دوره های مشترک Group-IB و Belkasoft: آنچه ما آموزش خواهیم داد و چه کسانی شرکت خواهند کرد

الگوریتم ها و تاکتیک ها برای پاسخ به حوادث امنیت اطلاعات، روند حملات سایبری فعلی، رویکردهای بررسی نشت داده ها در شرکت ها، تحقیق در مرورگرها و دستگاه های تلفن همراه، تجزیه و تحلیل فایل های رمزگذاری شده، استخراج داده های موقعیت جغرافیایی و تجزیه و تحلیل حجم زیادی از داده ها - همه اینها و موضوعات دیگر را می توان در دوره های جدید مشترک Group-IB و Belkasoft مطالعه کرد. در ماه اوت ما اعلام کرد اولین دوره Belkasoft Digital Forensics، که از 9 سپتامبر شروع می شود و با دریافت تعداد زیادی سؤال، تصمیم گرفتیم با جزئیات بیشتری در مورد آنچه دانش آموزان مطالعه خواهند کرد، دانش، شایستگی ها و پاداش ها (!) توسط کسانی که دریافت می کنند صحبت کنیم. به پایان برسد. اول چیزهای مهم.

دو همه در یک

ایده برگزاری دوره‌های آموزشی مشترک پس از اینکه شرکت‌کنندگان دوره Group-IB شروع به پرسیدن ابزاری کردند که به آنها در بررسی سیستم‌ها و شبکه‌های رایانه‌ای آسیب‌دیده کمک می‌کند و عملکرد ابزارهای رایگان مختلفی را که استفاده از آنها را در هنگام واکنش به حادثه توصیه می‌کنیم ترکیب می‌کند، ظاهر شد.

به نظر ما، چنین ابزاری می تواند Belkasoft Evidence Center باشد (ما قبلاً در مورد آن صحبت کردیم مقاله ایگور میخائیلوف "کلید شروع: بهترین نرم افزار و سخت افزار برای پزشکی قانونی کامپیوتر"). بنابراین، ما به همراه Belkasoft دو دوره آموزشی را توسعه داده ایم: Belkasoft Digital Forensics и آزمون پاسخ به حوادث بلکاسافت.

مهم: دوره ها متوالی و به هم پیوسته هستند! Belkasoft Digital Forensics به برنامه Belkasoft Evidence Center و Belkasoft Incident Response Examination به بررسی حوادث با استفاده از محصولات Belkasoft اختصاص دارد. یعنی قبل از مطالعه دوره Belkasoft Incident Response Examination، اکیداً توصیه می کنیم دوره Belkasoft Digital Forensics را تکمیل کنید. اگر بلافاصله با یک دوره در مورد بررسی حوادث شروع کنید، دانش آموز ممکن است در استفاده از مرکز شواهد Belkasoft، یافتن و بررسی مصنوعات پزشکی قانونی، شکاف های دانش آزاردهنده ای داشته باشد. این ممکن است منجر به این واقعیت شود که در طول آموزش در دوره آزمون پاسخ به حوادث بلکا سافت، دانش آموز یا زمانی برای تسلط بر مطالب نخواهد داشت یا بقیه گروه را در کسب دانش جدید کند می کند، زیرا زمان آموزشی صرف می شود. توسط مربی توضیح دهنده مطالب دوره پزشکی قانونی بلکا سافت دیجیتال.

پزشکی قانونی کامپیوتر با مرکز شواهد Belkasoft

هدف دوره Belkasoft Digital Forensics - دانش آموزان را با برنامه Belkasoft Evidence Center آشنا کنید، به آنها آموزش دهید که از این برنامه برای جمع آوری شواهد از منابع مختلف (ذخیره سازی ابری، حافظه دسترسی تصادفی (RAM)، دستگاه های تلفن همراه، رسانه های ذخیره سازی (هارد دیسک، درایوهای فلش و غیره)، استاد استفاده کنند. تکنیک‌ها و تکنیک‌های اولیه پزشکی قانونی، روش‌های بررسی پزشکی قانونی مصنوعات ویندوز، دستگاه‌های تلفن همراه، حافظه‌های رم. شما همچنین یاد خواهید گرفت که مصنوعات مرورگرها و برنامه‌های پیام‌رسانی فوری را شناسایی و مستند کنید، نسخه‌های پزشکی قانونی از داده‌ها را از منابع مختلف ایجاد کنید، داده‌های موقعیت جغرافیایی را استخراج کنید و جستجو کنید. برای دنباله‌های متن (جستجوی کلمات کلیدی)، از هش‌ها هنگام انجام تحقیق استفاده کنید، رجیستری ویندوز را تجزیه و تحلیل کنید، مهارت‌های کاوش در پایگاه‌های داده ناشناخته SQLite، اصول اولیه بررسی فایل‌های گرافیکی و ویدیویی و تکنیک‌های تحلیلی مورد استفاده در تحقیقات را به دست آورید.

