Технології розслідування інцидентів інформаційної безпеки

Спеціальність: Кібербезпека
Код дисципліни: 6.125.00.O.064
Кількість кредитів: 3.00
Кафедра: Захист інформації
Семестр: 7 семестр
Форма навчання: денна

Технології розслідування інцидентів інформаційної безпеки

Спеціальність: Кібербезпека
Код дисципліни: 6.125.00.O.063
Кількість кредитів: 3.00
Кафедра: Безпека інформаційних технологій
Лектор: Професор Нємкова Олена Анатоліївна
Семестр: 7 семестр
Форма навчання: денна
Мета вивчення дисципліни: Метою даної дисципліни є подання студентам знань з теоретичних основ та практичних методів розслідування інцидентів інформаційної безпеки. Вивчення курсу необхідне для формування навичок реального розслідування інцидентів кібербезпеки з точки зору різноманітних аспектів, а саме: операційних систем, мережі, файлових систем, аналізу пам’яті. Дисципліна ознайомлює студентів з інструментарієм сучасних технологій розслідування інцидентів, у тому числі попередження непередбачених пошкоджень слідів інцидентів для їх подальшого аналізу судовими експертами.
Завдання: - знати загальні концепції реагування на інциденти інформаційної безпеки, у тому числі знання правничих аспектів законодавства країни, - знати основні особливості різноманітних судових інструментів та методів, - орієнтуватись у методах попередження ненавмисного пошкодження слідів інцидентів з метою подальшого аналізу методами розслідування інцидентів, - знати стандарти ISO / IEC 27037, - орієнтуватись у технологіях розслідування інцидентів на рівні мережі, - знати особливості проведення розслідування інцидентів кібербезпеки у різноманітних операційних системах: Windows, Linux и Mac OS, - знати особливості проведення розслідування інцидентів кібербезпеки у комп’ютерних мережах: аналіз дампів трафіку, функцій мережевих додатків, - знати особливості проведення оперативного розслідування інцидентів кібербезпеки у файлових системах і пам’яті.
Результати навчання: ЗН 2. Організовувати власну професійну діяльність, обирати оптимальні методи та способи розв’язування складних спеціалізованих задач та практичних проблем у професійній діяльності, оцінювати їхню ефективність. ЗН 3. Використовувати результати самостійного пошуку, аналізу та синтезу інформації з різних джерел для ефективного рішення спеціалізованих задач професійної діяльності. ЗН 4. Аналізувати, аргументувати, приймати рішення при розв’язанні складних спеціалізованих задач та практичних проблем у професійній діяльності, які характеризуються комплексністю та неповною визначеністю умов, відповідати за прийняті рішення. ЗН 16. Знання правових основ дослідницьких робіт і законодавства України в галузі інформаційної безпеки. ЗН 21. Знання нових вітчизняних та міжнародних стандартів інформаційної безпеки. ЗН 1.8. Забезпечувати належне функціонування систем моніторингу інформаційних ресурсів і процесів в інформаційно-телекомунікаційних системах. ЗН 1.9. Забезпечувати функціонування програмних та програмно-апаратних комплексів виявлення вторгнень різних рівнів та класів (статистичних, сигнатурних, статистично-сигнатурних). ЗН 1.11. Використовувати інструментарій для моніторингу процесів в інформаційно-телекомунікаційних системах. ЗН 4.7. Діяти на основі законодавчої та нормативно-правової бази України та вимог відповідних стандартів, у тому числі міжнародних в галузі інформаційної та/або кібербезпеки.
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Комп’ютерні мережі Операційні системи Програмування
Короткий зміст навчальної програми: Дисципліна формує уявлення про методологію розкриття злочинів, пов’язаних з цифровою (комп’ютерною) інформацією та інцидентами кібербезпеки; дослідженні цифрових доказів; методах пошуку, вилучення і фіксації таких доказів. Дає вміння досліджувати наявність слідів цифрових доказів інцидентів кібербезпеки у різноманітних операційних системах, файлових системах, пам’яті, мережі. Також дає навички вибору відомих інструментів для проведення цифрового аналізу і збору цифрових доказів. Дає вміння самостійно проводити інсталяцію програмного забезпечення робочої станції для збору, вилучення та фіксації цифрових доказів.
Опис: Тема 1. Вступ до технологій розслідування інцидентів інформаційної безпеки. Мета, завдання та структура курсу. Поняття інциденту інформаційної безпеки. Стандартні робочі процедури. Складання звітів та методологія документації. Загальні аспекти технологій реагування на інциденти інформаційної безпеки. Стандарти ідентифікації, зібрання і збереження цифрових доказів (ISO / IEC 27037). Тема 2. Файлові системи. Аналіз файлової системи. Отримання даних. Створення зображень для цифрової експертизи. Опис інструментів. Файлові системи Windows. Файлова система Linux. Тема 3. Моніторинг процесів операційних систем. Аналіз операційної системи. Аналіз артефактів. Журнали. Попередня вибірка. Інструменти для аналізу артефактів. Тема 4. Кіберрозвідка. Аналіз Інтернет - додатків. Браузери. P2P артефакти. Інструменти для аналізу артефактів додатків. Тема 5. Операційна безпека. Аналіз метаданих файлів. Шифрування (бітлокери). Інструменти для аналізу артефактів додатків Windows. Аналіз артефактів Linux. Аналіз артефактів Mac OS. Сніфінг мережевого трафіку. Робота з увімкненими машинами. Особливості змінних даних, їх отримання. (Windows, Linux, Mac OS). Тема 6. Технологія «Пісочниця». Сертифікація SOC2. Контейнеризація. Створення неіснуючих осіб з використанням персональних даних. Фізична безпека. Небезпека мобільних телефонів.
