ProHoster > Bloc > notícies d'internet > Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà
Algorismes i tàctiques per respondre a incidents de seguretat de la informació, tendències dels ciberatacs actuals, enfocaments per investigar fuites de dades a les empreses, investigació de navegadors i dispositius mòbils, anàlisi de fitxers xifrats, extracció de dades de geolocalització i anàlisi de grans volums de dades, tots aquests i altres temes. es pot estudiar en nous cursos conjunts de Group-IB i Belkasoft. A l'agost nosaltres va anunciar el primer curs de Belkasoft Digital Forensics, que comença el 9 de setembre, i després d'haver rebut un gran nombre de preguntes, hem decidit parlar amb més detall sobre què estudiaran els alumnes, quins coneixements, competències i bonificacions (!) rebran aquells que arribar al final. El primer és el primer.

Dos Tot en un

La idea de realitzar cursos de formació conjunts va sorgir després que els participants del curs del Grup-IB comencessin a preguntar sobre una eina que els ajudés a investigar sistemes informàtics i xarxes compromesos i combinar la funcionalitat de diverses utilitats gratuïtes que recomanem utilitzar durant la resposta a incidents.

Segons la nostra opinió, aquesta eina podria ser Belkasoft Evidence Center (ja n'hem parlat a article Igor Mikhailov "La clau del començament: el millor programari i maquinari per a informàtica forense"). Per això, juntament amb Belkasoft, hem desenvolupat dos cursos de formació: Belkasoft Digital Forensics и Examen de resposta a incidents de Belkasoft.

IMPORTANT: els cursos són seqüencials i interconnectats! Belkasoft Digital Forensics es dedica al programa Belkasoft Evidence Center, i Belkasoft Incident Response Examination es dedica a investigar incidents amb productes Belkasoft. És a dir, abans d'estudiar el curs d'examen de resposta a incidents de Belkasoft, recomanem fermament completar el curs de Belkasoft Digital Forensics. Si comenceu immediatament amb un curs sobre investigacions d'incidents, l'estudiant pot tenir llacunes de coneixement molestes a l'hora d'utilitzar el Belkasoft Evidence Center, trobar i examinar artefactes forenses. Això pot comportar que durant la formació del curs Belkasoft Incident Response Examination, l'estudiant o bé no tindrà temps per dominar el material, o alentirà la resta del grup en l'adquisició de nous coneixements, ja que el temps de formació es dedicarà. per part del formador explicant el material del curs de Belkasoft Digital Forensics.

Informàtica forense amb Belkasoft Evidence Center

Finalitat del curs Belkasoft Digital Forensics — presentar als estudiants el programa Belkasoft Evidence Center, ensenyar-los a utilitzar aquest programa per recollir proves de diverses fonts (emmagatzematge al núvol, memòria d'accés aleatori (RAM), dispositius mòbils, suports d'emmagatzematge (discs durs, unitats flash, etc.), màster tècniques i tècniques forenses bàsiques, mètodes d'examen forense d'artefactes de Windows, dispositius mòbils, abocadors de memòria RAM. També aprendràs a identificar i documentar artefactes de navegadors i programes de missatgeria instantània, crear còpies forenses de dades de diverses fonts, extreure dades de geolocalització i cercar per a seqüències de text (cerca per paraules clau), utilitzeu hashes quan realitzeu investigacions, analitzeu el registre de Windows, domini les habilitats d'exploració de bases de dades SQLite desconegudes, els fonaments bàsics de l'examen de fitxers gràfics i de vídeo i les tècniques analítiques utilitzades durant les investigacions.

El curs serà útil per a experts especialitzats en l'àmbit de la tècnica forense informàtica (informàtica forense); especialistes tècnics que determinen els motius d'una intrusió reeixida, analitzen la cadena d'esdeveniments i les conseqüències dels ciberatacs; especialistes tècnics que identifiquen i documenten el robatori de dades (fuites) per part d'una persona privilegiada (infractor intern); especialistes en e-Discovery; Personal del SOC i CERT/CSIRT; empleats de seguretat de la informació; entusiastes de la informàtica forense.

