ProHoster > Blog > ynternet nijs > Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen
Algoritmen en taktyk foar it reagearjen op ynsidinten fan ynformaasjefeiligens, trends yn aktuele cyberoanfallen, oanpakken foar it ûndersykjen fan gegevenslekken yn bedriuwen, ûndersyk nei browsers en mobile apparaten, analysearjen fan fersifere bestannen, ekstrahearje geolokaasjegegevens en analytyk fan grutte folumes gegevens - al dizze en oare ûnderwerpen kin studearre wurde op nije mienskiplike kursussen fan Group-IB en Belkasoft. Yn augustus we oankundige de earste Belkasoft Digital Forensics kursus, dy't begjint op 9 septimber, en hawwe krigen in grut oantal fragen, wy besletten om te praten yn mear detail oer wat studinten sille studearje, hokker kennis, kompetinsjes en bonussen (!) sil wurde ûntfongen troch dyjingen dy't berikke de ein. Earste dingen earst.

Twa Alles yn ien

It idee om mienskiplike trainingskursussen te hâlden ferskynde nei't dielnimmers fan Group-IB-kursussen begon te freegjen oer in ark dat har soe helpe by it ûndersiikjen fan kompromittearre kompjûtersystemen en netwurken, en kombinearje de funksjonaliteit fan ferskate fergese nutsbedriuwen dy't wy riede te brûken tidens ynsidintrespons.

Neffens ús kin sa'n ark Belkasoft Evidence Center wêze (wy hawwe der al oer praat yn artikel Igor Mikhailov "Kaai foar it begjin: de bêste software en hardware foar komputer forensics"). Dêrom hawwe wy, tegearre mei Belkasoft, twa trainingskursussen ûntwikkele: Belkasoft Digital Forensics и Belkasoft Incident Response Undersyk.

WICHTICH: de kursussen binne sekwinsjele en mei-inoar ferbûn! Belkasoft Digital Forensics is wijd oan it Belkasoft Evidence Center-programma, en Belkasoft Incident Response Examination is wijd oan it ûndersykjen fan ynsidinten mei Belkasoft-produkten. Dat is, foardat jo de kursus Belkasoft Incident Response Examination studearje, riede wy sterk oan om de Belkasoft Digital Forensics-kursus te foltôgjen. As jo ​​​​daliks begjinne mei in kursus oer ynsidintûndersiken, kin de studint ferfelende kennisûndersiken hawwe by it brûken fan it Belkasoft Evidence Center, it finen en ûndersiikjen fan forensyske artefakten. Dit kin liede ta it feit dat de studint yn 'e training yn' e kursus Belkasoft Incident Response Examination óf gjin tiid hat om it materiaal te behearskjen, óf de rest fan 'e groep sil fertrage by it krijen fan nije kennis, om't de trainingstiid sil wurde bestege. troch de trainer dy't it materiaal útlis fan 'e Belkasoft Digital Forensics-kursus.

Computer forensics mei Belkasoft Evidence Center

Doel fan 'e kursus Belkasoft Digital Forensics - yntrodusearje studinten oan it Belkasoft Evidence Center-programma, lear se dit programma te brûken om bewiis te sammeljen út ferskate boarnen (wolk opslach, willekeurich tagong ûnthâld (RAM), mobile apparaten, opslach media (hurde skiven, flash drives, ensfh), master basis forensyske techniken en techniken, metoaden fan forensysk ûndersyk fan Windows artefakten, mobile apparaten, RAM dumps. Jo sille ek leare te identifisearjen en dokumintearjen artefakten fan browsers en instant messaging programma, meitsje forensyske kopyen fan gegevens út ferskate boarnen, extract geolokaasje gegevens en sykje foar tekstsekwinsjes (sykje op trefwurden), brûk hashes by it útfieren fan ûndersyk, analysearje it Windows-register, behearskje de feardichheden fan it ferkennen fan ûnbekende SQLite-databases, de basis fan it ûndersiikjen fan grafyske en fideobestannen, en analytyske techniken brûkt by ûndersiken.

De kursus sil nuttich wêze foar saakkundigen mei spesjalisaasje op it mêd fan komputer technyske forensika (komputer forensika); technyske spesjalisten dy't de redenen bepale foar in suksesfolle ynbraak, analysearje de keatling fan eveneminten en de gefolgen fan cyberoanfallen; technyske spesjalisten identifisearje en dokumintearje gegevensstellerij (lekken) troch in ynsider (ynterne oertreder); e-Discovery spesjalisten; SOC en CERT / CSIRT personiel; meiwurkers fan ynformaasjefeiligens; computer forensics entûsjasters.

