Съвместни курсове Group-IB и Belkasoft: какво ще преподаваме и кой ще посещава

Алгоритми и тактики за реагиране при инциденти с информационната сигурност, тенденции в настоящите кибератаки, подходи за разследване на изтичане на данни в компании, проучване на браузъри и мобилни устройства, анализиране на криптирани файлове, извличане на данни за геолокация и анализи на големи обеми от данни - всички тези и други теми могат да се изучава в нови съвместни курсове на Group-IB и Belkasoft. През август ние съобщи първият курс Belkasoft Digital Forensics, който започва на 9 септември, и след като получихме голям брой въпроси, решихме да разкажем по-подробно какво ще учат студентите, какви знания, компетенции и бонуси (!) ще получат те които стигат до края. За всичко по ред.

Две всичко в едно

Идеята за провеждане на съвместни курсове за обучение се появи, след като участниците в курсовете на Group-IB започнаха да питат за инструмент, който да им помогне при разследването на компрометирани компютърни системи и мрежи и да комбинира функционалността на различни безплатни помощни програми, които препоръчваме използване по време на реакция при инцидент.

Според нас Belkasoft Evidence Center може да бъде такъв инструмент (вече говорихме за него в Статия Игор Михайлов „Ключ към началото: най-добрият софтуер и хардуер за компютърна криминалистика“). Затова ние, заедно с Belkasoft, разработихме два курса за обучение: Цифрова криминалистика на Belkasoft и Проверка за реагиране при инцидент на Belkasoft.

ВАЖНО: курсовете са последователни и взаимосвързани! Belkasoft Digital Forensics е посветен на програмата Belkasoft Evidence Center, а Belkasoft Incident Response Examination е посветен на разследването на инциденти с помощта на продуктите на Belkasoft. Тоест, преди да изучавате курса Belkasoft Incident Response Examination, силно ви препоръчваме да завършите курса Belkasoft Digital Forensics. Ако започнете веднага с курса за разследване на инциденти, ученикът може да има досадни пропуски в знанията при използването на Belkasoft Evidence Center, намирането и изследването на криминалистични артефакти. Това може да доведе до факта, че по време на курса Belkasoft Incident Response Examination, ученикът или няма да има време да усвои материала, или ще забави останалата част от групата в получаването на нови знания, тъй като времето за обучение ще бъде изразходвано от обучител, обясняващ материала от курса Belkasoft Digital Forensics.

Компютърна криминалистика с Belkasoft Evidence Center

Цел на курса Цифрова криминалистика на Belkasoft — да запознае учениците с програмата Belkasoft Evidence Center, да ги научи как да използват тази програма за събиране на доказателства от различни източници (съхранение в облак, памет с произволен достъп (RAM), мобилни устройства, носители за съхранение (твърди дискове, флаш памети и др.) , овладяване на основни съдебномедицински техники и техники, методи за криминалистично изследване на артефакти на Windows, мобилни устройства, изхвърляния на паметта Ще научите също как да идентифицирате и документирате артефакти на браузъра и незабавните съобщения, да създавате криминалистични копия на данни от различни източници, да извличате данни за геолокация и да търсите за текстови последователности (търсене по ключови думи), използвайте хешове в изследванията, анализирайте системния регистър на Windows, научете уменията за изследване на неизвестни бази данни SQLite, основите на изследване на графични и видео файлове и аналитични техники, използвани в хода на разследванията.

Курсът ще бъде полезен за специалисти със специализация в областта на компютърно-техническата експертиза (компютърна експертиза); технически специалисти, които определят причините за успешното проникване, анализират веригата от събития и последствията от кибератаките; технически специалисти, които идентифицират и документират кражба на данни (изтичане) от вътрешен човек (вътрешен нарушител); специалисти по e-Discovery; Персонал на SOC и CERT/CSIRT; служители по сигурността на информацията; ентусиасти на компютърната криминалистика.