Pla del curs:

  • Belkasoft Evidence Center (BEC): primers passos
  • Creació i tramitació d'expedients a BEC
  • Recolliu proves digitals per a investigacions forenses amb BEC

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Ús de filtres
  • Informes
  • Recerca sobre programes de missatgeria instantània

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Investigació del navegador web

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Recerca de dispositius mòbils
  • Extracció de dades de geolocalització

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Cerca de seqüències de text en casos
  • Extracció i anàlisi de dades d'emmagatzematge al núvol
  • Ús de marcadors per destacar evidències significatives trobades durant la investigació
  • Examen dels fitxers del sistema Windows

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Anàlisi del registre de Windows
  • Anàlisi de bases de dades SQLite

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Mètodes de recuperació de dades
  • Tècniques per examinar els abocaments de memòria RAM
  • Ús de calculadora de hash i anàlisi de hash en investigació forense
  • Anàlisi d'arxius xifrats
  • Mètodes per estudiar fitxers gràfics i de vídeo
  • L'ús de tècniques analítiques en la investigació forense
  • Automatitzeu les accions rutinàries mitjançant el llenguatge de programació Belkascripts integrat

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà

  • Exercicis pràctics

Curs: Examen de resposta a incidents de Belkasoft

L'objectiu del curs és aprendre els conceptes bàsics de la investigació forense d'atacs cibernètics i les possibilitats d'utilitzar Belkasoft Evidence Center en una investigació. Coneixeràs els principals vectors dels atacs moderns a les xarxes d'ordinadors, aprendràs a classificar els atacs informàtics basats en la matriu MITRE ATT&CK, aplicaràs algorismes de recerca del sistema operatiu per establir el fet del compromís i reconstruiràs les accions dels atacants, aprendràs on es troben els artefactes que indiqueu quins fitxers es van obrir per últim, on el sistema operatiu emmagatzema informació sobre com es van descarregar i executar els fitxers executables, com es van moure els atacants per la xarxa i aprendre a examinar aquests artefactes mitjançant BEC. També aprendràs quins esdeveniments dels registres del sistema són d'interès des del punt de vista de la investigació d'incidents i la detecció d'accés remot, i aprendràs a investigar-los mitjançant BEC.

El curs serà útil per als tècnics especialistes que determinen els motius d'una intrusió reeixida, analitzen les cadenes d'esdeveniments i les conseqüències dels ciberatacs; administradors de sistemes; Personal del SOC i CERT/CSIRT; personal de seguretat de la informació.

Resum del curs

Cyber ​​​​Kill Chain descriu les etapes principals de qualsevol atac tècnic als ordinadors (o xarxa informàtica) de la víctima de la següent manera:
Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà
Les actuacions dels empleats del SOC (CERT, seguretat de la informació, etc.) tenen com a objectiu evitar que els intrusos accedeixin a recursos informatius protegits.

Si els atacants penetren a la infraestructura protegida, les persones anteriors haurien d'intentar minimitzar els danys de les activitats dels atacants, determinar com es va dur a terme l'atac, reconstruir els esdeveniments i la seqüència d'accions dels atacants a l'estructura d'informació compromesa i prendre mesures per prevenir aquest tipus d'atac en el futur.

Es poden trobar els següents tipus de rastres en una infraestructura d'informació compromesa, que indiquen que la xarxa (ordinador) s'ha vist compromesa:

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà
Tots aquests rastres es poden trobar mitjançant el programa Belkasoft Evidence Center.

BEC disposa d'un mòdul "Investigació d'incidències", on, en analitzar els mitjans d'emmagatzematge, es col·loca informació sobre artefactes que pot ajudar a l'investigador a l'hora d'investigar incidents.

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà
BEC admet l'examen dels principals tipus d'artefactes de Windows que indiquen l'execució de fitxers executables al sistema investigat, inclosos fitxers Amcache, Userassist, Prefetch, BAM/DAM, Línia de temps de Windows 10, anàlisi d'esdeveniments del sistema.

La informació sobre les traces que contenen informació sobre les accions de l'usuari en un sistema compromès es pot presentar de la forma següent:

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindrà
Aquesta informació, entre altres coses, inclou informació sobre l'execució de fitxers executables:

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindràInformació sobre l'execució del fitxer "RDPWInst.exe".

La informació sobre la presència dels atacants en sistemes compromesos es pot trobar a les claus d'inici del registre de Windows, serveis, tasques programades, scripts d'inici de sessió, WMI, etc. A les captures de pantalla següents es poden veure exemples de detecció d'informació sobre atacants connectats al sistema:

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindràRestringir els atacants que utilitzen el planificador de tasques mitjançant la creació d'una tasca que executi un script de PowerShell.

