Zajednički tečajevi Group-IB i Belkasofta: što ćemo predavati i tko dolazi

Algoritmi i taktike odgovora na incidente informacijske sigurnosti, trendovi u aktualnim kibernetičkim napadima, pristupi istraživanju curenja podataka u tvrtkama, istraživanje preglednika i mobilnih uređaja, analiza kriptiranih datoteka, izdvajanje geolokacijskih podataka i analitika velikih količina podataka – sve ove i druge teme mogu se studirati na novim zajedničkim tečajevima Group-IB-a i Belkasofta. U kolovozu mi najavio prvi Belkasoftov tečaj digitalne forenzike koji počinje 9. rujna, a s obzirom na velik broj pitanja odlučili smo detaljnije progovoriti o tome što će studenti studirati, koja će znanja, kompetencije i bonuse (!) dobiti oni koji doći do kraja. Prvo najprije.

Dva Sve u jednom

Ideja o održavanju zajedničkih tečajeva pojavila se nakon što su se polaznici tečaja Group-IB počeli raspitivati ​​o alatu koji bi im pomogao u istraživanju kompromitiranih računalnih sustava i mreža te kombinirao funkcionalnost raznih besplatnih uslužnih programa koje preporučujemo korištenje tijekom odgovora na incidente.

Po našem mišljenju, takav bi alat mogao biti Belkasoft Evidence Center (o tome smo već govorili u članak Igor Mikhailov “Ključ za početak: najbolji softver i hardver za računalnu forenziku”). Stoga smo zajedno s Belkasoftom razvili dva tečaja obuke: Belkasoftova digitalna forenzika и Belkasoftovo ispitivanje odgovora na incidente.

VAŽNO: tečajevi su sekvencijalni i međusobno povezani! Belkasoft Digital Forensics posvećen je programu Belkasoft Evidence Center, a Belkasoft Incident Response Examination posvećen je istraživanju incidenata korištenjem Belkasoft proizvoda. Odnosno, prije proučavanja tečaja Belkasoft Incident Response Examination, toplo preporučujemo da završite tečaj Belkasoft Digital Forensics. Ako odmah počnete s tečajem o istragama incidenata, polaznici mogu imati neugodne nedostatke u znanju u korištenju Belkasoft Evidence Center, pronalaženju i ispitivanju forenzičkih artefakata. To može dovesti do činjenice da tijekom obuke na tečaju Belkasoft Incident Response Examination polaznik ili neće imati vremena savladati gradivo ili će usporiti ostatak grupe u stjecanju novih znanja, jer će se vrijeme obuke potrošiti od strane trenera koji objašnjava gradivo iz tečaja Belkasoft Digital Forensics.

Računalna forenzika s Belkasoft Evidence Center

Svrha tečaja Belkasoftova digitalna forenzika — upoznati učenike s programom Belkasoft Evidence Center, naučiti ih koristiti ovaj program za prikupljanje dokaza iz različitih izvora (pohrana u oblaku, memorija s izravnim pristupom (RAM), mobilni uređaji, mediji za pohranu (tvrdi diskovi, flash diskovi, itd.), ovladati osnovne forenzičke tehnike i tehnike, metode forenzičkog ispitivanja Windows artefakata, mobilnih uređaja, RAM dumpova.Također ćete naučiti identificirati i dokumentirati artefakte preglednika i programa za razmjenu trenutnih poruka, izraditi forenzičke kopije podataka iz različitih izvora, ekstrahirati geolokacijske podatke i pretraživati za tekstualne sekvence (pretraživanje po ključnim riječima), koristiti hashove pri provođenju istraživanja, analizirati Windows registar, ovladati vještinama istraživanja nepoznatih SQLite baza podataka, osnovama ispitivanja grafičkih i video datoteka te analitičkim tehnikama koje se koriste tijekom istraživanja.

Tečaj će biti koristan stručnjacima sa specijalizacijom u području računalne tehničke forenzike (računalna forenzika); tehnički stručnjaci koji utvrđuju razloge uspješnog upada, analiziraju lanac događaja i posljedice cyber napada; tehnički stručnjaci koji identificiraju i dokumentiraju krađu (curenje) podataka od strane insajdera (unutarnjeg prekršitelja); stručnjaci za e-otkrivanje; SOC i osoblje CERT/CSIRT; zaposlenici informacijske sigurnosti; entuzijasti računalne forenzike.

