Komunaj kursoj de Grupo-IB kaj Belkasoft: kion ni instruos kaj kiu venos

Algoritmoj kaj taktikoj por respondi al informaj sekurecaj okazaĵoj, tendencoj en nunaj ciberatakoj, aliroj al esploro de datumfluoj en kompanioj, esplorado de retumiloj kaj porteblaj aparatoj, analizo de ĉifritaj dosieroj, eltiri geolokigajn datumojn kaj analizojn de grandaj volumoj da datumoj - ĉiuj ĉi tiuj kaj aliaj temoj. povas esti studita sur novaj komunaj kursoj de Group-IB kaj Belkasoft. En aŭgusto ni anoncita la unua Belkasoft Digital Forensics-kurso, kiu komenciĝas la 9-an de septembro, kaj ricevinte grandan nombron da demandoj, ni decidis pli detale paroli pri tio, kion studentoj studos, kiajn sciojn, kompetentecojn kaj gratifikojn (!) ricevos tiuj, kiuj atingi la finon. Unuaj aferoj unue.

Du Ĉio en unu

La ideo okazigi komunajn trejnajn kursojn aperis post kiam la partoprenantoj de la kurso de Grupo-IB komencis demandi pri ilo, kiu helpus ilin esplori kompromititajn komputilajn sistemojn kaj retojn, kaj kombini la funkciojn de diversaj senpagaj utilecoj, kiujn ni rekomendas uzi dum incidenta respondo.

Laŭ nia opinio, tia ilo povus esti Belkasoft Evidence Center (ni jam parolis pri ĝi en artikolo Igor Mikhailov "Ŝlosilo por la komenco: la plej bona programaro kaj aparataro por komputila jurmedicino"). Tial ni, kune kun Belkasoft, evoluigis du trejnajn kursojn: Belkasoft Digital Forensics и Belkasoft Incident Response Examination.

GRAVA: la kursoj estas sinsekvaj kaj interligitaj! Belkasoft Digital Forensics estas dediĉita al la programo Belkasoft Evidence Center, kaj Belkasoft Incident Response Examination estas dediĉita al esplorado de okazaĵoj uzantaj Belkasoft-produktojn. Tio estas, antaŭ ol studi la kurson de Belkasoft Incident Response Examination, ni forte rekomendas kompletigi la Belkasoft Digital Forensics kurson. Se vi komencas tuj kun kurso pri okazaĵaj esploroj, la studento povas havi ĝenajn sciajn mankojn en uzado de la Belkasoft Evidence Center, trovado kaj ekzamenado de krimmedicinaj artefaktoj. Ĉi tio povas konduki al la fakto, ke dum trejnado en la Belkasoft Incident Response Examination-kurso, la studento aŭ ne havos tempon por regi la materialon, aŭ malrapidigos la reston de la grupo en akirado de novaj scioj, ĉar la trejna tempo estos elspezita. de la trejnisto klarigante la materialon de la kurso de Belkasoft Digital Forensics.

Komputila jurmedicino kun Belkasoft Evidence Center

Celo de la kurso Belkasoft Digital Forensics — konigu studentojn al la programo Belkasoft Evidence Center, instruu ilin uzi ĉi tiun programon por kolekti pruvojn de diversaj fontoj (nuba stokado, hazarda alira memoro (RAM), porteblaj aparatoj, stokado (malmolaj diskoj, fulmdiskoj, ktp.), majstro. bazaj krimmedicinaj teknikoj kaj teknikoj, metodoj de krimmedicina ekzameno de Vindozaj artefaktoj, porteblaj aparatoj, RAM-rubejoj. Vi ankaŭ lernos identigi kaj dokumenti artefaktojn de retumiloj kaj tujmesaĝaj programoj, krei krimmedicinajn kopiojn de datumoj de diversaj fontoj, ĉerpi geolokigajn datumojn kaj serĉi. por tekstaj sekvencoj (serĉo per ŝlosilvortoj), uzu haŝojn dum esplorado, analizi la Vindozan registron, majstri la kapablojn de esplorado de nekonataj SQLite-datumbazoj, la bazaĵoj de ekzamenado de grafikaj kaj videodosieroj, kaj analizaj teknikoj uzitaj dum esploroj.

La kurso estos utila al fakuloj kun specialiĝo en la fako de komputila teknika jurmedicino (komputila jura kuracisto); teknikaj specialistoj, kiuj determinas la kialojn de sukcesa entrudiĝo, analizas la ĉenon de eventoj kaj la konsekvencojn de ciberatakoj; teknikaj specialistoj identigantaj kaj dokumentante ŝtelon de datumoj (likoj) de internulo (interna malobservanto); e-Discovery-specialistoj; SOC kaj CERT/CSIRT-kunlaborantaro; oficistoj pri informa sekureco; entuziasmuloj pri komputila jurmedicino.