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindràConsolidació d'atacants mitjançant Windows Management Instrumentation (WMI).

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindràConsolidació dels atacants mitjançant l'script d'inici de sessió.

El moviment dels atacants a través d'una xarxa informàtica compromesa es pot detectar, per exemple, mitjançant l'anàlisi dels registres del sistema de Windows (si els atacants utilitzen el servei RDP).

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindràInformació sobre les connexions RDP detectades.

Cursos conjunts de Grup-IB i Belkasoft: què ensenyarem i a qui vindràInformació sobre el moviment dels atacants per la xarxa.

Així, Belkasoft Evidence Center pot ajudar els investigadors a identificar ordinadors compromesos en una xarxa informàtica atacada, trobar rastres del llançament de programari maliciós, rastres de fixació al sistema i moviment a través de la xarxa i altres rastres d'activitat de l'atacant en equips compromesos.

Com dur a terme aquesta investigació i detectar els artefactes descrits anteriorment es descriu al curs de formació de l'examen de resposta a incidents de Belkasoft.

Pla del curs:

  • Tendències dels ciberatacs. Tecnologies, eines, objectius dels atacants
  • Ús de models d'amenaça per comprendre les tàctiques, tècniques i procediments dels atacants
  • Cadena cibernètica
  • Algorisme de resposta a incidents: identificació, localització, generació d'indicadors, cerca de nous nodes infectats
  • Anàlisi de sistemes Windows mitjançant BEC
  • Detecció de mètodes d'infecció primària, propagació de la xarxa, consolidació i activitat de xarxa de programari maliciós mitjançant BEC
  • Identificar sistemes infectats i restaurar l'historial d'infeccions mitjançant BEC
  • Exercicis pràctics

FAQOn es fan els cursos?
Els cursos es fan a la seu del Grup-IB o en un centre extern (centre de formació). És possible que un entrenador viatgi a llocs amb clients corporatius.

Qui dirigeix ​​les classes?
Els formadors del Grup-IB són professionals amb molts anys d'experiència en la realització d'investigacions forenses, investigacions corporatives i resposta a incidents de seguretat de la informació.

Les qualificacions dels formadors estan confirmades per nombrosos certificats internacionals: GCFA, MCFE, ACE, EnCE, etc.

Els nostres entrenadors troben fàcilment un llenguatge comú amb el públic, explicant clarament fins i tot els temes més complexos. Els estudiants aprendran molta informació rellevant i interessant sobre la investigació d'incidents informàtics, mètodes per identificar i contrarestar atacs informàtics, i obtindran coneixements pràctics reals que poden aplicar immediatament després de la graduació.

Els cursos proporcionaran habilitats útils no relacionades amb els productes de Belkasoft, o aquestes habilitats seran inaplicables sense aquest programari?
Les habilitats adquirides durant la formació seran útils sense utilitzar els productes de Belkasoft.

Què inclou la prova inicial?

Les proves primàries són una prova de coneixement dels fonaments bàsics de la informàtica forense. No hi ha plans per provar el coneixement dels productes Belkasoft i Group-IB.

On puc trobar informació sobre els cursos educatius de l'empresa?

En el marc dels cursos educatius, Group-IB forma especialistes en resposta a incidents, recerca de programari maliciós, especialistes en ciberintel·ligència (Threat Intelligence), especialistes per treballar al Security Operation Center (SOC), especialistes en caça proactiva d'amenaces (Threat Hunter), etc. . Hi ha disponible una llista completa de cursos propietaris del Grup-IB aquí.

Quines bonificacions reben els estudiants que completen cursos conjunts entre Group-IB i Belkasoft?
Aquells que hagin completat la formació en cursos conjunts entre Group-IB i Belkasoft rebran:

  1. certificat de finalització del curs;
  2. subscripció mensual gratuïta a Belkasoft Evidence Center;
  3. 10% de descompte en la compra de Belkasoft Evidence Center.

Us recordem que dilluns comença el primer curs, 9 setembre, - no perdis l'oportunitat d'adquirir coneixements únics en l'àmbit de la seguretat de la informació, la informàtica forense i la resposta a incidents! Inscripció al curs aquí.

FontsEn preparar l'article, hem utilitzat la presentació d'Oleg Skulkin "Utilitzar la investigació forense basada en l'amfitrió per obtenir indicadors de compromís per a una resposta reeixida a incidents basada en la intel·ligència".

Font: www.habr.com

Afegeix comentari