ПРОГРАММА КУРСА
1. Введение.
- Принципы построения SOC (Security Operation Center).
- Метрики SOC для измерения эффективности работы SOC
- Инструменты Network Security Monitoring (NSM).
- Знакомство со средой виртуализации для выполнения лабораторных работ.
2. Протоколы TCP/IP и их уязвимости.
- Структура, принципы работы протоколов и их уязвимости Ethernet, IP, TCP, UDP, ICMP, ARP.
3. Знакомство с Wireshark.
- Анализ пакетов заголовоков основных протоколов.
4. Основные сетевые сервисы и их уязвимости.
- DHCP, NTP, DNS, ICMP и их уязвимости.
- Анализ протоколов DHCP, DNS в Wireshark.
5. Сетевые устройства для обеспечения информационной безопасности.
- Маршрутизаторы, коммутаторы.
- Принципы обеспечения информационной безопасности.
- Межсетевые экраны, системы IPS, AAA, VPN.
6. Лабораторная работа - настройка листов контроля доступа.
7. Основные виды угроз.
- Сетевые атаки.
- DoS, DDoS атаки, человек по середине, прослушивание портов, ICMP атаки.
8. Лаборатория работа - работа с NMAP. Работа с ICMP протоколом.
9. Средства мониторинга сетевой активности.
- Протокол Netflow (IPFix), SIEM системы, SOAR системы.
10. Работа в виртуальной лаборатории с образом Linux Security Onion.
- Сбор лог файлов по протоколу syslog.
- Мониторинг сети.
11. Криптография.
- Цифровые сертификаты и удостоверяющие центры.
12. Практическая работа
- Анализ криптографических алгоритмов, хэш функций, работа с цифровыми сертификатами.
13. Защита оконечных устройств.
- БДУ ФСТЭК России.
- CVSS метрика.
- Тактики, техники и общедоступные факты о злоумышленниках (MITRE Att&ck)
14. Анализ данных сетевых устройств.
- Лог файлы, файлы журналов ОС, фаерволов и др.
- Системы IPS, работа в Squil (на примере IPS Snort)
15. Цепочка киберубийства (kill chain) и бриллиантовая модель (diamond models) для расследования инцидентов безопасности.
- Основы цифровой криминалистики