خوارزميات وتكتيكات الاستجابة لحوادث أمن المعلومات، اتجاهات الهجمات السيبرانية الحالية، أساليب التحقيق في تسرب البيانات في الشركات، البحث في المتصفحات والأجهزة المحمولة، تحليل الملفات المشفرة، استخراج بيانات تحديد الموقع الجغرافي وتحليلات كميات كبيرة من البيانات - كل هذه المواضيع وغيرها يمكن دراستها في دورات مشتركة جديدة من Group-IB وBelkasoft. في أغسطس نحن دورة Belkasoft للطب الشرعي الرقمي الأولى، والتي تبدأ في 9 سبتمبر، وبعد تلقينا عددًا كبيرًا من الأسئلة، قررنا التحدث بمزيد من التفصيل حول ما سيدرسه الطلاب، وما هي المعرفة والكفاءات والمكافآت (!) التي سيحصل عليها أولئك الذين الوصول إلى النهاية. اهم الاشياء اولا.
اثنان الكل في واحد
ظهرت فكرة عقد دورات تدريبية مشتركة بعد أن بدأ المشاركون في دورة Group-IB بالسؤال عن أداة من شأنها مساعدتهم في التحقيق في أنظمة وشبكات الكمبيوتر المعرضة للخطر، والجمع بين وظائف الأدوات المساعدة المجانية المختلفة التي نوصي باستخدامها أثناء الاستجابة للحوادث.
في رأينا، يمكن أن تكون هذه الأداة هي Belkasoft Evidence Center (تحدثنا عنها بالفعل في إيجور ميخائيلوف "مفتاح البداية: أفضل البرامج والأجهزة للطب الشرعي للكمبيوتر"). ولذلك قمنا بالتعاون مع شركة Belkasoft بتطوير دورتين تدريبيتين: الطب الشرعي الرقمي Belkasoft и فحص الاستجابة للحوادث من Belkasoft.
هام: الدورات متسلسلة ومترابطة! إن شركة Belkasoft Digital Forensics مخصصة لبرنامج Belkasoft Evidence Center، كما أن اختبار الاستجابة للحوادث Belkasoft مخصص للتحقيق في الحوادث التي تستخدم منتجات Belkasoft. أي أنه قبل دراسة دورة اختبار الاستجابة لحوادث Belkasoft، نوصي بشدة بإكمال دورة الطب الشرعي الرقمي Belkasoft. إذا بدأت على الفور بدورة تدريبية حول التحقيقات في الحوادث، فقد يكون لدى الطالب فجوات معرفية مزعجة في استخدام مركز الأدلة Belkasoft، وإيجاد وفحص آثار الطب الشرعي. قد يؤدي هذا إلى حقيقة أنه أثناء التدريب في دورة اختبار الاستجابة للحوادث Belkasoft، لن يكون لدى الطالب الوقت لإتقان المادة، أو سيبطئ بقية المجموعة في اكتساب معرفة جديدة، حيث سيتم إنفاق وقت التدريب يقوم المدرب بشرح المادة من دورة Belkasoft Digital Forensics.
الطب الشرعي للكمبيوتر مع مركز الأدلة Belkasoft
الغرض من الدورة الطب الشرعي الرقمي Belkasoft — تعريف الطلاب ببرنامج Belkasoft Evidence Center، وتعليمهم كيفية استخدام هذا البرنامج لجمع الأدلة من مصادر مختلفة (التخزين السحابي، وذاكرة الوصول العشوائي (RAM)، والأجهزة المحمولة، ووسائط التخزين (محركات الأقراص الثابتة، ومحركات الأقراص المحمولة، وما إلى ذلك)، وإتقان تقنيات وتقنيات الطب الشرعي الأساسية، وطرق الفحص الجنائي لقطع أثرية Windows، والأجهزة المحمولة، ومخلفات ذاكرة الوصول العشوائي (RAM). سوف تتعلم أيضًا تحديد وتوثيق القطع الأثرية للمتصفحات وبرامج المراسلة الفورية، وإنشاء نسخ جنائية من البيانات من مصادر مختلفة، واستخراج بيانات تحديد الموقع الجغرافي والبحث. بالنسبة للتسلسلات النصية (البحث عن طريق الكلمات الرئيسية)، استخدم التجزئة عند إجراء البحث، وتحليل سجل Windows، وإتقان مهارات استكشاف قواعد بيانات SQLite غير المعروفة، وأساسيات فحص ملفات الرسوم والفيديو، والتقنيات التحليلية المستخدمة أثناء التحقيقات.
