Sameiginleg námskeið Group-IB og Belkasoft: hvað við munum kenna og hverjir mæta

Reiknirit og aðferðir til að bregðast við upplýsingaöryggisatvikum, þróun núverandi netárása, aðferðir við að rannsaka gagnaleka í fyrirtækjum, rannsaka vafra og fartæki, greina dulkóðaðar skrár, draga landfræðilega staðsetningargögn og greining á miklu magni gagna - allt þetta og önnur efni hægt að læra á nýjum sameiginlegum námskeiðum Group-IB og Belkasoft. Í ágúst sl tilkynnt fyrsta Belkasoft Digital Forensics námskeiðið, sem hefst 9. september, og eftir að hafa fengið mikinn fjölda spurninga ákváðum við að ræða nánar um hvað nemendur munu læra, hvaða þekkingu, hæfni og bónus (!) fá þeir sem ná endanum. Fyrstu hlutir fyrst.

Tveir Allt í einu

Hugmyndin um að halda sameiginleg þjálfunarnámskeið birtist eftir að þátttakendur Group-IB námskeiðs fóru að spyrja um tæki sem myndi hjálpa þeim við að rannsaka tölvukerfi og netkerfi sem eru í hættu og sameina virkni ýmissa ókeypis tóla sem við mælum með að nota við viðbrögð við atvikum.

Að okkar mati gæti slíkt tól verið Belkasoft Evidence Center (við töluðum nú þegar um það í grein Igor Mikhailov „Lykill að byrjuninni: besti hugbúnaðurinn og vélbúnaðurinn fyrir tölvuréttarrannsóknir“). Þess vegna höfum við, ásamt Belkasoft, þróað tvö þjálfunarnámskeið: Belkasoft Digital Forensics и Atviksviðbragðspróf frá Belkasoft.

MIKILVÆGT: námskeiðin eru í röð og samtengd! Belkasoft Digital Forensics er tileinkað Belkasoft Evidence Center forritinu og Belkasoft Incident Response Examination er tileinkað því að rannsaka atvik með því að nota Belkasoft vörur. Það er að segja, áður en þú lærir Belkasoft Incident Response Examination námskeiðið mælum við eindregið með því að ljúka Belkasoft Digital Forensics námskeiðinu. Ef þú byrjar strax á námskeiði um atviksrannsóknir gæti nemandinn verið með pirrandi þekkingarskort í notkun Belkasoft sönnunarmiðstöðvar, að finna og skoða réttargripi. Þetta getur leitt til þess að á meðan á þjálfun í Belkasoft Incident Response Examination námskeiðinu stendur mun nemandinn annað hvort ekki hafa tíma til að ná tökum á efnið eða hægja á restinni af hópnum í að afla sér nýrrar þekkingar, þar sem þjálfunartíminn fer í með því að þjálfari útskýrir efnið frá Belkasoft Digital Forensics námskeiðinu.

Tölvuréttarrannsóknir með Belkasoft Evidence Center

Tilgangur námskeiðsins Belkasoft Digital Forensics — kynna nemendum Belkasoft Evidence Center forritið, kenna þeim að nota þetta forrit til að safna sönnunargögnum frá ýmsum aðilum (skýjageymslu, handahófsaðgangsminni (RAM), farsíma, geymslumiðla (harða diska, glampi drif o.s.frv.), master grunn réttartækni og tækni, aðferðir við réttarrannsókn á Windows gripum, fartækjum, vinnsluminni. Þú munt einnig læra að bera kennsl á og skjalfesta gripi vafra og spjallforrita, búa til réttarafrit af gögnum úr ýmsum áttum, draga út landstaðsetningargögn og leita fyrir textaraðir (leita eftir lykilorðum), notaðu kjötkássa við rannsóknir, greina Windows skrásetninguna, ná tökum á færni til að kanna óþekkta SQLite gagnagrunna, grunnatriði skoða grafík- og myndbandsskrár og greiningaraðferðir sem notaðar eru við rannsóknir.

Námskeiðið mun nýtast sérfræðingum með sérhæfingu á sviði tölvutækniréttar (computer forensics); tæknifræðingar sem ákvarða ástæður árangursríkrar innrásar, greina atburðarásina og afleiðingar netárása; tæknisérfræðingar sem bera kennsl á og skrásetja gagnaþjófnað (leka) af innherja (innri brotamanni); e-Discovery sérfræðingar; SOC og CERT/CSIRT starfsmenn; starfsmenn upplýsingaöryggis; tölvuréttaráhugamenn.

