Groep-IB en Belkasoft gesamentlike kursusse: wat ons sal onderrig en wie sal bywoon

Algoritmes en taktiek om te reageer op inligtingsekuriteitvoorvalle, neigings in huidige kuberaanvalle, benaderings om datalekkasies in maatskappye te ondersoek, blaaiers en mobiele toestelle te ondersoek, geënkripteerde lêers te ontleed, geoliggingsdata en ontleding van groot datavolumes te onttrek - al hierdie en ander onderwerpe kan bestudeer word op nuwe gesamentlike kursusse van Group-IB en Belkasoft. In Augustus het ons aangekondig die eerste Belkasoft Digital Forensics-kursus, wat op 9 September begin, en nadat ons 'n groot aantal vrae ontvang het, het ons besluit om in meer besonderhede te vertel wat die studente gaan studeer, watter kennis, bevoegdhede en bonusse (!) deur diegene ontvang sal word wat die einde bereik. Oor alles in orde.

Twee alles in een

Die idee om gesamentlike opleidingskursusse te hou het verskyn nadat die deelnemers aan die Group-IB-kursusse begin vra het oor 'n instrument wat hulle sou help met die ondersoek van gekompromitteerde rekenaarstelsels en netwerke, en die funksionaliteit van verskeie gratis nutsprogramme wat ons aanbeveel kombineer gebruik tydens voorvalreaksie.

Na ons mening kan Belkasoft Evidence Centre so 'n hulpmiddel wees (ons het reeds daaroor gepraat in Artikel Igor Mikhailov "Sleutel om te begin: die beste sagteware en hardeware vir rekenaarforensiese ondersoeke"). Daarom het ons, saam met Belkasoft, twee opleidingskursusse ontwikkel: Belkasoft Digital Forensics и Belkasoft Incident Response Eksamen.

BELANGRIK: die kursusse is opeenvolgend en onderling verbind! Belkasoft Digital Forensics is opgedra aan die Belkasoft Evidence Centre-program, en Belkasoft Incident Response Examination is gewy aan insidentondersoeke met behulp van Belkasoft-produkte. Dit wil sê, voordat u die Belkasoft-insidentreaksie-eksamenkursus bestudeer, beveel ons sterk aan dat u die Belkasoft Digital Forensics-kursus voltooi. As jy dadelik met die voorvalondersoekkursus begin, kan die student irriterende kennisgapings hê om die Belkasoft-bewyssentrum te gebruik, om forensiese artefakte te vind en na te vors. Dit kan daartoe lei dat die student tydens die Belkasoft Incident Response Examination kursus óf nie tyd sal hê om die materiaal te bemeester nie, óf die res van die groep sal vertraag om nuwe kennis te bekom, aangesien die opleidingstyd deur die afrigter wat die materiaal van die Belkasoft Digital Forensics-kursus verduidelik.

Rekenaar forensiese ondersoek met Belkasoft Bewyssentrum

Doel van die kursus Belkasoft Digital Forensics — om studente aan die Belkasoft Evidence Centre-program bekend te stel, leer hulle hoe om hierdie program te gebruik om bewyse uit verskeie bronne (wolkberging, ewekansige toegangsgeheue (RAM), mobiele toestelle, bergingsmedia (hardeskywe, flitsaandrywers, ens.) te gebruik. , bemeester basiese forensiese tegnieke en tegnieke, metodes vir forensiese ondersoek van Windows-artefakte, mobiele toestelle, geheuestortings Jy sal ook leer hoe om blaaier- en kitsboodskap-artefakte te identifiseer en te dokumenteer, forensiese kopieë van data uit verskeie bronne te skep, geoliggingdata te onttrek en te soek vir teksreekse (soek volgens sleutelwoorde), gebruik hashes in navorsing, ontleed die Windows-register, leer die vaardighede om onbekende SQLite-databasisse na te vors, die basiese beginsels van navorsing oor grafiese en videolêers, en analitiese tegnieke wat in die loop van ondersoeke gebruik word.

Die kursus sal nuttig wees vir kundiges met spesialisering op die gebied van rekenaar-tegniese kundigheid (rekenaarkundigheid); tegniese spesialiste wat die redes vir 'n suksesvolle inbraak bepaal, die ketting van gebeure en die gevolge van kuberaanvalle ontleed; tegniese spesialiste wat datadiefstal (lekkasie) deur 'n insider (interne oortreder) identifiseer en dokumenteer; e-Discovery spesialiste; SOC en CERT/CSIRT personeel; inligtingsekuriteitsbeamptes; entoesiaste van rekenaarforensika.

