الگوریتم ها و تاکتیک ها برای پاسخ به حوادث امنیت اطلاعات، روند حملات سایبری فعلی، رویکردهای بررسی نشت داده ها در شرکت ها، تحقیق در مرورگرها و دستگاه های تلفن همراه، تجزیه و تحلیل فایل های رمزگذاری شده، استخراج داده های موقعیت جغرافیایی و تجزیه و تحلیل حجم زیادی از داده ها - همه اینها و موضوعات دیگر را می توان در دوره های جدید مشترک Group-IB و Belkasoft مطالعه کرد. در ماه اوت ما
دو همه در یک
ایده برگزاری دورههای آموزشی مشترک پس از اینکه شرکتکنندگان دوره Group-IB شروع به پرسیدن ابزاری کردند که به آنها در بررسی سیستمها و شبکههای رایانهای آسیبدیده کمک میکند و عملکرد ابزارهای رایگان مختلفی را که استفاده از آنها را در هنگام واکنش به حادثه توصیه میکنیم ترکیب میکند، ظاهر شد.
به نظر ما، چنین ابزاری می تواند Belkasoft Evidence Center باشد (ما قبلاً در مورد آن صحبت کردیم
مهم: دوره ها متوالی و به هم پیوسته هستند! Belkasoft Digital Forensics به برنامه Belkasoft Evidence Center و Belkasoft Incident Response Examination به بررسی حوادث با استفاده از محصولات Belkasoft اختصاص دارد. یعنی قبل از مطالعه دوره Belkasoft Incident Response Examination، اکیداً توصیه می کنیم دوره Belkasoft Digital Forensics را تکمیل کنید. اگر بلافاصله با یک دوره در مورد بررسی حوادث شروع کنید، دانش آموز ممکن است در استفاده از مرکز شواهد Belkasoft، یافتن و بررسی مصنوعات پزشکی قانونی، شکاف های دانش آزاردهنده ای داشته باشد. این ممکن است منجر به این واقعیت شود که در طول آموزش در دوره آزمون پاسخ به حوادث بلکا سافت، دانش آموز یا زمانی برای تسلط بر مطالب نخواهد داشت یا بقیه گروه را در کسب دانش جدید کند می کند، زیرا زمان آموزشی صرف می شود. توسط مربی توضیح دهنده مطالب دوره پزشکی قانونی بلکا سافت دیجیتال.
پزشکی قانونی کامپیوتر با مرکز شواهد Belkasoft
هدف دوره Belkasoft Digital Forensics - دانش آموزان را با برنامه Belkasoft Evidence Center آشنا کنید، به آنها آموزش دهید که از این برنامه برای جمع آوری شواهد از منابع مختلف (ذخیره سازی ابری، حافظه دسترسی تصادفی (RAM)، دستگاه های تلفن همراه، رسانه های ذخیره سازی (هارد دیسک، درایوهای فلش و غیره)، استاد استفاده کنند. تکنیکها و تکنیکهای اولیه پزشکی قانونی، روشهای بررسی پزشکی قانونی مصنوعات ویندوز، دستگاههای تلفن همراه، حافظههای رم. شما همچنین یاد خواهید گرفت که مصنوعات مرورگرها و برنامههای پیامرسانی فوری را شناسایی و مستند کنید، نسخههای پزشکی قانونی از دادهها را از منابع مختلف ایجاد کنید، دادههای موقعیت جغرافیایی را استخراج کنید و جستجو کنید. برای دنبالههای متن (جستجوی کلمات کلیدی)، از هشها هنگام انجام تحقیق استفاده کنید، رجیستری ویندوز را تجزیه و تحلیل کنید، مهارتهای کاوش در پایگاههای داده ناشناخته SQLite، اصول اولیه بررسی فایلهای گرافیکی و ویدیویی و تکنیکهای تحلیلی مورد استفاده در تحقیقات را به دست آورید.
