Algoritmi è tattiche per risponde à incidenti di sicurezza di l'infurmazioni, tendenze in l'attacchi cibernetici attuali, approcci à l'investigazione di fughe di dati in l'imprese, a ricerca di i navigatori è i dispositi mobili, l'analisi di fugliali criptati, l'estrazione di dati di geolocalizzazione è l'analisi di grandi volumi di dati - tutti questi è altri temi pò esse studiatu nantu à novi corsi cumuni di Group-IB è Belkasoft. In Aostu noi
Dui Tutti in unu
L'idea di organizà corsi di furmazione cumuni hè apparsa dopu chì i participanti di u cursu di u Gruppu-IB anu cuminciatu à dumandà un strumentu chì li aiutava à investigà i sistemi informatici è e rete cumprumessi, è unisce e funziunalità di diverse utilità gratuiti chì ricumandemu di utilizà durante a risposta à l'incidente.
In u nostru parè, un tali strumentu puderia esse Belkasoft Evidence Center (avemu digià parlatu in
IMPORTANTE : i corsi sò sequenziali è interconnessi ! Belkasoft Digital Forensics hè dedicatu à u prugramma Belkasoft Evidence Center, è Belkasoft Incident Response Examination hè dedicatu à investigà incidenti cù i prudutti Belkasoft. Vale à dì, prima di studià u cursu di Belkasoft Incident Response Examination, ricumandemu fermamente di cumpiendu u cursu di Belkasoft Digital Forensics. Sè avete principiatu subitu cù un cursu nantu à investigazioni di incidenti, u studiente pò avè lacune di cunniscenza fastidiosa in l'usu di u Belkasoft Evidence Center, truvannu è esaminendu artefatti forensici. Questu pò purtari à u fattu chì durante a furmazione in u cursu di Belkasoft Incident Response Examination, u studiente o ùn hà micca u tempu di ammaistrà u materiale, o rallentarà u restu di u gruppu in l'acquistu di novi cunniscenze, postu chì u tempu di furmazione serà passatu. da u trainer chì spiegà u materiale da u cursu Belkasoft Digital Forensics.
Computer forensics cù Belkasoft Evidence Center
Scopu di u corsu Belkasoft Digital Forensics - presentà i studienti à u prugramma Belkasoft Evidence Center, insegni à aduprà stu prugramma per cullà evidenza da diverse fonti (almacenamiento in nuvola, memoria d'accessu aleatoriu (RAM), dispositi mobili, supporti di almacenamento (dischi duri, unità flash, etc.), maestru. tecnichi è tecniche forensiche di basa, metudi di esaminazione forensica di Windows artefatti, dispusitivi mobili, RAM dumps.You ancu amparà à identificà è documentà artefatti di i navigatori è i prugrammi di messageria istantanea, creanu copie forensiche di dati da diverse fonti, estrae dati di geolocation è ricerca. per sequenze di testu (ricerca per parole chjave), aduprate hashes quandu realizanu a ricerca, analizà u registru di Windows, maestru di e cumpetenze di esplorazione di basa di dati SQLite scunnisciuti, i basi di esaminà i fugliali grafichi è video, è e tecniche analitiche utilizzate durante l'investigazioni.
U corsu serà utile à i sperti cun spicializazioni in u campu di l'informatica forensica tecnicu (forensica informatica); specialisti tecnichi chì determinanu i motivi di una intrusione successu, analizà a catena di l'avvenimenti è e cunsequenze di l'attacchi cibernetici; specialisti tecnichi chì identificanu è documentanu u furtu di dati (perdite) da un insider (violatore internu); specialisti in e-Discovery; Staff SOC è CERT/CSIRT; impiegati di sicurità di l'infurmazioni; dilettanti di l'informatica forensica.
