Cours communs Groupe-IB et Belkasoft : ce que nous enseignerons et qui y participera

Algorithmes et tactiques pour répondre aux incidents de sécurité de l'information, tendances des cyberattaques actuelles, approches d'enquête sur les fuites de données dans les entreprises, recherche de navigateurs et d'appareils mobiles, analyse de fichiers cryptés, extraction de données de géolocalisation et analyse de gros volumes de données - tout cela et d'autres sujets peut être étudié dans le cadre de nouveaux cours communs du Groupe-IB et de Belkasoft. En août, nous annoncé le premier cours Belkasoft Digital Forensics, qui débute le 9 septembre, et après avoir reçu un grand nombre de questions, nous avons décidé de parler plus en détail de ce que les étudiants étudieront, des connaissances, compétences et bonus (!) que recevront ceux qui arriver au bout. Tout d'abord.

Deux tout en un

L'idée d'organiser des formations conjointes est apparue après que les participants aux cours du Groupe-IB ont commencé à poser des questions sur un outil qui les aiderait à enquêter sur les systèmes et réseaux informatiques compromis et à combiner les fonctionnalités de divers utilitaires gratuits que nous recommandons d'utiliser lors de la réponse aux incidents.

À notre avis, un tel outil pourrait être Belkasoft Evidence Center (nous en avons déjà parlé dans article Igor Mikhailov « La clé du départ : les meilleurs logiciels et matériels pour l'investigation informatique »). C'est pourquoi nous avons développé, en collaboration avec Belkasoft, deux formations : Belkasoft Forensique Numérique и Examen de réponse aux incidents de Belkasoft.

IMPORTANT : les cours sont séquentiels et interconnectés ! Belkasoft Digital Forensics est dédié au programme Belkasoft Evidence Center, et Belkasoft Incident Response Examination est dédié aux enquêtes sur les incidents utilisant les produits Belkasoft. Autrement dit, avant d'étudier le cours Belkasoft Incident Response Examination, nous vous recommandons fortement de suivre le cours Belkasoft Digital Forensics. Si vous commencez immédiatement par un cours sur les enquêtes sur les incidents, l'étudiant peut avoir des lacunes gênantes dans ses connaissances sur l'utilisation du Belkasoft Evidence Center, la recherche et l'examen d'artefacts médico-légaux. Cela peut conduire au fait que pendant la formation au cours Belkasoft Incident Response Examination, l'étudiant soit n'aura pas le temps de maîtriser la matière, soit ralentira le reste du groupe dans l'acquisition de nouvelles connaissances, puisque le temps de formation sera consacré par le formateur expliquant le contenu du cours Belkasoft Digital Forensics.

L'investigation informatique avec Belkasoft Evidence Center

Objectif du cours Belkasoft Forensique Numérique — présenter aux étudiants le programme Belkasoft Evidence Center, leur apprendre à utiliser ce programme pour collecter des preuves à partir de diverses sources (stockage cloud, mémoire vive (RAM), appareils mobiles, supports de stockage (disques durs, lecteurs flash, etc.), maîtriser techniques et techniques médico-légales de base, méthodes d'examen médico-légal des artefacts Windows, des appareils mobiles, des vidages de RAM. Vous apprendrez également à identifier et documenter les artefacts des navigateurs et des programmes de messagerie instantanée, à créer des copies médico-légales de données provenant de diverses sources, à extraire des données de géolocalisation et à rechercher pour les séquences de texte (recherche par mot clé), utilisez des hachages lors de la recherche, analysez le registre Windows, maîtrisez les compétences d'exploration de bases de données SQLite inconnues, les bases de l'examen de fichiers graphiques et vidéo et les techniques d'analyse utilisées lors des enquêtes.

Le cours sera utile aux experts spécialisés dans le domaine de la criminalistique informatique (informatique légale) ; des spécialistes techniques qui déterminent les raisons d'une intrusion réussie, analysent l'enchaînement des événements et les conséquences des cyberattaques ; des spécialistes techniques identifiant et documentant le vol de données (fuites) par un interne (contrevenant interne) ; Spécialistes de la découverte électronique ; Personnel du SOC et du CERT/CSIRT ; les employés chargés de la sécurité de l'information ; passionnés d'informatique judiciaire.

