Group-IB և Belkasoft համատեղ դասընթացներ՝ ինչ ենք սովորելու և ովքեր են մասնակցելու

Տեղեկատվական անվտանգության միջադեպերին արձագանքելու ալգորիթմներ և մարտավարություն, ընթացիկ կիբերհարձակումների միտումներ, ընկերություններում տվյալների արտահոսքի հետաքննության մոտեցումներ, բրաուզերների և շարժական սարքերի ուսումնասիրություն, գաղտնագրված ֆայլերի վերլուծություն, աշխարհագրական տվյալների արդյունահանում և մեծ ծավալի տվյալների վերլուծություն. այս և այլ թեմաներ: կարելի է ուսումնասիրել Group-IB-ի և Belkasoft-ի նոր համատեղ դասընթացների վրա: Օգոստոսին մենք հայտարարեց առաջին Belkasoft Digital Forensics դասընթացը, որը մեկնարկում է սեպտեմբերի 9-ին և ստանալով բազմաթիվ հարցեր, մենք որոշեցինք ավելի մանրամասն խոսել այն մասին, թե ինչ են սովորելու ուսանողները, ինչ գիտելիքներ, իրավասություններ և բոնուսներ (!) կստանան նրանք, ովքեր հասնել մինչև վերջ. Առաջին բաները նախ.

Երկու Բոլորը մեկում

Համատեղ վերապատրաստման դասընթացներ անցկացնելու գաղափարն առաջացավ այն բանից հետո, երբ Group-IB դասընթացի մասնակիցները սկսեցին հարցնել մի գործիքի մասին, որը կօգնի նրանց հետաքննել վտանգված համակարգչային համակարգերն ու ցանցերը, ինչպես նաև համատեղել տարբեր անվճար կոմունալ ծառայությունների ֆունկցիոնալությունը, որոնք խորհուրդ ենք տալիս օգտագործել միջադեպի արձագանքման ժամանակ:

Մեր կարծիքով, նման գործիք կարող է լինել Belkasoft Evidence Center-ը (մենք արդեն խոսեցինք դրա մասին Հոդված Իգոր Միխայլով «Սկզբի բանալին. համակարգչային դատաբժշկական փորձաքննության լավագույն ծրագրակազմը և սարքավորումը»): Հետևաբար, մենք Belkasoft-ի հետ միասին մշակել ենք երկու վերապատրաստման դասընթացներ. Belkasoft Digital Forensics и Belkasoft միջադեպի արձագանքման քննություն.

ԿԱՐԵՎՈՐ. Դասընթացները հաջորդական են և փոխկապակցված: Belkasoft Digital Forensics-ը նվիրված է Belkasoft Evidence Center ծրագրին, իսկ Belkasoft Incident Response Examination-ը նվիրված է Belkasoft-ի արտադրանքի օգտագործմամբ միջադեպերի հետաքննությանը: Այսինքն՝ նախքան Belkasoft Incident Response Examination դասընթացն ուսումնասիրելը, մենք խստորեն խորհուրդ ենք տալիս ավարտել Belkasoft Digital Forensics դասընթացը: Եթե ​​դուք անմիջապես սկսեք միջադեպերի հետաքննության դասընթացը, ուսանողը կարող է անհանգստացնող գիտելիքների բացեր ունենալ Belkasoft Evidence Center-ն օգտագործելու, դատաբժշկական արտեֆակտներ գտնելու և հետազոտելու հարցում: Սա կարող է հանգեցնել նրան, որ Belkasoft Incident Response Examination դասընթացի դասընթացների ընթացքում ուսանողը կամ ժամանակ չի ունենա յուրացնելու նյութը, կամ կդանդաղեցնի խմբի մնացած անդամներին նոր գիտելիքներ ձեռք բերելու հարցում, քանի որ վերապատրաստման ժամանակը կծախսվի: Դասընթացավարի կողմից, որը բացատրում է Belkasoft Digital Forensics դասընթացի նյութը:

Համակարգչային դատաբժշկական փորձաքննություն Belkasoft Evidence Center-ի հետ

Դասընթացի նպատակը Belkasoft Digital Forensics — ուսանողներին ծանոթացնել Belkasoft Evidence Center ծրագրին, սովորեցնել նրանց օգտագործել այս ծրագիրը տարբեր աղբյուրներից ապացույցներ հավաքելու համար (ամպային պահեստ, պատահական մուտքի հիշողություն (RAM), շարժական սարքեր, կրիչներ (կոշտ սկավառակներ, ֆլեշ կրիչներ և այլն), վարպետ: հիմնական դատաբժշկական տեխնիկան և տեխնիկան, Windows-ի արտեֆակտների, շարժական սարքերի, RAM-ի աղբանոցների դատաբժշկական փորձաքննության մեթոդները: Դուք նաև կսովորեք բացահայտել և փաստագրել բրաուզերների և ակնթարթային հաղորդագրությունների ծրագրերի արտեֆակտները, ստեղծել տարբեր աղբյուրներից տվյալների դատաբժշկական պատճեններ, հանել աշխարհագրական տվյալներ և որոնել: տեքստային հաջորդականությունների համար (հիմնաբառերի որոնում), հետազոտություններ կատարելիս օգտագործել հեշեր, վերլուծել Windows ռեեստրը, տիրապետել անհայտ SQLite տվյալների բազաները ուսումնասիրելու հմտություններին, գրաֆիկական և վիդեո ֆայլերի ուսումնասիրության հիմունքներին և հետաքննության ընթացքում օգտագործվող վերլուծական մեթոդներին:

Դասընթացը օգտակար կլինի համակարգչային տեխնիկական դատաբժշկական փորձաքննության (համակարգչային դատաբժշկական փորձաքննություն) ոլորտում մասնագիտացած փորձագետների համար. տեխնիկական մասնագետներ, ովքեր որոշում են հաջող ներխուժման պատճառները, վերլուծում են իրադարձությունների շղթան և կիբերհարձակումների հետևանքները. տեխնիկական մասնագետներ, որոնք նույնացնում և փաստաթղթավորում են տվյալների գողությունը (արտահոսքը) ինսայդերի (ներքին խախտողի) կողմից. e-Discovery մասնագետներ; SOC և CERT/CSIRT անձնակազմ; տեղեկատվական անվտանգության աշխատակիցներ; համակարգչային դատաբժշկական փորձաքննության էնտուզիաստներ.

Դասընթացի պլան.

• Belkasoft Evidence Center (BEC). առաջին քայլերը
• ԲԵԿ-ում գործերի ստեղծում և վարույթ
• Հավաքեք թվային ապացույցներ BEC-ի հետ դատաբժշկական հետաքննության համար

• Օգտագործելով զտիչներ
• Հաշվետվությունների ստեղծում
• Հետազոտություն ակնթարթային հաղորդագրությունների ծրագրերի վերաբերյալ

• Վեբ բրաուզերի հետազոտություն

• Բջջային սարքերի հետազոտություն
• Աշխարհագրական տվյալների արդյունահանում

• Պատյաններում տեքստային հաջորդականությունների որոնում
• Ամպային պահեստներից տվյալների արդյունահանում և վերլուծություն
• Օգտագործելով էջանիշներ՝ հետազոտության ընթացքում հայտնաբերված նշանակալի ապացույցներն ընդգծելու համար
• Windows համակարգի ֆայլերի ուսումնասիրություն

• Windows ռեեստրի վերլուծություն
• SQLite տվյալների բազաների վերլուծություն

• Տվյալների վերականգնման մեթոդներ
• RAM-ի արտանետումների հետազոտման տեխնիկա
• Օգտագործելով հեշ հաշվիչը և հեշ վերլուծությունը դատաբժշկական հետազոտություններում
• Կոդավորված ֆայլերի վերլուծություն
• Գրաֆիկական և վիդեո ֆայլերի ուսումնասիրության մեթոդներ
• Վերլուծական տեխնիկայի օգտագործումը դատաբժշկական հետազոտություններում
• Ավտոմատացրեք սովորական գործողությունները՝ օգտագործելով ներկառուցված Belkascripts ծրագրավորման լեզուն