این دوره برای متخصصان با تخصص در زمینه پزشکی قانونی فنی کامپیوتر (پزشکی قانونی کامپیوتر) مفید خواهد بود. متخصصان فنی که دلایل نفوذ موفق را تعیین می کنند، زنجیره رویدادها و پیامدهای حملات سایبری را تجزیه و تحلیل می کنند. متخصصان فنی شناسایی و مستند سرقت داده ها (نشت) توسط یک خودی (متخلف داخلی). متخصصان e-Discovery; کارکنان SOC و CERT/CSIRT؛ کارکنان امنیت اطلاعات؛ علاقه مندان به پزشکی قانونی کامپیوتر
طرح دوره:
- Belkasoft Evidence Center (BEC): اولین قدم ها
- ایجاد و رسیدگی به پرونده ها در BEC
- شواهد دیجیتالی را برای تحقیقات پزشکی قانونی با BEC جمع آوری کنید
- استفاده از فیلترها
- گزارش نویسی
- تحقیق در مورد برنامه های پیام رسانی فوری
- تحقیق در مورد مرورگر وب
- تحقیق در مورد دستگاه موبایل
- استخراج داده های موقعیت جغرافیایی
- جستجوی دنباله های متن در موارد
- استخراج و تجزیه و تحلیل داده ها از فضای ذخیره سازی ابری
- استفاده از نشانک ها برای برجسته کردن شواهد قابل توجهی که در طول تحقیق پیدا شده است
- بررسی فایل های سیستمی ویندوز
- تجزیه و تحلیل رجیستری ویندوز
- تجزیه و تحلیل پایگاه های داده SQLite
- روش های بازیابی اطلاعات
- تکنیک هایی برای بررسی تخلیه رم
- استفاده از ماشین حساب هش و آنالیز هش در تحقیقات پزشکی قانونی
- تجزیه و تحلیل فایل های رمزگذاری شده
- روش های مطالعه فایل های گرافیکی و تصویری
- استفاده از تکنیک های تحلیلی در تحقیقات پزشکی قانونی
- اقدامات روتین را با استفاده از زبان برنامه نویسی داخلی Belkascripts به صورت خودکار انجام دهید
- تمرینات عملی
دوره: Belkasoft Incident Response Examination
هدف از این دوره یادگیری اصول اولیه تحقیقات پزشکی قانونی حملات سایبری و امکان استفاده از Belkasoft Evidence Center در تحقیقات است. شما در مورد بردارهای اصلی حملات مدرن به شبکه های رایانه ای یاد خواهید گرفت، طبقه بندی حملات رایانه ای بر اساس ماتریس MITER ATT&CK را یاد می گیرید، الگوریتم های تحقیق سیستم عامل را برای اثبات واقعیت مصالحه و بازسازی اقدامات مهاجمان به کار می گیرید، یاد می گیرید که مصنوعات در کجا قرار دارند. مشخص کنید کدام فایلها آخرین بار باز شدهاند، جایی که سیستمعامل اطلاعاتی درباره نحوه دانلود و اجرای فایلهای اجرایی، نحوه حرکت مهاجمان در سراسر شبکه را ذخیره میکند و یاد بگیرید که چگونه این مصنوعات را با استفاده از BEC بررسی کنید. همچنین یاد میگیرید که چه رویدادهایی در گزارشهای سیستم از نقطه نظر بررسی حادثه و تشخیص دسترسی از راه دور مورد توجه هستند و نحوه بررسی آنها با استفاده از BEC را یاد خواهید گرفت.
این دوره برای متخصصان فنی مفید خواهد بود که دلایل نفوذ موفق را تعیین می کنند، زنجیره رویدادها و عواقب حملات سایبری را تجزیه و تحلیل می کنند. مدیران سیستم؛ کارکنان SOC و CERT/CSIRT؛ کارکنان امنیت اطلاعات
بررسی اجمالی دوره
Cyber Kill Chain مراحل اصلی هرگونه حمله فنی به رایانه های قربانی (یا شبکه رایانه ای) را به شرح زیر توصیف می کند:
اقدامات کارکنان SOC (CERT، امنیت اطلاعات و غیره) با هدف جلوگیری از دسترسی متجاوزان به منابع اطلاعاتی محافظت شده است.