این دوره برای متخصصان با تخصص در زمینه پزشکی قانونی فنی کامپیوتر (پزشکی قانونی کامپیوتر) مفید خواهد بود. متخصصان فنی که دلایل نفوذ موفق را تعیین می کنند، زنجیره رویدادها و پیامدهای حملات سایبری را تجزیه و تحلیل می کنند. متخصصان فنی شناسایی و مستند سرقت داده ها (نشت) توسط یک خودی (متخلف داخلی). متخصصان e-Discovery; کارکنان SOC و CERT/CSIRT؛ کارکنان امنیت اطلاعات؛ علاقه مندان به پزشکی قانونی کامپیوتر

طرح دوره:

• Belkasoft Evidence Center (BEC): اولین قدم ها
• ایجاد و رسیدگی به پرونده ها در BEC
• شواهد دیجیتالی را برای تحقیقات پزشکی قانونی با BEC جمع آوری کنید

• استفاده از فیلترها
• گزارش نویسی
• تحقیق در مورد برنامه های پیام رسانی فوری

• تحقیق در مورد مرورگر وب

• تحقیق در مورد دستگاه موبایل
• استخراج داده های موقعیت جغرافیایی

• جستجوی دنباله های متن در موارد
• استخراج و تجزیه و تحلیل داده ها از فضای ذخیره سازی ابری
• استفاده از نشانک ها برای برجسته کردن شواهد قابل توجهی که در طول تحقیق پیدا شده است
• بررسی فایل های سیستمی ویندوز

• تجزیه و تحلیل رجیستری ویندوز
• تجزیه و تحلیل پایگاه های داده SQLite

• روش های بازیابی اطلاعات
• تکنیک هایی برای بررسی تخلیه رم
• استفاده از ماشین حساب هش و آنالیز هش در تحقیقات پزشکی قانونی
• تجزیه و تحلیل فایل های رمزگذاری شده
• روش های مطالعه فایل های گرافیکی و تصویری
• استفاده از تکنیک های تحلیلی در تحقیقات پزشکی قانونی
• اقدامات روتین را با استفاده از زبان برنامه نویسی داخلی Belkascripts به صورت خودکار انجام دهید

• تمرینات عملی

دوره: Belkasoft Incident Response Examination

هدف از این دوره یادگیری اصول اولیه تحقیقات پزشکی قانونی حملات سایبری و امکان استفاده از Belkasoft Evidence Center در تحقیقات است. شما در مورد بردارهای اصلی حملات مدرن به شبکه های رایانه ای یاد خواهید گرفت، طبقه بندی حملات رایانه ای بر اساس ماتریس MITER ATT&CK را یاد می گیرید، الگوریتم های تحقیق سیستم عامل را برای اثبات واقعیت مصالحه و بازسازی اقدامات مهاجمان به کار می گیرید، یاد می گیرید که مصنوعات در کجا قرار دارند. مشخص کنید کدام فایل‌ها آخرین بار باز شده‌اند، جایی که سیستم‌عامل اطلاعاتی درباره نحوه دانلود و اجرای فایل‌های اجرایی، نحوه حرکت مهاجمان در سراسر شبکه را ذخیره می‌کند و یاد بگیرید که چگونه این مصنوعات را با استفاده از BEC بررسی کنید. همچنین یاد می‌گیرید که چه رویدادهایی در گزارش‌های سیستم از نقطه نظر بررسی حادثه و تشخیص دسترسی از راه دور مورد توجه هستند و نحوه بررسی آنها با استفاده از BEC را یاد خواهید گرفت.