Kursusplan:

• Belkasoft Bewyssentrum (BEC): eerste stappe
• Skep en verwerking van sake in BEC
• Versamel digitale bewyse in 'n forensiese ondersoek met BEC

• Gebruik van filters
• Verslagdoening
• Verken kitsboodskapprogramme

• Webblaaiernavorsing

• Mobiele Navorsing
• Onttrek geoliggingdata

• Soek vir teksreekse in gevalle
• Data-onttrekking en ontleding uit wolkbergings
• Gebruik boekmerke om betekenisvolle bewyse wat tydens navorsing gevind is, uit te lig
• Ondersoek Windows-stelsellêers

• Windows-registeranalise
• SQLite databasis analise

• Metodes vir dataherwinning
• Tegnieke om RAM-stortings te ondersoek
• Gebruik van hash-sakrekenaar en hash-analise in forensiese ondersoeke
• Ontleding van geïnkripteer lêers
• Metodes om grafiese en videolêers na te vors
• Die gebruik van analitiese tegnieke in forensiese navorsing
• Outomatisering van roetine-aksies met behulp van die ingeboude programmeertaal Belkascripts

• Praktiese oefeninge

Kursus: Belkasoft Incident Response Eksamen

Die doel van die kursus is om die basiese beginsels van forensiese ondersoek van kuberaanvalle te leer en die moontlikhede om Belkasoft Evidence Centre in die ondersoek te gebruik. Jy sal leer oor die hoofvektore van moderne aanvalle op rekenaarnetwerke, leer hoe om rekenaaraanvalle op grond van die MITER ATT & CK-matriks te klassifiseer, bedryfstelselnavorsingsalgoritmes toe te pas om die feit van kompromie vas te stel en die optrede van aanvallers te rekonstrueer, vind uit waar artefakte is geleë wat aandui watter lêers laas oopgemaak is, waar die bedryfstelsel inligting stoor oor die laai en uitvoer van uitvoerbare lêers, hoe aanvallers deur die netwerk beweeg het, en leer hoe om hierdie artefakte met behulp van BEC te verken. Jy sal ook leer watter stelsellog-gebeurtenisse van belang is vir insident-ondersoek en bepaling van afstandtoegang, en leer hoe om dit met behulp van BEC te ondersoek.

Die kursus sal nuttig wees vir tegniese spesialiste wat die redes vir 'n suksesvolle inbraak bepaal, die ketting van gebeure en die gevolge van kuberaanvalle ontleed; stelsel administrateurs; SOC en CERT/CSIRT personeel; inligtingsekuriteitspersoneel.

Kursus Oorsig

Cyber ​​​​Kill Chain beskryf die hoofstadia van enige tegniese aanval op die rekenaars (of rekenaarnetwerk) van die slagoffer soos volg:

Die optrede van SOC-werknemers (CERT, inligtingsekuriteit, ens.) is daarop gemik om te verhoed dat indringers toegang verkry tot beskermde inligtingsbronne.

Indien die indringers nietemin die beskermde infrastruktuur binnegedring het, moet bogenoemde persone probeer om die skade van die aktiwiteite van die aanvallers te minimaliseer, vas te stel hoe die aanval uitgevoer is, die gebeure en volgorde van optrede van die aanvallers in die gekompromitteerde inligtingstruktuur te rekonstrueer en maatreëls tref om hierdie tipe aanvalle in die toekoms te voorkom.

In 'n gekompromitteerde inligtingsinfrastruktuur kan die volgende tipes spore gevind word wat 'n netwerk (rekenaar) kompromie aandui:

Al sulke spore kan gevind word met behulp van Belkasoft Bewyssentrum.

BEC het 'n "Insident Investigation"-module, waar, wanneer stoormedia ontleed word, inligting oor artefakte geplaas word wat die navorser kan help om voorvalle te ondersoek.

BEC ondersteun die ondersoek van die hooftipes Windows-artefakte wat die bekendstelling van uitvoerbare lêers op die stelsel wat ondersoek word aandui, insluitend Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Tydlyn, ontleding van stelselgebeure.

Inligting oor spore wat inligting bevat oor gebruikershandelinge in 'n gekompromitteerde stelsel kan in die volgende vorm aangebied word:

Hierdie inligting sluit onder andere inligting oor die bekendstelling van uitvoerbare lêers in:

Inligting oor die bestuur van die lêer 'RDPWInst.exe'.

Inligting oor aanvallers wat op gekompromitteerde stelsels bly, kan gevind word in Windows-register opstartsleutels, dienste, geskeduleerde take, aanmeldskrifte, WMI, ensovoorts. Voorbeelde van die opsporing van vaspen-inligting in 'n aanvaller se stelsel kan in die volgende skermkiekies gesien word:

Speld aanvallers vas met die taakskeduleerder deur 'n taak te skep wat 'n PowerShell-skrip laat loop.

Regstelling van aanvallers met behulp van Windows Management Instrumentation (WMI).

