Algoritma dan taktik untuk merespons insiden keamanan informasi, tren serangan dunia maya saat ini, pendekatan untuk menyelidiki kebocoran data di perusahaan, meneliti browser dan perangkat seluler, menganalisis file terenkripsi, mengekstraksi data geolokasi, dan analisis data dalam jumlah besar - semua ini dan topik lainnya dapat dipelajari pada kursus gabungan baru Group-IB dan Belkasoft. Pada bulan Agustus kami kursus Forensik Digital Belkasoft pertama, yang dimulai pada tanggal 9 September, dan setelah menerima banyak pertanyaan, kami memutuskan untuk berbicara lebih detail tentang apa yang akan dipelajari siswa, pengetahuan, kompetensi, dan bonus (!) apa yang akan diterima oleh mereka yang mencapai akhir. Hal pertama yang pertama.
Dua Semua dalam satu
Ide untuk mengadakan kursus pelatihan bersama muncul setelah peserta kursus Group-IB mulai bertanya tentang alat yang akan membantu mereka dalam menyelidiki sistem dan jaringan komputer yang disusupi, dan menggabungkan fungsionalitas berbagai utilitas gratis yang kami rekomendasikan untuk digunakan selama respons insiden.
Menurut pendapat kami, alat tersebut bisa jadi adalah Belkasoft Evidence Center (kami sudah membicarakannya di Igor Mikhailov βKunci untuk memulai: perangkat lunak dan perangkat keras terbaik untuk forensik komputerβ). Oleh karena itu, kami bersama Belkasoft telah mengembangkan dua kursus pelatihan: Forensik Digital Belkasoft ΠΈ Pemeriksaan Respons Insiden Belkasoft.
PENTING: kursusnya berurutan dan saling berhubungan! Belkasoft Digital Forensics didedikasikan untuk program Belkasoft Evidence Center, dan Belkasoft Incident Response Examination didedikasikan untuk menyelidiki insiden menggunakan produk Belkasoft. Artinya, sebelum mempelajari kursus Belkasoft Incident Response Examination, kami sangat menyarankan untuk menyelesaikan kursus Belkasoft Digital Forensics. Jika Anda langsung memulai kursus investigasi insiden, siswa mungkin memiliki kesenjangan pengetahuan yang mengganggu dalam menggunakan Pusat Bukti Belkasoft, menemukan dan memeriksa artefak forensik. Hal ini dapat menyebabkan fakta bahwa selama pelatihan pada kursus Belkasoft Incident Response Examination, siswa tidak akan memiliki waktu untuk menguasai materi, atau akan memperlambat anggota kelompok lainnya dalam memperoleh pengetahuan baru, karena waktu pelatihan akan dihabiskan. oleh trainer yang menjelaskan materi kursus Belkasoft Digital Forensics.
Forensik komputer dengan Belkasoft Evidence Center
Tujuan kursus Forensik Digital Belkasoft β mengenalkan siswa pada program Belkasoft Evidence Center, mengajari mereka cara menggunakan program ini untuk mengumpulkan bukti dari berbagai sumber (penyimpanan cloud, memori akses acak (RAM), perangkat seluler, media penyimpanan (hard drive, flash drive, dll.), master teknik dan teknik forensik dasar, metode pemeriksaan forensik artefak Windows, perangkat seluler, dump RAM. Anda juga akan belajar mengidentifikasi dan mendokumentasikan artefak browser dan program pesan instan, membuat salinan data forensik dari berbagai sumber, mengekstrak data geolokasi, dan mencari untuk urutan teks (mencari berdasarkan kata kunci), menggunakan hash saat melakukan penelitian, menganalisis registri Windows, menguasai keterampilan menjelajahi database SQLite yang tidak diketahui, dasar-dasar memeriksa file grafik dan video, dan teknik analisis yang digunakan selama penyelidikan.
Kursus ini akan bermanfaat bagi para ahli dengan spesialisasi di bidang forensik teknis komputer (computer forensik); spesialis teknis yang menentukan alasan keberhasilan intrusi, menganalisis rangkaian peristiwa dan konsekuensi serangan dunia maya; spesialis teknis yang mengidentifikasi dan mendokumentasikan pencurian (kebocoran) data yang dilakukan oleh orang dalam (pelanggar internal); spesialis e-Discovery; Staf SOC dan CERT/CSIRT; karyawan keamanan informasi; penggemar forensik komputer.
