Cursos conjuntos de Group-IB y Belkasoft: qué enseñaremos y a quién vendrá

Algoritmos y tácticas para responder a incidentes de seguridad de la información, tendencias de los ciberataques actuales, enfoques para investigar fugas de datos en empresas, investigación de navegadores y dispositivos móviles, análisis de archivos cifrados, extracción de datos de geolocalización y análisis de grandes volúmenes de datos: todos estos y otros temas. se puede estudiar en los nuevos cursos conjuntos de Group-IB y Belkasoft. En agosto nosotros Anunciado el primer curso de Belkasoft Digital Forensics, que comienza el 9 de septiembre, y habiendo recibido una gran cantidad de preguntas, decidimos hablar con más detalle sobre lo que estudiarán los estudiantes, qué conocimientos, competencias y bonificaciones (!) recibirán quienes Llegar al final. Lo primero es lo primero.

Dos todo en uno

La idea de realizar cursos de capacitación conjuntos surgió después de que los participantes del curso de Group-IB comenzaran a preguntar sobre una herramienta que les ayudaría a investigar sistemas y redes informáticos comprometidos y combinaría la funcionalidad de varias utilidades gratuitas que recomendamos utilizar durante la respuesta a incidentes.

En nuestra opinión, una herramienta de este tipo podría ser Belkasoft Evidence Center (ya hablamos de ello en статье Igor Mikhailov “La clave para empezar: el mejor software y hardware para informática forense”). Por ello, junto con Belkasoft, hemos desarrollado dos cursos de formación: Análisis forense digital de Belkasoft и Examen de respuesta a incidentes de Belkasoft.

IMPORTANTE: ¡los cursos son secuenciales e interconectados! Belkasoft Digital Forensics se dedica al programa Belkasoft Evidence Center, y Belkasoft Incident Response Examination se dedica a investigar incidentes utilizando productos Belkasoft. Es decir, antes de estudiar el curso de Examen de respuesta a incidentes de Belkasoft, recomendamos encarecidamente completar el curso de Análisis forense digital de Belkasoft. Si comienza de inmediato con un curso sobre investigación de incidentes, el estudiante puede tener molestas lagunas de conocimiento en el uso del Centro de evidencia de Belkasoft, en la búsqueda y examen de artefactos forenses. Esto puede llevar al hecho de que durante la formación en el curso de Examen de respuesta a incidentes de Belkasoft, el estudiante no tendrá tiempo para dominar el material o ralentizará al resto del grupo en la adquisición de nuevos conocimientos, ya que el tiempo de formación se gastará. por el formador explicando el material del curso Belkasoft Digital Forensics.

Informática forense con Belkasoft Evidence Center

Objeto del curso Análisis forense digital de Belkasoft — presentar a los estudiantes el programa Belkasoft Evidence Center, enseñarles a utilizar este programa para recopilar pruebas de diversas fuentes (almacenamiento en la nube, memoria de acceso aleatorio (RAM), dispositivos móviles, medios de almacenamiento (discos duros, unidades flash, etc.), dominar Técnicas y técnicas forenses básicas, métodos de examen forense de artefactos de Windows, dispositivos móviles, volcados de RAM. También aprenderá a identificar y documentar artefactos de navegadores y programas de mensajería instantánea, crear copias forenses de datos de diversas fuentes, extraer datos de geolocalización y realizar búsquedas. para secuencias de texto (búsqueda por palabras clave), use hash al realizar investigaciones, analice el registro de Windows, domine las habilidades para explorar bases de datos SQLite desconocidas, los conceptos básicos para examinar archivos gráficos y de video, y las técnicas analíticas utilizadas durante las investigaciones.

El curso será de utilidad para expertos con especialización en el campo de la técnica forense informática (informática forense); especialistas técnicos que determinan las razones de una intrusión exitosa, analizan la cadena de eventos y las consecuencias de los ciberataques; especialistas técnicos que identifican y documentan el robo (fugas) de datos por parte de una persona interna (infractor interno); especialistas en e-Discovery; personal del SOC y CERT/CSIRT; empleados de seguridad de la información; entusiastas de la informática forense.

