Κοινά μαθήματα Group-IB και Belkasoft: τι θα διδάξουμε και ποιοι θα έρθουν

Αλγόριθμοι και τακτικές για την απόκριση σε περιστατικά ασφάλειας πληροφοριών, τάσεις στις τρέχουσες επιθέσεις στον κυβερνοχώρο, προσεγγίσεις για τη διερεύνηση διαρροών δεδομένων σε εταιρείες, έρευνα προγραμμάτων περιήγησης και φορητών συσκευών, ανάλυση κρυπτογραφημένων αρχείων, εξαγωγή δεδομένων γεωγραφικής τοποθεσίας και ανάλυση μεγάλου όγκου δεδομένων - όλα αυτά και άλλα θέματα μπορεί να μελετηθεί σε νέα κοινά μαθήματα του Group-IB και της Belkasoft. Τον Αύγουστο εμείς ανακοινώθηκε το πρώτο μάθημα της Belkasoft Digital Forensics, το οποίο ξεκινά στις 9 Σεπτεμβρίου και έχοντας λάβει πολλές ερωτήσεις, αποφασίσαμε να μιλήσουμε πιο αναλυτικά για το τι θα σπουδάσουν οι μαθητές, τι γνώσεις, ικανότητες και μπόνους (!) θα λάβουν όσοι φτάσει στο τέλος. Καταρχάς.

Δύο Όλα σε ένα

Η ιδέα της διεξαγωγής κοινών εκπαιδευτικών μαθημάτων εμφανίστηκε αφότου οι συμμετέχοντες στο μάθημα του Group-IB άρχισαν να ρωτούν για ένα εργαλείο που θα τους βοηθούσε στη διερεύνηση των παραβιασμένων συστημάτων και δικτύων υπολογιστών και θα συνδύαζε τη λειτουργικότητα διαφόρων δωρεάν βοηθητικών προγραμμάτων που συνιστούμε να χρησιμοποιείτε κατά την απόκριση περιστατικών.

Κατά τη γνώμη μας, ένα τέτοιο εργαλείο θα μπορούσε να είναι το Belkasoft Evidence Center (το έχουμε ήδη μιλήσει άρθρο Igor Mikhailov "Κλειδί για την αρχή: το καλύτερο λογισμικό και υλικό για την εγκληματολογία υπολογιστών"). Ως εκ τούτου, μαζί με την Belkasoft, έχουμε αναπτύξει δύο σεμινάρια κατάρτισης: Belkasoft Digital Forensics и Εξέταση απόκρισης περιστατικού Belkasoft.

ΣΗΜΑΝΤΙΚΟ: τα μαθήματα είναι διαδοχικά και αλληλένδετα! Το Belkasoft Digital Forensics είναι αφιερωμένο στο πρόγραμμα Belkasoft Evidence Center και το Belkasoft Incident Response Examination είναι αφιερωμένο στη διερεύνηση περιστατικών που χρησιμοποιούν προϊόντα Belkasoft. Δηλαδή, πριν μελετήσετε το μάθημα Belkasoft Incident Response Examination, συνιστούμε ανεπιφύλακτα να ολοκληρώσετε το μάθημα Belkasoft Digital Forensics. Εάν ξεκινήσετε αμέσως με ένα μάθημα για τις έρευνες περιστατικών, ο μαθητής μπορεί να έχει ενοχλητικά κενά γνώσης στη χρήση του Belkasoft Evidence Center, στην εύρεση και εξέταση εγκληματολογικών αντικειμένων. Αυτό μπορεί να οδηγήσει στο γεγονός ότι κατά τη διάρκεια της εκπαίδευσης στο μάθημα Belkasoft Incident Response Examination, ο μαθητής είτε δεν θα έχει χρόνο να κατακτήσει την ύλη, είτε θα επιβραδύνει την υπόλοιπη ομάδα στην απόκτηση νέων γνώσεων, καθώς ο χρόνος εκπαίδευσης θα δαπανηθεί από τον εκπαιδευτή που εξηγεί το υλικό από το μάθημα της Belkasoft Digital Forensics.