ستكون الدورة مفيدة للخبراء المتخصصين في مجال الطب الشرعي التقني للكمبيوتر (الطب الشرعي الحاسوبي)؛ المتخصصين الفنيين الذين يحددون أسباب الاختراق الناجح، ويحللون سلسلة الأحداث وعواقب الهجمات السيبرانية؛ متخصصون فنيون في تحديد وتوثيق سرقة (تسريبات) البيانات من قبل شخص داخلي (مخالف داخلي)؛ متخصصون في الاكتشاف الإلكتروني؛ موظفو SOC وCERT/CSIRT؛ موظفو أمن المعلومات؛ عشاق الطب الشرعي الكمبيوتر.
خطة الدورة:
- مركز أدلة Belkasoft (BEC): الخطوات الأولى
- إنشاء ومعالجة القضايا في BEC
- جمع الأدلة الرقمية لتحقيقات الطب الشرعي مع BEC
- استخدام المرشحات
- الإبلاغ
- بحث حول برامج المراسلة الفورية
- أبحاث متصفح الويب
- أبحاث الأجهزة المحمولة
- استخراج بيانات تحديد الموقع الجغرافي
- البحث عن تسلسلات نصية في الحالات
- استخراج وتحليل البيانات من المخازن السحابية
- استخدام الإشارات المرجعية لتسليط الضوء على الأدلة الهامة التي تم العثور عليها أثناء البحث
- فحص ملفات نظام ويندوز
- تحليل سجل ويندوز
- تحليل قواعد البيانات SQLite
- طرق استعادة البيانات
- تقنيات فحص مقالب ذاكرة الوصول العشوائي
- استخدام حاسبة التجزئة وتحليل التجزئة في أبحاث الطب الشرعي
- تحليل الملفات المشفرة
- طرق دراسة ملفات الرسوم والفيديو
- استخدام التقنيات التحليلية في البحوث الجنائية
- أتمتة الإجراءات الروتينية باستخدام لغة البرمجة Belkascripts المدمجة
- تمارين عملية
الدورة: فحص الاستجابة للحوادث من Belkasoft
الغرض من الدورة هو تعلم أساسيات التحقيق الجنائي في الهجمات السيبرانية وإمكانيات استخدام Belkasoft Evidence Center في التحقيق. سوف تتعرف على المتجهات الرئيسية للهجمات الحديثة على شبكات الكمبيوتر، وتتعلم كيفية تصنيف هجمات الكمبيوتر استنادًا إلى مصفوفة MITRE ATT&CK، وتطبيق خوارزميات بحث نظام التشغيل لإثبات حقيقة التسوية وإعادة بناء تصرفات المهاجمين، ومعرفة مكان وجود القطع الأثرية التي قم بالإشارة إلى الملفات التي تم فتحها مؤخرًا، حيث يقوم نظام التشغيل بتخزين معلومات حول كيفية تنزيل الملفات القابلة للتنفيذ وتنفيذها، وكيفية تحرك المهاجمين عبر الشبكة، وتعرف على كيفية فحص هذه العناصر باستخدام BEC. سوف تتعلم أيضًا ما هي الأحداث الموجودة في سجلات النظام التي تهمك من وجهة نظر التحقيق في الحوادث واكتشاف الوصول عن بعد، وتتعلم كيفية التحقيق فيها باستخدام BEC.
ستكون الدورة مفيدة للمتخصصين التقنيين الذين يحددون أسباب الاختراق الناجح، ويحللون سلاسل الأحداث وعواقب الهجمات السيبرانية؛ مسؤولي النظام؛ موظفو SOC وCERT/CSIRT؛ موظفي أمن المعلومات.
