Algoritmos e tácticas para responder a incidentes de seguridade da información, tendencias nos ciberataques actuais, enfoques para investigar fugas de datos nas empresas, investigación de navegadores e dispositivos móbiles, análise de ficheiros cifrados, extracción de datos de xeolocalización e análise de volumes de grandes datos: todos estes e outros temas poden ser estudado en novos cursos conxuntos de Group-IB e Belkasoft. En agosto nós o primeiro curso de Belkasoft Digital Forensics, que comeza o 9 de setembro, e, recibindo un gran número de preguntas, decidimos contar con máis detalle o que estudarán os alumnos, que coñecementos, competencias e bonificacións (!) recibirán aqueles. que chegan ao final. Sobre todo en orde.
Dous todo nun
A idea de realizar cursos de formación conxuntos xurdiu despois de que os participantes dos cursos do Grupo-IB comezasen a preguntarse por unha ferramenta que lles axudase na investigación de sistemas e redes informáticas comprometidas, e que combinase a funcionalidade de varias utilidades gratuítas que recomendamos. usando durante a resposta ao incidente.
Na nosa opinión, Belkasoft Evidence Center podería ser unha ferramenta deste tipo (xa falamos diso en Igor Mikhailov "Clave para comezar: o mellor software e hardware para informática forense"). Por iso, xunto con Belkasoft, desenvolvemos dous cursos de formación: Belkasoft Digital Forensics и Exame de resposta a incidentes de Belkasoft.
IMPORTANTE: os cursos son secuenciais e interconectados! Belkasoft Digital Forensics dedícase ao programa Belkasoft Evidence Center e Belkasoft Incident Response Examination dedícase á investigación de incidentes mediante produtos Belkasoft. É dicir, antes de estudar o curso de Belkasoft Incident Response Examination, recomendámosche encarecidamente que completes o curso de Belkasoft Digital Forensics. Se comeza de inmediato co curso de investigación de incidentes, o alumno pode ter molestas lagoas de coñecemento ao usar o Centro de probas de Belkasoft, buscar e investigar artefactos forenses. Isto pode levar a que durante o curso de Belkasoft Incident Response Examination, o alumno ou ben non terá tempo para dominar o material, ou ralentizará o resto do grupo na obtención de novos coñecementos, xa que o tempo de formación será dedicado polo formador explicando o material do curso de Belkasoft Digital Forensics.
Informática forense con Belkasoft Evidence Center
Finalidade do curso Belkasoft Digital Forensics — presentar ao público o programa Belkasoft Evidence Center, ensinarlle a utilizar este programa para recoller probas de varias fontes (almacenamento na nube, memoria de acceso aleatorio (RAM), dispositivos móbiles, medios de almacenamento (discos duros, unidades flash, etc.) , domina técnicas e técnicas forenses básicas, artefactos de Windows, análise forense de dispositivos móbiles, volcados de memoria, detecta e documenta artefactos de navegador e mensaxería instantánea, crea copias forenses de datos de varias fontes, extrae datos de xeolocalización e busca secuencias de texto (busca por palabras clave) , use hash na investigación, analiza o rexistro de Windows, aprende as habilidades para investigar bases de datos SQLite descoñecidas, os conceptos básicos para investigar ficheiros gráficos e de vídeo e as técnicas analíticas utilizadas no curso das investigacións.
O curso será útil para expertos con especialización no campo da pericia técnica informática (competencia informática); especialistas técnicos que determinan os motivos dunha intrusión exitosa, analizan a cadea de eventos e as consecuencias dos ciberataques; especialistas técnicos que identifican e documentan o roubo de datos (fuga) por parte dun interno (delincuente interno); especialistas en e-Discovery; Persoal SOC e CERT/CSIRT; oficiais de seguridade da información; entusiastas da informática forense.
