Algoritmusok és taktikák az információbiztonsági incidensekre való reagáláshoz, a jelenlegi kibertámadások trendjei, a vállalatoknál előforduló adatszivárgások vizsgálatának megközelítései, a böngészők és mobileszközök kutatása, a titkosított fájlok elemzése, a földrajzi helyadatok kinyerése és nagy mennyiségű adat elemzése – mindezek és más témák a Group-IB és a Belkasoft új közös képzésein tanulható. Augusztusban mi
Kettő Minden egyben
A közös tréningek lebonyolításának ötlete azután merült fel, hogy az IB-csoport résztvevői elkezdtek érdeklődni egy olyan eszközről, amely segíti őket a kompromittált számítógépes rendszerek és hálózatok felderítésében, valamint egyesíti a különféle ingyenes segédprogramok funkcionalitását, amelyeket az incidensre adott válaszok során javasolunk.
Véleményünk szerint egy ilyen eszköz lehet a Belkasoft Evidence Center (erről már beszéltünk
FONTOS: a kurzusok szekvenciálisak és összekapcsolódnak! A Belkasoft Digital Forensics a Belkasoft Evidence Center program, a Belkasoft Incident Response Examination pedig a Belkasoft termékekkel kapcsolatos incidensek kivizsgálása. Vagyis a Belkasoft Incident Response Examination tanfolyam tanulmányozása előtt erősen javasoljuk a Belkasoft Digital Forensics tanfolyam elvégzését. Ha azonnal elkezdi az incidensek kivizsgálásáról szóló kurzust, akkor a hallgatónak bosszantó tudásbeli hiányosságai lehetnek a Belkasoft Evidence Center használatában, a kriminalisztikai műtermékek megtalálásában és vizsgálatában. Ez oda vezethet, hogy a Belkasoft incidensreagálási vizsga tanfolyamon a képzés során a hallgatónak vagy nem lesz ideje elsajátítani az anyagot, vagy lelassítja a csoport többi tagját az új ismeretek elsajátításában, mivel a képzési idő eltelik. a Belkasoft Digital Forensics tanfolyam anyagát ismertető tréner.
Számítógépes kriminalisztika a Belkasoft Evidence Centerrel
A tanfolyam célja Belkasoft Digital Forensics — ismertesse meg a hallgatókkal a Belkasoft Evidence Center programot, tanítsa meg őket ezzel a programmal bizonyítékok gyűjtésére különböző forrásokból (felhőtárhely, véletlen elérésű memória (RAM), mobil eszközök, adathordozók (merevlemezek, flash meghajtók stb.), master alapvető kriminalisztikai technikák és technikák, Windows műtermékek, mobileszközök, RAM-kiíratások kriminalisztikai vizsgálatának módszerei. Megtanulja továbbá a böngészők és azonnali üzenetküldő programok műtermékeinek azonosítását és dokumentálását, különböző forrásokból származó adatok kriminalisztikai másolatainak létrehozását, földrajzi helyadatok kinyerését és keresést. szövegszekvenciáknál (kulcsszavak szerinti keresés) használjon kivonatokat kutatások során, elemezze a Windows rendszerleíró adatbázisát, sajátítsa el az ismeretlen SQLite adatbázisok feltárásának készségeit, a grafikus és videó fájlok vizsgálatának alapjait, valamint a vizsgálatok során alkalmazott elemzési technikákat.
A kurzus hasznos lesz a számítástechnikai kriminalisztika (számítógépes kriminalisztika) területére szakosodott szakértők számára; műszaki szakemberek, akik meghatározzák a sikeres behatolás okait, elemzik az események láncolatát és a kibertámadások következményeit; bennfentes (belső jogsértő) általi adatlopást (kiszivárogtatást) azonosító és dokumentáló műszaki szakemberek; e-Discovery specialisták; SOC és CERT/CSIRT személyzet; információbiztonsági alkalmazottak; számítógépes kriminalisztika szerelmesei.