Pianu di u corsu:
- Belkasoft Evidence Center (BEC): primi passi
- Creazione è trattamentu di casi in BEC
- Raccoglie evidenza digitale per investigazioni forensiche cù BEC
- Utilizà i filtri
- Generazione di rapporti
- Ricerche nantu à i prugrammi di messageria istantanea
- Ricerca di u navigatore Web
- Ricerca di i dispositi mobili
- Estrazione di dati di geolocalizzazione
- Ricerca di sequenze di testu in casi
- Estrazione è analisi di dati da i magazzini in nuvola
- Utilizà i marcati per mette in risaltu evidenza significativa truvata durante a ricerca
- Esame di i schedarii di u sistema di Windows
- Analisi di u Registru di Windows
- Analisi di basa di dati SQLite
- I metudi di ricuperazione di dati
- Tecniche per esaminà i dump RAM
- Utilizà a calculatrice di hash è l'analisi di hash in a ricerca forensica
- Analisi di i schedarii criptati
- Metudu per studià i fugliali grafichi è video
- L'usu di tecniche analitiche in a ricerca forensica
- Automatizà l'azzioni di rutina utilizendu a lingua di prugrammazione Belkascripts integrata
- Lezioni pratiche
Corso: Belkasoft Incident Response Examination
U scopu di u cursu hè di amparà i principii di l'investigazione forensica di l'attacchi cibernetici è e pussibilità di utilizà Belkasoft Evidence Center in una investigazione. Sapete nantu à i vettori principali di attacchi muderni nantu à e rete di computer, amparà à classificà l'attacchi di l'informatica basati nantu à a matrice MITRE ATT&CK, applicà l'algoritmi di ricerca di u sistema upirativu per stabilisce u fattu di cumprumissu è ricustruisce l'azzioni di l'attaccanti, amparà induve si trovanu artefatti chì indicà quali fugliali sò stati aperti l'ultimi, induve u sistema operatore guarda l'infurmazioni nantu à cumu i fugliali eseguibili sò stati scaricati è eseguiti, cumu l'attaccanti si sò spustati in a reta, è amparà cumu esaminà questi artefatti cù BEC. Sapete ancu ciò chì l'avvenimenti in i logs di u sistema sò d'interessu da u puntu di vista di l'investigazione di l'incidentu è a rilevazione di l'accessu remota, è amparà cumu investigà cù BEC.
U cursu serà utile à i specialisti tecnichi chì determinanu i motivi di una intrusione successu, analizà e catene di avvenimenti è e cunsequenze di l'attacchi cibernetici; amministratori di sistema; Staff SOC è CERT/CSIRT; persunale di sicurità di l'infurmazioni.
Panoramica di u corsu
Cyber Kill Chain descrive e tappe principali di qualsiasi attaccu tecnicu à l'urdinatori di a vittima (o a reta di l'informatica) cum'è seguente:
L'azzioni di l'impiegati SOC (CERT, sicurezza di l'infurmazioni, etc.) sò destinati à impedisce l'intrusi di accede à e risorse d'infurmazioni prutette.
Se l'attaccanti penetranu in l'infrastruttura prutetta, e persone sopra à pruvà à minimizzà i danni da l'attività di l'attaccanti, determinà cumu l'attaccu hè statu realizatu, ricustruisce l'avvenimenti è a sequenza di l'azzioni di l'attaccanti in a struttura d'informazione cumprumessa, è piglià misure per impedisce stu tipu d'attaccu in u futuru.
I seguenti tipi di tracce ponu esse truvati in una infrastruttura d'informazione cumprumessa, chì indicanu chì a reta (computer) hè stata cumprumessa:
Tutte tali tracce ponu esse truvate cù u prugramma Belkasoft Evidence Center.
BEC hà un modulu "Investigazione di incidenti", induve, quandu analizà i media di almacenamento, l'infurmazioni nantu à l'artefatti sò posti chì ponu aiutà à l'investigatore quandu investiganu incidenti.
BEC supporta l'esame di i principali tipi di artefatti di Windows chì indicanu l'esekzione di i fugliali eseguibili nantu à u sistema investigatu, cumprese Amcache, Userassist, Prefetch, i schedari BAM / DAM,
L'infurmazioni nantu à e tracce chì cuntenenu infurmazioni nantu à l'azzioni di l'utilizatori in un sistema cumprumissu ponu esse presentati in a forma seguente:
Questa informazione, frà altre cose, include infurmazione nantu à l'esecuzione di fugliali eseguibili:
Informazioni nantu à l'esecuzione di u schedariu "RDPWInst.exe".
L'infurmazioni nantu à a presenza di l'attaccanti in i sistemi cumprumessi ponu esse truvati in e chjave di startup di u registru di Windows, servizii, attività pianificate, script di Logon, WMI, etc. Esempii di rilevazione di informazioni nantu à l'attaccanti attaccati à u sistema ponu esse vistu in i seguenti screenshots:
Limità l'attaccanti chì utilizanu u pianificatore di attività creendu un compitu chì esegue un script PowerShell.
Consolidazione di l'attaccanti utilizendu Windows Management Instrumentation (WMI).
Consolidazione di l'attaccanti cù u script di Logon.