نظرة عامة على الدورة
تصف Cyber Kill Chain المراحل الرئيسية لأي هجوم تقني على أجهزة الكمبيوتر (أو شبكة الكمبيوتر) الخاصة بالضحية على النحو التالي:
تهدف تصرفات موظفي SOC (CERT، وأمن المعلومات، وما إلى ذلك) إلى منع المتسللين من الوصول إلى موارد المعلومات المحمية.
إذا اخترق المهاجمون البنية التحتية المحمية، فيجب على الأشخاص المذكورين أعلاه محاولة تقليل الضرر الناجم عن أنشطة المهاجمين، وتحديد كيفية تنفيذ الهجوم، وإعادة بناء الأحداث وتسلسل تصرفات المهاجمين في بنية المعلومات المخترقة، واتخاذ الإجراءات اللازمة التدابير اللازمة لمنع هذا النوع من الهجمات في المستقبل.
يمكن العثور على الأنواع التالية من الآثار في البنية التحتية للمعلومات المخترقة، مما يشير إلى تعرض الشبكة (الكمبيوتر) للاختراق:
يمكن العثور على كل هذه الآثار باستخدام برنامج Belkasoft Evidence Center.
لدى BEC وحدة "التحقيق في الحوادث"، حيث يتم، عند تحليل وسائط التخزين، وضع معلومات حول القطع الأثرية التي يمكن أن تساعد الباحث عند التحقيق في الحوادث.
يدعم BEC فحص الأنواع الرئيسية من عناصر Windows التي تشير إلى تنفيذ الملفات القابلة للتنفيذ على النظام قيد التحقيق، بما في ذلك ملفات Amcache وUserassist وPrefetch وBAM/DAM، ،تحليل أحداث النظام.
يمكن تقديم المعلومات المتعلقة بالتتبعات التي تحتوي على معلومات حول إجراءات المستخدم في النظام المخترق بالشكل التالي:
تتضمن هذه المعلومات، من بين أمور أخرى، معلومات حول تشغيل الملفات القابلة للتنفيذ:
معلومات حول تشغيل الملف "RDPWInst.exe".
يمكن العثور على معلومات حول وجود المهاجمين في الأنظمة المخترقة في مفاتيح بدء تشغيل تسجيل Windows، والخدمات، والمهام المجدولة، والبرامج النصية لتسجيل الدخول، وWMI، وما إلى ذلك. يمكن رؤية أمثلة لاكتشاف المعلومات المتعلقة بالمهاجمين المرتبطين بالنظام في لقطات الشاشة التالية:
تقييد المهاجمين الذين يستخدمون برنامج جدولة المهام عن طريق إنشاء مهمة تقوم بتشغيل البرنامج النصي PowerShell.
دمج المهاجمين باستخدام Windows Management Instrumentation (WMI).
دمج المهاجمين باستخدام البرنامج النصي لتسجيل الدخول.
يمكن اكتشاف حركة المهاجمين عبر شبكة الكمبيوتر المخترقة، على سبيل المثال، من خلال تحليل سجلات نظام Windows (إذا كان المهاجمون يستخدمون خدمة RDP).
معلومات حول اتصالات RDP المكتشفة.
معلومات حول حركة المهاجمين عبر الشبكة.
وبالتالي، يمكن لـ Belkasoft Evidence Center مساعدة الباحثين في تحديد أجهزة الكمبيوتر المخترقة في شبكة الكمبيوتر التي تمت مهاجمتها، والعثور على آثار إطلاق البرامج الضارة، وآثار التثبيت في النظام والحركة عبر الشبكة، وآثار أخرى لنشاط المهاجم على أجهزة الكمبيوتر المخترقة.
كيفية إجراء مثل هذا البحث واكتشاف القطع الأثرية الموضحة أعلاه موصوفة في الدورة التدريبية لامتحان الاستجابة للحوادث من Belkasoft.