Εγκληματολογία υπολογιστών με το Belkasoft Evidence Center

Σκοπός του μαθήματος Belkasoft Digital Forensics — εισαγάγετε τους μαθητές στο πρόγραμμα Belkasoft Evidence Center, διδάξτε τους να χρησιμοποιούν αυτό το πρόγραμμα για τη συλλογή στοιχείων από διάφορες πηγές (αποθήκευση cloud, μνήμη τυχαίας πρόσβασης (RAM), φορητές συσκευές, μέσα αποθήκευσης (σκληροί δίσκοι, μονάδες flash, κ.λπ.), master βασικές ιατροδικαστικές τεχνικές και τεχνικές, μέθοδοι εγκληματολογικής εξέτασης αντικειμένων Windows, φορητών συσκευών, χωματερών RAM. Θα μάθετε επίσης να αναγνωρίζετε και να τεκμηριώνετε αντικείμενα από προγράμματα περιήγησης και προγράμματα άμεσων μηνυμάτων, να δημιουργείτε εγκληματολογικά αντίγραφα δεδομένων από διάφορες πηγές, να εξάγετε δεδομένα γεωγραφικής θέσης και να αναζητάτε για ακολουθίες κειμένου (αναζήτηση με λέξεις-κλειδιά), χρησιμοποιήστε κατακερματισμούς κατά τη διεξαγωγή έρευνας, αναλύστε το μητρώο των Windows, κατακτήστε τις δεξιότητες εξερεύνησης άγνωστων βάσεων δεδομένων SQLite, τα βασικά στοιχεία της εξέτασης αρχείων γραφικών και βίντεο και αναλυτικές τεχνικές που χρησιμοποιούνται κατά τη διάρκεια των ερευνών.

Το μάθημα θα είναι χρήσιμο σε εμπειρογνώμονες με εξειδίκευση στον τομέα της τεχνικής εγκληματολογίας ηλεκτρονικών υπολογιστών (computer forensics). τεχνικοί ειδικοί που καθορίζουν τους λόγους μιας επιτυχημένης εισβολής, αναλύουν την αλυσίδα των γεγονότων και τις συνέπειες των επιθέσεων στον κυβερνοχώρο. τεχνικοί ειδικοί που εντοπίζουν και τεκμηριώνουν κλοπή δεδομένων (διαρροές) από εμπιστευτικό πρόσωπο (εσωτερικός παραβάτης)· Ειδικοί στο e-Discovery. Προσωπικό SOC και CERT/CSIRT. υπάλληλοι ασφάλειας πληροφοριών· λάτρεις της εγκληματολογίας υπολογιστών.

Σχέδιο μαθήματος:

• Belkasoft Evidence Center (BEC): πρώτα βήματα
• Δημιουργία και διεκπεραίωση υποθέσεων σε BEC
• Συλλέξτε ψηφιακά στοιχεία για ιατροδικαστικές έρευνες με το BEC

• Χρήση φίλτρων
• Αναφορά
• Έρευνα για προγράμματα ανταλλαγής άμεσων μηνυμάτων

• Έρευνα προγράμματος περιήγησης Ιστού

• Έρευνα φορητών συσκευών
• Εξαγωγή δεδομένων γεωγραφικής θέσης

• Αναζήτηση ακολουθιών κειμένου σε θήκες
• Εξαγωγή και ανάλυση δεδομένων από αποθήκες cloud
• Χρήση σελιδοδεικτών για την επισήμανση σημαντικών στοιχείων που βρέθηκαν κατά τη διάρκεια της έρευνας
• Εξέταση αρχείων συστήματος των Windows

• Ανάλυση μητρώου των Windows
• Ανάλυση βάσεων δεδομένων SQLite

• Μέθοδοι ανάκτησης δεδομένων
• Τεχνικές για την εξέταση των χωματερών RAM
• Χρήση αριθμομηχανής κατακερματισμού και ανάλυση κατακερματισμού στην εγκληματολογική έρευνα
• Ανάλυση κρυπτογραφημένων αρχείων
• Μέθοδοι μελέτης αρχείων γραφικών και βίντεο
• Η χρήση αναλυτικών τεχνικών στην εγκληματολογική έρευνα
• Αυτοματοποιήστε τις συνήθεις ενέργειες χρησιμοποιώντας την ενσωματωμένη γλώσσα προγραμματισμού Belkascripts

