🛡️ Уроки 13-14. Сетевая археология

• Изучить принципы анализа сетевого трафика и реконструкции сетевых событий
• Освоить методологии форензического анализа сетевых коммуникаций
• Понять техники восстановления цифровых следов в сетевой инфраструктуре
• Изучить современные инструменты и подходы к сетевой археологии

• Развить аналитическое мышление для работы с большими объемами сетевых данных
• Сформировать навыки корреляции событий из различных источников
• Развить способность восстанавливать хронологию сетевых инцидентов
• Научиться выявлять скрытые паттерны в сетевом трафике

• Воспитать ответственное отношение к обработке и анализу сетевых данных
• Сформировать этические принципы при работе с личной информацией в трафике
• Развить терпение и внимательность при длительном анализе данных

Детективная история “Цифровой след исчезнувших данных”

Сценарий: Воссоздание реального инцидента (анонимизированного)

• Крупная IT-компания обнаруживает утечку исходного кода
• Все логи приложений показывают нормальную активность
• Антивирусы и SIEM не зафиксировали подозрительной активности
• Единственная зацепка: архивы сетевого трафика за последние 30 дней

Демонстрация: Показ фрагмента реального трафика с замаскированной атакой

• На первый взгляд - обычный HTTPS трафик
• После анализа метаданных - аномальные паттерны
• Глубокий анализ показывает DNS туннелирование для кражи данных

Проблематизация:

• Как в терабайтах “нормального” трафика найти иголку в стогу сена?
• Какие следы оставляют атакующие даже при использовании шифрования?
• Можно ли восстановить события недельной давности по фрагментам данных?

Определение сетевой археологии: Сетевая археология (Network Forensics) - это процесс захвата, записи, анализа и реконструкции сетевых событий для понимания произошедших инцидентов безопасности или нарушений.

Отличия от смежных дисциплин:

• Network Monitoring: реальное время vs ретроспективный анализ
• Intrusion Detection: автоматическое обнаружение vs ручное расследование
• Traffic Analysis: общий анализ vs целенаправленное расследование
• Digital Forensics: сетевые артефакты vs артефакты хост-систем

Принципы форензического анализа сетей:

1. Принцип целостности доказательств:

• Chain of custody: документирование всех операций с данными
• Hash verification: проверка целостности захваченного трафика
• Time synchronization: точная временная привязка событий
• Original preservation: сохранение исходных данных без изменений

2. Принцип полноты анализа:

• Multi-layer analysis: анализ всех уровней сетевого стека
• Correlation analysis: сопоставление данных из разных источников
• Timeline reconstruction: восстановление хронологии событий
• Context understanding: понимание бизнес-контекста происходящего

3. Принцип методологической строгости:

• Reproducible methods: воспроизводимость результатов анализа
• Documentation standards: стандартизированное документирование
• Peer review: возможность независимой проверки выводов
• Legal admissibility: соответствие требованиям для судебных процедур

Типы сетевых артефактов:

Активные артефакты (прямые следы):

• Packet captures (PCAP): полные копии сетевых пакетов
• Flow records (NetFlow/sFlow): агрегированные данные о соединениях
• Connection logs: журналы установленных соединений
• Application logs: логи сетевых приложений и сервисов

Пассивные артефакты (косвенные следы):

• Timing patterns: временные паттерны в коммуникациях
• Bandwidth utilization: аномалии в использовании пропускной способности
• Protocol distributions: необычные распределения протоколов
• Geographical patterns: географические аномалии в трафике

Архитектура сбора сетевых данных:

Стратегические точки мониторинга:

• Perimeter monitoring: границы корпоративной сети (фаерволы, DMZ)
• Core network monitoring: магистральные каналы и коммутаторы ядра
• Segment monitoring: критические сегменты сети (серверы, рабочие станции)
• Endpoint monitoring: мониторинг на уровне конечных устройств

Методы захвата трафика:

Passive monitoring (пассивный мониторинг):

• Network TAPs: физические устройства для прозрачного копирования трафика
• Switch port mirroring (SPAN): копирование трафика через коммутаторы
• Router-based capture: захват на маршрутизаторах через NetFlow/sFlow
• Wireless monitoring: специализированные точки доступа для беспроводного трафика

Active monitoring (активный мониторинг):

