Для кого этот курс:
- Руководители и сотрудники служб безопасности и защиты информации
- Специалисты по поисковым мероприятиям
В курсе осуществляется углубленное изучение вопросов архитектура и принципы работы систем обнаружения и предотвращение вторжений. Обосновывается необходимость применения технологии обнаружения и предотвращения вторжений (атак), подробно разбираются признаки атак, источники информации об атаках и методы анализа информации. В ходе изучения темы рассматриваются возможности имеющихся систем и осуществляется практическая работа как с коммерческими, так и свободно распространяемыми продуктами и решениями по обнаружению вторжений.
- Угрозы безопасности информации и основные виды атак
- Уязвимости сетевых протоколов, операционных систем и приложений.
- Атаки. Модель традиционной и распределенной атаки. Этапы и средства реализации атак. Классификация атак.
- Типовые сценарии различных видов атак на канальном, сетевом, транспортном и прикладном уровнях: сбор информации, сканирование сети, перехват и взлом паролей учетных записей, атака на переполнение буфера, атака перехвата сеанса, взлом веб-серверов, SQL-инъекции, атаки на беспроводные сети.
- Системы обнаружения и предотвращение вторжений (IDS/IPS)
- Необходимость технологии обнаружения атак. Обнаружение атак как механизм защиты. Базы данных атак и уязвимостей. Инциденты.
- Архитектура системы обнаружения вторжений. Требования к системам обнаружения вторжений. Классификация систем обнаружения вторжений.
- Методы поиска признаков атак в различных источниках, обработки и анализа собранной информации. Признаки атак: повтор определенных событий, неправильные команды, использование уязвимостей, несоответствующие параметры сетевого трафика, несоответствие стандартам протоколов обмена информации, неправильные атрибуты.
- Источники данных для систем обнаружения атак.
- Принципы работы и варианты подключения сетевых систем обнаружения атак – сетевые IDS/IPS.
- Обнаружение атак на уровне отдельного узла – персональные IDS/IPS.
- Система Network Flow Data как дополнительный источник данных.
- Методы обнаружения атак. Обнаружение аномалий и злоупотребелений. Анализ протоколов. Построение профиля поведения.
- Механизмы реагирования. Варианты оповещений. Регистрация. Блокировка. Особенности использования систем противодействия атакам.
- Специализированные системы обнаружения атак. Особенности защиты беспроводных сетей. Защита от атак на СУБД и Web-приложения.
- Система обнаружения вторжений Snort. Сертифицированные системы обнаружения вторжений.
- Взаимодействие с другими средствами защиты. Обнаружение атак и другие защитные механизмы. Корреляция.
- Анализ результатов работы систем обнаружения атак. Управление инцидентами.
Отзывов по данному курсу пока нет