• գործնական վարժություններ

Դասընթաց՝ Belkasoft միջադեպի արձագանքման քննություն

Դասընթացի նպատակն է սովորել կիբերհարձակումների դատաբժշկական հետաքննության հիմունքները և հետաքննության ընթացքում Belkasoft Evidence Center-ի օգտագործման հնարավորությունները: Դուք կսովորեք համակարգչային ցանցերի վրա ժամանակակից հարձակումների հիմնական վեկտորների մասին, կսովորեք դասակարգել համակարգչային հարձակումները՝ հիմնվելով MITER ATT&CK մատրիցի վրա, կիրառել օպերացիոն համակարգի հետազոտման ալգորիթմներ՝ հաստատելու փոխզիջման փաստը և վերակառուցելու հարձակվողների գործողությունները, կսովորեք, թե որտեղ են գտնվում արտեֆակտները, որոնք նշեք, թե որ ֆայլերն են բացվել վերջինը, որտեղ օպերացիոն համակարգը պահում է տեղեկատվություն այն մասին, թե ինչպես են գործարկվող ֆայլերը ներբեռնվել և գործարկվել, ինչպես են հարձակվողները տեղափոխվել ցանցով և սովորել, թե ինչպես ուսումնասիրել այս արտեֆակտները՝ օգտագործելով BEC: Դուք նաև կիմանաք, թե համակարգի գրանցամատյաններում ինչ իրադարձություններ են հետաքրքրում միջադեպերի հետաքննության և հեռահար մուտքի հայտնաբերման տեսանկյունից և կսովորեք, թե ինչպես դրանք հետաքննել BEC-ի միջոցով:

Դասընթացը օգտակար կլինի տեխնիկական մասնագետների համար, ովքեր որոշում են հաջող ներխուժման պատճառները, վերլուծում իրադարձությունների շղթաները և կիբերհարձակումների հետևանքները. համակարգի ադմինիստրատորներ; SOC և CERT/CSIRT անձնակազմ; տեղեկատվական անվտանգության աշխատակիցներ.

Դասընթացի ակնարկ

Cyber ​​​​Kill Chain-ը նկարագրում է տուժածի համակարգիչների (կամ համակարգչային ցանցի) վրա ցանկացած տեխնիկական հարձակման հիմնական փուլերը հետևյալ կերպ.

SOC-ի աշխատակիցների գործողությունները (CERT, տեղեկատվական անվտանգություն և այլն) ուղղված են ներխուժողների պաշտպանված տեղեկատվական ռեսուրսների մուտքը կանխելուն:

Եթե ​​հարձակվողները իսկապես ներթափանցում են պաշտպանված ենթակառուցվածք, ապա վերը նշված անձինք պետք է փորձեն նվազագույնի հասցնել հարձակվողների գործողությունների վնասը, որոշել, թե ինչպես է իրականացվել հարձակումը, վերակառուցել հարձակվողների իրադարձություններն ու գործողությունների հաջորդականությունը վտանգված տեղեկատվական կառուցվածքում և ձեռնարկել: միջոցներ՝ ապագայում այս տեսակի հարձակումները կանխելու համար:

Վտանգված տեղեկատվական ենթակառուցվածքում կարելի է գտնել հետևյալ տեսակի հետքերը, ինչը ցույց է տալիս, որ ցանցը (համակարգիչը) վտանգված է.