Plan de cours :

• Belkasoft Evidence Center (BEC) : premiers pas
• Création et traitement des dossiers en BEC
• Collectez des preuves numériques pour les enquêtes médico-légales avec BEC

• Utiliser des filtres
• Générer des rapports
• Recherche sur les programmes de messagerie instantanée

• Recherche sur le navigateur Web

• Recherche sur les appareils mobiles
• Extraction des données de géolocalisation

• Recherche de séquences de texte dans les cas
• Extraire et analyser les données des stockages cloud
• Utiliser des signets pour mettre en évidence les preuves significatives trouvées au cours de la recherche
• Examen des fichiers système Windows

• Analyse du registre Windows
• Analyse des bases de données SQLite

• Méthodes de récupération de données
• Techniques d'examen des vidages de RAM
• Utilisation du calculateur de hachage et de l'analyse de hachage dans la recherche médico-légale
• Analyse des fichiers cryptés
• Méthodes d'étude des fichiers graphiques et vidéo
• L'utilisation de techniques analytiques dans la recherche médico-légale
• Automatisez les actions de routine à l'aide du langage de programmation Belkascripts intégré

• Exercices pratiques

Cours : Examen de réponse aux incidents Belkasoft

L'objectif du cours est d'apprendre les bases de l'enquête médico-légale sur les cyberattaques et les possibilités d'utilisation du Belkasoft Evidence Center dans une enquête. Vous découvrirez les principaux vecteurs d'attaques modernes sur les réseaux informatiques, apprendrez à classer les attaques informatiques sur la base de la matrice MITRE ATT&CK, appliquerez des algorithmes de recherche sur les systèmes d'exploitation pour établir le fait de compromission et reconstruire les actions des attaquants, apprendrez où se trouvent les artefacts qui indiquez quels fichiers ont été ouverts en dernier, où le système d'exploitation stocke les informations sur la façon dont les fichiers exécutables ont été téléchargés et exécutés, comment les attaquants se sont déplacés sur le réseau et apprenez comment examiner ces artefacts à l'aide de BEC. Vous découvrirez également quels événements dans les journaux système sont intéressants du point de vue de l'enquête sur les incidents et de la détection de l'accès à distance, et apprendrez à les enquêter à l'aide de BEC.

Le cours sera utile aux spécialistes techniques qui déterminent les raisons d'une intrusion réussie, analysent les chaînes d'événements et les conséquences des cyberattaques ; administrateurs système ; Personnel du SOC et du CERT/CSIRT ; personnel chargé de la sécurité de l'information.

Aperçu du cours

Cyber ​​​​Kill Chain décrit ainsi les principales étapes de toute attaque technique sur les ordinateurs (ou le réseau informatique) de la victime :

Les actions des employés du SOC (CERT, sécurité de l'information, etc.) visent à empêcher les intrus d'accéder aux ressources d'information protégées.

Si des attaquants pénètrent dans l'infrastructure protégée, les personnes ci-dessus doivent alors essayer de minimiser les dommages causés par les activités des attaquants, déterminer comment l'attaque a été menée, reconstituer les événements et la séquence d'actions des attaquants dans la structure d'information compromise et prendre des mesures. mesures pour empêcher ce type d’attaque à l’avenir.

Les types de traces suivants peuvent être trouvés dans une infrastructure d'informations compromise, indiquant que le réseau (ordinateur) a été compromis :

Toutes ces traces peuvent être trouvées à l'aide du programme Belkasoft Evidence Center.

BEC dispose d'un module « Enquête sur les incidents » dans lequel, lors de l'analyse des supports de stockage, sont placées des informations sur les artefacts qui peuvent aider le chercheur lors de l'enquête sur les incidents.

BEC prend en charge l'examen des principaux types d'artefacts Windows qui indiquent l'exécution de fichiers exécutables sur le système étudié, notamment les fichiers Amcache, Userassist, Prefetch, BAM/DAM, Chronologie Windows 10,analyse des événements système.

Les informations sur les traces contenant des informations sur les actions des utilisateurs dans un système compromis peuvent être présentées sous la forme suivante :

Ces informations incluent, entre autres, des informations sur l'exécution des fichiers exécutables :

Informations sur l'exécution du fichier 'RDPWInst.exe'.

Des informations sur la présence des attaquants dans les systèmes compromis peuvent être trouvées dans les clés de démarrage du registre Windows, les services, les tâches planifiées, les scripts de connexion, WMI, etc. Des exemples de détection d'informations sur les attaquants attachés au système peuvent être vus dans les captures d'écran suivantes :

Contraindre les attaquants à l'aide du planificateur de tâches en créant une tâche qui exécute un script PowerShell.