Plan tečaja:

• Belkasoft Evidence Center (BEC): prvi koraci
• Izrada i obrada predmeta u BEC-u
• Prikupite digitalne dokaze za forenzičke istrage s BEC-om

• Korištenje filtara
• Izvještavanje
• Istraživanje programa za razmjenu izravnih poruka

• Istraživanje web preglednika

• Istraživanje mobilnih uređaja
• Izdvajanje geolokacijskih podataka

• Traženje nizova teksta u padežima
• Ekstrakcija i analiza podataka iz pohrane u oblaku
• Korištenje knjižnih oznaka za isticanje značajnih dokaza pronađenih tijekom istraživanja
• Ispitivanje datoteka sustava Windows

• Analiza Windows registra
• Analiza SQLite baza podataka

• Metode oporavka podataka
• Tehnike za ispitivanje RAM dumpova
• Korištenje hash kalkulatora i hash analize u forenzičkom istraživanju
• Analiza šifriranih datoteka
• Metode za proučavanje grafičkih i video datoteka
• Primjena analitičkih tehnika u forenzičkom istraživanju
• Automatizirajte rutinske radnje pomoću ugrađenog programskog jezika Belkascripts

• Praktične vježbe

Tečaj: Belkasoft Incident Response Examination

Svrha tečaja je naučiti osnove forenzičkog istraživanja cyber napada i mogućnosti korištenja Belkasoft Evidence Centera u istrazi. Naučit ćete glavne vektore modernih napada na računalne mreže, naučiti klasificirati računalne napade na temelju MITER ATT&CK matrice, primijeniti algoritme istraživanja operacijskog sustava za utvrđivanje činjenice kompromitacije i rekonstruirati radnje napadača, saznati gdje se nalaze artefakti koji navedite koje su datoteke posljednje otvorene, gdje operativni sustav pohranjuje informacije o tome kako su izvršne datoteke preuzete i izvršene, kako su se napadači kretali mrežom i naučite kako ispitati te artefakte pomoću BEC-a. Također ćete saznati koji su događaji u zapisnicima sustava zanimljivi sa stajališta istrage incidenta i otkrivanja daljinskog pristupa te naučiti kako ih istražiti pomoću BEC-a.

Tečaj će biti koristan tehničkim stručnjacima koji utvrđuju razloge uspješnog upada, analiziraju lanac događaja i posljedice cyber napada; administratori sustava; SOC i osoblje CERT/CSIRT; osoblje za informacijsku sigurnost.

Pregled tečaja

Cyber ​​​​Kill Chain opisuje glavne faze bilo kojeg tehničkog napada na žrtvina računala (ili računalnu mrežu) kako slijedi:

Radnje djelatnika SOC-a (CERT, informacijska sigurnost i sl.) usmjerene su na sprječavanje pristupa uljeza zaštićenim informacijskim izvorima.

Ukoliko napadači ipak prodru u zaštićenu infrastrukturu, tada navedene osobe trebaju nastojati minimizirati štetu od aktivnosti napadača, utvrditi kako je napad izveden, rekonstruirati događaje i redoslijed radnji napadača u kompromitiranoj informacijskoj strukturi te poduzeti mjere za sprječavanje ove vrste napada u budućnosti.

U ugroženoj informacijskoj infrastrukturi mogu se pronaći sljedeće vrste tragova koji ukazuju da je mreža (računalo) ugrožena:

Svi takvi tragovi mogu se pronaći pomoću programa Belkasoft Evidence Center.

BEC ima modul “Incident Investigation” gdje se prilikom analize medija za pohranu stavljaju informacije o artefaktima koje mogu pomoći istraživaču pri istraživanju incidenata.

BEC podržava ispitivanje glavnih vrsta Windows artefakata koji ukazuju na izvršavanje izvršnih datoteka na sustavu koji se istražuje, uključujući Amcache, Userassist, Prefetch, BAM/DAM datoteke, Vremenska traka sustava Windows 10,analiza događaja u sustavu.

Informacije o tragovima koji sadrže informacije o radnjama korisnika u kompromitiranom sustavu mogu se prikazati u sljedećem obliku:

Ove informacije, između ostalog, uključuju informacije o pokretanju izvršnih datoteka:

Informacije o pokretanju datoteke 'RDPWInst.exe'.

Informacije o prisutnosti napadača u kompromitiranim sustavima mogu se pronaći u ključevima za pokretanje Windows registra, uslugama, planiranim zadacima, skriptama za prijavu, WMI-ju itd. Primjeri otkrivanja informacija o napadačima koji su povezani sa sustavom mogu se vidjeti na sljedećim snimkama zaslona:

Ograničavanje napadača korištenjem planera zadataka stvaranjem zadatka koji pokreće skriptu PowerShell.