این دوره برای متخصصان فنی مفید خواهد بود که دلایل نفوذ موفق را تعیین می کنند، زنجیره رویدادها و عواقب حملات سایبری را تجزیه و تحلیل می کنند. مدیران سیستم؛ کارکنان SOC و CERT/CSIRT؛ کارکنان امنیت اطلاعات

بررسی اجمالی دوره

Cyber ​​Kill Chain مراحل اصلی هرگونه حمله فنی به رایانه های قربانی (یا شبکه رایانه ای) را به شرح زیر توصیف می کند:

اقدامات کارکنان SOC (CERT، امنیت اطلاعات و غیره) با هدف جلوگیری از دسترسی متجاوزان به منابع اطلاعاتی محافظت شده است.

اگر مهاجمان به زیرساخت های محافظت شده نفوذ کنند، افراد فوق باید تلاش کنند تا آسیب ناشی از فعالیت های مهاجمان را به حداقل برسانند، نحوه انجام حمله را تعیین کنند، رویدادها و توالی اقدامات مهاجمان را در ساختار اطلاعات در معرض خطر بازسازی کنند و اقدامات لازم را انجام دهند. اقداماتی برای جلوگیری از این نوع حمله در آینده.

انواع زیر را می توان در یک زیرساخت اطلاعاتی در معرض خطر یافت که نشان می دهد شبکه (رایانه) در معرض خطر قرار گرفته است:

تمام این ردیابی ها را می توان با استفاده از برنامه Belkasoft Evidence Center پیدا کرد.

BEC دارای یک ماژول "Incident Investigation" است که در آن هنگام تجزیه و تحلیل رسانه های ذخیره سازی، اطلاعاتی در مورد مصنوعات قرار می گیرد که می تواند در هنگام بررسی حوادث به محقق کمک کند.

BEC از بررسی انواع اصلی مصنوعات ویندوز که نشان دهنده اجرای فایل های اجرایی در سیستم تحت بررسی هستند، از جمله فایل های Amcache، Userassist، Prefetch، BAM/DAM، پشتیبانی می کند. خط زمانی ویندوز 10تجزیه و تحلیل رویدادهای سیستم.

اطلاعات مربوط به ردیابی حاوی اطلاعات مربوط به اقدامات کاربر در یک سیستم در معرض خطر را می توان به شکل زیر ارائه کرد:

این اطلاعات، در میان چیزهای دیگر، شامل اطلاعاتی در مورد اجرای فایل های اجرایی است:

اطلاعاتی در مورد اجرای فایل "RDPWInst.exe".

اطلاعات مربوط به حضور مهاجمان در سیستم‌های در معرض خطر را می‌توان در کلیدهای راه‌اندازی رجیستری ویندوز، سرویس‌ها، وظایف زمان‌بندی شده، اسکریپت‌های Logon، WMI و غیره یافت. نمونه هایی از شناسایی اطلاعات مربوط به مهاجمانی که به سیستم متصل شده اند را می توان در تصاویر زیر مشاهده کرد:

محدود کردن مهاجمان با استفاده از زمان‌بندی کار با ایجاد وظیفه‌ای که اسکریپت PowerShell را اجرا می‌کند.

ادغام مهاجمان با استفاده از ابزار مدیریت ویندوز (WMI).

ادغام مهاجمان با استفاده از اسکریپت Logon.

به عنوان مثال، با تجزیه و تحلیل گزارش های سیستم ویندوز (اگر مهاجمان از سرویس RDP استفاده می کنند) می توان حرکت مهاجمان را در یک شبکه کامپیوتری در معرض خطر شناسایی کرد.

اطلاعات مربوط به اتصالات RDP شناسایی شده

اطلاعاتی در مورد حرکت مهاجمان در سراسر شبکه.

بنابراین، Belkasoft Evidence Center می‌تواند به محققان کمک کند تا رایانه‌های آسیب‌دیده را در یک شبکه رایانه‌ای مورد حمله شناسایی کنند، آثاری از راه‌اندازی بدافزار، ردپای ثابت‌سازی در سیستم و حرکت در سراسر شبکه، و سایر آثار فعالیت مهاجم در رایانه‌های در معرض خطر را پیدا کنند.

نحوه انجام چنین تحقیقاتی و تشخیص مصنوعات شرح داده شده در بالا در دوره آموزشی Belkasoft Incident Response Examination توضیح داده شده است.