• Network probing: активное зондирование сети для получения данных
• Synthetic transactions: имитация пользовательских операций
• Performance monitoring: измерение характеристик сети
• Vulnerability scanning: активное сканирование на предмет уязвимостей

Типы собираемых данных:

Full packet capture (полный захват пакетов):

• Преимущества: максимальная детализация, возможность глубокого анализа
• Недостатки: большие объемы данных, высокие требования к хранению
• Применение: детальное расследование инцидентов, форензический анализ
• Инструменты: tcpdump, Wireshark, ntopng, SolarWinds

Flow-based monitoring (мониторинг потоков):

• NetFlow (Cisco): стандарт экспорта информации о IP-потоках
• sFlow (InMon): статистическая выборка сетевого трафика
• IPFIX (IETF): международный стандарт экспорта информации о потоках
• J-Flow (Juniper): реализация flow monitoring от Juniper

Metadata collection (сбор метаданных):

• DNS queries/responses: запросы и ответы DNS серверов
• TLS/SSL handshakes: метаданные установления защищенных соединений
• HTTP headers: заголовки HTTP запросов и ответов
• Email headers: заголовки электронных сообщений

Нормативные и технические ограничения:

Юридические аспекты:

• Privacy regulations: соблюдение требований защиты персональных данных
• Employee monitoring laws: законы о мониторинге сотрудников
• Data retention policies: политики хранения сетевых данных
• Cross-border data transfer: передача данных через границы

Технические ограничения:

• Encryption challenges: ограничения анализа зашифрованного трафика
• High-speed networks: проблемы захвата в высокоскоростных сетях
• Storage requirements: требования к объемам хранения данных
• Processing capabilities: вычислительные мощности для анализа

Классификация инструментов сетевой археологии:

Инструменты захвата и предварительной обработки:

Wireshark/TShark:

• Возможности: интерактивный анализ протоколов, фильтрация, декодирование
• Применение: детальный анализ отдельных сессий, обучение протоколам
• Ограничения: не подходит для анализа больших объемов данных
• Особенности: мощная система фильтров, поддержка сотен протоколов

tcpdump/libpcap:

• Возможности: командная строка, высокая производительность, универсальность
• Применение: автоматизированный захват, интеграция со скриптами
• Преимущества: низкое потребление ресурсов, стабильность
• Недостатки: ограниченный пользовательский интерфейс

NetworkMiner:

• Возможности: автоматическое извлечение артефактов, реконструкция файлов
• Применение: быстрый анализ PCAP файлов, извлечение данных
• Особенности: визуализация сетевых хостов, timeline анализ
• Ограничения: ограниченная поддержка протоколов

Платформы для анализа больших данных:

Security Onion:

• Компоненты: Suricata, Zeek, Elasticsearch, Kibana, Grafana
• Возможности: полный стек инструментов для сетевой безопасности
• Применение: развертывание SOC, комплексный мониторинг
• Особенности: интеграция множества open-source инструментов

Zeek (бывший Bro):

• Возможности: высокоуровневый анализ протоколов, scripting language
• Применение: генерация метаданных, обнаружение аномалий
• Преимущества: расширяемость, производительность, точность
• Сценарии использования: мониторинг предприятий, исследования

Moloch/Arkime:

• Возможности: крупномасштабное индексирование и поиск PCAP данных
• Применение: архивирование трафика, быстрый поиск по истории
• Архитектура: распределенная система с веб-интерфейсом
• Особенности: интеграция с Elasticsearch, масштабируемость

Базовые техники анализа:

Statistical analysis (статистический анализ):

• Protocol distribution: распределение протоколов в трафике
• Conversation analysis: анализ коммуникаций между хостами
• Bandwidth utilization: использование пропускной способности
• Timing analysis: анализ временных характеристик

Pattern recognition (распознавание паттернов):

• Signature matching: поиск известных сигнатур атак
• Anomaly detection: выявление отклонений от нормального поведения
• Behavioral analysis: анализ поведенческих паттернов
• Frequency analysis: анализ частотных характеристик

Correlation techniques (техники корреляции):

• Multi-source correlation: корреляция данных из разных источников
• Temporal correlation: временная корреляция событий
• Geographical correlation: географическая корреляция активности
• Protocol correlation: корреляция на уровне различных протоколов

Лабораторное исследование “Первичный анализ инцидента”