Kursusplan:

  • Belkasoft Evidence Center (BEC): earste stappen
  • Oanmeitsjen en ferwurkjen fan saken yn BEC
  • Sammelje digitaal bewiis foar forensyske ûndersiken mei BEC

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Mei help fan filters
  • It generearjen fan rapporten
  • Undersyk nei Instant Messaging-programma's

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Webblêderûndersyk

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Mobile Device Undersyk
  • Geolokaasjegegevens útpakke

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Sykje nei tekstsekwinsjes yn gefallen
  • Gegevens ekstrahearje en analysearje út wolkopslaggen
  • Blêdwizers brûke om wichtige bewiis te markearjen fûn tidens ûndersyk
  • Undersyk fan Windows-systeembestannen

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Windows Registry Analysis
  • Analyse fan SQLite databases

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Data Recovery Metoaden
  • Technieken foar it ûndersykjen fan RAM-dumps
  • Gebrûk fan hash-kalkulator en hash-analyse yn forensysk ûndersyk
  • Analyse fan fersifere bestannen
  • Metoaden foar it bestudearjen fan grafyske en fideobestannen
  • It brûken fan analytyske techniken yn forensysk ûndersyk
  • Automatisearje routine aksjes mei de ynboude programmeertaal Belkascripts

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen

  • Praktyske lessen

Kursus: Belkasoft Incident Response Examination

It doel fan 'e kursus is om de basis te learen fan forensysk ûndersyk nei cyberoanfallen en de mooglikheden fan it brûken fan Belkasoft Evidence Center yn in ûndersyk. Jo sille leare oer de haadfektors fan moderne oanfallen op kompjûternetwurken, learje kompjûteroanfallen te klassifisearjen basearre op 'e MITER ATT&CK-matrix, tapasse algoritmen foar ûndersykssysteem foar bestjoeringssysteem om it feit fan kompromis te fêstigjen en de aksjes fan oanfallers te rekonstruearjen, learje wêr't artefakten lizze dy't oanjaan hokker bestannen it lêst iepene binne, wêr't it bestjoeringssysteem ynformaasje opslacht oer hoe't útfierbere bestannen binne ynladen en útfierd, hoe't oanfallers oer it netwurk ferpleatse, en learje hoe't jo dizze artefakten ûndersiikje mei BEC. Jo sille ek leare hokker eveneminten yn systeemlogboeken fan belang binne út it eachpunt fan ynsidintûndersyk en deteksje fan tagong op ôfstân, en learje hoe't jo se kinne ûndersiikje mei BEC.

De kursus sil nuttich wêze foar technyske spesjalisten dy't de redenen foar in suksesfolle ynbraak bepale, keatlingen fan eveneminten en de gefolgen fan cyberoanfallen analysearje; systeembehearders; SOC en CERT / CSIRT personiel; ynformaasje feiligens personiel.

Kursus Oersjoch

Cyber ​​​​Kill Chain beskriuwt de wichtichste stadia fan elke technyske oanfal op 'e kompjûters fan it slachtoffer (as kompjûternetwurk) as folget:
Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen
De aksjes fan SOC-meiwurkers (CERT, ynformaasjefeiligens, ensfh.) binne rjochte op it foarkommen fan ynbrekkers fan tagong ta beskerme ynformaasjeboarnen.

As oanfallers de beskerme ynfrastruktuer penetrearje, dan moatte de boppesteande persoanen besykje de skea fan 'e aktiviteiten fan' e oanfallers te minimalisearjen, bepale hoe't de oanfal waard útfierd, de barrens en folchoarder fan aksjes fan 'e oanfallers rekonstruearje yn' e kompromittearre ynformaasjestruktuer, en nimme maatregels om dit soarte oanfal yn 'e takomst te foarkommen.

De folgjende soarten spoaren kinne fûn wurde yn in kompromittearre ynformaasjeynfrastruktuer, wat oanjout dat it netwurk (komputer) kompromittearre is:

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen
Al sokke spoaren kinne fûn wurde mei it Belkasoft Evidence Center-programma.

BEC hat in module "Incident Investigation", wêrby't, by it analysearjen fan opslachmedia, ynformaasje oer artefakten pleatst wurdt dy't de ûndersiker helpe kinne by it ûndersykjen fan ynsidinten.

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen
BEC stipet ûndersyk fan 'e haadtypen fan Windows-artefakten dy't de útfiering oanjaan fan útfierbere bestannen op it ûndersochte systeem, ynklusyf Amcache, Userassist, Prefetch, BAM / DAM-bestannen, Windows 10 Tiidline, analyze fan systeem eveneminten.

Ynformaasje oer spoaren mei ynformaasje oer brûkersaksjes yn in kompromittearre systeem kin wurde presintearre yn 'e folgjende foarm:

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommen
Dizze ynformaasje omfettet ûnder oare ynformaasje oer it útfieren fan útfierbere bestannen:

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommenYnformaasje oer it útfieren fan it bestân 'RDPWInst.exe'.

Ynformaasje oer de oanwêzigens fan oanfallers yn kompromittearre systemen kin fûn wurde yn Windows-registraasje-startkaaien, tsjinsten, plande taken, oanmeldingsskripts, WMI, ensfh. Foarbylden fan it opspoaren fan ynformaasje oer oanfallers dy't oan it systeem hechte kinne wurde sjoen yn 'e folgjende skermôfbyldings:

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommenOanfallers beheine mei de taakplanner troch in taak te meitsjen dy't in PowerShell-skript útfiert.

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommenKonsolidearjen fan oanfallers mei Windows Management Instrumentation (WMI).