План на курса:

• Belkasoft Evidence Center (BEC): първи стъпки
• Създаване и обработка на казуси в BEC
• Събиране на цифрови доказателства при криминалистично разследване с BEC

• Използване на филтри
• Докладване
• Проучване на програмите за незабавни съобщения

• Изследване на уеб браузър

• Мобилни изследвания
• Извличане на данни за геолокация

• Търсене на текстови последователности в случаи
• Извличане и анализ на данни от облачни хранилища
• Използване на отметки за подчертаване на значими доказателства, открити по време на изследване
• Преглед на системните файлове на Windows

• Анализ на системния регистър на Windows
• Анализ на SQLite база данни

• Методи за възстановяване на данни
• Техники за изследване на RAM дъмпове
• Използване на хеш калкулатор и хеш анализ при криминалистични разследвания
• Анализ на криптирани файлове
• Методи за изследване на графични и видео файлове
• Използването на аналитични техники в криминалистичните изследвания
• Автоматизиране на рутинни действия с помощта на вградения език за програмиране Belkascripts

• Практически упражнения

Курс: Belkasoft Incident Response Examination

Целта на курса е да се научат основите на криминалистичното разследване на кибератаки и възможностите за използване на Belkasoft Evidence Center при разследването. Ще научите за основните вектори на съвременните атаки срещу компютърни мрежи, ще научите как да класифицирате компютърните атаки въз основа на матрицата MITER ATT & CK, ще приложите алгоритми за изследване на операционната система, за да установите факта на компрометиране и да реконструирате действията на нападателите, разберете къде намират се артефакти, които показват кои файлове са били отворени последно, къде операционната система съхранява информация за зареждането и изпълнението на изпълними файлове, как нападателите са се придвижвали из мрежата и научете как да изследвате тези артефакти с помощта на BEC. Ще научите също кои събития от syslog представляват интерес за разследване на инциденти и определяне на отдалечен достъп и ще научите как да ги разследвате с помощта на BEC.

Курсът ще бъде полезен за технически специалисти, които определят причините за успешно проникване, анализират веригата от събития и последствията от кибератаките; системни администратори; Персонал на SOC и CERT/CSIRT; персонал по информационна сигурност.

Преглед на курса

Cyber ​​​​Kill Chain описва основните етапи на всяка техническа атака срещу компютрите (или компютърната мрежа) на жертвата, както следва:

Действията на служителите на SOC (CERT, информационна сигурност и др.) са насочени към предотвратяване на достъпа на нарушители до защитени информационни ресурси.

Ако нарушителите все пак са проникнали в защитената инфраструктура, тогава горепосочените лица трябва да се опитат да сведат до минимум щетите от дейността на нападателите, да определят как е извършена атаката, да реконструират събитията и последователността от действия на нападателите в компрометираната информационна структура и вземете мерки за предотвратяване на този вид атаки в бъдеще.

В компрометирана информационна инфраструктура могат да бъдат намерени следните видове следи, които показват компрометиране на мрежа (компютър):

Всички подобни следи могат да бъдат намерени с помощта на Belkasoft Evidence Center.

BEC има модул "Разследване на инциденти", където при анализиране на носители за съхранение се поставя информация за артефакти, които могат да помогнат на изследователя при разследване на инциденти.

BEC поддържа изследването на основните типове артефакти на Windows, които показват стартирането на изпълними файлове в изследваната система, включително Amcache, Userassist, Prefetch, BAM/DAM, Времева линия на Windows 10, анализ на системни събития.

Информацията за следите, съдържаща информация за действията на потребителя в компрометирана система, може да бъде представена в следната форма:

Тази информация, наред с други неща, включва информация за стартирането на изпълними файлове:

Информация за стартиране на файла "RDPWInst.exe".

Информация за нападателите, които остават на компрометирани системи, може да бъде намерена в ключовете за стартиране на системния регистър на Windows, услугите, планираните задачи, скриптовете за влизане, WMI и т.н. Примери за откриване на информация за фиксиране в системата на атакуващ могат да се видят на следните екранни снимки:

Закрепване на нападатели с помощта на планировчика на задачи чрез създаване на задача, която изпълнява скрипт на PowerShell.