Consolidation des attaquants à l’aide de Windows Management Instrumentation (WMI).

Consolidation des attaquants à l'aide du script Logon.

Le mouvement des attaquants sur un réseau informatique compromis peut être détecté, par exemple, en analysant les journaux système Windows (si les attaquants utilisent le service RDP).

Informations sur les connexions RDP détectées.

Informations sur les mouvements des attaquants à travers le réseau.

Ainsi, Belkasoft Evidence Center peut aider les chercheurs à identifier les ordinateurs compromis dans un réseau informatique attaqué, à trouver des traces du lancement de logiciels malveillants, des traces de fixation dans le système et de mouvement à travers le réseau, ainsi que d'autres traces d'activité d'attaquant sur des ordinateurs compromis.

La manière de mener de telles recherches et de détecter les artefacts décrits ci-dessus est décrite dans le cours de formation Belkasoft Incident Response Examination.

Plan de cours :

• Tendances des cyberattaques. Technologies, outils, objectifs des attaquants
• Utiliser des modèles de menace pour comprendre les tactiques, techniques et procédures des attaquants
• Chaîne de cyber-tuerie
• Algorithme de réponse aux incidents : identification, localisation, génération d'indicateurs, recherche de nouveaux nœuds infectés
• Analyse des systèmes Windows à l'aide de BEC
• Détection des méthodes d'infection primaire, de propagation du réseau, de consolidation et d'activité réseau des logiciels malveillants à l'aide de BEC
• Identifiez les systèmes infectés et restaurez l’historique des infections à l’aide de BEC
• Exercices pratiques

QFPOù se déroulent les cours ?
Les cours ont lieu au siège du Groupe-IB ou sur un site extérieur (centre de formation). Il est possible pour un formateur de se déplacer sur des sites chez des entreprises clientes.

Qui anime les cours ?
Les formateurs du Groupe-IB sont des praticiens possédant de nombreuses années d'expérience dans la conduite de recherches médico-légales, d'enquêtes en entreprise et dans la réponse aux incidents de sécurité de l'information.

Les qualifications des formateurs sont confirmées par de nombreux certificats internationaux : GCFA, MCFE, ACE, EnCE, etc.

Nos formateurs trouvent facilement un langage commun avec le public, expliquant clairement même les sujets les plus complexes. Les étudiants apprendront de nombreuses informations pertinentes et intéressantes sur les enquêtes sur les incidents informatiques, les méthodes d'identification et de lutte contre les attaques informatiques, et acquerront de véritables connaissances pratiques qu'ils pourront appliquer immédiatement après l'obtention de leur diplôme.

Les cours fourniront-ils des compétences utiles non liées aux produits Belkasoft, ou ces compétences seront-elles inapplicables sans ce logiciel ?
Les compétences acquises lors de la formation seront utiles sans utiliser les produits Belkasoft.

Que comprend le test initial ?

Les tests primaires sont un test de connaissance des bases de l'informatique judiciaire. Il n'est pas prévu de tester les connaissances sur les produits Belkasoft et Group-IB.

Où puis-je trouver des informations sur les formations proposées par l'entreprise ?

Dans le cadre de formations, Group-IB forme des spécialistes de la réponse aux incidents, de la recherche sur les malwares, des spécialistes de la cyberintelligence (Threat Intelligence), des spécialistes travaillant au sein du Security Operation Center (SOC), des spécialistes de la chasse proactive aux menaces (Threat Hunter), etc. . Une liste complète des cours exclusifs du Groupe-IB est disponible ici.

Quelles primes reçoivent les étudiants qui suivent des cours communs entre le Groupe-IB et Belkasoft ?
Ceux qui ont suivi une formation dans le cadre de cours conjoints entre le Groupe-IB et Belkasoft recevront :

1. certificat de fin de cours;
2. abonnement mensuel gratuit à Belkasoft Evidence Center ;
3. 10% de réduction sur l'achat de Belkasoft Evidence Center.

Nous vous rappelons que le premier cours commence lundi, 9 Septembre, - ne manquez pas l'opportunité d'acquérir des connaissances uniques dans le domaine de la sécurité de l'information, de l'investigation informatique et de la réponse aux incidents ! Inscription au cours ici.

sourcesLors de la préparation de l'article, nous avons utilisé la présentation d'Oleg Skulkin « Utiliser la criminalistique basée sur l'hôte pour obtenir des indicateurs de compromission pour une réponse réussie aux incidents basée sur le renseignement ».

Source: habr.com