Методи та критерії оцінювання: Для діагностики знань застосовуються наступні методи: усне індивідуальне опитування на кожному лабораторному занятті, індивідуальний захист звітів лабораторних робіт; залікова перевірка знань в кінці семестрового навчання. Максимальний бал у балах:100, зокрема: Виконання та захист лабораторних робіт: 50, екзаменаційний контроль: 50.
Критерії оцінювання результатів навчання: Оцінювання знань студентів здійснюється на основі теоретичних і практичних завдань, які перевіряють здатність розуміти, аналізувати та застосовувати концепції, методи й технології розслідування інцидентів кібербезпеки. 1. Знання загальних концепцій реагування на інциденти інформаційної безпеки, включаючи правові аспекти Оцінювання: тести (15% від загальної оцінки). 2. Розуміння особливостей судових інструментів та методів Оцінювання: тести (15%). 3. Знання методів збереження слідів інцидентів для подальшого аналізу Оцінювання: тести, аналіз кейсів (10%). 4. Орієнтація у стандартах ISO/IEC 27037 Оцінювання: тести (10%). 5. Знання технологій розслідування інцидентів на рівні мережі Оцінювання: лабораторні роботи, аналіз мережевих дампів (15%). 6. Знання методів розслідування інцидентів у різних операційних системах (Windows, Linux, Mac OS) Оцінювання: лабораторні роботи, тести (15%). 7. Знання методів аналізу комп’ютерних мереж Оцінювання: лабораторні роботи, тести (10%). 8. Знання методів розслідування у файлових системах і пам’яті Оцінювання: лабораторні роботи, тести (10%).
Порядок та критерії виставляння балів та оцінок: 100-88 балів - атестований з оцінкою «відмінно» - Високий рівень: здобувач освіти демонструє поглиблене володіння поняттєвим та категорійним апаратом навчальної дисципліни, системні знання, вміння і навички їх практичного застосування. Освоєні знання, вміння і навички забезпечують можливість самостійного формулювання цілей та організації навчальної діяльності, пошуку та знаходження рішень у нестандартних, нетипових навчальних і професійних ситуаціях. Здобувач освіти демонструє здатність робити узагальнення на основі критичного аналізу фактичного матеріалу, ідей, теорій і концепцій, формулювати на їх основі висновки. Його діяльності ґрунтується на зацікавленості та мотивації до саморозвитку, неперервного професійного розвитку, самостійної науково-дослідної діяльності, що реалізується за підтримки та під керівництвом викладача. 87-71 балів - атестований з оцінкою «добре» - Достатній рівень: передбачає володіння поняттєвим та категорійним апаратом навчальної дисципліни на підвищеному рівні, усвідомлене використання знань, умінь і навичок з метою розкриття суті питання. Володіння частково-структурованим комплексом знань забезпечує можливість їх застосування у знайомих ситуаціях освітнього та професійного характеру. Усвідомлюючи специфіку задач та навчальних ситуацій, здобувач освіти демонструє здатність здійснювати пошук та вибір їх розв’язання за поданим зразком, аргументувати застосування певного способу розв’язання задачі. Його діяльності ґрунтується на зацікавленості та мотивації до саморозвитку, неперервного професійного розвитку. 70-50 балів - атестований з оцінкою «задовільно» - Задовільний рівень: окреслює володіння поняттєвим та категорійним апаратом навчальної дисципліни на середньому рівні, часткове усвідомлення навчальних і професійних задач, завдань і ситуацій, знання про способи розв’язання типових задач і завдань. Здобувач освіти демонструє середній рівень умінь і навичок застосування знань на практиці, а розв’язання задач потребує допомоги, опори на зразок. В основу навчальної діяльності покладено ситуативність та евристичність, домінування мотивів обов’язку, неусвідомлене застосування можливостей для саморозвитку. 49-00 балів - атестований з оцінкою «незадовільно» - Незадовільний рівень: свідчить про елементарне володіння поняттєвим та категорійним апаратом навчальної дисципліни, загальне уявлення про зміст навчального матеріалу, часткове використання знань, умінь і навичок. В основу навчальної діяльності покладено ситуативно-прагматичний інтерес.
Рекомендована література: 1. ISO/IEC 27037:2012 — Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence. Режим доступу: https://www.iso27001security.com/html/27037.html 2. David Watson. Digital Forensics Processing and Procedures. - 2013. – 880 p. 3. Cory Altheide. Digital Forensics with Open Source Tools. – 2011. – 275 p.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою: вул. Карпінського, 2/4, І-й н.к., кімн. 112 E-mail: nolimits@lpnu.ua Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).

Технології розслідування інцидентів інформаційної безпеки (курсова робота)

Спеціальність: Кібербезпека
Код дисципліни: 6.125.00.O.065
Кількість кредитів: 2.00
Кафедра: Захист інформації
Семестр: 7 семестр
Форма навчання: денна