Rencana kursus:
- Belkasoft Evidence Center (BEC): langkah pertama
- Pembuatan dan pemrosesan kasus di BEC
- Kumpulkan bukti digital untuk investigasi forensik dengan BEC
- Menggunakan filter
- Pelaporan
- Penelitian tentang Program Pesan Instan
- Penelitian Peramban Web
- Riset Perangkat Seluler
- Mengekstraksi data geolokasi
- Mencari urutan teks dalam kasus
- Mengekstraksi dan menganalisis data dari penyimpanan cloud
- Menggunakan penanda untuk menyoroti bukti signifikan yang ditemukan selama penelitian
- Pemeriksaan file sistem Windows
- Analisis Registri Windows
- Analisis database SQLite
- Metode Pemulihan Data
- Teknik untuk memeriksa dump RAM
- Menggunakan kalkulator hash dan analisis hash dalam penelitian forensik
- Analisis file terenkripsi
- Metode untuk mempelajari file grafik dan video
- Penggunaan teknik analisis dalam penelitian forensik
- Otomatiskan tindakan rutin menggunakan bahasa pemrograman Belkascripts bawaan
- Latihan praktis
Kursus: Pemeriksaan Respons Insiden Belkasoft
Tujuan kursus ini adalah untuk mempelajari dasar-dasar investigasi forensik serangan cyber dan kemungkinan menggunakan Belkasoft Evidence Center dalam penyelidikan. Anda akan belajar tentang vektor utama serangan modern pada jaringan komputer, belajar mengklasifikasikan serangan komputer berdasarkan matriks MITRE ATT&CK, menerapkan algoritma penelitian sistem operasi untuk menetapkan fakta kompromi dan merekonstruksi tindakan penyerang, mempelajari di mana artefak berada yang menunjukkan file mana yang terakhir dibuka, di mana sistem operasi menyimpan informasi tentang bagaimana file yang dapat dieksekusi diunduh dan dieksekusi, bagaimana penyerang berpindah melalui jaringan, dan mempelajari cara memeriksa artefak ini menggunakan BEC. Anda juga akan mempelajari peristiwa apa dalam log sistem yang menarik dari sudut pandang investigasi insiden dan deteksi akses jarak jauh, dan mempelajari cara menyelidikinya menggunakan BEC.
Kursus ini akan berguna bagi spesialis teknis yang menentukan alasan keberhasilan intrusi, menganalisis rangkaian peristiwa dan konsekuensi serangan dunia maya; administrator sistem; Staf SOC dan CERT/CSIRT; staf keamanan informasi.
Ikhtisar Kursus
Cyber ββββKill Chain menjelaskan tahapan utama dari setiap serangan teknis terhadap komputer (atau jaringan komputer) korban sebagai berikut:
Tindakan karyawan SOC (CERT, keamanan informasi, dll.) ditujukan untuk mencegah penyusup mengakses sumber informasi yang dilindungi.
Jika penyerang berhasil menembus infrastruktur yang dilindungi, maka orang-orang di atas harus berusaha meminimalkan kerusakan akibat aktivitas penyerang, menentukan bagaimana serangan itu dilakukan, merekonstruksi kejadian dan urutan tindakan penyerang dalam struktur informasi yang disusupi, dan mengambil tindakan. langkah-langkah untuk mencegah serangan semacam ini di masa depan.
Jenis jejak berikut dapat ditemukan dalam infrastruktur informasi yang disusupi, yang menunjukkan bahwa jaringan (komputer) telah disusupi:
Semua jejak tersebut dapat ditemukan menggunakan program Belkasoft Evidence Center.
BEC memiliki modul βIncident Investigationβ dimana pada saat menganalisis media penyimpanan ditempatkan informasi tentang artefak yang dapat membantu peneliti dalam menyelidiki suatu kejadian.
BEC mendukung pemeriksaan jenis utama artefak Windows yang menunjukkan eksekusi file yang dapat dieksekusi pada sistem yang sedang diselidiki, termasuk file Amcache, Userassist, Prefetch, BAM/DAM, ,analisis peristiwa sistem.
Informasi jejak yang berisi informasi tentang tindakan pengguna dalam sistem yang disusupi dapat disajikan dalam bentuk berikut:
Informasi ini, antara lain, mencakup informasi tentang menjalankan file yang dapat dieksekusi:
Informasi tentang menjalankan file 'RDPWInst.exe'.
Informasi tentang kehadiran penyerang dalam sistem yang disusupi dapat ditemukan di kunci startup registri Windows, layanan, tugas terjadwal, skrip Logon, WMI, dll. Contoh pendeteksian informasi penyerang yang menempel pada sistem dapat dilihat pada screenshot berikut:
Membatasi penyerang menggunakan penjadwal tugas dengan membuat tugas yang menjalankan skrip PowerShell.
Mengkonsolidasikan penyerang menggunakan Windows Management Instrumentation (WMI).
