Csoport-IB és Belkasoft közös tanfolyamok: mit tanítunk és kik fognak részt venni

Algoritmusok és taktikák az információbiztonsági incidensekre való reagáláshoz, a jelenlegi kibertámadások trendjei, a vállalatoknál előforduló adatszivárgások vizsgálatának megközelítései, a böngészők és mobileszközök kutatása, a titkosított fájlok elemzése, a földrajzi helyadatok kinyerése és nagy mennyiségű adat elemzése – mindezek és más témák a Group-IB és a Belkasoft új közös képzésein tanulható. Augusztusban mi bejelentett a szeptember 9-én induló első Belkasoft Digital Forensics tanfolyamon, és miután rengeteg kérdést kaptunk, úgy döntöttünk, hogy részletesebben is beszélünk arról, mit fognak tanulni a hallgatók, milyen tudást, kompetenciákat, jutalmakat (!) kapnak majd azok, akik a végére érni. Először is.

Kettő Minden egyben

A közös tréningek lebonyolításának ötlete azután merült fel, hogy az IB-csoport résztvevői elkezdtek érdeklődni egy olyan eszközről, amely segíti őket a kompromittált számítógépes rendszerek és hálózatok felderítésében, valamint egyesíti a különféle ingyenes segédprogramok funkcionalitását, amelyeket az incidensre adott válaszok során javasolunk.

Véleményünk szerint egy ilyen eszköz lehet a Belkasoft Evidence Center (erről már beszéltünk cikk Igor Mikhailov „Kulcs a kezdethez: a legjobb szoftver és hardver a számítógépes kriminalisztika számára”). Ezért a Belkasofttal közösen két képzési kurzust fejlesztettünk ki: Belkasoft Digital Forensics и Belkasoft incidensreagálási vizsgálat.

FONTOS: a kurzusok szekvenciálisak és összekapcsolódnak! A Belkasoft Digital Forensics a Belkasoft Evidence Center program, a Belkasoft Incident Response Examination pedig a Belkasoft termékekkel kapcsolatos incidensek kivizsgálása. Vagyis a Belkasoft Incident Response Examination tanfolyam tanulmányozása előtt erősen javasoljuk a Belkasoft Digital Forensics tanfolyam elvégzését. Ha azonnal elkezdi az incidensek kivizsgálásáról szóló kurzust, akkor a hallgatónak bosszantó tudásbeli hiányosságai lehetnek a Belkasoft Evidence Center használatában, a kriminalisztikai műtermékek megtalálásában és vizsgálatában. Ez oda vezethet, hogy a Belkasoft incidensreagálási vizsga tanfolyamon a képzés során a hallgatónak vagy nem lesz ideje elsajátítani az anyagot, vagy lelassítja a csoport többi tagját az új ismeretek elsajátításában, mivel a képzési idő eltelik. a Belkasoft Digital Forensics tanfolyam anyagát ismertető tréner.

Számítógépes kriminalisztika a Belkasoft Evidence Centerrel

A tanfolyam célja Belkasoft Digital Forensics — ismertesse meg a hallgatókkal a Belkasoft Evidence Center programot, tanítsa meg őket ezzel a programmal bizonyítékok gyűjtésére különböző forrásokból (felhőtárhely, véletlen elérésű memória (RAM), mobil eszközök, adathordozók (merevlemezek, flash meghajtók stb.), master alapvető kriminalisztikai technikák és technikák, Windows műtermékek, mobileszközök, RAM-kiíratások kriminalisztikai vizsgálatának módszerei. Megtanulja továbbá a böngészők és azonnali üzenetküldő programok műtermékeinek azonosítását és dokumentálását, különböző forrásokból származó adatok kriminalisztikai másolatainak létrehozását, földrajzi helyadatok kinyerését és keresést. szövegszekvenciáknál (kulcsszavak szerinti keresés) használjon kivonatokat kutatások során, elemezze a Windows rendszerleíró adatbázisát, sajátítsa el az ismeretlen SQLite adatbázisok feltárásának készségeit, a grafikus és videó fájlok vizsgálatának alapjait, valamint a vizsgálatok során alkalmazott elemzési technikákat.

A kurzus hasznos lesz a számítástechnikai kriminalisztika (számítógépes kriminalisztika) területére szakosodott szakértők számára; műszaki szakemberek, akik meghatározzák a sikeres behatolás okait, elemzik az események láncolatát és a kibertámadások következményeit; bennfentes (belső jogsértő) általi adatlopást (kiszivárogtatást) azonosító és dokumentáló műszaki szakemberek; e-Discovery specialisták; SOC és CERT/CSIRT személyzet; információbiztonsági alkalmazottak; számítógépes kriminalisztika szerelmesei.