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommenKonsolidearjen fan oanfallers mei help fan Logon skript.

De beweging fan oanfallers oer in kompromittearre kompjûternetwurk kin wurde ûntdutsen, bygelyks troch it analysearjen fan Windows-systeemlogboeken (as de oanfallers de RDP-tsjinst brûke).

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommenYnformaasje oer ûntdutsen RDP-ferbiningen.

Mienskiplike kursussen fan Group-IB en Belkasoft: wat wy sille leare en wa te kommenYnformaasje oer de beweging fan oanfallers oer it netwurk.

Sa kin Belkasoft Evidence Center ûndersikers helpe om kompromittearre kompjûters te identifisearjen yn in oanfallen kompjûternetwurk, spoaren te finen fan 'e lansearring fan malware, spoaren fan fixaasje yn it systeem en beweging oer it netwurk, en oare spoaren fan oanfalleraktiviteit op kompromittearre kompjûters.

Hoe sa'n ûndersyk út te fieren en de hjirboppe beskreaune artefakten te ûntdekken wurdt beskreaun yn 'e trainingskursus Belkasoft Incident Response Examination.

Kursusplan:

  • Trends fan cyberoanfallen. Technologien, ark, doelen fan oanfallers
  • Gebrûk fan bedrigingsmodellen om oanfallerstaktiken, techniken en prosedueres te begripen
  • Cyber ​​​​kill chain
  • Algoritme foar ynsidint-antwurd: identifikaasje, lokalisaasje, generaasje fan yndikatoaren, sykje nei nije ynfekteare knopen
  • Analyse fan Windows-systemen mei BEC
  • Deteksje fan metoaden fan primêre ynfeksje, netwurkfersprieding, konsolidaasje en netwurkaktiviteit fan malware mei BEC
  • Identifisearje ynfekteare systemen en weromsette ynfeksjeskiednis mei BEC
  • Praktyske lessen

FAQWêr wurde de kursussen hâlden?
Kursussen wurde hâlden op it haadkantoar fan Group-IB of op in eksterne side (opliedingssintrum). It is mooglik foar in trainer om te reizgjen nei siden mei bedriuwsklanten.

Wa hâldt de lessen?
Trainers by Group-IB binne praktiken mei in protte jierren ûnderfining yn it útfieren fan forensysk ûndersyk, bedriuwsûndersiken en reagearje op ynsidinten fan ynformaasjefeiligens.

De kwalifikaasjes fan trainers wurde befêstige troch tal fan ynternasjonale sertifikaten: GCFA, MCFE, ACE, EnCE, ensfh.

Us trainers fine maklik in mienskiplike taal mei it publyk, en ferklearje sels de meast komplekse ûnderwerpen dúdlik. Studinten sille in protte relevante en nijsgjirrige ynformaasje leare oer it ûndersykjen fan kompjûterynsidinten, metoaden foar it identifisearjen en tsjingean fan kompjûteroanfallen, en krije echte praktyske kennis dy't se direkt nei it ôfstudearjen kinne tapasse.

Sille de kursussen nuttige feardigens leverje dy't net relatearre binne oan Belkasoft-produkten, of sille dizze feardigens sûnder dizze software net fan tapassing wêze?
De feardichheden opdien tidens de training sille nuttich wêze sûnder Belkasoft-produkten te brûken.

Wat is opnommen yn 'e earste test?

Primêre testen is in test fan kennis fan 'e basis fan kompjûterforensika. Der binne gjin plannen om te testen kennis fan Belkasoft en Group-IB produkten.

Wêr kin ik ynformaasje fine oer de edukative kursussen fan it bedriuw?

As ûnderdiel fan edukative kursussen traint Group-IB spesjalisten yn ynsidintreaksje, malwareûndersyk, spesjalisten foar cyber-yntelliginsje (Threat Intelligence), spesjalisten om te wurkjen yn it Security Operation Center (SOC), spesjalisten yn proaktive bedrigingsjacht (Threat Hunter), ensfh. . In folsleine list mei proprietêre kursussen fan Group-IB is beskikber hjir.

Hokker bonussen krije studinten dy't mienskiplike kursussen foltôgje tusken Group-IB en Belkasoft?
Dejingen dy't training hawwe foltôge yn mienskiplike kursussen tusken Group-IB en Belkasoft krije:

  1. sertifikaat fan foltôging fan 'e kursus;
  2. fergees moanliks abonnemint op Belkasoft Evidence Center;
  3. 10% koarting op de oankeap fan Belkasoft Evidence Center.

Wy herinnerje jo dat de earste kursus moandei begjint, 9 september, - mis de kâns net om unike kennis te krijen op it mêd fan ynformaasjefeiligens, komputerforensika en ynsidintreaksje! Registraasje foar de kursus hjir.

BoarnenBy it tarieden fan it artikel brûkten wy de presintaasje fan Oleg Skulkin "Gebrûk fan host-basearre forensika om yndikatoaren fan kompromis te krijen foar suksesfolle yntelliginsje-oandreaune ynsidintrespons."

Boarne: www.habr.com

Add a comment