Plan do curso:
- Belkasoft Evidence Center (BEC): primeiros pasos
- Creación e tramitación de expedientes en BEC
- Recollida de evidencia dixital nunha investigación forense con BEC
- Usando filtros
- Informes
- Explorando os programas de mensaxería instantánea
- Investigación de navegador web
- Investigación móbil
- Extracción de datos de xeolocalización
- Busca secuencias de texto en casos
- Extracción e análise de datos desde almacenamentos na nube
- Usar marcadores para destacar evidencias significativas atopadas durante a investigación
- Examinando os ficheiros do sistema de Windows
- Análise do rexistro de Windows
- Análise de bases de datos SQLite
- Métodos de recuperación de datos
- Técnicas para examinar os volcados da RAM
- Uso da calculadora de hash e análise de hash en investigacións forenses
- Análise de ficheiros cifrados
- Métodos de investigación de arquivos gráficos e de vídeo
- O uso de técnicas analíticas na investigación forense
- Automatización de accións rutineiras mediante a linguaxe de programación incorporada Belkascripts
- Exercicios prácticos
Curso: Belkasoft Incident Response Examination
O propósito do curso é aprender os conceptos básicos da investigación forense de ciberataques e as posibilidades de usar Belkasoft Evidence Center na investigación. Coñecerás os principais vectores dos ataques modernos ás redes informáticas, aprenderás a clasificar os ataques informáticos baseados na matriz MITRE ATT & CK, aplicarás algoritmos de investigación do sistema operativo para establecer o feito de comprometer e reconstruiras as accións dos atacantes, descubrirás onde localízanse artefactos que indican os ficheiros que se abriron por última vez, onde o sistema operativo almacena información sobre a carga e a execución de ficheiros executables, como se moveron os atacantes pola rede e aprende a explorar estes artefactos mediante BEC. Tamén aprenderá que eventos de syslog son de interese para a investigación de incidentes e a determinación de acceso remoto, e aprenderá a investigalos mediante BEC.
O curso será útil para especialistas técnicos que determinen os motivos dunha intrusión exitosa, analizan a cadea de eventos e as consecuencias dos ciberataques; administradores de sistemas; Persoal SOC e CERT/CSIRT; persoal de seguridade da información.
Visión xeral do curso
Cyber Kill Chain describe as principais etapas de calquera ataque técnico aos ordenadores (ou rede informática) da vítima do seguinte xeito:
As actuacións dos empregados do SOC (CERT, seguridade da información, etc.) teñen como obxectivo evitar que os intrusos accedan a recursos de información protexidos.
Non obstante, se os intrusos penetraron na infraestrutura protexida, as persoas anteriores deberían tratar de minimizar o dano das actividades dos atacantes, determinar como se levou a cabo o ataque, reconstruír os eventos e a secuencia de accións dos atacantes na estrutura de información comprometida e tomar medidas para evitar este tipo de ataques no futuro.
Nunha infraestrutura de información comprometida, pódense atopar os seguintes tipos de trazos que indican un compromiso de rede (ordenador):
Todos estes rastros pódense atopar usando Belkasoft Evidence Center.
BEC dispón dun módulo "Investigación de incidentes", onde, ao analizar os medios de almacenamento, se coloca información sobre artefactos que pode axudar ao investigador na investigación de incidentes.
BEC admite o exame dos principais tipos de artefactos de Windows que indican o lanzamento de ficheiros executables no sistema investigado, incluíndo Amcache, Userassist, Prefetch, BAM/DAM, , análise de eventos do sistema.
A información sobre as trazas que conteñen información sobre accións do usuario nun sistema comprometido pódese presentar no seguinte formulario:
Esta información, entre outras cousas, inclúe información sobre o lanzamento de ficheiros executables:
Información sobre a execución do ficheiro "RDPWInst.exe".
A información sobre os atacantes que permanecen en sistemas comprometidos pódese atopar nas claves de inicio do rexistro de Windows, servizos, tarefas programadas, scripts de inicio de sesión, WMI, etc. Podes ver exemplos de detección de información de fixación no sistema dun atacante nas seguintes capturas de pantalla:
Fixar aos atacantes mediante o programador de tarefas creando unha tarefa que executa un script de PowerShell.
