ProHoster > Blog > internet xəbərləri > Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək
İnformasiya təhlükəsizliyi insidentlərinə reaksiya üçün alqoritmlər və taktikalar, cari kiberhücumların tendensiyaları, şirkətlərdə məlumat sızmasının araşdırılmasına yanaşmalar, brauzerlər və mobil cihazların tədqiqi, şifrələnmiş faylların təhlili, geolokasiya məlumatlarının çıxarılması və böyük həcmli məlumatların analitikası - bütün bunlar və digər mövzular. Group-IB və Belkasoft-un yeni birgə kurslarında öyrənilə bilər. Avqust ayında biz elan edildi sentyabrın 9-da başlayan ilk Belkasoft Digital Forensics kursu və çoxlu sayda sual aldıqdan sonra tələbələrin nə oxuyacaqları, hansı bilik, səriştə və bonuslar (!) alacaqları barədə daha ətraflı danışmaq qərarına gəldik. sona çatmaq. İlk şeylər.

İki Hamısı birdə

Birgə təlim kurslarının keçirilməsi ideyası Group-IB kursunun iştirakçıları zədələnmiş kompüter sistemləri və şəbəkələrini araşdırmaqda onlara kömək edəcək və insident zamanı istifadə etməyi tövsiyə etdiyimiz müxtəlif pulsuz kommunalların funksionallığını birləşdirəcək alət haqqında soruşmağa başladıqdan sonra yaranıb.

Fikrimizcə, belə bir vasitə Belkasoft Evidence Center ola bilər (bu barədə artıq danışdıq məqalə İqor Mixaylov "Başlanğıcın açarı: kompüter ekspertizası üçün ən yaxşı proqram və avadanlıq"). Buna görə də, biz Belkasoft ilə birlikdə iki təlim kursu hazırlamışıq: Belkasoft Rəqəmsal Məhkəmə и Belkasoft Insident Cavab İmtahanı.

ƏHƏMİYYƏTLİ: kurslar ardıcıl və bir-birinə bağlıdır! Belkasoft Digital Forensics Belkasoft Evidence Center proqramına, Belkasoft Incident Cavab İmtahanı isə Belkasoft məhsullarından istifadə edərək insidentlərin araşdırılmasına həsr olunub. Yəni, Belkasoft Incident Response Examination kursunu öyrənməzdən əvvəl Belkasoft Digital Forensics kursunu bitirməyi şiddətlə tövsiyə edirik. Dərhal insidentlərin araşdırılması kursuna başlasanız, tələbə Belkasoft Evidence Center-dən istifadə etmək, məhkəmə-tibbi artefaktları tapmaq və araşdırmaqda zəhlətökən bilik boşluqlarına malik ola bilər. Bu, Belkasoft Insident Cavab İmtahanı kursunda təlim zamanı tələbənin ya materialı mənimsəməyə vaxtı olmayacaq, ya da qrupun qalan hissəsini yeni biliklər əldə etməyi yavaşlatacaq, çünki təlim vaxtı sərf olunacaq. Belkasoft Rəqəmsal Ədliyyə kursunun materialını izah edən təlimçi tərəfindən.

Belkasoft Evidence Center ilə kompüter məhkəmə ekspertizası

Kursun məqsədi Belkasoft Rəqəmsal Məhkəmə — tələbələri Belkasoft Evidence Center proqramı ilə tanış etmək, onlara müxtəlif mənbələrdən (bulud yaddaşı, təsadüfi giriş yaddaşı (RAM), mobil qurğular, yaddaş daşıyıcıları (hard disklər, fleş disklər və s.)) sübut toplamaq üçün bu proqramdan istifadə etməyi öyrətmək, ustad əsas kriminal texnika və üsullar, Windows artefaktlarının, mobil cihazların, RAM zibilliklərinin məhkəmə ekspertizasının üsulları. Siz həmçinin brauzerlərin və ani mesajlaşma proqramlarının artefaktlarını müəyyən etməyi və sənədləşdirməyi, müxtəlif mənbələrdən məlumatların məhkəmə nüsxələrini yaratmağı, geolokasiya məlumatlarını çıxarmağı və axtarışı öyrənəcəksiniz. mətn ardıcıllığı üçün (açar söz axtarışı), tədqiqat apararkən heşlərdən istifadə etmək, Windows reyestrini təhlil etmək, naməlum SQLite verilənlər bazalarını araşdırmaq vərdişlərini, qrafik və video faylları araşdırmanın əsaslarını və araşdırmalar zamanı istifadə olunan analitik üsulları mənimsəmək.