Коригиране на нападатели с помощта на Windows Management Instrumentation (WMI).

Закрепване на нападателите със скрипта за влизане.

Движението на нападателите през компрометирана компютърна мрежа може да бъде открито, например, чрез анализиране на системни регистрационни файлове на Windows (когато нападателите използват услугата RDP).

Информация за открити RDP връзки.

Информация за движението на нападателите през мрежата.

По този начин Belkasoft Evidence Center е в състояние да помогне на изследователите да идентифицират компрометирани компютри в атакувана компютърна мрежа, да намерят следи от стартиране на злонамерен софтуер, следи от фиксиране в системата и движение в мрежата и други следи от дейности на нападатели върху компрометирани компютри.

Как да провеждате такива изследвания и да откривате артефактите, описани по-горе, е описано в курса за обучение Belkasoft Incident Response Examination.

План на курса:

• Тенденции в кибератаките. Технологии, инструменти, цели на нападателите
• Използване на модели на заплахи за разбиране на тактиките, техниките и процедурите на нападателите
• Кибер верига за убийства
• Алгоритъм за реакция при инцидент: идентификация, локализация, генериране на индикатори, търсене на нови заразени възли
• Анализиране на Windows системи с BEC
• Идентифициране на първични методи за заразяване, мрежово разпространение, устойчивост, мрежова активност на зловреден софтуер с помощта на BEC
• Идентифициране на заразени системи и възстановяване на историята на инфекциите с помощта на BEC
• Практически упражнения

Често задавани въпросиКъде се провеждат курсовете?
Курсовете се провеждат в централата на Group-IB или на външен обект (в учебния център). Възможно е заминаване на обучителя на платформи за корпоративни клиенти.

Кой провежда занятията?
Обучаващите в Group-IB са практици с дългогодишен опит в криминалистичните разследвания, корпоративните разследвания и реакцията при инциденти в областта на информационната сигурност.

Квалификацията на обучителите се потвърждава от множество международни сертификати: GCFA, MCFE, ACE, EnCE и др.

Нашите преподаватели лесно намират общ език с публиката, обяснявайки и най-сложните теми по достъпен начин. Студентите ще научат много подходяща и интересна информация за разследването на компютърни инциденти, методите за откриване и противодействие на компютърни атаки, ще получат реални практически знания, които могат да прилагат веднага след дипломирането си.

Ще предоставят ли курсовете полезни умения, които не са свързани с продуктите на Belkasoft, или тези умения ще бъдат неприложими без този софтуер?
Уменията, придобити по време на обученията, ще бъдат полезни и без използването на продуктите на Belkasoft.

Какво е включено в първоначалния тест?

Първичният тест е тест за познаване на основите на компютърната криминалистика. Тестване за познаване на продуктите на Belkasoft и Group-IB не се предвижда.

Къде мога да намеря информация за образователните курсове на компанията?

В рамките на образователни курсове Group-IB обучава специалисти по реагиране при инциденти, изследване на зловреден софтуер, специалисти по киберразузнаване (Threat Intelligence), специалисти за работа в Центъра за операции по сигурността (SOC), специалисти по проактивно търсене на заплахи (Threat Hunter) и др. . Наличен е пълен списък с авторски курсове от Group-IB тук.

Какви бонуси получават студентите, завършили съвместните курсове на Group-IB и Belkasoft?
Завършилите съвместните курсове на Group-IB и Belkasoft ще получат:

1. сертификат за завършен курс;
2. безплатен месечен абонамент за Belkasoft Evidence Center;
3. 10% отстъпка за закупуване на Belkasoft Evidence Center.

Напомняме, че първият курс започва в понеделник, 9 септември, — не пропускайте възможността да придобиете уникални знания в областта на информационната сигурност, компютърната криминалистика и реакцията при инциденти! Регистрация за курса тук.

източнициПри подготовката на статията е използвана презентацията на Олег Скулкин „Използване на базирана на хост криминалистика за получаване на индикатори за компрометиране за успешна реакция при инцидент, управлявана от разузнаване“.

Източник: www.habr.com