Speld aanvallers vas met die aanmeldskrif.

Die beweging van aanvallers oor 'n gekompromitteerde rekenaarnetwerk kan byvoorbeeld opgespoor word deur Windows-stelsellogboeke te ontleed (wanneer die aanvallers die HOP-diens gebruik).

Inligting oor bespeurde RDP-verbindings.

Inligting oor die beweging van aanvallers deur die netwerk.

Dus, Belkasoft Bewyssentrum is in staat om navorsers te help om gekompromitteerde rekenaars in 'n aangeval rekenaarnetwerk te identifiseer, spore te vind van wanware-bekendstellings, spore van regstelling in die stelsel en rondbeweeg in die netwerk, en ander spore van aanvallers se aktiwiteite op gekompromitteerde rekenaars.

Hoe om sulke studies uit te voer en die artefakte wat hierbo beskryf word op te spoor, word beskryf in die Belkasoft Incident Response Examination-opleidingskursus.

Kursusplan:

• Tendense in kuberaanvalle. Tegnologieë, gereedskap, doelwitte van aanvallers
• Die gebruik van bedreigingsmodelle om die taktiek, tegnieke en prosedures van aanvallers te verstaan
• Kuberdoodketting
• Insidentresponsalgoritme: identifikasie, lokalisering, generering van aanwysers, soek na nuwe besmette nodusse
• Ontleed Windows-stelsels met BEC
• Identifikasie van primêre infeksiemetodes, netwerkverspreiding, volharding, netwerkaktiwiteit van wanware met behulp van BEC
• Identifikasie van besmette stelsels en herstel van infeksiegeskiedenis met behulp van BEC
• Praktiese oefeninge

FAQWaar word die kursusse gehou?
Kursusse word by die Groep-IB-hoofkwartier of by 'n eksterne terrein (in die opleidingsentrum) gehou. Vertrek van die afrigter op platforms na korporatiewe kliënte is moontlik.

Wie hou die klasse?
Opleiers by Group-IB is praktisyns met baie jare ondervinding in forensiese ondersoeke, korporatiewe ondersoeke en reaksie op inligtingsekuriteitsvoorvalle.

Die kwalifikasie van opleiers word bevestig deur talle internasionale sertifikate: GCFA, MCFE, ACE, EnCE, ens.

Ons opleiers vind maklik 'n gemeenskaplike taal met die gehoor en verduidelik selfs die mees komplekse onderwerpe op 'n toeganklike manier. Studente sal baie relevante en interessante inligting leer oor die ondersoek van rekenaarvoorvalle, metodes om rekenaaraanvalle op te spoor en teen te werk, werklike praktiese kennis te kry wat hulle onmiddellik na graduering kan toepas.

Sal die kursusse nuttige vaardighede verskaf wat nie met Belkasoft-produkte verband hou nie, of sal hierdie vaardighede sonder hierdie sagteware ontoepasbaar wees?
Die vaardighede wat tydens die opleiding aangeleer word, sal nuttig wees selfs sonder om Belkasoft-produkte te gebruik.

Wat is by die aanvanklike toetsing ingesluit?

Primêre toetsing is 'n toets van kennis van die basiese beginsels van rekenaarforensika. Toetsing vir kennis van Belkasoft en Group-IB produkte word nie beplan nie.

Waar kan ek inligting kry oor die maatskappy se opvoedkundige kursusse?

Binne die raamwerk van opvoedkundige kursusse lei Group-IB spesialiste op in insidentreaksie, wanwarenavorsing, kuberintelligensiespesialiste (Threat Intelligence), spesialiste vir werk in die Security Operation Centre (SOC), proaktiewe bedreigingsoektogspesialiste (Threat Hunter), ens. . 'n Volledige lys van skrywerskursusse van Group-IB is beskikbaar hier.

Watter bonusse ontvang studente wat die gesamentlike kursusse van Group-IB en Belkasoft voltooi?
Diegene wat die gesamentlike kursusse van Group-IB en Belkasoft voltooi het, sal ontvang:

1. kursusvoltooiingsertifikaat;
2. gratis maandelikse intekening op Belkasoft Bewyssentrum;
3. 10% afslag vir die aankoop van Belkasoft Evidence Centre.

Ons herinner u daaraan dat die eerste kursus Maandag begin, 9 September, — moenie die geleentheid mis om unieke kennis op te doen op die gebied van inligtingsekuriteit, rekenaarforensika en insidentreaksie nie! Registrasie vir die kursus hier.

bronneIn die voorbereiding van die artikel is Oleg Skulkin se aanbieding "Gebruik gasheergebaseerde forensika om aanwysers van kompromie te kry vir suksesvolle intelligensie-gedrewe voorvalreaksie" gebruik.

Bron: will.com