Mga algorithm ug taktika sa pagtubag sa mga insidente sa seguridad sa impormasyon, mga uso sa kasamtangang mga pag-atake sa cyber, mga pamaagi sa pag-imbestiga sa mga pagtagas sa datos sa mga kompanya, pagsiksik sa mga browser ug mga mobile device, pag-analisar sa mga naka-encrypt nga mga file, pagkuha sa geolocation data ug analytics sa dagkong mga volume sa datos - kining tanan ug uban pang mga hilisgutan mahimong tun-an sa bag-ong hiniusang kurso sa Group-IB ug Belkasoft. Sa Agosto kami ang una nga kurso sa Belkasoft Digital Forensics, nga nagsugod sa Septyembre 9, ug nakadawat daghang daghang mga pangutana, nakahukom kami nga hisgutan ang mas detalyado kung unsa ang tun-an sa mga estudyante, unsa nga kahibalo, kahanas ug mga bonus (!) ang madawat sa mga tawo nga moabot sa kataposan. Una nga mga butang una.
Duha Tanan sa usa
Ang ideya sa pagpahigayon sa hiniusang mga kurso sa pagbansay mitungha human ang mga partisipante sa kurso sa Group-IB nagsugod sa pagpangutana bahin sa usa ka himan nga makatabang kanila sa pag-imbestigar sa mga kompromiso nga sistema sa kompyuter ug mga network, ug paghiusa sa pagpaandar sa nagkalain-laing libre nga mga utilities nga among girekomendar nga gamiton atol sa pagtubag sa insidente.
Sa among opinyon, ang ingon nga himan mahimong Belkasoft Evidence Center (nahisgotan na namo kini sa Igor Mikhailov "Yawe sa pagsugod: ang labing kaayo nga software ug hardware alang sa forensics sa kompyuter"). Busa, kami, uban sa Belkasoft, nakahimo og duha ka kurso sa pagbansay: Belkasoft Digital Forensics ΠΈ Belkasoft Incident Response Examination.
IMPORTANTE: ang mga kurso sunud-sunod ug magkadugtong! Ang Belkasoft Digital Forensics gipahinungod sa programa sa Belkasoft Evidence Center, ug ang Belkasoft Incident Response Examination gipahinungod sa pag-imbestiga sa mga insidente gamit ang mga produkto sa Belkasoft. Kana mao, sa wala pa tun-an ang kurso sa Belkasoft Incident Response Examination, kusganon namon nga girekomenda ang pagkompleto sa kurso sa Belkasoft Digital Forensics. Kung magsugod ka dayon sa usa ka kurso sa mga imbestigasyon sa insidente, ang estudyante mahimong adunay makalagot nga kal-ang sa kahibalo sa paggamit sa Belkasoft Evidence Center, pagpangita ug pagsusi sa mga forensic artifact. Mahimong mosangpot kini sa kamatuoran nga sa panahon sa pagbansay sa kurso sa Belkasoft Incident Response Examination, ang estudyante wala nay panahon sa pag-master sa materyal, o magpahinay sa uban nga grupo sa pagbaton og bag-ong kahibalo, tungod kay ang oras sa pagbansay gigugol. pinaagi sa tigbansay nga nagpatin-aw sa materyal gikan sa Belkasoft Digital Forensics nga kurso.
Computer forensics uban sa Belkasoft Evidence Center
Katuyoan sa kurso Belkasoft Digital Forensics β ipaila sa mga estudyante ang programa sa Belkasoft Evidence Center, tudloi sila sa paggamit niini nga programa sa pagkolekta sa ebidensya gikan sa lain-laing mga tinubdan (cloud storage, random access memory (RAM), mobile device, storage media (hard drives, flash drives, etc.), master batakang mga teknik ug teknik sa forensic, mga pamaagi sa forensic nga pagsusi sa mga artifact sa Windows, mga mobile device, mga dump sa RAM. Makakat-on ka usab sa pag-ila ug pagdokumento sa mga artifact sa mga browser ug mga programa sa instant messaging, paghimo og forensic nga mga kopya sa datos gikan sa nagkalain-laing mga tinubdan, pagkuha sa datos sa geolocation ug pagpangita alang sa mga han-ay sa teksto (pagpangita pinaagi sa mga keyword), paggamit og mga hash sa pagpahigayon og panukiduki, pag-analisar sa Windows registry, pag-master sa mga kahanas sa pagsuhid sa wala mailhi nga mga database sa SQLite, ang mga sukaranan sa pagsusi sa mga graphic ug video nga mga file, ug mga pamaagi sa pagtuki nga gigamit sa panahon sa mga imbestigasyon.
