Algoritmy a taktiky pro reakci na incidenty zabezpečení informací, trendy v současných kybernetických útocích, přístupy k vyšetřování úniků dat ve firmách, průzkum prohlížečů a mobilních zařízení, analýza šifrovaných souborů, extrahování geolokačních dat a analýzy velkých objemů dat – to vše a další témata lze studovat na nových společných kurzech Group-IB a Belkasoft. V srpnu jsme první kurz Belkasoft Digital Forensics, který začíná 9. září, a po velkém množství dotazů jsme se rozhodli hovořit podrobněji o tom, co budou studenti studovat, jaké znalosti, kompetence a bonusy (!) získají ti, kteří dosáhnout konce. Pěkně popořádku.
Dva Vše v jednom
Myšlenka pořádání společných školicích kurzů se objevila poté, co se účastníci kurzu Group-IB začali ptát na nástroj, který by jim pomohl při vyšetřování kompromitovaných počítačových systémů a sítí a spojil funkce různých bezplatných utilit, které doporučujeme používat při reakci na incidenty.
Podle našeho názoru by takovým nástrojem mohlo být Belkasoft Evidence Center (už jsme o něm mluvili v Igor Mikhailov „Klíč na začátek: nejlepší software a hardware pro počítačovou forenzní analýzu“). Proto jsme společně s Belkasoftem vyvinuli dva školicí kurzy: Digitální forenzní analýza společnosti Belkasoft и Zkouška reakce na incident Belkasoft.
DŮLEŽITÉ: kurzy jsou sekvenční a vzájemně propojené! Belkasoft Digital Forensics se věnuje programu Belkasoft Evidence Center a Belkasoft Incident Response Examination se věnuje vyšetřování incidentů pomocí produktů Belkasoft. To znamená, že před studiem kurzu Belkasoft Incident Response Examination důrazně doporučujeme absolvovat kurz Belkasoft Digital Forensics. Pokud hned začnete s kurzem vyšetřování incidentů, student může mít nepříjemné mezery ve znalostech při používání Belkasoft Evidence Center, hledání a zkoumání forenzních artefaktů. To může vést k tomu, že během školení v kurzu Belkasoft Incident Response Examination student buď nestihne látku zvládnout, nebo zpomalí zbytek skupiny v získávání nových znalostí, protože čas školení bude spotřebován školitelem vysvětlujícím látku z kurzu Belkasoft Digital Forensics.
Počítačová forenzní s Belkasoft Evidence Center
Účel kurzu Digitální forenzní analýza společnosti Belkasoft — seznámit studenty s programem Belkasoft Evidence Center, naučit je používat tento program ke shromažďování důkazů z různých zdrojů (cloudová úložiště, paměť s přímým přístupem (RAM), mobilní zařízení, paměťová média (pevné disky, flash disky atd.), master základní forenzní techniky a techniky, metody forenzního zkoumání artefaktů Windows, mobilních zařízení, výpisů RAM. Také se naučíte identifikovat a dokumentovat artefakty prohlížečů a programů pro rychlé zasílání zpráv, vytvářet forenzní kopie dat z různých zdrojů, extrahovat geolokační data a vyhledávat pro textové sekvence (hledání podle klíčových slov), používejte hashe při provádění výzkumu, analyzujte registr Windows, osvojte si dovednosti prozkoumávání neznámých databází SQLite, základy zkoumání grafických a video souborů a analytické techniky používané při vyšetřování.
Kurz bude užitečný pro odborníky se specializací v oblasti počítačové technické kriminalistiky (počítačová kriminalistika); technické specialisty, kteří určují důvody úspěšného narušení, analyzují řetězec událostí a důsledky kybernetických útoků; techničtí specialisté identifikující a dokumentující odcizení dat (úniky) ze strany zasvěcených osob (vnitřního narušitele); specialisté na e-Discovery; zaměstnanci SOC a CERT/CSIRT; zaměstnanci informační bezpečnosti; nadšenci počítačové forenzní vědy.