Tanfolyamterv:

• Belkasoft Evidence Center (BEC): első lépések
• Ügyek létrehozása és feldolgozása a BEC-ben
• Gyűjtsön digitális bizonyítékokat a BEC-vel folytatott törvényszéki nyomozáshoz

• Szűrők használata
• Jelentés
• Kutatás az azonnali üzenetküldő programokról

• Webböngészőkutatás

• Mobileszköz-kutatás
• Földrajzi adatok kinyerése

• Szövegsorok keresése az esetekben
• Adatok kinyerése és elemzése felhőtárolókból
• Könyvjelzők használata a kutatás során talált jelentős bizonyítékok kiemelésére
• Windows rendszerfájlok vizsgálata

• Windows rendszerleíró adatbázis elemzése
• SQLite adatbázisok elemzése

• Adat-helyreállítási módszerek
• A RAM dumpok vizsgálatának technikái
• Hash-kalkulátor és hash-elemzés használata a kriminalisztikai kutatásban
• Titkosított fájlok elemzése
• Grafikus és videofájlok tanulmányozásának módszerei
• Az analitikai technikák alkalmazása a kriminalisztikai kutatásban
• Automatizálja a rutinműveleteket a beépített Belkascripts programozási nyelv segítségével

• Gyakorlati feladatok

Tanfolyam: Belkasoft incidensreagálási vizsgálat

A kurzus célja elsajátítani a kibertámadások igazságügyi szakértői vizsgálatának alapjait és a Belkasoft Evidence Center nyomozásban való felhasználásának lehetőségeit. Megismerheti a számítógépes hálózatok elleni modern támadások főbb vektorait, megtanulhatja a számítógépes támadások osztályozását a MITER ATT&CK mátrix alapján, operációs rendszer-kutatási algoritmusokat alkalmazhat a kompromittálás tényének megállapítására és a támadók cselekedeteinek rekonstruálására, megtudhatja, hol találhatók a műtermékek. jelzi, hogy mely fájlok nyitották meg utoljára , hol tárol információkat az operációs rendszer a végrehajtható fájlok letöltéséről és végrehajtásáról, hogyan mozogtak a támadók a hálózaton, és megtudhatja, hogyan vizsgálhatja meg ezeket a melléktermékeket a BEC segítségével. Azt is megtudhatja, hogy a rendszernaplókban milyen események érdekesek az incidensek kivizsgálása és a távoli hozzáférés észlelése szempontjából, és megtanulja, hogyan vizsgálhatja ezeket a BEC segítségével.

A tanfolyam olyan műszaki szakemberek számára lesz hasznos, akik meghatározzák a sikeres behatolás okait, elemzik az eseményláncokat és a kibertámadások következményeit; rendszergazdák; SOC és CERT/CSIRT személyzet; információbiztonsági személyzet.

Tanfolyam áttekintése

A Cyber ​​​​Kill Chain az áldozat számítógépeit (vagy számítógépes hálózatát) érő bármely technikai támadás fő szakaszait az alábbiak szerint írja le:

Az SOC alkalmazottai intézkedései (CERT, információbiztonság stb.) arra irányulnak, hogy megakadályozzák a behatolók hozzáférését a védett információs forrásokhoz.

Ha a támadók mégis behatolnak a védett infrastruktúrába, akkor a fenti személyeknek meg kell próbálniuk minimalizálni a támadók tevékenységéből származó károkat, meg kell határozniuk a támadás végrehajtásának módját, rekonstruálniuk a támadók eseményeit és cselekvési sorrendjét a veszélyeztetett információs struktúrában, és meg kell tenniük. intézkedéseket az ilyen típusú támadások jövőbeni megelőzésére.

A következő típusú nyomok találhatók egy feltört információs infrastruktúrában, jelezve, hogy a hálózat (számítógép) feltört:

Minden ilyen nyom megtalálható a Belkasoft Evidence Center program segítségével.

A BEC rendelkezik egy „Incidensek kivizsgálása” modullal, ahol az adathordozók elemzésekor olyan információkat helyeznek el a műtermékekről, amelyek segíthetik a kutatót az incidensek kivizsgálásában.

A BEC támogatja a Windows műtermékek azon főbb típusainak vizsgálatát, amelyek a vizsgált rendszeren futtatható fájlok végrehajtását jelzik, beleértve az Amcache, Userassist, Prefetch, BAM/DAM fájlokat, Windows 10 idővonal,rendszeresemények elemzése.

A feltört rendszerben végrehajtott felhasználói műveletekre vonatkozó információkat tartalmazó nyomkövetési információk a következő formában jeleníthetők meg:

Ez az információ többek között a futtatható fájlok futtatásával kapcsolatos információkat tartalmaz:

Információ az „RDPWInst.exe” fájl futtatásáról.

A támadók feltört rendszerekben való jelenlétéről információkat találhat a Windows rendszerleíró adatbázisának indítókulcsaiban, szolgáltatásokban, ütemezett feladatokban, bejelentkezési szkriptekben, WMI-ben stb. Példák a rendszerhez kapcsolt támadók információinak észlelésére a következő képernyőképeken:

A támadók korlátozása a feladatütemező használatával egy PowerShell-szkriptet futtató feladat létrehozásával.