• Πρακτικές ασκήσεις

Μάθημα: Belkasoft Incident Response Examination

Σκοπός του μαθήματος είναι να μάθουν τα βασικά της εγκληματολογικής έρευνας για επιθέσεις στον κυβερνοχώρο και τις δυνατότητες χρήσης του Belkasoft Evidence Center σε μια έρευνα. Θα μάθετε για τους κύριους φορείς των σύγχρονων επιθέσεων σε δίκτυα υπολογιστών, θα μάθετε να ταξινομείτε τις επιθέσεις υπολογιστών με βάση τη μήτρα MITER ATT&CK, θα εφαρμόσετε αλγόριθμους έρευνας λειτουργικών συστημάτων για να διαπιστώσετε το γεγονός του συμβιβασμού και να ανακατασκευάσετε τις ενέργειες των εισβολέων, να μάθετε πού βρίσκονται τα τεχνουργήματα που υποδείξτε ποια αρχεία άνοιξαν τελευταία , όπου το λειτουργικό σύστημα αποθηκεύει πληροφορίες σχετικά με τον τρόπο λήψης και εκτέλεσης των εκτελέσιμων αρχείων, πώς μετακινήθηκαν οι εισβολείς στο δίκτυο και μάθετε πώς να εξετάζετε αυτά τα τεχνουργήματα χρησιμοποιώντας το BEC. Θα μάθετε επίσης ποια συμβάντα στα αρχεία καταγραφής συστήματος παρουσιάζουν ενδιαφέρον από την άποψη της διερεύνησης περιστατικών και της ανίχνευσης απομακρυσμένης πρόσβασης και θα μάθετε πώς να τα διερευνάτε χρησιμοποιώντας το BEC.

Το μάθημα θα είναι χρήσιμο σε ειδικούς τεχνικούς που καθορίζουν τους λόγους για μια επιτυχημένη εισβολή, αναλύουν αλυσίδες γεγονότων και τις συνέπειες των επιθέσεων στον κυβερνοχώρο. διαχειριστές συστήματος· Προσωπικό SOC και CERT/CSIRT. προσωπικό ασφάλειας πληροφοριών.

Επισκόπηση μαθήματος

Το Cyber ​​​​Kill Chain περιγράφει τα κύρια στάδια οποιασδήποτε τεχνικής επίθεσης στους υπολογιστές (ή στο δίκτυο υπολογιστών) του θύματος ως εξής:

Οι ενέργειες των υπαλλήλων SOC (CERT, ασφάλεια πληροφοριών κ.λπ.) αποσκοπούν στην αποτροπή πρόσβασης των εισβολέων σε προστατευμένους πόρους πληροφοριών.

Εάν οι εισβολείς όντως διεισδύσουν στην προστατευμένη υποδομή, τότε τα παραπάνω άτομα θα πρέπει να προσπαθήσουν να ελαχιστοποιήσουν τη ζημιά από τις δραστηριότητες των επιτιθέμενων, να προσδιορίσουν τον τρόπο με τον οποίο πραγματοποιήθηκε η επίθεση, να ανασυνθέσουν τα γεγονότα και τη σειρά των ενεργειών των επιτιθέμενων στην παραβιασμένη δομή πληροφοριών και να λάβουν μέτρα για την πρόληψη αυτού του τύπου επιθέσεων στο μέλλον.

Οι ακόλουθοι τύποι ιχνών μπορούν να βρεθούν σε μια παραβιασμένη υποδομή πληροφοριών, υποδεικνύοντας ότι το δίκτυο (υπολογιστής) έχει παραβιαστεί:

Όλα αυτά τα ίχνη μπορούν να βρεθούν χρησιμοποιώντας το πρόγραμμα Belkasoft Evidence Center.

Το BEC διαθέτει μια ενότητα "Διερεύνηση Συμβάντος", όπου, κατά την ανάλυση των μέσων αποθήκευσης, τοποθετούνται πληροφορίες σχετικά με αντικείμενα που μπορούν να βοηθήσουν τον ερευνητή κατά τη διερεύνηση περιστατικών.

Το BEC υποστηρίζει την εξέταση των κύριων τύπων τεχνουργημάτων των Windows που υποδεικνύουν την εκτέλεση εκτελέσιμων αρχείων στο υπό έρευνα σύστημα, συμπεριλαμβανομένων των αρχείων Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Timeline,ανάλυση γεγονότων του συστήματος.