Tanfolyamterv:
- Belkasoft Evidence Center (BEC): első lépések
- Ügyek létrehozása és feldolgozása a BEC-ben
- Gyűjtsön digitális bizonyítékokat a BEC-vel folytatott törvényszéki nyomozáshoz
- Szűrők használata
- Jelentés
- Kutatás az azonnali üzenetküldő programokról
- Webböngészőkutatás
- Mobileszköz-kutatás
- Földrajzi adatok kinyerése
- Szövegsorok keresése az esetekben
- Adatok kinyerése és elemzése felhőtárolókból
- Könyvjelzők használata a kutatás során talált jelentős bizonyítékok kiemelésére
- Windows rendszerfájlok vizsgálata
- Windows rendszerleíró adatbázis elemzése
- SQLite adatbázisok elemzése
- Adat-helyreállítási módszerek
- A RAM dumpok vizsgálatának technikái
- Hash-kalkulátor és hash-elemzés használata a kriminalisztikai kutatásban
- Titkosított fájlok elemzése
- Grafikus és videofájlok tanulmányozásának módszerei
- Az analitikai technikák alkalmazása a kriminalisztikai kutatásban
- Automatizálja a rutinműveleteket a beépített Belkascripts programozási nyelv segítségével
- Gyakorlati feladatok
Tanfolyam: Belkasoft incidensreagálási vizsgálat
A kurzus célja elsajátítani a kibertámadások igazságügyi szakértői vizsgálatának alapjait és a Belkasoft Evidence Center nyomozásban való felhasználásának lehetőségeit. Megismerheti a számítógépes hálózatok elleni modern támadások főbb vektorait, megtanulhatja a számítógépes támadások osztályozását a MITER ATT&CK mátrix alapján, operációs rendszer-kutatási algoritmusokat alkalmazhat a kompromittálás tényének megállapítására és a támadók cselekedeteinek rekonstruálására, megtudhatja, hol találhatók a műtermékek. jelzi, hogy mely fájlok nyitották meg utoljára , hol tárol információkat az operációs rendszer a végrehajtható fájlok letöltéséről és végrehajtásáról, hogyan mozogtak a támadók a hálózaton, és megtudhatja, hogyan vizsgálhatja meg ezeket a melléktermékeket a BEC segítségével. Azt is megtudhatja, hogy a rendszernaplókban milyen események érdekesek az incidensek kivizsgálása és a távoli hozzáférés észlelése szempontjából, és megtanulja, hogyan vizsgálhatja ezeket a BEC segítségével.
A tanfolyam olyan műszaki szakemberek számára lesz hasznos, akik meghatározzák a sikeres behatolás okait, elemzik az eseményláncokat és a kibertámadások következményeit; rendszergazdák; SOC és CERT/CSIRT személyzet; információbiztonsági személyzet.
Tanfolyam áttekintése
A Cyber Kill Chain az áldozat számítógépeit (vagy számítógépes hálózatát) érő bármely technikai támadás fő szakaszait az alábbiak szerint írja le:
Az SOC alkalmazottai intézkedései (CERT, információbiztonság stb.) arra irányulnak, hogy megakadályozzák a behatolók hozzáférését a védett információs forrásokhoz.
Ha a támadók mégis behatolnak a védett infrastruktúrába, akkor a fenti személyeknek meg kell próbálniuk minimalizálni a támadók tevékenységéből származó károkat, meg kell határozniuk a támadás végrehajtásának módját, rekonstruálniuk a támadók eseményeit és cselekvési sorrendjét a veszélyeztetett információs struktúrában, és meg kell tenniük. intézkedéseket az ilyen típusú támadások jövőbeni megelőzésére.
A következő típusú nyomok találhatók egy feltört információs infrastruktúrában, jelezve, hogy a hálózat (számítógép) feltört:
Minden ilyen nyom megtalálható a Belkasoft Evidence Center program segítségével.
A BEC rendelkezik egy „Incidensek kivizsgálása” modullal, ahol az adathordozók elemzésekor olyan információkat helyeznek el a műtermékekről, amelyek segíthetik a kutatót az incidensek kivizsgálásában.
A BEC támogatja a Windows műtermékek azon főbb típusainak vizsgálatát, amelyek a vizsgált rendszeren futtatható fájlok végrehajtását jelzik, beleértve az Amcache, Userassist, Prefetch, BAM/DAM fájlokat,
A feltört rendszerben végrehajtott felhasználói műveletekre vonatkozó információkat tartalmazó nyomkövetési információk a következő formában jeleníthetők meg:
Ez az információ többek között a futtatható fájlok futtatásával kapcsolatos információkat tartalmaz:
Információ az „RDPWInst.exe” fájl futtatásáról.
A támadók feltört rendszerekben való jelenlétéről információkat találhat a Windows rendszerleíró adatbázisának indítókulcsaiban, szolgáltatásokban, ütemezett feladatokban, bejelentkezési szkriptekben, WMI-ben stb. Példák a rendszerhez kapcsolt támadók információinak észlelésére a következő képernyőképeken:
A támadók korlátozása a feladatütemező használatával egy PowerShell-szkriptet futtató feladat létrehozásával.
A támadók konszolidálása a Windows Management Instrumentation (WMI) segítségével.
Támadók konszolidálása bejelentkezési szkript segítségével.