Námskeiðsáætlun:

• Belkasoft Evidence Center (BEC): fyrstu skrefin
• Stofnun og afgreiðsla mála í BEC
• Safnaðu stafrænum sönnunargögnum fyrir réttarrannsóknir með BEC

• Að nota síur
• Skýrslugerð
• Rannsóknir á spjallforritum

• Rannsóknir á vefvafra

• Farsímatækjarannsóknir
• Útdráttur landfræðilegrar staðsetningargagna

• Leitað að textaröðum í málum
• Að draga út og greina gögn úr skýjageymslum
• Notkun bókamerkja til að draga fram mikilvægar vísbendingar sem fundust við rannsóknir
• Athugun á Windows kerfisskrám

• Windows Registry Greining
• Greining á SQLite gagnagrunnum

• Aðferðir til að endurheimta gögn
• Tækni til að skoða vinnsluminni dumps
• Notkun kjötkássa reiknivélar og kjötkássagreiningar í réttarrannsóknum
• Greining á dulkóðuðum skrám
• Aðferðir til að rannsaka grafík- og myndbandsskrár
• Notkun greiningartækni við réttarrannsóknir
• Gerðu sjálfvirkan venjubundnar aðgerðir með því að nota innbyggða Belkascripts forritunarmálið

• Verklegar kennslustundir

Námskeið: Belkasoft atviksviðbragðspróf

Tilgangur námskeiðsins er að læra undirstöðuatriði réttarrannsókna á netárásum og möguleika þess að nota Belkasoft Evidence Center í rannsókn. Þú munt læra um helstu vektora nútímaárása á tölvunet, læra að flokka tölvuárásir út frá MITER ATT&CK fylkinu, beita stýrikerfisrannsóknaralgrímum til að staðfesta málamiðlun og endurbyggja aðgerðir árásarmanna, læra hvar gripir eru staðsettir sem tilgreina hvaða skrár voru opnaðar síðast, þar sem stýrikerfið geymir upplýsingar um hvernig keyranlegar skrár voru sóttar og keyrðar, hvernig árásarmenn fóru um netið og læra hvernig á að skoða þessa gripi með BEC. Þú munt einnig læra hvaða atburðir í kerfisskrám eru áhugaverðir frá sjónarhóli atviksrannsóknar og fjaraðgangsgreiningar og læra hvernig á að rannsaka þá með BEC.

Námskeiðið mun nýtast tæknisérfræðingum sem ákvarða ástæður árangursríkrar innbrots, greina atburðakeðjur og afleiðingar netárása; kerfisstjórar; SOC og CERT/CSIRT starfsmenn; starfsfólk upplýsingaöryggis.

Yfirlit yfir námskeið

Cyber ​​​​Kill Chain lýsir helstu stigum tæknilegrar árásar á tölvur fórnarlambsins (eða tölvunet) sem hér segir:

Aðgerðir starfsmanna SOC (CERT, upplýsingaöryggi o.s.frv.) miða að því að koma í veg fyrir að boðflennar fái aðgang að vernduðum upplýsingaauðlindum.

Ef árásarmenn komast inn í verndaða innviði, þá ættu ofangreindir aðilar að reyna að lágmarka skaðann af athöfnum árásarmannanna, ákvarða hvernig árásin var framkvæmd, endurbyggja atburði og atburðarrás árásarmannanna í upplýsingaskipulaginu sem er í hættu og taka ráðstafanir til að koma í veg fyrir þessa tegund árása í framtíðinni.

Eftirfarandi gerðir ummerkja má finna í upplýsingainnviði sem er í hættu, sem gefur til kynna að netið (tölvan) hafi verið í hættu:

Öll slík ummerki má finna með því að nota Belkasoft Evidence Center forritið.

BEC er með „atviksrannsókn“ einingu, þar sem við greiningu á geymslumiðlum eru settar upplýsingar um gripi sem geta hjálpað rannsakanda við að rannsaka atvik.

BEC styður athugun á helstu gerðum Windows artifacts sem gefa til kynna framkvæmd keyranlegra skráa á kerfinu sem verið er að rannsaka, þar á meðal Amcache, Userassist, Prefetch, BAM/DAM skrár, Tímalína Windows 10, greining á kerfisatburðum.

Upplýsingar um ummerki sem innihalda upplýsingar um notendaaðgerðir í kerfi sem er í hættu er hægt að setja fram á eftirfarandi formi:

Þessar upplýsingar innihalda meðal annars upplýsingar um að keyra keyrsluskrár:

Upplýsingar um að keyra skrána 'RDPWInst.exe'.

Upplýsingar um nærveru árásarmanna í kerfum sem eru í hættu má finna í ræsilyklum Windows skrásetningarskrár, þjónustu, áætluðum verkefnum, innskráningarforskriftum, WMI osfrv. Dæmi um að greina upplýsingar um árásarmenn sem eru tengdir við kerfið má sjá á eftirfarandi skjámyndum:

Að takmarka árásarmenn með því að nota verkefnaáætlunina með því að búa til verkefni sem keyrir PowerShell skriftu.

Að sameina árásarmenn með því að nota Windows Management Instrumentation (WMI).