اگر مهاجمان به زیرساخت های محافظت شده نفوذ کنند، افراد فوق باید تلاش کنند تا آسیب ناشی از فعالیت های مهاجمان را به حداقل برسانند، نحوه انجام حمله را تعیین کنند، رویدادها و توالی اقدامات مهاجمان را در ساختار اطلاعات در معرض خطر بازسازی کنند و اقدامات لازم را انجام دهند. اقداماتی برای جلوگیری از این نوع حمله در آینده.
انواع زیر را می توان در یک زیرساخت اطلاعاتی در معرض خطر یافت که نشان می دهد شبکه (رایانه) در معرض خطر قرار گرفته است:
تمام این ردیابی ها را می توان با استفاده از برنامه Belkasoft Evidence Center پیدا کرد.
BEC دارای یک ماژول "Incident Investigation" است که در آن هنگام تجزیه و تحلیل رسانه های ذخیره سازی، اطلاعاتی در مورد مصنوعات قرار می گیرد که می تواند در هنگام بررسی حوادث به محقق کمک کند.
BEC از بررسی انواع اصلی مصنوعات ویندوز که نشان دهنده اجرای فایل های اجرایی در سیستم تحت بررسی هستند، از جمله فایل های Amcache، Userassist، Prefetch، BAM/DAM، پشتیبانی می کند.
اطلاعات مربوط به ردیابی حاوی اطلاعات مربوط به اقدامات کاربر در یک سیستم در معرض خطر را می توان به شکل زیر ارائه کرد:
این اطلاعات، در میان چیزهای دیگر، شامل اطلاعاتی در مورد اجرای فایل های اجرایی است:
اطلاعاتی در مورد اجرای فایل "RDPWInst.exe".
اطلاعات مربوط به حضور مهاجمان در سیستمهای در معرض خطر را میتوان در کلیدهای راهاندازی رجیستری ویندوز، سرویسها، وظایف زمانبندی شده، اسکریپتهای Logon، WMI و غیره یافت. نمونه هایی از شناسایی اطلاعات مربوط به مهاجمانی که به سیستم متصل شده اند را می توان در تصاویر زیر مشاهده کرد:
محدود کردن مهاجمان با استفاده از زمانبندی کار با ایجاد وظیفهای که اسکریپت PowerShell را اجرا میکند.
ادغام مهاجمان با استفاده از ابزار مدیریت ویندوز (WMI).
ادغام مهاجمان با استفاده از اسکریپت Logon.
به عنوان مثال، با تجزیه و تحلیل گزارش های سیستم ویندوز (اگر مهاجمان از سرویس RDP استفاده می کنند) می توان حرکت مهاجمان را در یک شبکه کامپیوتری در معرض خطر شناسایی کرد.
اطلاعات مربوط به اتصالات RDP شناسایی شده
اطلاعاتی در مورد حرکت مهاجمان در سراسر شبکه.
بنابراین، Belkasoft Evidence Center میتواند به محققان کمک کند تا رایانههای آسیبدیده را در یک شبکه رایانهای مورد حمله شناسایی کنند، آثاری از راهاندازی بدافزار، ردپای ثابتسازی در سیستم و حرکت در سراسر شبکه، و سایر آثار فعالیت مهاجم در رایانههای در معرض خطر را پیدا کنند.
نحوه انجام چنین تحقیقاتی و تشخیص مصنوعات شرح داده شده در بالا در دوره آموزشی Belkasoft Incident Response Examination توضیح داده شده است.