A támadók mozgása egy feltört számítógépes hálózaton keresztül észlelhető például a Windows rendszernaplóinak elemzésével (ha a támadók az RDP szolgáltatást használják).
Információ az észlelt RDP-kapcsolatokról.
Információk a támadók hálózaton belüli mozgásáról.
Így a Belkasoft Evidence Center segíthet a kutatóknak abban, hogy azonosítsák a megtámadott számítógépes hálózatban a feltört számítógépeket, megtalálják a rosszindulatú programok elindításának nyomait, a rendszerben való rögzítés és a hálózaton keresztüli mozgás nyomait, valamint a támadói tevékenység egyéb nyomait a feltört számítógépeken.
Az ilyen kutatások elvégzésének és a fent leírt műtermékek kimutatásának módját a Belkasoft Incident Response Examination képzési tanfolyam ismerteti.
Tanfolyamterv:
- Kibertámadási trendek. A támadók technológiái, eszközei, céljai
- Fenyegetési modellek használata a támadók taktikáinak, technikáinak és eljárásainak megértéséhez
- Cyber kill lánc
- Eseményreakció algoritmus: azonosítás, lokalizáció, indikátorok generálása, új fertőzött csomópontok keresése
- Windows rendszerek elemzése BEC segítségével
- A rosszindulatú programok elsődleges fertőzésének, hálózati terjedésének, konszolidációjának és hálózati tevékenységének módszereinek észlelése BEC segítségével
- A fertőzött rendszerek azonosítása és a fertőzési előzmények visszaállítása a BEC segítségével
- Gyakorlati feladatok
FAQHol vannak a tanfolyamok?
A kurzusokat az IB-csoport központjában vagy külső helyszínen (oktatóközpontban) tartják. Lehetőség van arra, hogy a tréner vállalati ügyfelekkel telephelyre utazzon.
Ki vezeti az órákat?
A Group-IB oktatói olyan gyakorló szakemberek, akik sokéves tapasztalattal rendelkeznek a kriminalisztikai kutatások, a vállalati nyomozások és az információbiztonsági incidensekre való reagálás terén.
Az oktatók képzettségét számos nemzetközi tanúsítvány igazolja: GCFA, MCFE, ACE, EnCE stb.
Trénereink könnyen megtalálják a közös nyelvet a hallgatósággal, világosan elmagyarázzák a legösszetettebb témákat is. A hallgatók sok releváns és érdekes információt sajátítanak el a számítógépes incidensek kivizsgálásáról, a számítógépes támadások azonosításának és leküzdésének módszereiről, és valódi gyakorlati ismereteket szereznek, amelyeket a diploma megszerzése után azonnal alkalmazni tudnak.
A tanfolyamok hasznos, a Belkasoft termékekhez nem kapcsolódó készségeket nyújtanak, vagy ezek a készségek nem alkalmazhatók e szoftver nélkül?
A képzés során megszerzett ismeretek a Belkasoft termékek használata nélkül is hasznosak lesznek.
Mit tartalmaz a kezdeti tesztelés?
Az elsődleges tesztelés a számítógépes kriminalisztika alapjainak ismeretének tesztje. Nem tervezik a Belkasoft és a Group-IB termékek ismereteinek tesztelését.
Hol találok információt a cég oktatási kurzusairól?
Oktatási kurzusok keretében a Group-IB szakértőket képez incidensreagálásban, malware-kutatásban, kiberintelligencia-specialistákban (Threat Intelligence), a Security Operation Centerben (SOC) dolgozó szakemberekben, proaktív fenyegetésvadászatban (Threat Hunter) stb. . A Group-IB szabadalmazott kurzusainak teljes listája elérhető
Milyen bónuszokat kapnak azok a hallgatók, akik a Group-IB és a Belkasoft közös tanfolyamait végzik el?
Azok, akik a Group-IB és a Belkasoft közös tanfolyamain végeztek képzést, a következőket kapják:
- a tanfolyam elvégzését igazoló bizonyítvány;
- ingyenes havi előfizetés a Belkasoft Evidence Centerhez;
- 10% kedvezmény a Belkasoft Evidence Center vásárlására.
Felhívjuk figyelmét, hogy az első tanfolyam hétfőn kezdődik, 9 szeptember, - ne hagyja ki a lehetőséget, hogy egyedülálló tudásra tegyen szert az információbiztonság, a számítógépes kriminalisztika és az incidens-elhárítás területén! Regisztráció a tanfolyamra
forrásA cikk elkészítésekor Oleg Skulkin előadását használtuk fel: „A gazdagép alapú kriminalisztika használata a sikeres intelligenciavezérelt incidensreakció kompromisszummutatóinak megszerzéséhez”.
Forrás: will.com