Ang kurso mahimong mapuslanon sa mga eksperto nga adunay espesyalisasyon sa natad sa computer technical forensics (computer forensics); mga teknikal nga espesyalista nga nagtino sa mga hinungdan sa usa ka malampuson nga pagsulod, pag-analisar sa kadena sa mga panghitabo ug ang mga sangputanan sa mga pag-atake sa cyber; teknikal nga mga espesyalista nga nag-ila ug nagdokumento sa data theft (leaks) sa usa ka insider (internal violator); Mga espesyalista sa e-Discovery; kawani sa SOC ug CERT/CSIRT; mga empleyado sa seguridad sa impormasyon; mga mahiligon sa computer forensics.
Plano sa kurso:
- Belkasoft Evidence Center (BEC): unang mga lakang
- Paghimo ug pagproseso sa mga kaso sa BEC
- Pagkolekta digital nga ebidensya alang sa forensic nga imbestigasyon uban sa BEC
- Paggamit sa mga filter
- Pagmugna og mga taho
- Pagpanukiduki sa Instant Messaging Programs
- Pagtuon sa Web Browser
- Pagpanukiduki sa Mobile Device
- Pagkuha sa datos sa geolocation
- Pagpangita alang sa mga han-ay sa teksto sa mga kaso
- Pagkuha ug pag-analisar sa datos gikan sa mga pagtipig sa panganod
- Paggamit sa mga bookmark aron ipasiugda ang hinungdanon nga ebidensya nga nakit-an sa panahon sa panukiduki
- Pagsusi sa mga file sa sistema sa Windows
- Pagtuki sa Windows Registry
- Pag-analisar sa mga database sa SQLite
- Mga Pamaagi sa Pagbawi sa Data
- Mga teknik sa pagsusi sa mga dump sa RAM
- Gamit ang hash calculator ug hash analysis sa forensic research
- Pag-analisar sa mga naka-encrypt nga file
- Mga pamaagi sa pagtuon sa mga graphic ug video file
- Ang paggamit sa analytical nga mga teknik sa forensic research
- I-automate ang naandan nga mga aksyon gamit ang built-in nga Belkascripts programming language
- Praktikal nga mga leksyon
Kurso: Belkasoft Incident Response Examination
Ang katuyoan sa kurso mao ang pagkat-on sa mga sukaranan sa forensic nga imbestigasyon sa mga pag-atake sa cyber ug ang mga posibilidad sa paggamit sa Belkasoft Evidence Center sa usa ka imbestigasyon. Mahibal-an nimo ang bahin sa mga nag-unang vector sa modernong mga pag-atake sa mga network sa kompyuter, pagkat-on sa pagklasipikar sa mga pag-atake sa kompyuter base sa MITRE ATT&CK matrix, paggamit sa mga algorithm sa panukiduki sa operating system aron matukod ang kamatuoran sa pagkompromiso ug pagtukod pag-usab sa mga aksyon sa mga tig-atake, pagkat-on kung asa nahimutang ang mga artifact nga ipahibalo kung unsang mga file ang kataposang giablihan , diin ang operating system nagtipig og impormasyon bahin sa kung giunsa pagkarga ug pag-execute ang mga executable nga file, giunsa paglihok sa mga tig-atake sa network, ug pagkat-on unsaon pag-imbestigar niini nga mga artifact gamit ang BEC. Mahibal-an usab nimo kung unsa nga mga panghitabo sa mga log sa sistema ang interesado gikan sa punto sa pagtan-aw sa imbestigasyon sa insidente ug pag-ila sa layo nga pag-access, ug mahibal-an kung giunsa kini pag-imbestiga gamit ang BEC.
Mapuslanon ang kurso sa mga teknikal nga espesyalista nga nagtino sa mga hinungdan sa usa ka malampuson nga pagsulod, pag-analisar sa mga kadena sa mga panghitabo ug ang mga sangputanan sa mga pag-atake sa cyber; mga tigdumala sa sistema; kawani sa SOC ug CERT/CSIRT; kawani sa seguridad sa impormasyon.
