Group-IB og Belkasoft fælles kurser: hvad vi vil undervise, og hvem vil deltage

Algoritmer og taktikker til at reagere på informationssikkerhedshændelser, tendenser i aktuelle cyberangreb, tilgange til undersøgelse af datalæk i virksomheder, forskning i browsere og mobile enheder, analyse af krypterede filer, udtrækning af geolokaliseringsdata og analyser af store mængder data - alle disse og andre emner kan studeres på nye fælles kurser af Group-IB og Belkasoft. I august vi annonceret det første Belkasoft Digital Forensics-kursus, som starter den 9. september, og efter at have modtaget en lang række spørgsmål, besluttede vi at tale mere detaljeret om, hvad de studerende skal studere, hvilken viden, kompetencer og bonusser (!) vil blive modtaget af dem, der nå enden. Første ting først.

To alt i én

Ideen om at afholde fælles træningskurser dukkede op, efter at Group-IB-kursusdeltagere begyndte at spørge om et værktøj, der kunne hjælpe dem med at undersøge kompromitterede computersystemer og netværk og kombinere funktionaliteten af ​​forskellige gratis hjælpeprogrammer, som vi anbefaler at bruge under hændelsesvar.

Efter vores mening kunne et sådant værktøj være Belkasoft Evidence Center (vi har allerede talt om det i artiklen Igor Mikhailov "Nøglen til starten: den bedste software og hardware til computerforensik"). Derfor har vi sammen med Belkasoft udviklet to uddannelsesforløb: Belkasoft Digital Forensics и Belkasoft Incident Response-undersøgelse.

VIGTIGT: kurserne er sekventielle og forbundne! Belkasoft Digital Forensics er dedikeret til Belkasoft Evidence Center-programmet, og Belkasoft Incident Response Examination er dedikeret til at undersøge hændelser ved hjælp af Belkasoft-produkter. Det vil sige, før du studerer Belkasoft Incident Response Examination-kurset, anbefaler vi kraftigt at gennemføre Belkasoft Digital Forensics-kurset. Hvis du starter med det samme med et kursus om hændelsesundersøgelser, kan eleven have irriterende videnshuller i at bruge Belkasoft Evidence Center, finde og undersøge retsmedicinske artefakter. Dette kan føre til, at eleven under træning i Belkasoft Incident Response Examination-kurset enten ikke vil have tid til at mestre materialet, eller vil bremse resten af ​​gruppen med at tilegne sig ny viden, da træningstiden vil blive brugt ved at underviseren forklarer materialet fra Belkasoft Digital Forensics-kurset.

Computer efterforskning med Belkasoft Evidence Center

Kursets formål Belkasoft Digital Forensics — introducere eleverne til Belkasoft Evidence Center-programmet, lære dem at bruge dette program til at indsamle beviser fra forskellige kilder (cloud storage, random access memory (RAM), mobile enheder, lagermedier (harddiske, flashdrev osv.), master grundlæggende retsmedicinske teknikker og teknikker, metoder til retsmedicinsk undersøgelse af Windows-artefakter, mobile enheder, RAM-dumps. Du vil også lære at identificere og dokumentere artefakter fra browsere og instant messaging-programmer, oprette retsmedicinske kopier af data fra forskellige kilder, udtrække geolokationsdata og søge til tekstsekvenser (søg efter nøgleord), brug hashes, når du udfører research, analyser Windows-registreringsdatabasen, mestrer færdighederne med at udforske ukendte SQLite-databaser, det grundlæggende i at undersøge grafik- og videofiler og analytiske teknikker, der bruges under undersøgelser.

Kurset vil være nyttigt for eksperter med specialisering inden for computerteknisk retsmedicin (computerforensik); tekniske specialister, der bestemmer årsagerne til en vellykket indtrængen, analyserer hændelseskæden og konsekvenserne af cyberangreb; tekniske specialister, der identificerer og dokumenterer datatyveri (lækager) af en insider (intern krænker); e-Discovery specialister; SOC og CERT/CSIRT personale; informationssikkerhed medarbejdere; computer forensics entusiaster.