Konsolidacija napadača pomoću Windows Management Instrumentation (WMI).

Konsolidacija napadača pomoću skripte za prijavu.

Kretanje napadača preko kompromitirane računalne mreže može se otkriti, primjerice, analizom zapisnika sustava Windows (ako napadači koriste RDP uslugu).

Informacije o otkrivenim RDP vezama.

Informacije o kretanju napadača kroz mrežu.

Stoga Belkasoft Evidence Center može pomoći istraživačima da identificiraju kompromitirana računala u napadnutoj računalnoj mreži, pronađu tragove pokretanja zlonamjernog softvera, tragove fiksacije u sustavu i kretanja po mreži te druge tragove aktivnosti napadača na kompromitiranim računalima.

Kako provesti takvo istraživanje i otkriti gore opisane artefakte opisano je u tečaju Belkasoft Incident Response Examination.

Plan tečaja:

• Trendovi cyber napada. Tehnologije, alati, ciljevi napadača
• Korištenje modela prijetnji za razumijevanje taktike, tehnika i postupaka napadača
• Cyber ​​lanac ubojstava
• Algoritam odgovora na incident: identifikacija, lokalizacija, generiranje indikatora, traženje novih zaraženih čvorova
• Analiza Windows sustava pomoću BEC-a
• Detekcija metoda primarne infekcije, mrežnog širenja, konsolidacije i mrežne aktivnosti zlonamjernog softvera pomoću BEC-a
• Identificirajte zaražene sustave i vratite povijest infekcija koristeći BEC
• Praktične vježbe

FAQGdje se održavaju tečajevi?
Tečajevi se održavaju u sjedištu Group-IB ili na vanjskoj lokaciji (centar za obuku). Moguće je da trener putuje na lokacije s korporativnim klijentima.

Tko vodi nastavu?
Treneri u Group-IB-u su praktičari s dugogodišnjim iskustvom u provođenju forenzičkih istraživanja, korporativnih istraga i odgovora na incidente informacijske sigurnosti.

Kvalifikacije trenera potvrđuju brojni međunarodni certifikati: GCFA, MCFE, ACE, EnCE itd.

Naši treneri lako pronalaze zajednički jezik s publikom, jasno objašnjavajući čak i najsloženije teme. Studenti će naučiti puno relevantnih i zanimljivih informacija o istraživanju računalnih incidenata, metodama prepoznavanja i suprotstavljanja računalnim napadima te steći prava praktična znanja koja mogu primijeniti odmah nakon završetka studija.

Hoće li tečajevi pružiti korisne vještine koje nisu povezane s Belkasoft proizvodima ili će te vještine biti neprimjenjive bez ovog softvera?
Vještine stečene tijekom obuke bit će korisne i bez korištenja Belkasoft proizvoda.

Što je uključeno u početno testiranje?

Primarno testiranje je provjera znanja iz osnova računalne forenzike. Ne planira se provjera znanja o Belkasoft i Group-IB proizvodima.

Gdje mogu pronaći informacije o obrazovnim tečajevima tvrtke?

U sklopu edukacijskih tečajeva Group-IB obučava stručnjake za odgovor na incidente, istraživanje zlonamjernog softvera, stručnjake za cyber obavještavanje (Threat Intelligence), specijaliste za rad u Sigurnosno operativnom centru (SOC), specijaliste za proaktivni lov na prijetnje (Threat Hunter) itd. . Dostupan je potpuni popis vlasničkih tečajeva iz Group-IB-a здесь.

Koje bonuse dobivaju studenti koji završe zajedničke tečajeve između Group-IB-a i Belkasofta?
Oni koji su završili obuku na zajedničkim tečajevima između Group-IB i Belkasofta dobit će:

1. potvrdu o završenom tečaju;
2. besplatna mjesečna pretplata na Belkasoft Evidence Center;
3. 10% popusta na kupnju Belkasoft Evidence Center.

Podsjećamo da prvi tečaj počinje u ponedjeljak, 9 rujna, - ne propustite priliku steći jedinstvena znanja iz područja informacijske sigurnosti, računalne forenzike i odgovora na incidente! Prijava za tečaj ovdje.

izvoriU pripremi članka koristili smo se prezentacijom Olega Skulkina “Korištenje forenzike temeljene na hostu za dobivanje pokazatelja kompromitacije za uspješan odgovor na incidente vođen obavještajnim podacima.”

Izvor: www.habr.com