Сценарий: Студенты получают PCAP файл с записью реального (анонимизированного) инцидента безопасности

Исходные данные:

• PCAP файл размером 50-100 МБ (2-3 часа активности)
• Минимальная контекстная информация (время инцидента, тип сети)
• Список IP-адресов “критических серверов”
• Базовая топология сети

Задачи для групп (3-4 человека):

Группа 1: Statistical Overview

• Создание общей статистики по трафику
• Выявление топ-источников и назначений трафика
• Анализ распределения протоколов и портов
• Создание временной линии активности

Группа 2: Communication Analysis

• Анализ основных коммуникационных потоков
• Выявление необычных соединений
• Реконструкция сетевых сессий
• Анализ продолжительности соединений

Группа 3: Protocol Deep Dive

• Детальный анализ специфических протоколов
• Поиск аномалий в протокольном поведении
• Анализ заголовков и payload данных
• Выявление протокольных нарушений

Группа 4: Artifact Extraction

• Извлечение файлов из HTTP трафика
• Реконструкция DNS запросов и ответов
• Поиск индикаторов компрометации (IoC)
• Создание списка подозрительных активностей

Результат работы (по 2 мин на группу):

• Краткий отчет о найденных аномалиях
• Визуализация ключевых находок
• Гипотезы о типе инцидента
• Рекомендации для дальнейшего расследования

Синтез результатов и планирование

• Объединение находок всех групп
• Формирование общей картины инцидента
• Выявление пробелов в анализе
• Постановка задач для следующего урока: глубокий анализ и реконструкция атаки

Детективная сводка “Что мы знаем на данный момент”

Формат: Briefing в стиле криминальной полиции

• Каждая группа представляет свои “улики” из предыдущего урока
• Создание общей “доски расследования” с временной линией
• Формулирование основных гипотез о произошедшем
• Определение ключевых вопросов для дальнейшего расследования

Интерактивный элемент: Голосование за наиболее вероятную гипотезу атаки

Глубокий анализ зашифрованного трафика:

Анализ метаданных TLS/SSL:

• Certificate analysis: анализ сертификатов и их цепочек доверия
• Cipher suite analysis: изучение используемых алгоритмов шифрования
• Handshake timing: временные характеристики установления соединения
• SNI (Server Name Indication): анализ имен серверов в незашифрованном виде

JA3/JA3S fingerprinting:

• Client fingerprinting (JA3): идентификация клиентских приложений по параметрам TLS
• Server fingerprinting (JA3S): идентификация серверных приложений
• Behavioral clustering: группировка устройств по TLS поведению
• Threat hunting applications: поиск известных вредоносных fingerprints

Traffic flow analysis:

• Timing correlation: корреляция временных паттернов
• Volume analysis: анализ объемов передаваемых данных
• Burst patterns: анализ пакетной передачи данных
• Inter-arrival times: интервалы между пакетами как источник информации

Техники обнаружения скрытых каналов:

DNS Tunneling Detection:

• Query frequency analysis: аномальная частота DNS запросов
• Subdomain length analysis: необычно длинные поддомены
• Character distribution: анализ распределения символов в запросах
• Response size patterns: аномальные размеры DNS ответов

HTTP/HTTPS Covert Channels:

• Header analysis: скрытые данные в HTTP заголовках
• Cookie tracking: использование cookies для передачи данных
• User-Agent anomalies: подозрительные User-Agent строки
• POST data analysis: анализ содержимого POST запросов

ICMP and Other Protocol Tunneling:

• ICMP data payload: данные в ICMP пакетах сверх нормы
• Protocol misuse: использование протоколов не по назначению
• Steganographic techniques: стеганография в сетевых протоколах
• Timing-based channels: скрытые каналы на основе временных интервалов

Продвинутые корреляционные техники:

Multi-dimensional correlation:

• Spatial correlation: географическая корреляция активности
• Temporal correlation: временные паттерны в различных источниках данных
• Behavioral correlation: корреляция поведенческих характеристик
• Cross-protocol correlation: связи между различными протоколами

Machine learning approaches:

• Clustering analysis: автоматическая группировка похожей активности
• Anomaly detection algorithms: алгоритмы обнаружения аномалий
• Predictive modeling: предсказание следующих действий атакующих
• Pattern classification: классификация известных типов атак

Методология реконструкции cyber kill chain:

Reconnaissance Phase Detection:

• Port scanning patterns: выявление паттернов сканирования портов
• DNS enumeration: попытки перечисления DNS записей
• WHOIS queries: аномальные запросы к WHOIS базам данных
• Social engineering indicators: признаки социальной инженерии в трафике

Weaponization and Delivery:

• Malware download patterns: загрузка вредоносного ПО
• Email attachment analysis: анализ вложений в электронной почте
• Drive-by download detection: автоматические загрузки с веб-сайтов
• Supply chain compromise indicators: признаки компрометации цепочки поставок

Exploitation and Installation:

• Exploit kit signatures: сигнатуры наборов эксплойтов
• Shellcode patterns: паттерны shellcode в сетевом трафике
• Persistence mechanisms: механизмы закрепления в системе
• Lateral movement indicators: признаки горизонтального распространения

Command and Control (C2):

• C2 communication patterns: паттерны коммуникации с управляющими серверами
• Beaconing detection: обнаружение регулярных “маяковых” сигналов
• Data exfiltration patterns: паттерны кражи данных
• Anti-forensics techniques: техники противодействия расследованию

Построение attack timeline:

Timeline construction methodology:

• Chronological ordering: хронологическое упорядочивание событий
• Causality analysis: анализ причинно-следственных связей
• Confidence levels: уровни достоверности различных событий
• Gap identification: выявление пробелов в информации

Visualization techniques:

• Temporal graphs: временные графики активности
• Network diagrams: схемы сетевых взаимодействий
• Flow charts: схемы последовательности действий
• Heat maps: тепловые карты активности

Validation methods:

• Cross-reference validation: перекрестная проверка из разных источников
• Consistency checking: проверка согласованности данных
• Alternative hypothesis testing: проверка альтернативных гипотез
• Expert review: экспертная оценка реконструкции

Стандарты форензической документации:

Chain of custody documentation:

• Evidence handling logs: журналы обработки доказательств
• Integrity verification: проверка целостности данных
• Access control records: записи о доступе к данным
• Timestamp synchronization: синхронизация временных меток

Technical analysis reports:

• Executive summary: краткое изложение для руководства
• Technical details: детальное техническое описание
• Evidence catalog: каталог собранных доказательств
• Methodology description: описание использованных методов

Legal considerations:

• Admissibility requirements: требования допустимости в суде
• Expert testimony preparation: подготовка экспертных заключений
• Cross-examination readiness: готовность к перекрестному допросу
• Documentation standards: стандарты документирования

Визуализация и презентация:

Audience-specific presentations:

• Technical audience: детальные технические схемы и диаграммы
• Management audience: high-level overview с фокусом на бизнес-влияние
• Legal audience: фокус на доказательства и их достоверность
• Incident response teams: actionable intelligence для реагирования

Visualization tools and techniques:

• Network topology diagrams: схемы сетевой топологии
• Attack flow diagrams: схемы потоков атаки
• Timeline visualizations: визуализация временных линий
• Statistical charts: статистические диаграммы и графики

Interactive presentations:

• Live demonstrations: демонстрация в реальном времени
• Interactive dashboards: интерактивные панели мониторинга
• Drill-down capabilities: возможность детализации информации
• What-if scenarios: моделирование различных сценариев

Комплексная реконструкция “Полное расследование инцидента”

Сценарий: Завершение расследования инцидента, начатого в первом уроке

Расширенные данные:

• Дополнительные PCAP файлы с других сегментов сети
• Логи DNS серверов и прокси-серверов
• Логи файрволов и IDS/IPS систем
• Метаданные из SIEM системы

Задачи для интегрированных команд (объединение групп из первого урока):

Команда A: Complete Attack Reconstruction

• Создание полной временной линии атаки
• Идентификация всех этапов cyber kill chain
• Определение использованных техник и инструментов
• Оценка ущерба и масштаба компрометации

Команда B: Attribution and Intelligence

• Анализ TTPs (Tactics, Techniques, Procedures) атакующих
• Поиск связей с известными группами угроз
• Геолокационный анализ источников атак
• Создание индикаторов компрометации (IoCs)

Команда C: Defensive Recommendations

• Анализ эффективности существующих защитных мер
• Выявление точек провала в системе защиты
• Разработка рекомендаций по усилению безопасности
• Создание правил обнаружения для будущих атак