Kurs kompüter texniki kriminalistikası (kompüter məhkəmə ekspertizası) sahəsində ixtisaslaşmış mütəxəssislər üçün faydalı olacaq; uğurlu müdaxilənin səbəblərini müəyyən edən, hadisələr zəncirini və kiberhücumların nəticələrini təhlil edən texniki mütəxəssislər; insayder (daxili pozucu) tərəfindən məlumatların oğurlanmasını (sızmasını) müəyyən edən və sənədləşdirən texniki mütəxəssislər; e-Discovery mütəxəssisləri; SOC və CERT/CSIRT işçiləri; informasiya təhlükəsizliyi işçiləri; kompüter məhkəmə tibb həvəskarları.

Kurs planı:

  • Belkasoft Evidence Center (BEC): ilk addımlar
  • BEC-də işlərin yaradılması və işlənməsi
  • BEC ilə məhkəmə araşdırmaları üçün rəqəmsal sübut toplayın

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • Filtrlərdən istifadə
  • Hesabatların yaradılması
  • Ani Mesajlaşma Proqramları üzrə Tədqiqat

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • Veb Brauzer Tədqiqatı

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • Mobil Cihaz Tədqiqatı
  • Geolokasiya məlumatlarının çıxarılması

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • İşlərdə mətn ardıcıllığının axtarılması
  • Bulud anbarlarından məlumatların çıxarılması və təhlili
  • Tədqiqat zamanı aşkar edilmiş əhəmiyyətli sübutları vurğulamaq üçün əlfəcinlərdən istifadə
  • Windows sistem fayllarının yoxlanılması

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • Windows Qeydiyyatının Təhlili
  • SQLite verilənlər bazalarının təhlili

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • Məlumatların bərpası üsulları
  • RAM zibillərinin tədqiqi üsulları
  • Məhkəmə araşdırmalarında hash kalkulyatoru və hash analizindən istifadə
  • Şifrələnmiş faylların təhlili
  • Qrafik və video faylların öyrənilməsi üsulları
  • Məhkəmə ekspertizasında analitik üsullardan istifadə
  • Daxili Belkascripts proqramlaşdırma dilindən istifadə edərək gündəlik hərəkətləri avtomatlaşdırın

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək

  • Praktiki təlimlər

Kurs: Belkasoft Insident Cavab İmtahanı

Kursun məqsədi kiberhücumların məhkəmə-tibbi araşdırmasının əsaslarını və araşdırmada Belkasoft Evidence Center-dən istifadə imkanlarını öyrənməkdir. Siz kompüter şəbəkələrinə müasir hücumların əsas vektorlarını öyrənəcək, MITER ATT&CK matrisi əsasında kompüter hücumlarını təsnif etməyi öyrənəcək, kompromis faktını müəyyən etmək üçün əməliyyat sisteminin tədqiqat alqoritmlərini tətbiq edəcək və təcavüzkarların hərəkətlərini yenidən quracaq, artefaktların harada yerləşdiyini öyrənəcəksiniz. hansı faylların sonuncu dəfə açıldığını göstərin , əməliyyat sistemi icra edilə bilən faylların necə endirilib icra edildiyi, təcavüzkarların şəbəkədə necə hərəkət etdiyi barədə məlumatı harada saxlayır və BEC-dən istifadə edərək bu artefaktları necə yoxlamağı öyrənin. Siz həmçinin hadisələrin araşdırılması və uzaqdan girişin aşkarlanması nöqteyi-nəzərindən sistem qeydlərində hansı hadisələrin maraq doğurduğunu öyrənəcək və BEC-dən istifadə edərək onların necə araşdırılacağını öyrənəcəksiniz.

Kurs müvəffəqiyyətli müdaxilənin səbəblərini müəyyən edən, hadisələr zəncirlərini və kiberhücumların nəticələrini təhlil edən texniki mütəxəssislər üçün faydalı olacaq; sistem administratorları; SOC və CERT/CSIRT işçiləri; informasiya təhlükəsizliyi işçiləri.