A támadók konszolidálása a Windows Management Instrumentation (WMI) segítségével.

Támadók konszolidálása bejelentkezési szkript segítségével.

A támadók mozgása egy feltört számítógépes hálózaton keresztül észlelhető például a Windows rendszernaplóinak elemzésével (ha a támadók az RDP szolgáltatást használják).

Információ az észlelt RDP-kapcsolatokról.

Információk a támadók hálózaton belüli mozgásáról.

Így a Belkasoft Evidence Center segíthet a kutatóknak abban, hogy azonosítsák a megtámadott számítógépes hálózatban a feltört számítógépeket, megtalálják a rosszindulatú programok elindításának nyomait, a rendszerben való rögzítés és a hálózaton keresztüli mozgás nyomait, valamint a támadói tevékenység egyéb nyomait a feltört számítógépeken.

Az ilyen kutatások elvégzésének és a fent leírt műtermékek kimutatásának módját a Belkasoft Incident Response Examination képzési tanfolyam ismerteti.

Tanfolyamterv:

• Kibertámadási trendek. A támadók technológiái, eszközei, céljai
• Fenyegetési modellek használata a támadók taktikáinak, technikáinak és eljárásainak megértéséhez
• Cyber ​​kill lánc
• Eseményreakció algoritmus: azonosítás, lokalizáció, indikátorok generálása, új fertőzött csomópontok keresése
• Windows rendszerek elemzése BEC segítségével
• A rosszindulatú programok elsődleges fertőzésének, hálózati terjedésének, konszolidációjának és hálózati tevékenységének módszereinek észlelése BEC segítségével
• A fertőzött rendszerek azonosítása és a fertőzési előzmények visszaállítása a BEC segítségével
• Gyakorlati feladatok

FAQHol vannak a tanfolyamok?
A kurzusokat az IB-csoport központjában vagy külső helyszínen (oktatóközpontban) tartják. Lehetőség van arra, hogy a tréner vállalati ügyfelekkel telephelyre utazzon.

Ki vezeti az órákat?
A Group-IB oktatói olyan gyakorló szakemberek, akik sokéves tapasztalattal rendelkeznek a kriminalisztikai kutatások, a vállalati nyomozások és az információbiztonsági incidensekre való reagálás terén.

Az oktatók képzettségét számos nemzetközi tanúsítvány igazolja: GCFA, MCFE, ACE, EnCE stb.

Trénereink könnyen megtalálják a közös nyelvet a hallgatósággal, világosan elmagyarázzák a legösszetettebb témákat is. A hallgatók sok releváns és érdekes információt sajátítanak el a számítógépes incidensek kivizsgálásáról, a számítógépes támadások azonosításának és leküzdésének módszereiről, és valódi gyakorlati ismereteket szereznek, amelyeket a diploma megszerzése után azonnal alkalmazni tudnak.

A tanfolyamok hasznos, a Belkasoft termékekhez nem kapcsolódó készségeket nyújtanak, vagy ezek a készségek nem alkalmazhatók e szoftver nélkül?
A képzés során megszerzett ismeretek a Belkasoft termékek használata nélkül is hasznosak lesznek.

Mit tartalmaz a kezdeti tesztelés?

Az elsődleges tesztelés a számítógépes kriminalisztika alapjainak ismeretének tesztje. Nem tervezik a Belkasoft és a Group-IB termékek ismereteinek tesztelését.

Hol találok információt a cég oktatási kurzusairól?

Oktatási kurzusok keretében a Group-IB szakértőket képez incidensreagálásban, malware-kutatásban, kiberintelligencia-specialistákban (Threat Intelligence), a Security Operation Centerben (SOC) dolgozó szakemberekben, proaktív fenyegetésvadászatban (Threat Hunter) stb. . A Group-IB szabadalmazott kurzusainak teljes listája elérhető itt.

Milyen bónuszokat kapnak azok a hallgatók, akik a Group-IB és a Belkasoft közös tanfolyamait végzik el?
Azok, akik a Group-IB és a Belkasoft közös tanfolyamain végeztek képzést, a következőket kapják:

1. a tanfolyam elvégzését igazoló bizonyítvány;
2. ingyenes havi előfizetés a Belkasoft Evidence Centerhez;
3. 10% kedvezmény a Belkasoft Evidence Center vásárlására.

Felhívjuk figyelmét, hogy az első tanfolyam hétfőn kezdődik, 9 szeptember, - ne hagyja ki a lehetőséget, hogy egyedülálló tudásra tegyen szert az információbiztonság, a számítógépes kriminalisztika és az incidens-elhárítás területén! Regisztráció a tanfolyamra itt.

forrásA cikk elkészítésekor Oleg Skulkin előadását használtuk fel: „A gazdagép alapú kriminalisztika használata a sikeres intelligenciavezérelt incidensreakció kompromisszummutatóinak megszerzéséhez”.

Forrás: will.com