Технології розслідування інцидентів інформаційної безпеки
Спеціальність: Кібербезпека
Код дисципліни: 6.125.00.O.064
Кількість кредитів: 3.00
Кафедра: Захист інформації
Семестр: 7 семестр
Форма навчання: денна
Технології розслідування інцидентів інформаційної безпеки
Спеціальність: Кібербезпека
Код дисципліни: 6.125.00.O.063
Кількість кредитів: 3.00
Кафедра: Безпека інформаційних технологій
Лектор: Професор Нємкова Олена Анатоліївна
Семестр: 7 семестр
Форма навчання: денна
Завдання: - знати загальні концепції реагування на інциденти інформаційної безпеки, у тому числі знання правничих аспектів законодавства країни,
- знати основні особливості різноманітних судових інструментів та методів,
- орієнтуватись у методах попередження ненавмисного пошкодження слідів інцидентів з метою подальшого аналізу методами розслідування інцидентів,
- знати стандарти ISO / IEC 27037,
- орієнтуватись у технологіях розслідування інцидентів на рівні мережі,
- знати особливості проведення розслідування інцидентів кібербезпеки у різноманітних операційних системах: Windows, Linux и Mac OS,
- знати особливості проведення розслідування інцидентів кібербезпеки у комп’ютерних мережах: аналіз дампів трафіку, функцій мережевих додатків,
- знати особливості проведення оперативного розслідування інцидентів кібербезпеки у файлових системах і пам’яті.
Результати навчання: ЗН 2. Організовувати власну професійну діяльність, обирати оптимальні методи та способи розв’язування складних спеціалізованих задач та практичних проблем у професійній діяльності, оцінювати їхню ефективність.
ЗН 3. Використовувати результати самостійного пошуку, аналізу та синтезу інформації з різних джерел для ефективного рішення спеціалізованих задач професійної діяльності.
ЗН 4. Аналізувати, аргументувати, приймати рішення при розв’язанні складних спеціалізованих задач та практичних проблем у професійній діяльності, які характеризуються комплексністю та неповною визначеністю умов, відповідати за прийняті рішення.
ЗН 16. Знання правових основ дослідницьких робіт і законодавства України в галузі інформаційної безпеки.
ЗН 21. Знання нових вітчизняних та міжнародних стандартів інформаційної безпеки.
ЗН 1.8. Забезпечувати належне функціонування систем моніторингу інформаційних ресурсів і процесів в інформаційно-телекомунікаційних системах.
ЗН 1.9. Забезпечувати функціонування програмних та програмно-апаратних комплексів виявлення вторгнень різних рівнів та класів (статистичних, сигнатурних, статистично-сигнатурних).
ЗН 1.11. Використовувати інструментарій для моніторингу процесів в інформаційно-телекомунікаційних системах.
ЗН 4.7. Діяти на основі законодавчої та нормативно-правової бази України та вимог відповідних стандартів, у тому числі міжнародних в галузі інформаційної та/або кібербезпеки.
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Комп’ютерні мережі
Операційні системи
Програмування
Короткий зміст навчальної програми: Дисципліна формує уявлення про методологію розкриття злочинів, пов’язаних з цифровою (комп’ютерною) інформацією та інцидентами кібербезпеки; дослідженні цифрових доказів; методах пошуку, вилучення і фіксації таких доказів.
Дає вміння досліджувати наявність слідів цифрових доказів інцидентів кібербезпеки у різноманітних операційних системах, файлових системах, пам’яті, мережі. Також дає навички вибору відомих інструментів для проведення цифрового аналізу і збору цифрових доказів. Дає вміння самостійно проводити інсталяцію програмного забезпечення робочої станції для збору, вилучення та фіксації цифрових доказів.
Опис: Тема 1. Вступ до технологій розслідування інцидентів інформаційної безпеки.
Мета, завдання та структура курсу. Поняття інциденту інформаційної безпеки. Стандартні робочі процедури. Складання звітів та методологія документації. Загальні аспекти технологій реагування на інциденти інформаційної безпеки. Стандарти ідентифікації, зібрання і збереження цифрових доказів (ISO / IEC 27037).
Тема 2. Файлові системи.
Аналіз файлової системи. Отримання даних. Створення зображень для цифрової експертизи. Опис інструментів. Файлові системи Windows. Файлова система Linux.
Тема 3. Моніторинг процесів операційних систем.
Аналіз операційної системи. Аналіз артефактів. Журнали. Попередня вибірка. Інструменти для аналізу артефактів.
Тема 4. Кіберрозвідка.
Аналіз Інтернет - додатків. Браузери. P2P артефакти. Інструменти для аналізу артефактів додатків.
Тема 5. Операційна безпека.
Аналіз метаданих файлів. Шифрування (бітлокери). Інструменти для аналізу артефактів додатків Windows. Аналіз артефактів Linux. Аналіз артефактів Mac OS. Сніфінг мережевого трафіку. Робота з увімкненими машинами. Особливості змінних даних, їх отримання. (Windows, Linux, Mac OS).
Тема 6. Технологія «Пісочниця». Сертифікація SOC2. Контейнеризація. Створення неіснуючих осіб з використанням персональних даних. Фізична безпека. Небезпека мобільних телефонів.
Методи та критерії оцінювання: Для діагностики знань застосовуються наступні методи: усне індивідуальне опитування на кожному лабораторному занятті, індивідуальний захист звітів лабораторних робіт; залікова перевірка знань в кінці семестрового навчання. Максимальний бал у балах:100, зокрема: Виконання та захист лабораторних робіт: 50, екзаменаційний контроль: 50.
Критерії оцінювання результатів навчання: Оцінювання знань студентів здійснюється на основі теоретичних і практичних завдань, які перевіряють здатність розуміти, аналізувати та застосовувати концепції, методи й технології розслідування інцидентів кібербезпеки.
1. Знання загальних концепцій реагування на інциденти інформаційної безпеки, включаючи правові аспекти
Оцінювання: тести (15% від загальної оцінки).
2. Розуміння особливостей судових інструментів та методів
Оцінювання: тести (15%).
3. Знання методів збереження слідів інцидентів для подальшого аналізу
Оцінювання: тести, аналіз кейсів (10%).
4. Орієнтація у стандартах ISO/IEC 27037
Оцінювання: тести (10%).
5. Знання технологій розслідування інцидентів на рівні мережі
Оцінювання: лабораторні роботи, аналіз мережевих дампів (15%).
6. Знання методів розслідування інцидентів у різних операційних системах (Windows, Linux, Mac OS)
Оцінювання: лабораторні роботи, тести (15%).
7. Знання методів аналізу комп’ютерних мереж
Оцінювання: лабораторні роботи, тести (10%).
8. Знання методів розслідування у файлових системах і пам’яті
Оцінювання: лабораторні роботи, тести (10%).
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. ISO/IEC 27037:2012 — Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence. Режим доступу: https://www.iso27001security.com/html/27037.html
2. David Watson. Digital Forensics Processing and Procedures. - 2013. – 880 p.
3. Cory Altheide. Digital Forensics with Open Source Tools. – 2011. – 275 p.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою:
вул. Карпінського, 2/4, І-й н.к., кімн. 112
E-mail: nolimits@lpnu.ua
Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).
Технології розслідування інцидентів інформаційної безпеки (курсова робота)
Спеціальність: Кібербезпека
Код дисципліни: 6.125.00.O.065
Кількість кредитів: 2.00
Кафедра: Захист інформації
Семестр: 7 семестр
Форма навчання: денна