Команда D: Business Impact Assessment

• Оценка влияния на бизнес-процессы
• Анализ скомпрометированных данных
• Расчет финансового ущерба
• Планирование восстановительных мероприятий

Итоговые презентации (по 3 мин на команду):

• Полная реконструкция инцидента с доказательствами
• Визуализация attack flow и временной линии
• Практические рекомендации для предотвращения подобных инцидентов
• Lessons learned и улучшения процессов расследования

Мастер-класс “От сетевого археолога к cyber detective”

Ключевые компетенции сетевого археолога:

• Техническая экспертиза в сетевых протоколах и технологиях
• Аналитическое мышление для работы с большими данными
• Внимание к деталям при поиске скрытых артефактов
• Коммуникативные навыки для презентации результатов

Эволюция профессии:

• От простого анализа логов к комплексной cyber intelligence
• Интеграция машинного обучения в процессы расследования
• Международное сотрудничество в расследовании кибerpреступлений
• Развитие автоматизированных платформ анализа

Связь с другими областями кибербезопасности:

• Threat intelligence и attribution analysis
• Incident response и digital forensics
• Malware analysis и reverse engineering
• Vulnerability research и penetration testing

• Realistic simulations: работа с реальными данными инцидентов
• Role-playing scenarios: студенты как члены команды реагирования
• Time pressure exercises: работа в условиях ограниченного времени
• Cross-functional collaboration: взаимодействие с “другими отделами”

• Authentic case studies: реальные инциденты из практики
• Open-ended investigations: расследования без заранее известных ответов
• Multiple solution paths: различные подходы к решению задач
• Peer collaboration: совместное решение сложных задач

• Virtual labs: безопасная среда для экспериментов
• Interactive visualizations: интерактивная работа с данными
• Simulation platforms: симуляция сетевых атак для анализа
• Collaborative platforms: совместная работа с данными

• Case study debriefing: разбор выполненных расследований
• Methodology reflection: анализ использованных подходов
• Error analysis: изучение ошибок и их предотвращение
• Continuous improvement: постоянное совершенствование навыков

Практические навыки (30%):

• Tool proficiency: владение инструментами сетевого анализа
• Data interpretation: правильная интерпретация сетевых данных
• Pattern recognition: способность выявлять аномалии и паттерны
• Technical documentation: качество технической документации

Аналитическое мышление (20%):

• Hypothesis formation: формулирование обоснованных гипотез
• Evidence evaluation: критическая оценка доказательств
• Logical reasoning: логическое построение выводов
• Alternative consideration: рассмотрение альтернативных объяснений

Коммуникативные компетенции (15%):

• Technical presentations: презентация технических результатов
• Report writing: написание профессиональных отчетов
• Peer collaboration: эффективная работа в команде
• Stakeholder communication: общение с различными аудиториями

Комплексное расследование: “Мастер сетевой археологии”

Студенты проводят полное расследование сложного многоэтапного инцидента с использованием всех изученных техник и инструментов.

Структура итогового проекта:

1. Предварительный анализ (20%):

   • Первичная оценка масштаба инцидента
   • Планирование стратегии расследования
   • Выбор инструментов и методов анализа
   • Создание гипотез для проверки

2. Техническое расследование (40%):

   • Глубокий анализ сетевого трафика
   • Корреляция данных из множественных источников
   • Реконструкция временной линии событий
   • Идентификация техник и инструментов атакующих

3. Синтез и выводы (25%):

   • Создание полной картины инцидента
   • Оценка эффективности защитных мер
   • Разработка рекомендаций по улучшению
   • Attribution analysis (где возможно)

4. Профессиональная презентация (15%):

   • Отчет для технической аудитории
   • Презентация для руководства
   • Документация для правовых процедур
   • Рекомендации для incident response команды

Критерии оценки:

• Техническая точность: корректность технического анализа
• Методологическая строгость: соблюдение форензических стандартов
• Аналитическая глубина: качество интерпретации и выводов
• Практическая применимость: ценность результатов для реальной практики
• Профессиональная презентация: качество коммуникации результатов

Фокус: Основы анализа сетевого трафика и использование готовых инструментов

Еженедельная структура:

• Теоретическая подготовка: изучение сетевых протоколов и основ форензики
• Практические лабораторные: работа с Wireshark и базовыми инструментами
• Case study анализ: разбор простых инцидентов с подробными инструкциями

Итоговый проект: “Анализ простого инцидента”

• Расследование straightforward сетевого инцидента
• Использование стандартных инструментов анализа
• Создание базового отчета с находками
• Презентация результатов коллегам

Компетенции:

• Уверенная работа с основными инструментами
• Понимание базовых сетевых протоколов
• Способность выявлять очевидные аномалии
• Навыки базового документирования

Фокус: Сложные техники анализа и работа с зашифрованным трафиком

Углубленные темы:

• Advanced protocol analysis: глубокий анализ современных протоколов
• Encrypted traffic analysis: работа с TLS/SSL и другими зашифрованными протоколами
• Automated analysis: создание скриптов для автоматизации анализа
• Threat hunting: проактивный поиск угроз в сетевом трафике

Итоговый проект: “Комплексное расследование APT”

• Анализ sophisticated многоэтапной атаки
• Использование продвинутых техник корреляции
• Создание comprehensive timeline атаки
• Разработка IoCs и правил обнаружения
• Presentation для различных аудиторий

Продвинутые компетенции:

• Анализ сложных многопротокольных атак
• Работа с большими объемами данных
• Создание автоматизированных решений
• Стратегическое мышление в области угроз

Фокус: Разработка новых методов анализа и исследование emerging threats

Исследовательские направления:

1. Machine learning в сетевой форензике: разработка алгоритмов автоматического обнаружения
2. IoT и Edge computing forensics: методы анализа трафика IoT устройств
3. Quantum-safe network analysis: подготовка к пост-квантовой эре
4. Privacy-preserving forensics: методы анализа с сохранением приватности

Исследовательский проект:

• Выбор актуальной проблемы в области сетевой форензики
• Literature review современных подходов и ограничений
• Разработка нового метода или улучшение существующего
• Экспериментальная валидация на реальных данных
• Публикация результатов в виде статьи или доклада

Исследовательские компетенции:

• Способность выявлять research gaps
• Навыки экспериментального дизайна
• Статистический анализ и машинное обучение
• Академическое письмо и презентация

Ретроспективные связи:

• Уроки 3-4 (Threat Intelligence): сетевые IoCs как источник TI
• Уроки 5-6 (Социальная инженерия): сетевые следы социоинженерных атак
• Уроки 11-12 (ОС и контейнеризация): корреляция сетевых и хостовых артефактов

Проспективные связи:

• Уроки 15-16 (Активная разведка): использование сетевого анализа в пентестинге
• Уроки 17-18 (Blue Team технологии): интеграция форензики в SOC процессы
• Уроки 31-42 (OSINT): сетевая разведка как часть OSINT
• Уроки 43-56 (Web-безопасность): анализ веб-атак на сетевом уровне

Правовые аспекты:

• Соответствие процедур форензического анализа правовым требованиям
• Подготовка доказательств для судебных процессов
• Этические аспекты анализа частных коммуникаций

Статистика и машинное обучение:

• Применение статистических методов для анализа больших данных
• Разработка ML моделей для автоматического обнаружения аномалий
• Visualization techniques для представления сложных данных

Криминалистика:

• Адаптация традиционных криминалистических методов для цифровой среды
• Цепочка custody и обеспечение целостности доказательств
• Психология расследования и построение гипотез

Карьерные траектории:

• Network Forensics Analyst: специалист по сетевой форензике в корпорациях
• Incident Response Specialist: член команды реагирования на инциденты
• Cyber Threat Hunter: специалист по проактивному поиску угроз
• Digital Forensics Investigator: следователь по киберпреступлениям
• Security Researcher: исследователь в области сетевой безопасности

Сертификация и непрерывное образование:

• GCFA (GIAC Certified Forensic Analyst): сертификация по цифровой форензике
• GNFA (GIAC Network Forensic Analyst): специализация по сетевой форензике
• CCE (Certified Computer Examiner): сертификация компьютерного эксперта
• Vendor-specific certifications: сертификации по специализированным инструментам

Профессиональные сообщества:

• HTCIA (High Technology Crime Investigation Association)
• IACIS (International Association of Computer Investigative Specialists)
• ISFCE (International Society of Forensic Computer Examiners)
• Local ISACA и (ISC)2 chapters