طرح دوره:

• روند حملات سایبری فن آوری ها، ابزارها، اهداف مهاجمان
• استفاده از مدل‌های تهدید برای درک تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجم
• زنجیره کشتار سایبری
• الگوریتم پاسخ حادثه: شناسایی، محلی سازی، تولید شاخص ها، جستجوی گره های آلوده جدید
• تجزیه و تحلیل سیستم های ویندوز با استفاده از BEC
• تشخیص روش‌های آلودگی اولیه، گسترش شبکه، یکپارچه‌سازی و فعالیت شبکه بدافزار با استفاده از BEC
• شناسایی سیستم های آلوده و بازیابی سابقه عفونت با استفاده از BEC
• تمرینات عملی

پاسخ به برخی سوالات مهمدوره ها کجا برگزار می شود؟
دوره ها در دفتر مرکزی Group-IB یا در یک سایت خارجی (مرکز آموزشی) برگزار می شود. امکان سفر مربی به سایت هایی با مشتریان شرکتی وجود دارد.

چه کسی کلاس ها را برگزار می کند؟
مربیان در Group-IB متخصصانی با سالها تجربه در انجام تحقیقات پزشکی قانونی، تحقیقات شرکتی و پاسخگویی به حوادث امنیت اطلاعات هستند.

صلاحیت مربیان توسط گواهینامه های بین المللی متعددی تایید می شود: GCFA، MCFE، ACE، EnCE و غیره.

مربیان ما به راحتی زبان مشترکی با مخاطب پیدا می کنند و حتی پیچیده ترین موضوعات را به وضوح توضیح می دهند. دانش آموزان اطلاعات مرتبط و جالب زیادی در مورد بررسی حوادث رایانه ای، روش های شناسایی و مقابله با حملات رایانه ای خواهند آموخت و دانش عملی واقعی را به دست خواهند آورد که می توانند بلافاصله پس از فارغ التحصیلی از آنها استفاده کنند.

آیا دوره ها مهارت های مفیدی را ارائه می دهند که مربوط به محصولات بلکاسافت نیست یا این مهارت ها بدون این نرم افزار غیر قابل اجرا خواهند بود؟
مهارت های کسب شده در طول آموزش بدون استفاده از محصولات بلکاسافت مفید خواهد بود.

تست اولیه شامل چه مواردی می شود؟

تست اولیه آزمونی برای آگاهی از مبانی پزشکی قانونی کامپیوتری است. هیچ برنامه ای برای آزمایش دانش محصولات Belkasoft و Group-IB وجود ندارد.

از کجا می توانم اطلاعات دوره های آموزشی شرکت را پیدا کنم؟

به عنوان بخشی از دوره های آموزشی، Group-IB متخصصان پاسخ به حوادث، تحقیقات بدافزار، متخصصان اطلاعات سایبری (اطلاعات تهدید)، متخصصان برای کار در مرکز عملیات امنیتی (SOC)، متخصصان شکار پیشگیرانه تهدید (شکارچی تهدید)، و غیره را آموزش می دهد. . لیست کامل دوره های اختصاصی Group-IB در دسترس است اینجا.

دانشجویانی که دوره های مشترک بین Group-IB و Belkasoft را می گذرانند چه پاداش هایی دریافت می کنند؟
کسانی که دوره های آموزشی مشترک بین Group-IB و Belkasoft را گذرانده اند، دریافت خواهند کرد:

1. گواهی پایان دوره؛
2. اشتراک ماهانه رایگان Belkasoft Evidence Center.
3. 10% تخفیف خرید مرکز مدارک بلکا سافت.

یادآوری می کنیم که اولین دوره از دوشنبه شروع می شود 9 سپتامبر، - فرصت کسب دانش منحصر به فرد در زمینه امنیت اطلاعات، پزشکی قانونی کامپیوتری و پاسخگویی به حوادث را از دست ندهید! ثبت نام دوره اینجا.

منابعدر تهیه مقاله، از ارائه اولگ اسکالکین "استفاده از پزشکی قانونی مبتنی بر میزبان برای به دست آوردن شاخص های سازش برای پاسخگویی موفقیت آمیز به حادثه مبتنی بر اطلاعات" استفاده کردیم.

منبع: www.habr.com