Kursplano:

• Belkasoft Evidence Center (BEC): unuaj paŝoj
• Kreado kaj traktado de kazoj en BEC
• Kolektu ciferecan indicon por krimmedicinaj esploroj kun BEC

• Uzante filtrilojn
• Generante raportojn
• Esplorado pri Tuj Mesaĝaj Programoj

• Esploro pri Retumilo

• Esplorado pri Poŝtelefono
• Ĉerpante geolokigajn datumojn

• Serĉante tekstsekvencojn en kazoj
• Ĉerpi kaj analizi datumojn de nubaj stokaĵoj
• Uzante legosignojn por reliefigi signifajn pruvojn trovitajn dum esplorado
• Ekzameno de Vindozaj sistemdosieroj

• Vindoza Registro-Analizo
• Analizo de SQLite-datumbazoj

• Metodoj de Reakiro de Datumoj
• Teknikoj por ekzamenado de RAM-ruboj
• Uzante hashkalkulilon kaj hash-analizon en krimmedicina esplorado
• Analizo de ĉifritaj dosieroj
• Metodoj por studi grafikajn kaj videajn dosierojn
• La uzo de analizaj teknikoj en krimmedicina esplorado
• Aŭtomatigu rutinajn agojn uzante la enkonstruitan programlingvon Belkascripts

• Praktikaj lecionoj

Kurso: Belkasoft Incident Response Examination

La celo de la kurso estas lerni la bazojn de krimmedicina esploro de ciberatakoj kaj la eblecojn uzi Belkasoft Evidence Center en esploro. Vi lernos pri la ĉefaj vektoroj de modernaj atakoj sur komputilaj retoj, lernos klasifiki komputilajn atakojn surbaze de la matrico MITRE ATT&CK, apliki algoritmojn de esploro de operaciumo por establi la fakton de kompromiso kaj rekonstrui la agojn de atakantoj, lernos kie troviĝas artefaktoj tio. indiku kiuj dosieroj estis malfermitaj laste, kie la operaciumo stokas informojn pri kiel ruleblaj dosieroj estis elŝutitaj kaj efektivigitaj, kiel atakantoj moviĝis tra la reto, kaj lernu kiel ekzameni ĉi tiujn artefaktojn uzante BEC. Vi ankaŭ lernos, kiaj eventoj en sistemaj protokoloj estas interesaj el la vidpunkto de okazaĵa esploro kaj fora alirdetekto, kaj lernos kiel esplori ilin uzante BEC.

La kurso estos utila al teknikaj specialistoj, kiuj determinas la kialojn de sukcesa entrudiĝo, analizas ĉenojn de eventoj kaj la konsekvencojn de ciberatakoj; sistemaj administrantoj; SOC kaj CERT/CSIRT-kunlaborantaro; personaro pri informa sekureco.

Kursa Superrigardo

Cyber ​​​​Kill Chain priskribas la ĉefajn stadiojn de iu ajn teknika atako sur la komputiloj de la viktimo (aŭ komputila reto) jene:

La agoj de SOC-dungitoj (CERT, informa sekureco, ktp.) celas malhelpi entrudulojn aliri protektitajn informresursojn.

Se atakantoj ja penetras la protektitan infrastrukturon, tiam ĉi-supraj personoj devus provi minimumigi la damaĝon de la agadoj de la atakantoj, determini kiel la atako estis farita, rekonstrui la okazaĵojn kaj sekvencon de agoj de la atakantoj en la kompromitita informa strukturo, kaj preni. rimedoj por malhelpi ĉi tiun tipon de atakoj en la estonteco.

La sekvaj specoj de spuroj povas esti trovitaj en endanĝerigita informinfrastrukturo, indikante ke la reto (komputilo) estis endanĝerigita:

Ĉiuj tiaj spuroj troveblas per la programo Belkasoft Evidence Center.

BEC havas modulon "Incidenta Esplorado", kie, kiam oni analizas stokajn mediojn, estas metitaj informoj pri artefaktoj, kiuj povas helpi la esploriston dum esplorado de okazaĵoj.

BEC subtenas ekzamenadon de la ĉefaj specoj de Vindozaj artefaktoj kiuj indikas la ekzekuton de ruleblaj dosieroj sur la sistemo enketa, inkluzive de Amcache, Userassist, Prefetch, BAM/DAM dosieroj, Vindozo 10 Templinio,analizo de sistemaj eventoj.

Informoj pri spuroj enhavantaj informojn pri uzantagoj en kompromitita sistemo povas esti prezentitaj en la sekva formo:

Ĉi tiuj informoj, interalie, inkluzivas informojn pri rulado de ruleblaj dosieroj:

Informoj pri rulado de la dosiero 'RDPWInst.exe'.

Informoj pri la ĉeesto de atakantoj en kompromititaj sistemoj troveblas en Windows-registraj startŝlosiloj, servoj, planitaj taskoj, Logon-skriptoj, WMI, ktp. Ekzemploj de detektado de informoj pri atakantoj alkroĉitaj al la sistemo povas esti viditaj en la sekvaj ekrankopioj:

Limigi atakantojn uzante la taskoplanilon kreante taskon, kiu ruligas PowerShell-skripton.