Plán kurzu:
- Belkasoft Evidence Center (BEC): první kroky
- Tvorba a zpracování případů v BEC
- Sbírejte digitální důkazy pro forenzní vyšetřování s BEC
- Použití filtrů
- Hlášení
- Výzkum programů pro rychlé zasílání zpráv
- Výzkum webového prohlížeče
- Výzkum mobilních zařízení
- Extrahování geolokačních dat
- Vyhledávání textových sekvencí v případech
- Extrahování a analýza dat z cloudových úložišť
- Používání záložek ke zvýraznění významných důkazů nalezených během výzkumu
- Zkoumání systémových souborů Windows
- Analýza registru systému Windows
- Analýza SQLite databází
- Metody obnovy dat
- Techniky pro zkoumání výpisů paměti RAM
- Použití hašovací kalkulačky a hašovací analýzy ve forenzním výzkumu
- Analýza zašifrovaných souborů
- Metody studia grafických a video souborů
- Využití analytických technik ve forenzním výzkumu
- Automatizujte rutinní akce pomocí vestavěného programovacího jazyka Belkascripts
- Praktická cvičení
Kurz: Zkouška reakce na incident Belkasoft
Cílem kurzu je osvojit si základy forenzního vyšetřování kybernetických útoků a možnosti využití Belkasoft Evidence Center při vyšetřování. Dozvíte se o hlavních vektorech moderních útoků na počítačové sítě, naučíte se klasifikovat počítačové útoky na základě matice MITRE ATT&CK, aplikovat výzkumné algoritmy operačního systému ke zjištění skutečnosti kompromitace a rekonstrukci akcí útočníků, dozvíte se, kde se nacházejí artefakty, které označte, které soubory byly otevřeny naposledy , kam operační systém ukládá informace o tom, jak byly stahovány a spouštěny spustitelné soubory, jak se útočníci pohybovali po síti, a zjistěte, jak tyto artefakty prozkoumat pomocí BEC. Dozvíte se také, jaké události v systémových logech jsou zajímavé z hlediska vyšetřování incidentů a detekce vzdáleného přístupu a dozvíte se, jak je vyšetřovat pomocí BEC.
Kurz bude užitečný pro technické specialisty, kteří zjišťují důvody úspěšného narušení, analyzují řetězce událostí a důsledky kybernetických útoků; správci systému; zaměstnanci SOC a CERT/CSIRT; pracovníci informační bezpečnosti.
Přehled kurzu
Cyber Kill Chain popisuje hlavní fáze jakéhokoli technického útoku na počítače oběti (nebo počítačovou síť) takto:
Činnosti zaměstnanců SOC (CERT, informační bezpečnost atd.) mají za cíl zabránit narušitelům v přístupu k chráněným informačním zdrojům.
Pokud útočníci proniknou do chráněné infrastruktury, pak by se výše uvedené osoby měly pokusit minimalizovat škody způsobené činnostmi útočníků, určit, jak byl útok proveden, rekonstruovat události a sled akcí útočníků v kompromitované informační struktuře a přijmout opatření, která tomuto typu útoku v budoucnu zabrání.
V kompromitované informační infrastruktuře lze nalézt následující typy trasování, což naznačuje, že síť (počítač) byla kompromitována:
Všechny tyto stopy lze nalézt pomocí programu Belkasoft Evidence Center.
BEC má modul „Incident Investigation“, kde jsou při analýze paměťových médií umístěny informace o artefaktech, které mohou výzkumníkovi pomoci při vyšetřování incidentů.
BEC podporuje zkoumání hlavních typů artefaktů Windows, které indikují spouštění spustitelných souborů ve vyšetřovaném systému, včetně souborů Amcache, Userassist, Prefetch, BAM/DAM, ,analýza systémových událostí.
Informace o trasování obsahujících informace o akcích uživatele v kompromitovaném systému mohou být prezentovány v následující podobě:
Tyto informace mimo jiné zahrnují informace o spouštění spustitelných souborů:
Informace o spuštění souboru 'RDPWInst.exe'.
Informace o přítomnosti útočníků v napadených systémech lze nalézt v klíčích pro spuštění registru Windows, službách, plánovaných úlohách, přihlašovacích skriptech, WMI atd. Příklady detekce informací o útočníkech připojených k systému můžete vidět na následujících snímcích obrazovky:
Omezení útočníků pomocí plánovače úloh vytvořením úlohy, která spouští skript PowerShellu.