Բոլոր նման հետքերը կարելի է գտնել Belkasoft Evidence Center ծրագրի միջոցով:

BEC-ն ունի «Միջադեպի հետաքննություն» մոդուլ, որտեղ պահեստային մեդիան վերլուծելիս տեղադրվում է արտեֆակտների մասին տեղեկատվություն, որը կարող է օգնել հետազոտողին միջադեպերը հետաքննելիս:

BEC-ն աջակցում է Windows-ի արտեֆակտների հիմնական տեսակների ուսումնասիրությանը, որոնք ցույց են տալիս հետաքննության ենթակա համակարգում գործարկվող ֆայլերի կատարումը, ներառյալ Amcache, Userassist, Prefetch, BAM/DAM ֆայլերը, Windows 10 ժամանակացույցՀամակարգի իրադարձությունների վերլուծություն:

Վտանգված համակարգում օգտագործողի գործողությունների մասին տեղեկատվություն պարունակող հետքերի մասին տեղեկատվությունը կարող է ներկայացվել հետևյալ ձևով.

Այս տեղեկատվությունը, ի թիվս այլ բաների, ներառում է տեղեկատվություն գործարկվող ֆայլերի գործարկման մասին.

Տեղեկություններ «RDPWInst.exe» ֆայլի գործարկման մասին:

Վտանգված համակարգերում հարձակվողների ներկայության մասին տեղեկությունները կարելի է գտնել Windows ռեեստրի գործարկման բանալիներում, ծառայություններում, պլանավորված առաջադրանքներում, Logon սկրիպտներում, WMI-ում և այլն: Համակարգին կցված հարձակվողների մասին տեղեկատվության հայտնաբերման օրինակներ կարելի է տեսնել հետևյալ սքրինշոթներում.

Սահմանափակել հարձակվողներին՝ օգտագործելով առաջադրանքների ժամանակացույցը, ստեղծելով առաջադրանք, որն աշխատում է PowerShell սկրիպտով:

Հարձակվողների համախմբում Windows կառավարման գործիքավորման (WMI) միջոցով:

Հարձակվողների համախմբում Logon սկրիպտի միջոցով:

Հարձակվողների շարժումը վտանգված համակարգչային ցանցով կարելի է հայտնաբերել, օրինակ՝ վերլուծելով Windows համակարգի տեղեկամատյանները (եթե հարձակվողներն օգտագործում են RDP ծառայությունը):

Տեղեկություններ հայտնաբերված RDP կապերի մասին:

Ցանցով հարձակվողների տեղաշարժի մասին տեղեկատվություն:

Այսպիսով, Belkasoft Evidence Center-ը կարող է օգնել հետազոտողներին հայտնաբերել գրոհի ենթարկված համակարգչային ցանցում վտանգված համակարգիչները, գտնել չարամիտ ծրագրերի գործարկման հետքեր, համակարգում ամրագրման և ցանցի միջոցով շարժման հետքեր և հարձակվողի գործունեության այլ հետքեր վտանգված համակարգիչների վրա:

Ինչպես իրականացնել նման հետազոտություն և հայտնաբերել վերը նկարագրված արտեֆակտները, նկարագրված է Belkasoft Incident Response Examination ուսումնական դասընթացում:

Դասընթացի պլան.

• Կիբերհարձակման միտումները. Հարձակվողների տեխնոլոգիաները, գործիքները, նպատակները
• Օգտագործելով սպառնալիքների մոդելներ՝ հասկանալու հարձակվողների մարտավարությունը, տեխնիկան և ընթացակարգերը
• Կիբեր սպանությունների շղթա
• Միջադեպերի արձագանքման ալգորիթմ. նույնականացում, տեղայնացում, ցուցիչների ստեղծում, նոր վարակված հանգույցների որոնում
• Windows համակարգերի վերլուծություն՝ օգտագործելով BEC
• ԲԵԿ-ի միջոցով չարամիտ ծրագրերի առաջնային վարակի, ցանցի տարածման, համախմբման և ցանցային գործունեության մեթոդների հայտնաբերում
• Բացահայտեք վարակված համակարգերը և վերականգնեք վարակի պատմությունը BEC-ի միջոցով
• գործնական վարժություններ

FAQՈրտե՞ղ են անցկացվում դասընթացները:
Դասընթացներն անցկացվում են Group-IB-ի գլխամասային գրասենյակում կամ արտաքին վայրում (ուսումնական կենտրոնում): Հնարավոր է, որ մարզիչը մեկնի կորպորատիվ հաճախորդների հետ կայքեր:

Ո՞վ է վարում դասերը:
Group-IB-ի դասընթացավարները դատաբժշկական հետազոտությունների, կորպորատիվ հետաքննությունների և տեղեկատվական անվտանգության միջադեպերին արձագանքելու բազմամյա փորձ ունեցող պրակտիկանտներ են:

Դասընթացավարների որակավորումները հաստատվում են բազմաթիվ միջազգային վկայականներով՝ GCFA, MCFE, ACE, EnCE և այլն:

Մեր մարզիչները հեշտությամբ ընդհանուր լեզու են գտնում հանդիսատեսի հետ՝ հստակ բացատրելով նույնիսկ ամենաբարդ թեմաները: Ուսանողները կսովորեն շատ համապատասխան և հետաքրքիր տեղեկություններ համակարգչային միջադեպերի հետաքննության, համակարգչային հարձակումներին հայտնաբերելու և հակազդելու մեթոդների մասին և ձեռք կբերեն իրական գործնական գիտելիքներ, որոնք նրանք կարող են կիրառել անմիջապես ավարտելուց հետո:

Արդյո՞ք դասընթացները կտրամադրեն օգտակար հմտություններ, որոնք կապված չեն Belkasoft-ի արտադրանքի հետ, թե՞ այդ հմտություններն անկիրառելի կլինեն առանց այս ծրագրաշարի:
Դասընթացի ընթացքում ձեռք բերված հմտությունները օգտակար կլինեն առանց Belkasoft-ի արտադրանքի օգտագործման։

Ի՞նչ է ներառված նախնական թեստավորման մեջ:

Առաջնային թեստավորումը համակարգչային դատաբժշկական փորձաքննության հիմունքների իմացության ստուգում է: Belkasoft-ի և Group-IB-ի արտադրանքների վերաբերյալ գիտելիքները ստուգելու պլաններ չկան:

Որտե՞ղ կարող եմ տեղեկատվություն գտնել ընկերության կրթական դասընթացների մասին:

Որպես կրթական դասընթացների մի մաս, Group-IB-ը պատրաստում է միջադեպերի արձագանքման մասնագետներ, չարամիտ ծրագրերի ուսումնասիրություն, կիբեր հետախուզության մասնագետներ (Threat Intelligence), Անվտանգության օպերացիոն կենտրոնում (SOC) աշխատելու մասնագետներ, պրոակտիվ սպառնալիքների որսի մասնագետներ (Threat Hunter) և այլն: . Group-IB-ի գույքային դասընթացների ամբողջական ցանկը հասանելի է այստեղ.

Ի՞նչ բոնուսներ են ստանում այն ​​ուսանողները, ովքեր ավարտում են Group-IB-ի և Belkasoft-ի համատեղ դասընթացները:
Նրանք, ովքեր ավարտել են վերապատրաստումը Group-IB-ի և Belkasoft-ի համատեղ դասընթացներում, կստանան.

1. դասընթացի ավարտի վկայական;
2. անվճար ամսական բաժանորդագրություն Belkasoft Evidence Center-ին;
3. 10% զեղչ Belkasoft Evidence Center-ի գնման համար:

Հիշեցնենք, որ առաջին դասընթացը մեկնարկում է երկուշաբթի, 9 Սեպտեմբեր, - բաց մի՛ թողեք տեղեկատվական անվտանգության, համակարգչային դատաբժշկական փորձաքննության և միջադեպերի արձագանքման ոլորտում եզակի գիտելիքներ ձեռք բերելու հնարավորությունը: Դասընթացի գրանցում այստեղ.

Տեղեկատվության աղբյուրներՀոդվածը պատրաստելիս մենք օգտագործեցինք Օլեգ Սկուլկինի շնորհանդեսը «Հոսթի վրա հիմնված դատաբժշկական փորձաքննության օգտագործումը փոխզիջման ցուցանիշներ ստանալու համար՝ հետախուզության վրա հիմնված միջադեպերի հաջող արձագանքման համար»:

Source: www.habr.com