Kursusplan:

• Belkasoft Evidence Center (BEC): første skridt
• Oprettelse og behandling af sager i BEC
• Indsaml digitale beviser til retsmedicinske undersøgelser med BEC

• Brug af filtre
• Indberetning
• Forskning i Instant Messaging-programmer

• Webbrowserforskning

• Undersøgelse af mobilenheder
• Udtræk geolokationsdata

• Søgning efter tekstsekvenser i sager
• Udtrække og analysere data fra skylager
• Brug af bogmærker til at fremhæve væsentlige beviser fundet under forskning
• Undersøgelse af Windows-systemfiler

• Analyse af Windows registreringsdatabasen
• Analyse af SQLite databaser

• Datagendannelsesmetoder
• Teknikker til at undersøge RAM-dumps
• Brug af hashberegner og hashanalyse i retsmedicinsk forskning
• Analyse af krypterede filer
• Metoder til at studere grafik- og videofiler
• Anvendelse af analytiske teknikker i retsmedicinsk forskning
• Automatiser rutinehandlinger ved hjælp af det indbyggede Belkascripts programmeringssprog

• Praktiske øvelser

Kursus: Belkasoft Incident Response Examination

Formålet med kurset er at lære det grundlæggende i retsmedicinsk efterforskning af cyberangreb og mulighederne for at bruge Belkasoft Evidence Center i en efterforskning. Du vil lære om hovedvektorerne for moderne angreb på computernetværk, lære at klassificere computerangreb baseret på MITER ATT&CK-matricen, anvende operativsystemforskningsalgoritmer til at fastslå det faktum om kompromis og rekonstruere angribernes handlinger, lære, hvor artefakter er placeret, angive, hvilke filer der sidst blev åbnet, hvor operativsystemet gemmer information om, hvordan eksekverbare filer blev downloadet og udført, hvordan angribere bevægede sig på tværs af netværket, og lær hvordan man undersøger disse artefakter ved hjælp af BEC. Du vil også lære, hvilke hændelser i systemlogfiler, der er af interesse med hensyn til hændelsesundersøgelse og fjernadgangsdetektion, og lære at undersøge dem ved hjælp af BEC.

Kurset vil være nyttigt for tekniske specialister, der bestemmer årsagerne til en vellykket indtrængen, analyserer hændelseskæder og konsekvenserne af cyberangreb; systemadministratorer; SOC og CERT/CSIRT personale; informationssikkerhedspersonale.

Kursusoversigt

Cyber ​​​​Kill Chain beskriver hovedstadierne i ethvert teknisk angreb på ofrets computere (eller computernetværk) som følger:

SOC-medarbejdernes handlinger (CERT, informationssikkerhed osv.) har til formål at forhindre ubudne gæster i at få adgang til beskyttede informationsressourcer.

Hvis angriberne trænger ind i den beskyttede infrastruktur, bør ovennævnte personer forsøge at minimere skaden fra angribernes aktiviteter, bestemme, hvordan angrebet blev udført, rekonstruere hændelser og rækkefølge af handlinger fra angriberne i den kompromitterede informationsstruktur og tage foranstaltninger til at forhindre denne type angreb i fremtiden.

Følgende typer spor kan findes i en kompromitteret informationsinfrastruktur, hvilket indikerer, at netværket (computeren) er blevet kompromitteret:

Alle sådanne spor kan findes ved hjælp af Belkasoft Evidence Center-programmet.

BEC har et "Incident Investigation"-modul, hvor der ved analyse af lagringsmedier placeres information om artefakter, der kan hjælpe forskeren med at undersøge hændelser.

BEC understøtter undersøgelse af hovedtyperne af Windows-artefakter, der indikerer eksekvering af eksekverbare filer på det system, der undersøges, inklusive Amcache, Userassist, Prefetch, BAM/DAM-filer, Windows 10-tidslinje, analyse af systemhændelser.

Oplysninger om spor, der indeholder oplysninger om brugerhandlinger i et kompromitteret system, kan præsenteres i følgende form:

Disse oplysninger inkluderer blandt andet information om at køre eksekverbare filer:

Information om at køre filen 'RDPWInst.exe'.

Oplysninger om angriberes tilstedeværelse i kompromitterede systemer kan findes i Windows registreringsdatabasen opstartsnøgler, tjenester, planlagte opgaver, logon scripts, WMI osv. Eksempler på detektering af oplysninger om angribere, der er knyttet til systemet, kan ses i følgende skærmbilleder:

Begrænsning af angribere ved at bruge opgaveplanlæggeren ved at oprette en opgave, der kører et PowerShell-script.

