Corsi congiunti di Group-IB e Belkasoft: cosa insegneremo e chi verrà

Algoritmi e tattiche per rispondere agli incidenti legati alla sicurezza delle informazioni, tendenze degli attuali attacchi informatici, approcci per indagare sulle fughe di dati nelle aziende, ricerca di browser e dispositivi mobili, analisi di file crittografati, estrazione di dati di geolocalizzazione e analisi di grandi volumi di dati: tutti questi e altri argomenti possono essere studiati su nuovi corsi congiunti di Group-IB e Belkasoft. Ad agosto noi annunciato il primo corso di Digital Forensics di Belkasoft, che inizierà il 9 settembre, e dopo aver ricevuto un gran numero di domande, abbiamo deciso di parlare più in dettaglio di cosa studieranno gli studenti, quali conoscenze, competenze e bonus (!) riceveranno coloro che raggiungere la fine. Cominciando dall'inizio.

Due tutto in uno

L'idea di organizzare corsi di formazione congiunti è nata dopo che i partecipanti al corso Group-IB hanno iniziato a chiedere uno strumento che li aiutasse a indagare su reti e sistemi informatici compromessi e che combinasse le funzionalità di varie utilità gratuite che consigliamo di utilizzare durante la risposta agli incidenti.

Secondo noi uno strumento del genere potrebbe essere Belkasoft Evidence Center (ne abbiamo già parlato in Articolo Igor Mikhailov “La chiave per iniziare: il miglior software e hardware per l'informatica forense”). Pertanto, insieme a Belkasoft, abbiamo sviluppato due corsi di formazione: Analisi forense digitale di Belkasoft и Esame sulla risposta agli incidenti di Belkasoft.

IMPORTANTE: i corsi sono sequenziali e interconnessi! Belkasoft Digital Forensics è dedicato al programma Belkasoft Evidence Center, mentre Belkasoft Incident Response Examination è dedicato alle indagini sugli incidenti che utilizzano i prodotti Belkasoft. Pertanto, prima di studiare il corso Belkasoft Incident Response Examination, ti consigliamo vivamente di completare il corso Belkasoft Digital Forensics. Se inizi subito con un corso sulle indagini sugli incidenti, lo studente potrebbe avere fastidiose lacune di conoscenza nell'uso del Belkasoft Evidence Center, nel trovare ed esaminare artefatti forensi. Ciò può portare al fatto che durante la formazione nel corso Belkasoft Incident Response Examination, lo studente non avrà il tempo di padroneggiare il materiale o rallenterà il resto del gruppo nell'acquisizione di nuove conoscenze, poiché il tempo di formazione sarà speso dal formatore che spiega il materiale del corso Belkasoft Digital Forensics.

Informatica forense con Belkasoft Evidence Center

Scopo del corso Analisi forense digitale di Belkasoft — introdurre gli studenti al programma Belkasoft Evidence Center, insegnare loro a utilizzare questo programma per raccogliere prove da varie fonti (archiviazione nel cloud, memoria ad accesso casuale (RAM), dispositivi mobili, supporti di archiviazione (dischi rigidi, unità flash, ecc.), padroneggiare tecniche e tecniche forensi di base, metodi di esame forense di artefatti Windows, dispositivi mobili, dump RAM. Imparerai anche a identificare e documentare artefatti di browser e programmi di messaggistica istantanea, creare copie forensi di dati da varie fonti, estrarre dati di geolocalizzazione e cercare per sequenze di testo (ricerca per parole chiave), utilizzare hash durante la ricerca, analizzare il registro di Windows, padroneggiare le capacità di esplorazione di database SQLite sconosciuti, le basi per l'esame di file grafici e video e le tecniche analitiche utilizzate durante le indagini.

Il corso sarà utile ad esperti con specializzazione nel campo dell'informatica tecnico forense (computer forensics); specialisti tecnici che determinano le ragioni di un'intrusione riuscita, analizzano la catena degli eventi e le conseguenze degli attacchi informatici; specialisti tecnici che identificano e documentano il furto di dati (fughe di dati) da parte di un interno (violatore interno); specialisti dell'e-Discovery; personale SOC e CERT/CSIRT; addetti alla sicurezza delle informazioni; appassionati di informatica forense.