Solución de atacantes mediante Windows Management Instrumentation (WMI).
Fixar aos atacantes co script de inicio de sesión.
O movemento dos atacantes a través dunha rede informática comprometida pódese detectar, por exemplo, analizando os rexistros do sistema de Windows (cando os atacantes usan o servizo RDP).
Información sobre as conexións RDP detectadas.
Información sobre o movemento dos atacantes pola rede.
Así, Belkasoft Evidence Center é capaz de axudar aos investigadores a identificar ordenadores comprometidos nunha rede informática atacada, atopar rastros de lanzamentos de malware, rastros de arranxar no sistema e moverse pola rede e outros rastros de actividades dos atacantes en ordenadores comprometidos.
Como realizar tales estudos e detectar os artefactos descritos anteriormente descríbese no curso de formación de Belkasoft Incident Response Examination.
Plan do curso:
- Tendencias en ciberataques. Tecnoloxías, ferramentas, obxectivos dos atacantes
- Utilizar modelos de ameazas para comprender as tácticas, técnicas e procedementos dos atacantes
- Cadea cibernética
- Algoritmo de resposta a incidentes: identificación, localización, xeración de indicadores, busca de novos nodos infectados
- Análise de sistemas Windows con BEC
- Identificación de métodos de infección primaria, propagación da rede, persistencia, actividade de rede de malware mediante BEC
- Identificación de sistemas infectados e restauración do historial de infeccións mediante BEC
- Exercicios prácticos
FAQOnde se realizan os cursos?
Os cursos realízanse na sede do Grupo-IB ou nun local externo (no centro de formación). É posible a saída do adestrador en plataformas para clientes corporativos.
Quen dirixe as clases?
Os formadores de Group-IB son profesionais con moitos anos de experiencia en investigacións forenses, investigacións corporativas e resposta a incidentes de seguridade da información.
A cualificación dos formadores está confirmada por numerosos certificados internacionais: GCFA, MCFE, ACE, EnCE, etc.
Os nosos adestradores atopan facilmente unha linguaxe común coa audiencia, explicando incluso os temas máis complexos dun xeito accesible. Os estudantes aprenderán moita información relevante e interesante sobre a investigación de incidentes informáticos, métodos para detectar e contrarrestar ataques informáticos, obterán coñecementos prácticos reais que poderán aplicar inmediatamente despois da graduación.
Os cursos proporcionarán habilidades útiles que non estean relacionadas cos produtos de Belkasoft ou estas habilidades non serán aplicables sen este software?
As habilidades adquiridas durante os adestramentos serán útiles aínda sen utilizar produtos Belkasoft.
Que se inclúe na proba inicial?
As probas primarias son unha proba de coñecemento dos conceptos básicos da informática forense. Non se planifican probas de coñecemento dos produtos Belkasoft e Group-IB.
Onde podo atopar información sobre os cursos educativos da empresa?
No marco dos cursos educativos, o Grupo-IB forma especialistas en resposta a incidentes, investigación de malware, especialistas en ciberintelixencia (Threat Intelligence), especialistas para o traballo no Security Operation Center (SOC), especialistas en busca proactiva de ameazas (Threat Hunter), etc. . Dispoñible unha lista completa dos cursos de autor do Grupo-IB .
Que bonificacións reciben os estudantes que completan os cursos conxuntos de Group-IB e Belkasoft?
Os que completaron os cursos conxuntos de Group-IB e Belkasoft recibirán:
- certificado de finalización do curso;
- subscrición mensual gratuíta a Belkasoft Evidence Center;
- 10% de desconto pola compra de Belkasoft Evidence Center.
Lembrámosvos que o luns comeza o primeiro curso, 9 setembro, — non perdas a oportunidade de adquirir coñecementos únicos no campo da seguridade da información, a informática forense e a resposta a incidentes! Inscrición no curso .
FontesNa preparación do artigo, utilizouse a presentación de Oleg Skulkin "Using forense-based forensics to get indicators of compromise for exitosa intelligence-driven incident response".
Fonte: www.habr.com