Kursun icmalı

Cyber ​​​​Kill Chain qurbanın kompüterlərinə (və ya kompüter şəbəkəsinə) hər hansı texniki hücumun əsas mərhələlərini aşağıdakı kimi təsvir edir:
Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək
SOC əməkdaşlarının hərəkətləri (CERT, informasiya təhlükəsizliyi və s.) təcavüzkarların qorunan informasiya ehtiyatlarına daxil olmasının qarşısını almağa yönəlib.

Təcavüzkarlar qorunan infrastruktura nüfuz edərlərsə, yuxarıda göstərilən şəxslər hücum edənlərin fəaliyyətindən dəyən zərəri minimuma endirməyə çalışmalı, hücumun necə həyata keçirildiyini müəyyən etməli, dağıdılmış informasiya strukturunda hücum edənlərin hadisələrini və hərəkətlərinin ardıcıllığını yenidən qurmalı və gələcəkdə bu tip hücumların qarşısını almaq üçün tədbirlər.

Şəbəkənin (kompüterin) pozulduğunu göstərən məlumat infrastrukturunda aşağıdakı iz növləri tapıla bilər:

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək
Bütün bu izləri Belkasoft Evidence Center proqramından istifadə etməklə tapmaq olar.

BEC-də “İnsident Təhqiqatı” modulu var, burada saxlama mühitini təhlil edərkən, hadisələri araşdırarkən tədqiqatçıya kömək edə biləcək artefaktlar haqqında məlumat yerləşdirilir.

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək
BEC, araşdırılan sistemdə icra edilə bilən faylların, o cümlədən Amcache, Userassist, Prefetch, BAM/DAM fayllarının icrasını göstərən əsas Windows artefakt növlərinin araşdırılmasını dəstəkləyir Windows 10 Timeline,sistem hadisələrinin təhlili.

Təhlükəli sistemdə istifadəçi hərəkətləri haqqında məlumatları ehtiva edən izlər haqqında məlumat aşağıdakı formada təqdim edilə bilər:

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək
Bu məlumat, digər şeylərlə yanaşı, icra edilə bilən faylları işə salmaq haqqında məlumatları ehtiva edir:

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcək'RDPWInst.exe' faylının işə salınması haqqında məlumat.

Təcavüzkarların təhlükəli sistemlərdə olması haqqında məlumatı Windows reyestrinin başlanğıc açarlarında, xidmətlərdə, planlaşdırılmış tapşırıqlarda, Giriş skriptlərində, WMI və s. Sistemə qoşulan təcavüzkarlar haqqında məlumatın aşkarlanması nümunələri aşağıdakı ekran görüntülərində görünə bilər:

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcəkPowerShell skriptini işlədən tapşırıq yaradaraq, tapşırıq planlayıcısından istifadə edən təcavüzkarları məhdudlaşdırmaq.

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcəkWindows İdarəetmə Alətlərindən (WMI) istifadə edərək təcavüzkarların birləşdirilməsi.

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcəkGiriş skriptindən istifadə edərək təcavüzkarların birləşdirilməsi.

Təcavüzkarların təhlükəyə məruz qalmış kompüter şəbəkəsi üzrə hərəkətini, məsələn, Windows sistem qeydlərini təhlil etməklə aşkar etmək olar (əgər təcavüzkarlar RDP xidmətindən istifadə edirlərsə).

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcəkAşkar edilmiş RDP əlaqələri haqqında məlumat.

Group-IB və Belkasoft-un birgə kursları: nəyi öyrədəcəyik və kimə gələcəkŞəbəkədə təcavüzkarların hərəkəti haqqında məlumat.

Beləliklə, Belkasoft Evidence Center tədqiqatçılara hücuma məruz qalmış kompüter şəbəkəsindəki təhlükəyə məruz qalmış kompüterləri müəyyən etməyə, zərərli proqram təminatının işə salınmasının izlərini, sistemdə fiksasiya və şəbəkə üzrə hərəkətin izlərini və təhlükəyə məruz qalmış kompüterlərdə hücumçu fəaliyyətinin digər izlərini tapmağa kömək edə bilər.

Bu cür tədqiqatların aparılması və yuxarıda təsvir edilən artefaktların aşkar edilməsi Belkasoft Insident Cavab İmtahanı təlim kursunda təsvir edilmişdir.