Overview sa Kurso
Gihubit sa Cyber ββββKill Chain ang mga nag-unang yugto sa bisan unsang teknikal nga pag-atake sa mga kompyuter (o network sa kompyuter) sa biktima ingon sa mosunod:
Ang mga aksyon sa mga empleyado sa SOC (CERT, seguridad sa impormasyon, ug uban pa) gitumong sa pagpugong sa mga manunulong sa pag-access sa giprotektahan nga mga kapanguhaan sa impormasyon.
Kung ang mga tig-atake makalusot sa giprotektahan nga imprastraktura, nan ang mga tawo sa ibabaw kinahanglan nga maningkamot sa pagpamenos sa kadaot gikan sa mga kalihokan sa mga tig-atake, pagtino kung giunsa ang pag-atake gihimo, pagtukod pag-usab sa mga panghitabo ug pagkasunod-sunod sa mga aksyon sa mga tig-atake sa nakompromiso nga istruktura sa impormasyon, ug pagkuha mga lakang aron mapugngan kini nga matang sa pag-atake sa umaabot.
Ang mosunod nga mga matang sa mga pagsubay makita sa usa ka nakompromiso nga imprastraktura sa impormasyon, nga nagpakita nga ang network (computer) nakompromiso:
Ang tanan nga mga pagsubay makit-an gamit ang programa sa Belkasoft Evidence Center.
Ang BEC adunay "Insidente Investigation" module, diin, kung mag-analisar sa storage media, gibutang ang impormasyon bahin sa mga artifact nga makatabang sa tigdukiduki sa pag-imbestigar sa mga insidente.
Gisuportahan sa BEC ang pagsusi sa mga nag-unang matang sa mga artifact sa Windows nga nagpakita sa pagpatuman sa mga executable nga mga file sa sistema nga giimbestigahan, lakip ang Amcache, Userassist, Prefetch, BAM/DAM files, , pagtuki sa mga panghitabo sa sistema.
Ang kasayuran bahin sa mga pagsubay nga adunay kasayuran bahin sa mga aksyon sa gumagamit sa usa ka nakompromiso nga sistema mahimong ipresentar sa mosunod nga porma:
Kini nga impormasyon, lakip sa ubang mga butang, naglakip sa impormasyon mahitungod sa pagpadagan sa mga executable nga mga file:
Impormasyon bahin sa pagpadagan sa file 'RDPWInst.exe'.
Ang kasayuran bahin sa presensya sa mga tig-atake sa mga nakompromiso nga sistema makita sa mga yawe sa pagsugod sa rehistro sa Windows, serbisyo, naka-iskedyul nga mga buluhaton, mga script sa Logon, WMI, ug uban pa. Ang mga pananglitan sa pag-ila sa impormasyon bahin sa mga tig-atake nga gilakip sa sistema makita sa mosunod nga mga screenshot:
Pagpugong sa mga tig-atake gamit ang task scheduler pinaagi sa paghimo og buluhaton nga nagpadagan og PowerShell script.
Pagkonsolida sa mga tig-atake gamit ang Windows Management Instrumentation (WMI).
Pagkonsolida sa mga tig-atake gamit ang Logon script.
Ang paglihok sa mga tig-atake sa usa ka nakompromiso nga network sa kompyuter mahimong mahibal-an, pananglitan, pinaagi sa pag-analisar sa mga log sa sistema sa Windows (kung ang mga tig-atake mogamit sa serbisyo sa RDP).
Impormasyon bahin sa nakit-an nga koneksyon sa RDP.
Impormasyon mahitungod sa paglihok sa mga tig-atake sa tibuok network.
Sa ingon, ang Belkasoft Evidence Center makatabang sa mga tigdukiduki sa pag-ila sa nakompromiso nga mga kompyuter sa usa ka giatake nga network sa kompyuter, pagpangita sa mga timailhan sa paglunsad sa malware, mga timailhan sa pag-ayo sa sistema ug paglihok sa tibuok network, ug uban pang mga timailhan sa kalihokan sa tig-atake sa mga nakompromiso nga mga kompyuter.
Giunsa paghimo ang ingon nga panukiduki ug pag-ila sa mga artifact nga gihulagway sa ibabaw gihulagway sa kurso sa pagbansay sa Belkasoft Incident Response Examination.