Að sameina árásarmenn með því að nota Logon script.

Hægt er að greina hreyfingu árásarmanna yfir tölvunet sem er í hættu, til dæmis með því að greina Windows kerfisskrár (ef árásarmennirnir nota RDP þjónustuna).

Upplýsingar um uppgötvaðar RDP tengingar.

Upplýsingar um hreyfingu árásarmanna um netið.

Þannig getur Belkasoft Evidence Center hjálpað rannsakendum að bera kennsl á tölvur sem hafa verið í hættu á tölvuneti sem ráðist hefur verið á, fundið ummerki um að spilliforrit hafi verið sett af stað, ummerki um festingu í kerfinu og hreyfingu yfir netið og önnur ummerki um virkni árásarmanna á tölvum sem hafa verið í hættu.

Hvernig á að framkvæma slíkar rannsóknir og greina gripina sem lýst er hér að ofan er lýst í Belkasoft Incident Response Examination þjálfunarnámskeiðinu.

Námskeiðsáætlun:

• Þróun netárása. Tækni, verkfæri, markmið árásarmanna
• Notkun ógnarlíkön til að skilja árásaraðferðir, tækni og verklagsreglur
• Cyber ​​​​drepa keðja
• Atvikssvörunaralgrím: auðkenning, staðsetning, myndun vísa, leit að nýjum sýktum hnútum
• Greining á Windows kerfum með BEC
• Uppgötvun aðferða við frumsýkingu, netútbreiðslu, sameiningu og netvirkni spilliforrita með BEC
• Þekkja sýkt kerfi og endurheimta sýkingarsögu með BEC
• Verklegar kennslustundir

FAQHvar eru námskeiðin haldin?
Námskeið eru haldin í höfuðstöðvum Group-IB eða á utanaðkomandi stað (þjálfunarmiðstöð). Það er mögulegt fyrir þjálfara að ferðast til vefsvæða með fyrirtækjaviðskiptavinum.

Hver stjórnar námskeiðunum?
Þjálfarar hjá Group-IB eru iðkendur með margra ára reynslu í réttarrannsóknum, fyrirtækjarannsóknum og viðbrögðum við upplýsingaöryggisatvikum.

Hæfni þjálfara er staðfest með fjölmörgum alþjóðlegum skírteinum: GCFA, MCFE, ACE, EnCE o.fl.

Þjálfarar okkar finna auðveldlega sameiginlegt tungumál með áhorfendum og skýra jafnvel flóknustu efnin á skýran hátt. Nemendur munu læra mikið af viðeigandi og áhugaverðum upplýsingum um rannsókn á tölvuatvikum, aðferðir við að bera kennsl á og vinna gegn tölvuárásum og öðlast raunverulega hagnýta þekkingu sem þeir geta beitt strax eftir útskrift.

Munu námskeiðin veita gagnlega færni sem ekki tengist Belkasoft vörum, eða mun þessi færni vera ónothæf án þessa hugbúnaðar?
Færnin sem aflað er í þjálfuninni mun nýtast án þess að nota vörur frá Belkasoft.

Hvað er innifalið í fyrstu prófunum?

Frumpróf er próf á þekkingu á grunnatriðum tölvuréttar. Engin áform eru um að prófa þekkingu á Belkasoft og Group-IB vörum.

Hvar get ég fundið upplýsingar um fræðslunámskeið félagsins?

Sem hluti af fræðslunámskeiðum þjálfar Group-IB sérfræðinga í viðbrögðum við atvikum, rannsóknum á spilliforritum, sérfræðinga á netgreindum (Threat Intelligence), sérfræðinga til að starfa í öryggisaðgerðamiðstöðinni (SOC), sérfræðinga í fyrirbyggjandi hættuleit (Threat Hunter), o.fl. . Heildarlisti yfir sérnámskeið frá Group-IB er fáanleg hér.

Hvaða bónus fá nemendur sem ljúka sameiginlegum námskeiðum Group-IB og Belkasoft?
Þeir sem hafa lokið þjálfun á sameiginlegum námskeiðum Group-IB og Belkasoft fá:

1. vottorð um að námskeiði hafi verið lokið;
2. ókeypis mánaðaráskrift að Belkasoft Evidence Center;
3. 10% afsláttur af kaupum á Belkasoft Evidence Center.

Við minnum á að fyrsta námskeiðið hefst á mánudaginn kl. 9 September,- ekki missa af tækifærinu til að öðlast einstaka þekkingu á sviði upplýsingaöryggis, tölvuréttar og viðbragða við atvikum! Skráning á námskeiðið hér.

HeimildirVið undirbúning greinarinnar notuðum við kynninguna frá Oleg Skulkin „Notkun hýsingartengda réttarfræði til að fá vísbendingar um málamiðlun fyrir árangursríka upplýsingadrifna atviksviðbrögð.

Heimild: www.habr.com