Mengkonsolidasi penyerang menggunakan skrip Logon.
Pergerakan penyerang melalui jaringan komputer yang disusupi dapat dideteksi, misalnya dengan menganalisis log sistem Windows (jika penyerang menggunakan layanan RDP).
Informasi tentang koneksi RDP yang terdeteksi.
Informasi tentang pergerakan penyerang di seluruh jaringan.
Dengan demikian, Belkasoft Evidence Center dapat membantu peneliti mengidentifikasi komputer yang disusupi dalam jaringan komputer yang diserang, menemukan jejak peluncuran malware, jejak fiksasi dalam sistem dan pergerakan melintasi jaringan, dan jejak aktivitas penyerang lainnya pada komputer yang disusupi.
Cara melakukan penelitian tersebut dan mendeteksi artefak yang dijelaskan di atas dijelaskan dalam kursus pelatihan Belkasoft Incident Response Examination.
Rencana kursus:
- Tren serangan siber. Teknologi, alat, tujuan penyerang
- Menggunakan model ancaman untuk memahami taktik, teknik, dan prosedur penyerang
- Rantai pembunuhan dunia maya
- Algoritme respons insiden: identifikasi, lokalisasi, pembuatan indikator, pencarian node baru yang terinfeksi
- Analisis sistem Windows menggunakan BEC
- Deteksi metode infeksi primer, penyebaran jaringan, konsolidasi, dan aktivitas jaringan malware menggunakan BEC
- Identifikasi sistem yang terinfeksi dan pulihkan riwayat infeksi menggunakan BEC
- Latihan praktis
FAQDimana kursus diadakan?
Kursus diadakan di kantor pusat Group-IB atau di lokasi eksternal (pusat pelatihan). Pelatih dapat melakukan perjalanan ke lokasi dengan pelanggan korporat.
Siapa yang memimpin kelas?
Pelatih di Group-IB adalah praktisi dengan pengalaman bertahun-tahun dalam melakukan penelitian forensik, investigasi perusahaan, dan merespons insiden keamanan informasi.
Kualifikasi pelatih dikonfirmasi oleh berbagai sertifikat internasional: GCFA, MCFE, ACE, EnCE, dll.
Pelatih kami dengan mudah menemukan bahasa yang sama dengan penonton, dengan jelas menjelaskan topik yang paling rumit sekalipun. Siswa akan mempelajari banyak informasi yang relevan dan menarik tentang penyelidikan insiden komputer, metode mengidentifikasi dan melawan serangan komputer, dan memperoleh pengetahuan praktis nyata yang dapat mereka terapkan segera setelah lulus.
Akankah kursus tersebut memberikan keterampilan berguna yang tidak terkait dengan produk Belkasoft, atau apakah keterampilan ini tidak dapat diterapkan tanpa perangkat lunak ini?
Keterampilan yang diperoleh selama pelatihan akan berguna tanpa menggunakan produk Belkasoft.
Apa saja yang termasuk dalam pengujian awal?
Tes primer merupakan tes pengetahuan dasar-dasar forensik komputer. Tidak ada rencana untuk menguji pengetahuan tentang produk Belkasoft dan Group-IB.
Di mana saya dapat menemukan informasi tentang kursus pendidikan perusahaan?
Sebagai bagian dari kursus pendidikan, Group-IB melatih spesialis dalam respons insiden, penelitian malware, spesialis intelijen siber (Threat Intelligence), spesialis untuk bekerja di Pusat Operasi Keamanan (SOC), spesialis dalam perburuan ancaman proaktif (Threat Hunter), dll. . Daftar lengkap kursus kepemilikan dari Group-IB tersedia .
Bonus apa yang diterima siswa yang menyelesaikan kursus gabungan antara Group-IB dan Belkasoft?
Mereka yang telah menyelesaikan pelatihan dalam kursus bersama antara Group-IB dan Belkasoft akan menerima:
- sertifikat kelulusan kursus;
- berlangganan bulanan gratis ke Belkasoft Evidence Center;
- Diskon 10% untuk pembelian Belkasoft Evidence Center.
Kami mengingatkan Anda bahwa kursus pertama dimulai pada hari Senin, 9 September, - jangan lewatkan kesempatan untuk mendapatkan pengetahuan unik di bidang keamanan informasi, forensik komputer, dan respons insiden! Pendaftaran kursus .
sumberDalam mempersiapkan artikel ini, kami menggunakan presentasi dari Oleg Skulkin βMenggunakan forensik berbasis host untuk mendapatkan indikator kompromi untuk keberhasilan respons insiden berbasis intelijen.β
Sumber: www.habr.com