Οι πληροφορίες σχετικά με τα ίχνη που περιέχουν πληροφορίες σχετικά με τις ενέργειες των χρηστών σε ένα παραβιασμένο σύστημα μπορούν να παρουσιαστούν με την ακόλουθη μορφή:

Αυτές οι πληροφορίες, μεταξύ άλλων, περιλαμβάνουν πληροφορίες σχετικά με την εκτέλεση εκτελέσιμων αρχείων:

Πληροφορίες σχετικά με την εκτέλεση του αρχείου "RDPWInst.exe".

Πληροφορίες σχετικά με την παρουσία εισβολέων σε παραβιασμένα συστήματα μπορούν να βρεθούν στα κλειδιά εκκίνησης του μητρώου των Windows, στις υπηρεσίες, στις προγραμματισμένες εργασίες, στα σενάρια σύνδεσης, στο WMI κ.λπ. Παραδείγματα ανίχνευσης πληροφοριών σχετικά με επιτιθέμενους που συνδέονται με το σύστημα μπορείτε να δείτε στα ακόλουθα στιγμιότυπα οθόνης:

Περιορισμός εισβολέων χρησιμοποιώντας τον προγραμματιστή εργασιών δημιουργώντας μια εργασία που εκτελεί ένα σενάριο PowerShell.

Ενοποίηση εισβολέων με χρήση οργάνων διαχείρισης των Windows (WMI).

Ενοποίηση επιτιθέμενων χρησιμοποιώντας το σενάριο Logon.

Η κίνηση των εισβολέων σε ένα παραβιασμένο δίκτυο υπολογιστών μπορεί να εντοπιστεί, για παράδειγμα, αναλύοντας τα αρχεία καταγραφής συστήματος των Windows (εάν οι εισβολείς χρησιμοποιούν την υπηρεσία RDP).

Πληροφορίες σχετικά με τις ανιχνευμένες συνδέσεις RDP.

Πληροφορίες σχετικά με την κίνηση των εισβολέων στο δίκτυο.

Έτσι, το Belkasoft Evidence Center μπορεί να βοηθήσει τους ερευνητές να εντοπίσουν υπολογιστές που έχουν υποστεί επίθεση σε ένα δίκτυο υπολογιστών που έχει υποστεί επίθεση, να βρουν ίχνη εκκίνησης κακόβουλου λογισμικού, ίχνη στερέωσης στο σύστημα και κίνησης στο δίκτυο και άλλα ίχνη δραστηριότητας εισβολέα σε υπολογιστές που έχουν υποστεί επίθεση.

Ο τρόπος διεξαγωγής μιας τέτοιας έρευνας και ανίχνευσης των τεχνουργημάτων που περιγράφονται παραπάνω περιγράφεται στο εκπαιδευτικό σεμινάριο Belkasoft Incident Response Examination.

Σχέδιο μαθήματος:

• Τάσεις κυβερνοεπιθέσεων. Τεχνολογίες, εργαλεία, στόχοι επιτιθέμενων
• Χρήση μοντέλων απειλών για την κατανόηση των τακτικών, των τεχνικών και των διαδικασιών του επιτιθέμενου
• Κυβερνοκτονική αλυσίδα
• Αλγόριθμος απόκρισης περιστατικού: αναγνώριση, εντοπισμός, δημιουργία δεικτών, αναζήτηση νέων μολυσμένων κόμβων
• Ανάλυση συστημάτων Windows με χρήση BEC
• Ανίχνευση μεθόδων πρωτογενούς μόλυνσης, εξάπλωσης δικτύου, ενοποίησης και δραστηριότητας δικτύου κακόβουλου λογισμικού χρησιμοποιώντας BEC
• Προσδιορίστε τα μολυσμένα συστήματα και αποκαταστήστε το ιστορικό μόλυνσης χρησιμοποιώντας το BEC
• Πρακτικές ασκήσεις

FAQΠού γίνονται τα μαθήματα;
Τα μαθήματα πραγματοποιούνται στα κεντρικά γραφεία του Group-IB ή σε εξωτερικό χώρο (εκπαιδευτικό κέντρο). Είναι δυνατό για έναν εκπαιδευτή να ταξιδέψει σε ιστότοπους με εταιρικούς πελάτες.