Plan de curso:

• Belkasoft Evidence Center (BEC): primeros pasos
• Creación y tramitación de expedientes en BEC
• Recopile evidencia digital para investigaciones forenses con BEC

• Usando filtros
• Informes
• Investigación sobre programas de mensajería instantánea

• Investigación del navegador web

• Investigación de dispositivos móviles
• Extrayendo datos de geolocalización

• Búsqueda de secuencias de texto en casos.
• Extracción y análisis de datos de almacenamientos en la nube.
• Usar marcadores para resaltar evidencia importante encontrada durante la investigación
• Examen de archivos del sistema de Windows.

• Análisis del Registro de Windows
• Análisis de bases de datos SQLite.

• Métodos de recuperación de datos
• Técnicas para examinar volcados de RAM
• Uso de la calculadora hash y el análisis hash en la investigación forense
• Análisis de archivos cifrados.
• Métodos para estudiar archivos gráficos y de vídeo.
• El uso de técnicas analíticas en la investigación forense.
• Automatice acciones rutinarias utilizando el lenguaje de programación Belkascripts integrado

• Ejercicios prácticos

Curso: Examen de respuesta a incidentes de Belkasoft

El objetivo del curso es aprender los conceptos básicos de la investigación forense de ciberataques y las posibilidades de utilizar Belkasoft Evidence Center en una investigación. Aprenderá sobre los principales vectores de los ataques modernos a las redes informáticas, aprenderá a clasificar los ataques informáticos basándose en la matriz MITRE ATT&CK, aplicará algoritmos de investigación de sistemas operativos para establecer el hecho del compromiso y reconstruir las acciones de los atacantes, aprenderá dónde se encuentran los artefactos que indique qué archivos se abrieron por última vez, dónde almacena el sistema operativo información sobre cómo se descargaron y ejecutaron los archivos ejecutables, cómo se movieron los atacantes a través de la red y aprenda cómo examinar estos artefactos usando BEC. También aprenderá qué eventos en los registros del sistema son de interés desde el punto de vista de la investigación de incidentes y la detección de acceso remoto, y aprenderá cómo investigarlos utilizando BEC.

El curso será útil para especialistas técnicos que determinen las razones de una intrusión exitosa, analicen cadenas de eventos y las consecuencias de los ciberataques; administradores de sistemas; personal del SOC y CERT/CSIRT; personal de seguridad de la información.

Resumen del curso

Cyber ​​​​Kill Chain describe las etapas principales de cualquier ataque técnico a las computadoras (o red informática) de la víctima de la siguiente manera:

Las acciones de los empleados del SOC (CERT, seguridad de la información, etc.) tienen como objetivo evitar que intrusos accedan a recursos de información protegidos.

Si los atacantes penetran la infraestructura protegida, entonces las personas mencionadas anteriormente deben intentar minimizar el daño causado por las actividades de los atacantes, determinar cómo se llevó a cabo el ataque, reconstruir los eventos y la secuencia de acciones de los atacantes en la estructura de información comprometida y tomar medidas. medidas para prevenir este tipo de ataques en el futuro.

Los siguientes tipos de rastros se pueden encontrar en una infraestructura de información comprometida, lo que indica que la red (computadora) ha sido comprometida:

Todos estos rastros se pueden encontrar utilizando el programa Belkasoft Evidence Center.

BEC cuenta con un módulo de “Investigación de Incidentes”, donde al analizar los medios de almacenamiento se coloca información sobre artefactos que pueden ayudar al investigador a la hora de investigar incidentes.

BEC admite el examen de los principales tipos de artefactos de Windows que indican la ejecución de archivos ejecutables en el sistema bajo investigación, incluidos archivos Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 línea de tiempo,análisis de eventos del sistema.

La información sobre seguimientos que contienen información sobre las acciones del usuario en un sistema comprometido se puede presentar de la siguiente forma:

Esta información, entre otras cosas, incluye información sobre la ejecución de archivos ejecutables:

Información sobre la ejecución del archivo 'RDPWInst.exe'.

La información sobre la presencia de atacantes en sistemas comprometidos se puede encontrar en las claves de inicio del registro de Windows, servicios, tareas programadas, scripts de inicio de sesión, WMI, etc. En las siguientes capturas de pantalla se pueden ver ejemplos de detección de información sobre atacantes conectados al sistema:

Restringir a los atacantes que utilizan el programador de tareas mediante la creación de una tarea que ejecute un script de PowerShell.