طرح دوره:
- روند حملات سایبری فن آوری ها، ابزارها، اهداف مهاجمان
- استفاده از مدلهای تهدید برای درک تاکتیکها، تکنیکها و رویههای مهاجم
- زنجیره کشتار سایبری
- الگوریتم پاسخ حادثه: شناسایی، محلی سازی، تولید شاخص ها، جستجوی گره های آلوده جدید
- تجزیه و تحلیل سیستم های ویندوز با استفاده از BEC
- تشخیص روشهای آلودگی اولیه، گسترش شبکه، یکپارچهسازی و فعالیت شبکه بدافزار با استفاده از BEC
- شناسایی سیستم های آلوده و بازیابی سابقه عفونت با استفاده از BEC
- تمرینات عملی
پاسخ به برخی سوالات مهمدوره ها کجا برگزار می شود؟
دوره ها در دفتر مرکزی Group-IB یا در یک سایت خارجی (مرکز آموزشی) برگزار می شود. امکان سفر مربی به سایت هایی با مشتریان شرکتی وجود دارد.
چه کسی کلاس ها را برگزار می کند؟
مربیان در Group-IB متخصصانی با سالها تجربه در انجام تحقیقات پزشکی قانونی، تحقیقات شرکتی و پاسخگویی به حوادث امنیت اطلاعات هستند.
صلاحیت مربیان توسط گواهینامه های بین المللی متعددی تایید می شود: GCFA، MCFE، ACE، EnCE و غیره.
مربیان ما به راحتی زبان مشترکی با مخاطب پیدا می کنند و حتی پیچیده ترین موضوعات را به وضوح توضیح می دهند. دانش آموزان اطلاعات مرتبط و جالب زیادی در مورد بررسی حوادث رایانه ای، روش های شناسایی و مقابله با حملات رایانه ای خواهند آموخت و دانش عملی واقعی را به دست خواهند آورد که می توانند بلافاصله پس از فارغ التحصیلی از آنها استفاده کنند.
آیا دوره ها مهارت های مفیدی را ارائه می دهند که مربوط به محصولات بلکاسافت نیست یا این مهارت ها بدون این نرم افزار غیر قابل اجرا خواهند بود؟
مهارت های کسب شده در طول آموزش بدون استفاده از محصولات بلکاسافت مفید خواهد بود.
تست اولیه شامل چه مواردی می شود؟
تست اولیه آزمونی برای آگاهی از مبانی پزشکی قانونی کامپیوتری است. هیچ برنامه ای برای آزمایش دانش محصولات Belkasoft و Group-IB وجود ندارد.
از کجا می توانم اطلاعات دوره های آموزشی شرکت را پیدا کنم؟
به عنوان بخشی از دوره های آموزشی، Group-IB متخصصان پاسخ به حوادث، تحقیقات بدافزار، متخصصان اطلاعات سایبری (اطلاعات تهدید)، متخصصان برای کار در مرکز عملیات امنیتی (SOC)، متخصصان شکار پیشگیرانه تهدید (شکارچی تهدید)، و غیره را آموزش می دهد. . لیست کامل دوره های اختصاصی Group-IB در دسترس است
دانشجویانی که دوره های مشترک بین Group-IB و Belkasoft را می گذرانند چه پاداش هایی دریافت می کنند؟
کسانی که دوره های آموزشی مشترک بین Group-IB و Belkasoft را گذرانده اند، دریافت خواهند کرد:
- گواهی پایان دوره؛
- اشتراک ماهانه رایگان Belkasoft Evidence Center.
- 10% تخفیف خرید مرکز مدارک بلکا سافت.
یادآوری می کنیم که اولین دوره از دوشنبه شروع می شود 9 سپتامبر، - فرصت کسب دانش منحصر به فرد در زمینه امنیت اطلاعات، پزشکی قانونی کامپیوتری و پاسخگویی به حوادث را از دست ندهید! ثبت نام دوره
منابعدر تهیه مقاله، از ارائه اولگ اسکالکین "استفاده از پزشکی قانونی مبتنی بر میزبان برای به دست آوردن شاخص های سازش برای پاسخگویی موفقیت آمیز به حادثه مبتنی بر اطلاعات" استفاده کردیم.
منبع: www.habr.com