментами для анализа событий Windows.
- Анализирует лог файлы в Windows.
- Описывает основные вектора атак на Linux системы.
- Выполняет настройки журналирования syslog, auditd.
- Разбирает атаки по журналам syslog и auditd.
- Анализирует лог файлы в Unix.
Содержание учебной дисциплины
- Раздел 1. Детектирование атак
- Раздел 2. Законодательное обеспечение пентеста
- Раздел 3. Введение в тестирование на проникновение
- Раздел 4. Тестирование внешнего периметра и веб-ресурсов
- Раздел 5. Внутреннее тестирование на проникновение
- Раздел 6. Тестирование мобильных приложений
- Раздел 7. Тестирование на проникновение с использованием методов социальной инженерии
- Раздел 8. Статический и динамический анализ исходного кода
- Раздел 9. Тестирование на проникновение LAN и WiFi-сетей
- Раздел 10. Основы Red Teaming
- Раздел 11. Тестирование технологий: Docker & k8s. Атаки на интерфейсы управления.
- Раздел 12. Теории и практики расследования киберпреступлений
- Раздел 13. Threat intelligence - продвинутое (превентивное) нахождение уязвимостей
- Раздел 14. Практика детектирования атак
Элементы контроля
- Тесты и задания с самопроверкой
- Домашние задания с проверкой преподавателемПроцедура сдачи: 1. Создайте Google Документ, выполните все предлагаемые этапы задания: • Выберите организацию для анализа • Выполните поиск диапазонов IP-адресов организации • Найдите доступные в интернете хосты • Найдите доступные сетевые устройства • Найдите поддомены организации • Выполните сбор скриншотов об анализируемой организации • Найдите скомпрометированные учётные записи или проверьте свой адрес электронной почты на утечки • Подготовьте краткий отчёт по сбору данных в Google Документе 2. Загрузите файл на Google Диск и прикрепите ссылку на файл с выполненным заданием в LMS. Важно: убедитесь, что по ссылке есть доступ. Название файла должно содержать фамилию и имя студента и номер ДЗ Максимальная оценка за выполненное задание — 10 баллов
- Практическая работа на полигоне киберученийИтоговый экзамен по дисциплине проводится в форме выполнения итоговой работы по расследованию инцидентов на полигоне киберучений. Студентам предоставляется задание, связанное с расследованием и управлением инцидентами. Итоговая работа, может включать в себя элементы всех тем курса. Результатом работы студента должен являться отчет по расследованию инцидента, созданный через Google Документы/Таблицы/Презентации или MS Word/Excel/PowerPoint. Название файла должно содержать номер группы, фамилию, имя и название занятия. Студент выполняет итоговое задание до заключительного вебинара по дисциплине и загружает в ЛМС. Преподаватель проверяет работы. На вебинаре преподаватель даёт студентам обратную связь и выставляет оценку.
Промежуточная аттестация
- 2024/2025 3rd module0.4 * Домашние задания с проверкой преподавателем + 0.4 * Практическая работа на полигоне киберучений + 0.2 * Тесты и задания с самопроверкой
Список литературы
Рекомендуемая основная литература
- Бирюков, А. А. Информационная безопасность: защита и нападение / А. А. Бирюков. — 2-е изд. — Москва : ДМК Пресс, 2017. — 434 с. — ISBN 978-5-97060-435-9. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/93278 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.
- Диогенес, Ю. Кибербезопасность. стратегия атак и обороны / Ю. Диогенес, Э. Озкайя , перевод с английского Д. А. Беликова. — Москва : ДМК Пресс, 2020. — 326 с. — ISBN 978-5-97060-709-1. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/131717 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.
Рекомендуемая дополнительная литература
- Булычёв, Г. Г. Программно-аппаратные средства защиты информации : учебно-методическое пособие / Г. Г. Булычёв. — Москва : РТУ МИРЭА, 2022 — Часть 2 — 2022. — 177 с. — ISBN 978-5-7339-1653-8. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/310784 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.