Piano del corso:

• Belkasoft Evidence Center (BEC): primi passi
• Creazione ed elaborazione di casi in BEC
• Raccogli prove digitali per le indagini forensi con BEC

• Utilizzo dei filtri
• Segnalazione
• Ricerca sui programmi di messaggistica istantanea

• Ricerca sul browser Web

• Ricerca sui dispositivi mobili
• Estrazione dei dati di geolocalizzazione

• Ricerca di sequenze di testo nei casi
• Estrazione e analisi dei dati dagli archivi cloud
• Utilizzare i segnalibri per evidenziare prove significative trovate durante la ricerca
• Esame dei file di sistema di Windows

• Analisi del registro di Windows
• Analisi di database SQLite

• Metodi di recupero dati
• Tecniche per esaminare i dump della RAM
• Utilizzo del calcolatore hash e dell'analisi hash nella ricerca forense
• Analisi dei file crittografati
• Metodi per lo studio di file grafici e video
• L'uso delle tecniche analitiche nella ricerca forense
• Automatizza le azioni di routine utilizzando il linguaggio di programmazione Belkascripts integrato

• Esercitazioni pratiche

Corso: esame sulla risposta agli incidenti Belkasoft

Lo scopo del corso è apprendere le basi dell'indagine forense sugli attacchi informatici e le possibilità di utilizzare Belkasoft Evidence Center in un'indagine. Imparerai a conoscere i principali vettori degli attacchi moderni alle reti di computer, imparerai a classificare gli attacchi informatici sulla base della matrice MITRE ATT&CK, applicherai algoritmi di ricerca del sistema operativo per stabilire il fatto della compromissione e ricostruire le azioni degli aggressori, imparerai dove si trovano gli artefatti che indicare quali file sono stati aperti per ultimi, dove il sistema operativo memorizza le informazioni su come i file eseguibili sono stati scaricati ed eseguiti, come gli aggressori si sono spostati attraverso la rete e impara come esaminare questi artefatti utilizzando BEC. Imparerai anche quali eventi nei registri di sistema sono interessanti dal punto di vista dell'indagine sugli incidenti e del rilevamento dell'accesso remoto e imparerai come esaminarli utilizzando BEC.

Il corso sarà utile agli specialisti tecnici che determinano le ragioni di un'intrusione riuscita, analizzano le catene di eventi e le conseguenze degli attacchi informatici; amministratori di sistema; personale SOC e CERT/CSIRT; personale addetto alla sicurezza delle informazioni.

Panoramica del corso

La Cyber ​​Kill Chain descrive le fasi principali di qualsiasi attacco tecnico ai computer (o alla rete informatica) della vittima come segue:

Le azioni dei dipendenti SOC (CERT, sicurezza informatica, ecc.) sono mirate a impedire agli intrusi l'accesso alle risorse informative protette.

Se gli aggressori penetrano nell'infrastruttura protetta, le persone sopra indicate dovrebbero cercare di ridurre al minimo i danni derivanti dalle attività degli aggressori, determinare come è stato effettuato l'attacco, ricostruire gli eventi e la sequenza delle azioni degli aggressori nella struttura informatica compromessa e adottare misure misure per prevenire questo tipo di attacchi in futuro.

In un'infrastruttura informatica compromessa è possibile trovare i seguenti tipi di tracce, che indicano che la rete (computer) è stata compromessa:

Tutte queste tracce possono essere trovate utilizzando il programma Belkasoft Evidence Center.

BEC dispone di un modulo "Investigazione sugli incidenti", in cui, durante l'analisi dei supporti di memorizzazione, vengono inserite informazioni sugli artefatti che possono aiutare il ricercatore durante le indagini sugli incidenti.

BEC supporta l'esame dei principali tipi di artefatti di Windows che indicano l'esecuzione di file eseguibili sul sistema in esame, inclusi file Amcache, Userassist, Prefetch, BAM/DAM, Timeline 10 di Windows,analisi degli eventi di sistema.

Le informazioni sulle tracce contenenti informazioni sulle azioni dell'utente in un sistema compromesso possono essere presentate nel seguente formato:

Queste informazioni, tra le altre cose, includono informazioni sull'esecuzione di file eseguibili:

Informazioni sull'esecuzione del file 'RDPWInst.exe'.

Le informazioni sulla presenza degli aggressori nei sistemi compromessi possono essere trovate nelle chiavi di avvio del registro di Windows, nei servizi, nelle attività pianificate, negli script di accesso, in WMI, ecc. Esempi di rilevamento di informazioni sugli aggressori collegati al sistema possono essere visualizzati nei seguenti screenshot:

Limitare gli autori degli attacchi utilizzando l'utilità di pianificazione creando un'attività che esegue uno script PowerShell.

