В курсе рассматривается тематика информационной безопасности, о том почему это важно, как построена защита в передовых организациях, какие семейства средств по информационной безопасности присутствуют на рынке - на примере Enterprise решений Лаборатории Касперского с обзором особенностей и функционала.
Будут освещены темы с практическими частями по базовым знаниям использования Linux, Эвристике и Threat Hunting, Созданию собственных YARA-правил по IoC.
В течении курса будет производиться демонстрация анализа объектов на KSMG и KATA с фишинговыми письмами, ссылками и вредоносным ПО.
Занятия проходят в дистанционном формате в вечернее время с 18 до 21 часа.
Слушатели узнают:
Как действуют злоумышленники и как от них защищаться;
Почему недостаточно только сигнатурного анализа объектов;
Об Enterprise решениях Лаборатории Касперского;
Как интегрируется линейка продуктов между собой;
Как работает современное вредоносное ПО и на какие события в системе необходимо акцентировать внимание;
Познакомитесь на с техниками распространения вредоносного ПО в том числе и социальной инженерией;
Узнаете откуда брать объекты и какие ресурсы использовать при тестировании средств по защите информации и на что акцентировать внимание.
Слушатели будут уметь:
Базово работать с ОС Linux;
Проводить Эвристику на конечных станциях и проводить Threat Hunting;
Создавать собственные YARA-правил на основе индикаторов компрометации.
Предварительные требования
быть в теме и интересоваться информационной безопасностью
необязательно, но приветствуется знание ОС, сетевых технологий и практика работы на Linux
необязательно, но приветствуется опыт работы с продуктами по динамическому анализу других производителей.
Аудитория курса:
Курс предназначен в большей степени для технических специалистов в области безопасности, которые интересуются или работают с Enterprise продуктами Лаборатории Касперского или продуктами класса Advanced Threat Defense. Это те, кто хочет получить новые знания (или их систематизировать) о технологиях используемых в продуктах информационной безопасности и базовые навыки в отдельных направлениях информационной безопасности.
Также курс будет полезен для менеджеров (по закупкам, Product, BDM и др.), принимающих решения о приобретении оборудования или кто продает средства по информационной безопасности, так как программа обучения знакомит с различными технологиями обеспечения безопасности в организациях, их реализацией в продуктах Лаборатории Касперского и текущей обстановке по информационной безопасности.
1. Нужна ли защита?
Безопасность – что это? Безопасность – почему столько внимания? Нужна ли защита?
2. Масштаб угроз, тенденции и статистика
Почему так много? Основные векторы распространения ВПО. Основные техники социальной инженерии. Создание фишингового письма и отправка от чужого имени.
3. Как атакуют и как защищаться и статистика
Kill Chain. Адаптивная модель защиты. Статистика по наличию целевых атак в компаниях.
4. КАТА
Архитектура и Интеграция. Продвинутая песочница. Преимущества динамического анализа. KSN.
5.KEDR
EPP и EDR. Особенности и функционал KEDR. Threat Hunting. Варианты развертывания. Практика 2 - Базовая Эвристика.
6.Threat Intelligence
Понятие, что такое Feeds, IoC, STIX, TAXII, YARA. Примеры Feeds, STIX и TAXII. MITRE ATT&CK™. Типы индикаторов. Приотиритизация IoC. Жизненный цикл IoC. Краткий экскурс по порталу KTIP. Пример отчета по АРТ.
7. КАТА и KEDR
Пример поиска по IoC. Практика 3 - Поиск шифровальщика.
8. Интерфейс и функционал (на скриншотах)
9. Демонстрация анализа ВПО на AnyRUN и Hybrid Analysis
Откуда брать образцы ВПО. Проверка образцов. Разбор обнаружения песочницы.
10. Интеграция "в разрыв"
KSMG. KWTS. KPSN. KATA REST API.
11. Разбор YARA-правил
Структура YARA правил. YARA-агрегаторы. Практика 4 - YARA-правила.
12. Итоговый тест по полученным знаниям