خطة الدورة:
- اتجاهات الهجمات السيبرانية. التقنيات والأدوات وأهداف المهاجمين
- استخدام نماذج التهديد لفهم تكتيكات المهاجم وتقنياته وإجراءاته
- سلسلة القتل السيبراني
- خوارزمية الاستجابة للحوادث: التحديد والتوطين وتوليد المؤشرات والبحث عن العقد المصابة الجديدة
- تحليل أنظمة ويندوز باستخدام BEC
- الكشف عن طرق الإصابة الأولية وانتشار الشبكة وتوحيدها ونشاط الشبكة للبرامج الضارة باستخدام BEC
- تحديد الأنظمة المصابة واستعادة سجل الإصابة باستخدام BEC
- تمارين عملية
الأسئلة الشائعةأين تقام الدورات؟
تعقد الدورات في مقر Group-IB أو في موقع خارجي (مركز التدريب). من الممكن للمدرب أن يسافر إلى مواقع مع عملاء من الشركات.
من يدير الفصول الدراسية؟
المدربون في Group-IB هم ممارسون يتمتعون بسنوات عديدة من الخبرة في إجراء أبحاث الطب الشرعي وتحقيقات الشركات والاستجابة لحوادث أمن المعلومات.
يتم تأكيد مؤهلات المدربين من خلال العديد من الشهادات الدولية: GCFA، MCFE، ACE، EnCE، إلخ.
يجد المدربون لدينا بسهولة لغة مشتركة مع الجمهور، ويشرحون بوضوح حتى أكثر المواضيع تعقيدًا. سوف يتعلم الطلاب الكثير من المعلومات ذات الصلة والمثيرة للاهتمام حول التحقيق في حوادث الكمبيوتر، وطرق تحديد ومكافحة هجمات الكمبيوتر، واكتساب المعرفة العملية الحقيقية التي يمكنهم تطبيقها مباشرة بعد التخرج.
هل ستوفر الدورات مهارات مفيدة لا تتعلق بمنتجات Belkasoft، أم أن هذه المهارات لن تكون قابلة للتطبيق بدون هذا البرنامج؟
المهارات المكتسبة أثناء التدريب ستكون مفيدة دون استخدام منتجات Belkasoft.
ما هو مدرج في الاختبار الأولي؟
الاختبار الأولي هو اختبار لمعرفة أساسيات الطب الشرعي للكمبيوتر. لا توجد خطط لاختبار المعرفة بمنتجات Belkasoft وGroup-IB.
أين يمكنني العثور على معلومات حول الدورات التعليمية للشركة؟
كجزء من الدورات التعليمية، تقوم Group-IB بتدريب متخصصين في الاستجابة للحوادث، وأبحاث البرامج الضارة، ومتخصصين في الاستخبارات السيبرانية (ذكاء التهديدات)، ومتخصصين للعمل في مركز العمليات الأمنية (SOC)، ومتخصصين في البحث الاستباقي عن التهديدات (Threat Hunter)، وما إلى ذلك. . تتوفر قائمة كاملة بالدورات التدريبية الخاصة بـ Group-IB .
ما هي المكافآت التي يحصل عليها الطلاب الذين يكملون دورات مشتركة بين Group-IB وBelkasoft؟
سيحصل أولئك الذين أكملوا التدريب في الدورات المشتركة بين Group-IB وBelkasoft على:
- شهادة إتمام الدورة؛
- اشتراك شهري مجاني في Belkasoft Evidence Center؛
- خصم 10% عند شراء Belkasoft Evidence Center.
نذكركم أن الدورة الأولى تبدأ يوم الاثنين 9 سبتمبر- لا تفوت الفرصة لاكتساب معرفة فريدة في مجال أمن المعلومات والطب الشرعي الحاسوبي والاستجابة للحوادث! التسجيل للدورة .
مصادرفي إعداد المقال، استخدمنا العرض الذي قدمه أوليغ سكولكين "استخدام الطب الشرعي المعتمد على المضيف للحصول على مؤشرات التسوية من أجل الاستجابة الناجحة للحوادث المستندة إلى المعلومات الاستخبارية".
المصدر: www.habr.com