Kurs planı:

  • Kiberhücum meylləri. Texnologiyalar, alətlər, hücumçuların məqsədləri
  • Təcavüzkarın taktikasını, texnikasını və prosedurlarını başa düşmək üçün təhdid modellərindən istifadə
  • Kiber öldürmə zənciri
  • Hadisəyə cavab alqoritmi: identifikasiya, lokalizasiya, göstəricilərin yaradılması, yeni yoluxmuş qovşaqların axtarışı
  • BEC istifadə edərək Windows sistemlərinin təhlili
  • BEC-dən istifadə edərək zərərli proqramların ilkin yoluxma üsullarının, şəbəkənin yayılmasının, konsolidasiyasının və şəbəkə fəaliyyətinin aşkarlanması
  • BEC istifadə edərək yoluxmuş sistemləri müəyyənləşdirin və infeksiya tarixini bərpa edin
  • Praktiki təlimlər

FAQKurslar harada keçirilir?
Kurslar Group-IB-nin baş ofisində və ya xarici saytda (təlim mərkəzində) keçirilir. Təlimçinin korporativ müştəriləri olan saytlara səyahət etməsi mümkündür.

Dərsləri kim aparır?
Group-IB-də təlimçilər məhkəmə-tibbi tədqiqatların aparılması, korporativ araşdırmaların aparılması və informasiya təhlükəsizliyi insidentlərinə cavab verilməsi sahəsində uzun illər təcrübəsi olan praktikantlardır.

Təlimçilərin ixtisasları çoxsaylı beynəlxalq sertifikatlarla təsdiqlənir: GCFA, MCFE, ACE, EnCE və s.

Təlimçilərimiz ən mürəkkəb mövzuları belə aydın şəkildə izah edərək auditoriya ilə asanlıqla ümumi dil tapırlar. Tələbələr kompüter insidentlərinin araşdırılması, kompüter hücumlarının müəyyən edilməsi və onlara qarşı mübarizə üsulları haqqında çoxlu aktual və maraqlı məlumatları öyrənəcək və məzun olduqdan dərhal sonra tətbiq edə biləcəkləri real praktiki biliklər əldə edəcəklər.

Kurslar Belkasoft məhsulları ilə əlaqəli olmayan faydalı bacarıqları təmin edəcək, yoxsa bu proqram təminatı olmadan bu bacarıqlar tətbiq olunmayacaq?
Təlim zamanı əldə edilən bacarıqlar Belkasoft məhsullarından istifadə etmədən faydalı olacaq.

İlkin sınaqlara nə daxildir?

İlkin sınaq kompüter ekspertizasının əsasları üzrə biliklərin yoxlanılmasıdır. Belkasoft və Group-IB məhsulları haqqında bilikləri yoxlamaq planları yoxdur.

Şirkətin təhsil kursları haqqında məlumatı haradan tapa bilərəm?

Təhsil kursları çərçivəsində Group-IB insidentlərə reaksiya, zərərli proqramların tədqiqi, kiber kəşfiyyat mütəxəssisləri (Threat Intelligence), Təhlükəsizlik Əməliyyat Mərkəzində (SOC) işləmək üçün mütəxəssislər, proaktiv təhlükə ovçuluğu (Threat Hunter) və s. . Group-IB-dən özəl kursların tam siyahısı mövcuddur burada.

Group-IB və Belkasoft arasında birgə kursları bitirən tələbələr hansı bonusları alırlar?
Group-IB və Belkasoft arasında birgə kurslarda təlim keçmişlər:

  1. kursu bitirmə sertifikatı;
  2. Belkasoft Evidence Center-ə pulsuz aylıq abunə;
  3. Belkasoft Evidence Center alışına 10% endirim.

Xatırladırıq ki, ilk kurs bazar ertəsi başlayır, 9 sentyabr, - informasiya təhlükəsizliyi, kompüter ekspertizası və insidentlərə reaksiya sahəsində unikal biliklər əldə etmək fürsətini qaçırmayın! Kursa qeydiyyat burada.

İnformasiya qaynaqlarıMəqaləni hazırlayarkən biz Oleq Skulkinin “Uğurlu kəşfiyyata əsaslanan insident reaksiyası üçün kompromis göstəriciləri əldə etmək üçün ev sahibi əsaslı məhkəmə ekspertizasından istifadə” təqdimatından istifadə etdik.

Mənbə: www.habr.com

Добавить комментарий