Consolidamento degli aggressori tramite Strumentazione gestione Windows (WMI).

Consolidamento degli aggressori utilizzando lo script di accesso.

Il movimento degli aggressori attraverso una rete informatica compromessa può essere rilevato, ad esempio, analizzando i log di sistema di Windows (se gli aggressori utilizzano il servizio RDP).

Informazioni sulle connessioni RDP rilevate.

Informazioni sul movimento degli aggressori attraverso la rete.

Pertanto, Belkasoft Evidence Center può aiutare i ricercatori a identificare i computer compromessi in una rete di computer attaccata, trovare tracce del lancio di malware, tracce di fissazione nel sistema e movimento attraverso la rete e altre tracce dell'attività dell'aggressore sui computer compromessi.

Come condurre tale ricerca e rilevare gli artefatti sopra descritti è descritto nel corso di formazione Belkasoft Incident Response Examination.

Piano del corso:

• Tendenze degli attacchi informatici. Tecnologie, strumenti, obiettivi degli aggressori
• Utilizzo di modelli di minaccia per comprendere le tattiche, le tecniche e le procedure degli aggressori
• Catena di uccisione informatica
• Algoritmo di risposta agli incidenti: identificazione, localizzazione, generazione di indicatori, ricerca di nuovi nodi infetti
• Analisi dei sistemi Windows tramite BEC
• Rilevamento dei metodi di infezione primaria, diffusione della rete, consolidamento e attività di rete del malware utilizzando BEC
• Identifica i sistemi infetti e ripristina la cronologia delle infezioni utilizzando BEC
• Esercitazioni pratiche

FAQDove si tengono i corsi?
I corsi si svolgono presso la sede del Gruppo-IB o presso una sede esterna (centro di formazione). È possibile per un formatore recarsi presso sedi con clienti aziendali.

Chi conduce le lezioni?
I formatori di Group-IB sono professionisti con molti anni di esperienza nella conduzione di ricerche forensi, indagini aziendali e nella risposta a incidenti di sicurezza delle informazioni.

Le qualifiche dei formatori sono confermate da numerosi certificati internazionali: GCFA, MCFE, ACE, EnCE, ecc.

I nostri formatori trovano facilmente un linguaggio comune con il pubblico, spiegando chiaramente anche gli argomenti più complessi. Gli studenti apprenderanno molte informazioni rilevanti e interessanti sull'investigazione degli incidenti informatici, sui metodi per identificare e contrastare gli attacchi informatici e acquisiranno una reale conoscenza pratica che potranno applicare immediatamente dopo la laurea.

I corsi forniranno competenze utili non correlate ai prodotti Belkasoft o tali competenze saranno inapplicabili senza questo software?
Le competenze acquisite durante la formazione saranno utili senza l'utilizzo dei prodotti Belkasoft.

Cosa è incluso nel test iniziale?

Il test primario è una prova di conoscenza delle basi dell'informatica forense. Non sono previsti test sulla conoscenza dei prodotti Belkasoft e Group-IB.

Dove posso trovare informazioni sui percorsi formativi dell'azienda?

Nell'ambito dei corsi di formazione, Group-IB forma specialisti nella risposta agli incidenti, nella ricerca di malware, specialisti di cyber intelligence (Threat Intelligence), specialisti per lavorare nel Security Operation Center (SOC), specialisti nella caccia proattiva alle minacce (Threat Hunter), ecc. . È disponibile un elenco completo dei corsi proprietari di Group-IB qui.

Quali bonus ricevono gli studenti che completano i corsi congiunti tra Group-IB e Belkasoft?
Coloro che hanno completato la formazione nei corsi congiunti tra Group-IB e Belkasoft riceveranno:

1. certificato di completamento del corso;
2. abbonamento mensile gratuito a Belkasoft Evidence Center;
3. Sconto del 10% sull'acquisto di Belkasoft Evidence Center.

Vi ricordiamo che lunedì inizia il primo corso, 9 settembre, - non perdere l'opportunità di acquisire conoscenze uniche nel campo della sicurezza delle informazioni, dell'informatica forense e della risposta agli incidenti! Iscrizione al corso qui.

fontiNel preparare l'articolo, abbiamo utilizzato la presentazione di Oleg Skulkin "Utilizzo dell'analisi forense basata su host per ottenere indicatori di compromissione per una risposta efficace agli incidenti basata sull'intelligence".

Fonte: habr.com