Konsolidering af angribere ved hjælp af Windows Management Instrumentation (WMI).

Konsoliderer angribere ved hjælp af logon-script.

Bevægelsen af ​​angribere på tværs af et kompromitteret computernetværk kan detekteres, for eksempel ved at analysere Windows-systemlogfiler (hvis angriberne bruger RDP-tjenesten).

Oplysninger om registrerede RDP-forbindelser.

Oplysninger om bevægelsen af ​​angribere på tværs af netværket.

Således kan Belkasoft Evidence Center hjælpe forskere med at identificere kompromitterede computere i et angrebet computernetværk, finde spor efter lancering af malware, spor af fiksering i systemet og bevægelse på tværs af netværket og andre spor af angriberaktivitet på kompromitterede computere.

Hvordan man udfører sådan forskning og opdager artefakter, der er beskrevet ovenfor, er beskrevet i Belkasoft Incident Response Examination-uddannelseskurset.

Kursusplan:

• Tendenser for cyberangreb. Teknologier, værktøjer, angriberes mål
• Brug af trusselsmodeller til at forstå angriberens taktik, teknikker og procedurer
• Cyber-dræberkæde
• Hændelsesresponsalgoritme: identifikation, lokalisering, generering af indikatorer, søgning efter nye inficerede noder
• Analyse af Windows-systemer ved hjælp af BEC
• Påvisning af metoder til primær infektion, netværksspredning, konsolidering og netværksaktivitet af malware ved hjælp af BEC
• Identificer inficerede systemer og gendan infektionshistorik ved hjælp af BEC
• Praktiske øvelser

FAQHvor afholdes kurserne?
Kurser afholdes i Group-IB's hovedkvarter eller på et eksternt sted (træningscenter). Det er muligt for en træner at rejse til websteder med erhvervskunder.

Hvem leder undervisningen?
Trænere hos Group-IB er praktikere med mange års erfaring i at udføre retsmedicinsk forskning, virksomhedsundersøgelser og reagere på informationssikkerhedshændelser.

Trænernes kvalifikationer bekræftes af adskillige internationale certifikater: GCFA, MCFE, ACE, EnCE osv.

Vores undervisere finder nemt et fælles sprog med publikum og forklarer tydeligt selv de mest komplekse emner. Studerende vil lære en masse relevant og interessant information om efterforskning af computerhændelser, metoder til at identificere og imødegå computerangreb og få reel praktisk viden, som de kan anvende umiddelbart efter endt uddannelse.

Vil kurserne give nyttige færdigheder, der ikke er relateret til Belkasoft-produkter, eller vil disse færdigheder være uanvendelige uden denne software?
De færdigheder, der erhverves under uddannelsen, vil være nyttige uden brug af Belkasoft-produkter.

Hvad er inkluderet i den indledende test?

Primær test er en test af viden om det grundlæggende inden for computerforensik. Der er ingen planer om at teste viden om Belkasoft og Group-IB produkter.

Hvor kan jeg finde information om virksomhedens uddannelsesforløb?

Som en del af uddannelsesforløb uddanner Group-IB specialister i incident response, malware research, cyber intelligence specialister (Threat Intelligence), specialister til at arbejde i Security Operation Center (SOC), specialister i proaktiv trusselsjagt (Threat Hunter) osv. . En komplet liste over proprietære kurser fra Group-IB er tilgængelig her.

Hvilke bonusser modtager studerende, der gennemfører fælles kurser mellem Group-IB og Belkasoft?
De, der har gennemført uddannelse i fælles kurser mellem Group-IB og Belkasoft, vil modtage:

1. bevis for gennemførelse af kurset;
2. gratis månedligt abonnement på Belkasoft Evidence Center;
3. 10% rabat ved køb af Belkasoft Evidence Center.

Vi minder om, at det første kursus starter mandag d. 9 September, - gå ikke glip af muligheden for at opnå unik viden inden for informationssikkerhed, computerforensik og hændelsesberedskab! Tilmelding til kurset her.

kilderI forberedelsen af ​​artiklen brugte vi præsentationen af ​​Oleg Skulkin "Brug af værtsbaseret retsmedicin til at få indikatorer på kompromis for vellykket efterretningsdrevet hændelsesvar."

Kilde: www.habr.com