Konsolidace útočníků pomocí Windows Management Instrumentation (WMI).
Konsolidace útočníků pomocí přihlašovacího skriptu.
Pohyb útočníků po kompromitované počítačové síti lze detekovat například analýzou systémových protokolů Windows (pokud útočníci využívají službu RDP).
Informace o zjištěných připojeních RDP.
Informace o pohybu útočníků po síti.
Belkasoft Evidence Center tak může výzkumníkům pomoci identifikovat kompromitované počítače v napadené počítačové síti, najít stopy po spuštění malwaru, stopy po fixaci v systému a pohybu po síti a další stopy aktivity útočníka na napadených počítačích.
Jak provést takový výzkum a detekovat výše popsané artefakty, je popsáno ve školicím kurzu Belkasoft Incident Response Examination.
Plán kurzu:
- Trendy kybernetických útoků. Technologie, nástroje, cíle útočníků
- Použití modelů hrozeb k pochopení taktiky, technik a postupů útočníků
- Cyber zabijácký řetězec
- Algoritmus odezvy na incident: identifikace, lokalizace, generování indikátorů, hledání nových infikovaných uzlů
- Analýza systémů Windows pomocí BEC
- Detekce metod primární infekce, síťového šíření, konsolidace a síťové aktivity malwaru pomocí BEC
- Identifikujte infikované systémy a obnovte historii infekcí pomocí BEC
- Praktická cvičení
FAQKde se kurzy konají?
Kurzy se konají v centrále Group-IB nebo na externím místě (školicím středisku). Je možné, aby školitel cestoval na stránky s firemními zákazníky.
Kdo kurzy vede?
Školitelé ve Group-IB jsou odborníci s mnohaletými zkušenostmi s prováděním forenzního výzkumu, podnikových vyšetřování a reakcí na incidenty v oblasti bezpečnosti informací.
Kvalifikace trenérů je potvrzena řadou mezinárodních certifikátů: GCFA, MCFE, ACE, EnCE atd.
Naši školitelé snadno najdou společný jazyk s publikem a jasně vysvětlí i ta nejsložitější témata. Studenti se dozvědí mnoho relevantních a zajímavých informací o vyšetřování počítačových incidentů, metodách identifikace a boje proti počítačovým útokům a získají skutečné praktické znalosti, které mohou uplatnit ihned po ukončení studia.
Poskytnou kurzy užitečné dovednosti, které nesouvisejí s produkty Belkasoft, nebo budou tyto dovednosti bez tohoto softwaru nepoužitelné?
Dovednosti získané během školení budou užitečné i bez používání produktů Belkasoft.
Co je součástí úvodního testování?
Primární testování je testem znalostí základů počítačové kriminalistiky. Testování znalostí produktů Belkasoft a Group-IB se neplánuje.
Kde najdu informace o firemních vzdělávacích kurzech?
V rámci vzdělávacích kurzů Group-IB školí specialisty na reakce na incidenty, výzkum malwaru, specialisty na kybernetickou inteligenci (Threat Intelligence), specialisty pro práci v Security Operation Center (SOC), specialisty na proaktivní vyhledávání hrozeb (Threat Hunter) atd. . Kompletní seznam proprietárních kurzů od Group-IB je k dispozici .
Jaké bonusy dostávají studenti, kteří absolvují společné kurzy mezi Group-IB a Belkasoftem?
Ti, kteří absolvovali školení ve společných kurzech mezi Group-IB a Belkasoftem, obdrží:
- osvědčení o absolvování kurzu;
- bezplatné měsíční předplatné Belkasoft Evidence Center;
- 10% sleva na nákup Belkasoft Evidence Center.
Připomínáme, že první kurz začíná v pondělí, 9 září, - nenechte si ujít příležitost získat jedinečné znalosti v oblasti informační bezpečnosti, počítačové forenzní analýzy a reakce na incidenty! Registrace do kurzu .
zdrojePři přípravě článku jsme použili prezentaci Olega Skulkina „Použití hostitelské forenzní analýzy k získání indikátorů kompromisu pro úspěšnou reakci na incidenty řízenou zpravodajskými službami“.
Zdroj: www.habr.com