Plano sa kurso:
- Mga uso sa cyberattack. Mga teknolohiya, himan, tumong sa mga tig-atake
- Paggamit sa mga modelo sa hulga aron masabtan ang mga taktika, teknik, ug pamaagi sa pag-atake
- Cyber ββββkill chain
- Algoritmo sa pagtubag sa insidente: pag-ila, pag-localize, paghimo sa mga indikasyon, pagpangita alang sa mga bag-ong nataptan nga node
- Pagtuki sa mga sistema sa Windows gamit ang BEC
- Pagtuki sa mga pamaagi sa panguna nga impeksyon, pagkaylap sa network, pagkonsolida, ug kalihokan sa network sa malware gamit ang BEC
- Ilha ang mga nataptan nga sistema ug ibalik ang kasaysayan sa impeksyon gamit ang BEC
- Praktikal nga mga leksyon
FAQDiin ang mga kurso gipahigayon?
Ang mga kurso gihimo sa hedkuwarter sa Group-IB o sa usa ka eksternal nga site (sentro sa pagbansay). Posible alang sa usa ka tigbansay nga mobiyahe sa mga site nga adunay mga kostumer sa korporasyon.
Kinsa ang nagdumala sa mga klase?
Ang mga tigbansay sa Group-IB mga practitioner nga adunay daghang tuig nga kasinatian sa pagpahigayon sa forensic nga panukiduki, mga imbestigasyon sa korporasyon ug pagtubag sa mga insidente sa seguridad sa impormasyon.
Ang mga kwalipikasyon sa mga tigbansay gipamatud-an sa daghang internasyonal nga mga sertipiko: GCFA, MCFE, ACE, EnCE, ug uban pa.
Ang among mga tigbansay dali nga makapangita usa ka sagad nga sinultian sa mga mamiminaw, tin-aw nga nagpatin-aw bisan sa labing komplikado nga mga hilisgutan. Makakat-on ang mga estudyante og daghang may kalabutan ug makaiikag nga impormasyon bahin sa pag-imbestigar sa mga insidente sa kompyuter, mga pamaagi sa pag-ila ug pagbatok sa mga pag-atake sa kompyuter, ug makaangkon og tinuod nga praktikal nga kahibalo nga mahimo nilang magamit dayon human sa gradwasyon.
Makahatag ba ang mga kurso ug mapuslanon nga kahanas nga walaβy kalabutan sa mga produkto sa Belkasoft, o kini nga mga kahanas dili magamit kung wala kini nga software?
Ang mga kahanas nga nakuha sa panahon sa pagbansay mahimong mapuslanon nga wala gigamit ang mga produkto sa Belkasoft.
Unsa ang gilakip sa inisyal nga pagsulay?
Ang panguna nga pagsulay usa ka pagsulay sa kahibalo sa mga sukaranan sa forensics sa kompyuter. Walaβy plano nga sulayan ang kahibalo sa mga produkto sa Belkasoft ug Group-IB.
Asa ko makit-an ang kasayuran bahin sa mga kurso sa edukasyon sa kompanya?
Isip bahin sa mga kurso sa edukasyon, ang Group-IB nagbansay sa mga espesyalista sa pagtubag sa insidente, panukiduki sa malware, mga espesyalista sa cyber intelligence (Threat Intelligence), mga espesyalista nga magtrabaho sa Security Operation Center (SOC), mga espesyalista sa proactive threat hunting (Threat Hunter), ug uban pa. . Adunay usa ka kompleto nga lista sa mga proprietary nga kurso gikan sa Group-IB .
Unsang mga bonus ang madawat sa mga estudyante nga nakakompleto sa hiniusang kurso tali sa Group-IB ug Belkasoft?
Kadtong nakatapos sa pagbansay sa hiniusa nga mga kurso tali sa Group-IB ug Belkasoft makadawat:
- sertipiko sa pagkompleto sa kurso;
- libre nga binulan nga suskrisyon sa Belkasoft Evidence Center;
- 10% nga diskwento sa pagpalit sa Belkasoft Evidence Center.
Gipahinumdoman ka namo nga ang unang kurso magsugod sa Lunes, 9 Septyembre, - ayaw palabya ββββang oportunidad nga makaangkon og talagsaon nga kahibalo sa natad sa seguridad sa impormasyon, forensics sa kompyuter ug pagtubag sa insidente! Pagparehistro alang sa kurso .
Mga tinubdanSa pag-andam sa artikulo, gigamit namo ang presentasyon ni Oleg Skulkin "Paggamit sa mga forensics nga nakabase sa host aron makakuha mga timailhan sa pagkompromiso alang sa malampuson nga tubag sa insidente nga gimaneho sa paniktik."
Source: www.habr.com