U muvimentu di l'attaccanti in una reta di computer cumprumessi pò esse rilevatu, per esempiu, analizendu i logs di u sistema Windows (se l'attaccanti utilizanu u serviziu RDP).
Informazioni nantu à e cunnessione RDP rilevate.
Informazioni nantu à u muvimentu di l'attaccanti in a reta.
Cusì, Belkasoft Evidence Center pò aiutà i circadori à identificà l'urdinatori cumprumessi in una reta di l'informatica attaccata, truvà tracce di u lanciu di malware, tracce di fissazione in u sistema è u muvimentu in a reta, è altre traccia di l'attività di l'attaccante nantu à l'urdinatori compromessi.
Cumu fà tali ricerche è detectà l'artefatti descritti sopra hè descrittu in u cursu di furmazione Belkasoft Incident Response Examination.
Pianu di u corsu:
- Tendenze di Cyberattack. Tecnulugie, arnesi, scopi di l'attaccanti
- Utilizà mudelli di minaccia per capisce e tattiche, tecniche è prucedure di l'attaccanti
- Catena di uccisione cibernetica
- Algoritmu di risposta à l'incidente: identificazione, localizazione, generazione di indicatori, ricerca di novi nodi infettati
- Analisi di sistemi Windows cù BEC
- Rilevazione di metudi di infezzione primaria, diffusione di rete, consolidazione è attività di rete di malware cù BEC
- Identificà i sistemi infettati è restaurà a storia di l'infezzione cù BEC
- Lezioni pratiche
FAQInduve sò tenuti i corsi ?
I corsi sò tenuti in a sede di u Gruppu-IB o in un situ esternu (centru di furmazione). Hè pussibule per un trainer per viaghjà in siti cù i clienti corporativi.
Chi dirige i corsi ?
I formatori di Group-IB sò praticanti cù parechji anni di sperienza in a realizazione di ricerca forensica, investigazioni corporative è risponde à incidenti di sicurezza di l'infurmazioni.
I qualifiche di i formatori sò cunfirmati da numerosi certificati internaziunali: GCFA, MCFE, ACE, EnCE, etc.
I nostri furmatori trovanu facilmente una lingua cumuna cù l'audienza, spieghendu chjaramente ancu i temi più cumplessi. I studienti amparanu assai infurmazioni pertinenti è interessanti nantu à l'investigazione di incidenti informatici, i metudi di identificà è di contru à l'attacchi di l'informatica, è acquistà una vera cunniscenza pratica chì ponu applicà immediatamente dopu a graduazione.
I corsi furnisceranu cumpetenze utili chì ùn sò micca ligati à i prudutti Belkasoft, o queste cumpetenze seranu inapplicabili senza stu software?
E cumpetenze acquistate durante a furmazione seranu utili senza aduprà i prudutti Belkasoft.
Cosa hè inclusu in a prova iniziale?
A prova primaria hè una prova di cunniscenza di i principii di l'informatica forensica. Ùn ci hè micca prughjettu di pruvà a cunniscenza di i prudutti Belkasoft è Group-IB.
Induve possu truvà infurmazione nantu à i corsi educativi di a cumpagnia?
Cum'è parte di i corsi educativi, Group-IB forma specialisti in risposta à l'incidentu, ricerca di malware, specialisti in intelligenza cibernetica (Threat Intelligence), specialisti per travaglià in u Centru di Operazione di Sicurezza (SOC), specialisti in caccia di minaccia proattiva (Threat Hunter), etc. . Una lista cumpleta di i corsi privati di Group-IB hè dispunibule
Chì bonus ricevenu i studienti chì compie i corsi cumuni trà Group-IB è Belkasoft?
Quelli chì anu finitu a furmazione in corsi cumuni trà Group-IB è Belkasoft riceveranu:
- certificatu di fine di u cursu;
- abbonamentu mensuale gratuitu à Belkasoft Evidence Center;
- 10% di scontu nantu à a compra di Belkasoft Evidence Center.
Ricurdamu chì u primu corsu principia u luni, Settembre di 9, - ùn mancate micca l'uppurtunità di acquistà una cunniscenza unica in u campu di a sicurità di l'infurmazioni, a forensica di l'informatica è a risposta di incidenti! Iscrizzione à u corsu
FontiIn a preparazione di l'articulu, avemu usatu a presentazione di Oleg Skulkin "Usendu a forensica basata nantu à l'ospiti per ottene indicatori di cumprumissu per una risposta di successu à l'incidenti guidata da l'intelligenza".
Source: www.habr.com