Plifirmigi atakantojn uzante Windows Management Instrumentation (WMI).

Plifirmigi atakantojn per Logon-skripto.

La movado de atakantoj tra kompromitita komputila reto povas esti detektita, ekzemple, per analizado de Vindozaj sistemprotokoloj (se la atakantoj uzas la RDP-servon).

Informoj pri detektitaj RDP-konektoj.

Informoj pri la movado de atakantoj tra la reto.

Tiel, Belkasoft Evidence Center povas helpi esploristojn identigi kompromititajn komputilojn en atakita komputila reto, trovi spurojn de lanĉo de malware, spurojn de fiksado en la sistemo kaj movado tra la reto, kaj aliajn spurojn de atakanta agado sur kompromititaj komputiloj.

Kiel fari tian esploradon kaj detekti la supre priskribitajn artefaktojn, estas priskribita en la trejna kurso de Belkasoft Incident Response Examination.

Kursplano:

• Tendencoj pri ciberatako. Teknologioj, iloj, celoj de atakantoj
• Uzante minacajn modelojn por kompreni atakantajn taktikojn, teknikojn kaj procedurojn
• Cibermortiga ĉeno
• Algoritmo de responda incidento: identigo, lokalizo, generacio de indikiloj, serĉo de novaj infektitaj nodoj
• Analizo de Vindozaj sistemoj uzante BEC
• Detekto de metodoj de primara infekto, reto-disvastiĝo, firmiĝo kaj reta agado de malware uzante BEC
• Identigu infektitajn sistemojn kaj restarigu infektan historion uzante BEC
• Praktikaj lecionoj

Oftaj DemandojKie okazas la kursoj?
Kursoj okazas ĉe la sidejo de Grupo-IB aŭ ĉe ekstera loko (trejncentro). Eblas por trejnisto vojaĝi al ejoj kun kompaniaj klientoj.

Kiu gvidas la klasojn?
Trejnistoj ĉe Group-IB estas praktikistoj kun multaj jaroj da sperto en farado de krimmedicina esplorado, kompaniaj esploroj kaj respondado al informsekurecaj okazaĵoj.

La kvalifikoj de trejnistoj estas konfirmitaj per multaj internaciaj atestiloj: GCFA, MCFE, ACE, EnCE, ktp.

Niaj trejnistoj facile trovas komunan lingvon kun la publiko, klare klarigante eĉ la plej kompleksajn temojn. Studentoj lernos multajn rilatajn kaj interesajn informojn pri esploro de komputilaj okazaĵoj, metodoj por identigi kaj kontraŭbatali komputilajn atakojn, kaj akiros verajn praktikajn scion, kiujn ili povas apliki tuj post diplomiĝo.

Ĉu la kursoj disponigos utilajn kapablojn ne rilatajn al Belkasoft-produktoj, aŭ ĉu ĉi tiuj kapabloj estos neaplikeblaj sen ĉi tiu programaro?
La kapabloj akiritaj dum la trejnado estos utilaj sen uzi Belkasoft-produktojn.

Kio estas inkluzivita en la komenca testado?

Primara testado estas testo de scio pri la bazoj de komputila jurmedicino. Ne estas planoj testi scion pri Belkasoft kaj Group-IB-produktoj.

Kie mi povas trovi informojn pri la edukaj kursoj de la kompanio?

Kiel parto de edukaj kursoj, Group-IB trejnas specialistojn pri okazaĵrespondo, malware-esplorado, ciber-inteligenteco-specialistoj (Threat Intelligence), specialistoj por labori en la Security Operation Center (SOC), specialistoj en iniciatema minacoĉasado (Threat Hunter), ktp. . Kompleta listo de proprietaj kursoj de Group-IB estas havebla tie.

Kiajn gratifikojn ricevas studentoj, kiuj kompletigas komunajn kursojn inter Group-IB kaj Belkasoft?
Tiuj kiuj kompletigis trejnadon en komunaj kursoj inter Group-IB kaj Belkasoft ricevos:

1. atestilo pri kompletigo de la kurso;
2. senpaga monata abono al Belkasoft Evidence Center;
3. 10% rabato ĉe la aĉeto de Belkasoft Evidence Center.

Ni memorigas vin, ke la unua kurso komenciĝas lunde, 9-septembro, - ne maltrafu la ŝancon akiri unikan scion en la kampo de informa sekureco, komputila jurmedicino kaj incidenta respondo! Aliĝo al la kurso tie.

FontojPreparante la artikolon, ni uzis la prezenton de Oleg Skulkin "Uzante gastigantajn krimmedicinojn por akiri indikilojn de kompromiso por sukcesa respondado de incidenta inteligenteco."

fonto: www.habr.com