Ποιος διεξάγει τα μαθήματα;
Οι εκπαιδευτές στο Group-IB είναι επαγγελματίες με πολυετή εμπειρία στη διεξαγωγή εγκληματολογικής έρευνας, εταιρικών ερευνών και αντιμετώπισης περιστατικών ασφάλειας πληροφοριών.

Τα προσόντα των εκπαιδευτών επιβεβαιώνονται από πολυάριθμα διεθνή πιστοποιητικά: GCFA, MCFE, ACE, EnCE κ.λπ.

Οι εκπαιδευτές μας βρίσκουν εύκολα μια κοινή γλώσσα με το κοινό, εξηγώντας ξεκάθαρα ακόμη και τα πιο περίπλοκα θέματα. Οι μαθητές θα μάθουν πολλές σχετικές και ενδιαφέρουσες πληροφορίες σχετικά με τη διερεύνηση περιστατικών υπολογιστή, τις μεθόδους εντοπισμού και αντιμετώπισης επιθέσεων υπολογιστή και θα αποκτήσουν πραγματικές πρακτικές γνώσεις που μπορούν να εφαρμόσουν αμέσως μετά την αποφοίτησή τους.

Τα μαθήματα θα παρέχουν χρήσιμες δεξιότητες που δεν σχετίζονται με τα προϊόντα Belkasoft ή αυτές οι δεξιότητες δεν θα είναι εφαρμόσιμες χωρίς αυτό το λογισμικό;
Οι δεξιότητες που αποκτήθηκαν κατά τη διάρκεια της εκπαίδευσης θα είναι χρήσιμες χωρίς τη χρήση προϊόντων Belkasoft.

Τι περιλαμβάνεται στην αρχική δοκιμή;

Το αρχικό τεστ είναι ένα τεστ γνώσης των βασικών στοιχείων της εγκληματολογίας υπολογιστών. Δεν υπάρχουν σχέδια για δοκιμή γνώσεων για τα προϊόντα Belkasoft και Group-IB.

Πού μπορώ να βρω πληροφορίες για τα εκπαιδευτικά μαθήματα της εταιρείας;

Στο πλαίσιο εκπαιδευτικών μαθημάτων, το Group-IB εκπαιδεύει ειδικούς στην απόκριση περιστατικών, έρευνα κακόβουλου λογισμικού, ειδικούς στον κυβερνοχώρο (Threat Intelligence), ειδικούς για εργασία στο Κέντρο Επιχειρήσεων Ασφαλείας (SOC), ειδικούς στο προληπτικό κυνήγι απειλών (Threat Hunter) κ.λπ. . Διατίθεται πλήρης κατάλογος ιδιόκτητων μαθημάτων από το Group-IB εδώ.

Τι μπόνους λαμβάνουν οι μαθητές που ολοκληρώνουν κοινά μαθήματα μεταξύ του Group-IB και της Belkasoft;
Όσοι έχουν ολοκληρώσει την εκπαίδευση σε κοινά μαθήματα μεταξύ του Group-IB και της Belkasoft θα λάβουν:

1. πιστοποιητικό ολοκλήρωσης του μαθήματος ·
2. δωρεάν μηνιαία συνδρομή στο Belkasoft Evidence Center.
3. Έκπτωση 10% για την αγορά του Belkasoft Evidence Center.

Υπενθυμίζουμε ότι το πρώτο μάθημα ξεκινά τη Δευτέρα, 9 Σεπτέμβριο, - μην χάσετε την ευκαιρία να αποκτήσετε μοναδικές γνώσεις στον τομέα της ασφάλειας πληροφοριών, της εγκληματολογίας υπολογιστών και της αντιμετώπισης συμβάντων! Εγγραφή για το μάθημα εδώ.

πηγέςΚατά την προετοιμασία του άρθρου, χρησιμοποιήσαμε την παρουσίαση του Oleg Skulkin «Χρήση εγκληματολογικών στοιχείων που βασίζονται σε κεντρικούς υπολογιστές για να λάβουμε δείκτες συμβιβασμού για επιτυχή απόκριση συμβάντων βάσει πληροφοριών».

Πηγή: www.habr.com