Consolidación de atacantes utilizando el Instrumental de administración de Windows (WMI).

Consolidación de atacantes mediante el script Logon.

El movimiento de atacantes a través de una red informática comprometida se puede detectar, por ejemplo, analizando los registros del sistema de Windows (si los atacantes utilizan el servicio RDP).

Información sobre conexiones RDP detectadas.

Información sobre el movimiento de atacantes a través de la red.

Por lo tanto, Belkasoft Evidence Center puede ayudar a los investigadores a identificar computadoras comprometidas en una red informática atacada, encontrar rastros del lanzamiento de malware, rastros de fijación en el sistema y movimiento a través de la red, y otros rastros de actividad de atacantes en computadoras comprometidas.

Cómo realizar dicha investigación y detectar los artefactos descritos anteriormente se describe en el curso de capacitación Examen de respuesta a incidentes de Belkasoft.

Plan de curso:

• Tendencias de ciberataques. Tecnologías, herramientas, objetivos de los atacantes.
• Uso de modelos de amenazas para comprender las tácticas, técnicas y procedimientos de los atacantes
• Cadena de muerte cibernética
• Algoritmo de respuesta a incidentes: identificación, localización, generación de indicadores, búsqueda de nuevos nodos infectados.
• Análisis de sistemas Windows usando BEC.
• Detección de métodos de infección primaria, propagación de red, consolidación y actividad de red de malware utilizando BEC
• Identifique sistemas infectados y restaure el historial de infecciones utilizando BEC
• Ejercicios prácticos

Preguntas Frecuentes¿Dónde se realizan los cursos?
Los cursos se llevan a cabo en la sede del Grupo IB o en un sitio externo (centro de capacitación). Es posible que un formador viaje a sitios con clientes corporativos.

¿Quién imparte las clases?
Los formadores de Group-IB son profesionales con muchos años de experiencia en la realización de investigaciones forenses, investigaciones corporativas y respuesta a incidentes de seguridad de la información.

Las cualificaciones de los formadores están confirmadas por numerosos certificados internacionales: GCFA, MCFE, ACE, EnCE, etc.

Nuestros formadores encuentran fácilmente un lenguaje común con el público, explicando claramente incluso los temas más complejos. Los estudiantes aprenderán mucha información relevante e interesante sobre la investigación de incidentes informáticos, métodos para identificar y contrarrestar ataques informáticos y obtendrán conocimientos prácticos reales que podrán aplicar inmediatamente después de graduarse.

¿Los cursos proporcionarán habilidades útiles no relacionadas con los productos Belkasoft o estas habilidades no serán aplicables sin este software?
Las habilidades adquiridas durante la formación serán útiles sin necesidad de utilizar productos Belkasoft.

¿Qué se incluye en la prueba inicial?

La prueba primaria es una prueba de conocimiento de los conceptos básicos de la informática forense. No hay planes para probar el conocimiento de los productos Belkasoft y Group-IB.

¿Dónde puedo encontrar información sobre los cursos educativos de la empresa?

Como parte de los cursos educativos, Group-IB forma especialistas en respuesta a incidentes, investigación de malware, especialistas en ciberinteligencia (Threat Intelligence), especialistas para trabajar en el Centro de Operaciones de Seguridad (SOC), especialistas en caza proactiva de amenazas (Threat Hunter), etc. . Está disponible una lista completa de cursos patentados del Grupo-IB aquí.

¿Qué bonificaciones reciben los estudiantes que completan cursos conjuntos entre Group-IB y Belkasoft?
Quienes hayan completado la formación en cursos conjuntos entre Group-IB y Belkasoft recibirán:

1. certificado de finalización del curso;
2. suscripción mensual gratuita al Belkasoft Evidence Center;
3. 10% de descuento en la compra de Belkasoft Evidence Center.

Os recordamos que el primer curso empieza el lunes, 9 septiembre, - ¡No pierda la oportunidad de adquirir conocimientos únicos en el campo de la seguridad de la información, la informática forense y la respuesta a incidentes! Inscripcion al curso aquí.

fuentesAl preparar el artículo, utilizamos la presentación de Oleg Skulkin "Uso de análisis forense basado en host para obtener indicadores de compromiso para una respuesta exitosa a incidentes basada en inteligencia".

Fuente: habr.com