קורסים משותפים של Group-IB ו-Belkasoft: מה נלמד ומי לבוא

אלגוריתמים וטקטיקות תגובה לאירועי אבטחת מידע, מגמות במתקפות סייבר עדכניות, גישות לחקירת דליפות נתונים בחברות, חקר דפדפנים ומכשירים ניידים, ניתוח קבצים מוצפנים, חילוץ נתוני מיקום גיאוגרפי וניתוח של כמויות גדולות של נתונים - כל אלו ואחרים. ניתן ללמוד בקורסים משותפים חדשים של Group-IB ו-Belkasoft. באוגוסט אנחנו הוכרז הקורס הראשון של Belkasoft Digital Forensics, שמתחיל ב-9 בספטמבר, ולאחר שקיבלנו מספר רב של שאלות, החלטנו לדבר ביתר פירוט על מה ילמדו התלמידים, איזה ידע, מיומנויות ובונוסים (!) יקבלו מי להגיע לסוף. קודם כל.

שניים הכל באחד

הרעיון לערוך קורסי הכשרה משותפים הופיע לאחר שהמשתתפים בקורס Group-IB החלו לשאול על כלי שיעזור להם לחקור מערכות מחשבים ורשתות שנפגעו, ולשלב את הפונקציונליות של כלי עזר חינמיים שונים שאנו ממליצים להשתמש בהם במהלך תגובה לאירועים.

לדעתנו, כלי כזה יכול להיות Belkasoft Evidence Center (כבר דיברנו על זה ב статье איגור מיכאילוב "המפתח להתחלה: התוכנה והחומרה הטובות ביותר לזיהוי פלילי מחשבים"). לכן, פיתחנו יחד עם בלקסופט שני קורסי הכשרה: Belkasoft Digital Forensics и בדיקת תגובה לאירועים של Belkasoft.

חשוב: הקורסים הם עוקבים ומקושרים זה לזה! Belkasoft Digital Forensics מוקדשת לתוכנית Belkasoft Evidence Center, ו-Belkasoft Incident Response Examination מוקדשת לחקירת תקריות באמצעות מוצרי Belkasoft. כלומר, לפני לימוד הקורס בחינת תגובה לאירועים של Belkasoft, אנו ממליצים בחום להשלים את הקורס דיגיטלי לזיהוי פלילי של Belkasoft. אם תתחיל מיד עם קורס על חקירות אירועים, ייתכן שלתלמיד יהיו פערי ידע מעצבנים בשימוש במרכז הראיות של Belkasoft, באיתור ובחינת חפצים משפטיים. זה עשוי להוביל לעובדה שבמהלך ההכשרה בקורס בחינת תגובה לאירועים של Belkasoft, לתלמיד או שלא יהיה זמן לשלוט בחומר, או שיאט את שאר הקבוצה ברכישת ידע חדש, שכן זמן ההדרכה יוקדש. על ידי המאמן שמסביר את החומר מהקורס של Belkasoft Digital Forensics.

זיהוי פלילי מחשבים עם Belkasoft Evidence Center

מטרת הקורס Belkasoft Digital Forensics - הציגו לתלמידים את תוכנית Belkasoft Evidence Center, למדו אותם להשתמש בתוכנית זו כדי לאסוף ראיות ממקורות שונים (אחסון בענן, זיכרון גישה אקראית (RAM), מכשירים ניידים, מדיית אחסון (כוננים קשיחים, כונני הבזק וכו'), מאסטר טכניקות וטכניקות משפטיות בסיסיות, שיטות בדיקה משפטית של חפצי Windows, מכשירים ניידים, מזבלות RAM. כמו כן תלמד לזהות ולתעד חפצים של דפדפנים ותוכניות הודעות מיידיות, ליצור עותקים משפטיים של נתונים ממקורות שונים, לחלץ נתוני מיקום גיאוגרפי ולחפש עבור רצפי טקסט (חיפוש מילות מפתח), השתמש ב-hash בעת ביצוע מחקר, נתח את הרישום של Windows, שלט במיומנויות של חקר מסדי נתונים לא ידועים של SQLite, היסודות של בחינת קבצי גרפיקה ווידאו וטכניקות אנליטיות המשמשות במהלך חקירות.

הקורס יועיל למומחים בעלי התמחות בתחום זיהוי פלילי טכני ממוחשב (זיהוי פלילי מחשב); מומחים טכניים הקובעים את הסיבות לפריצה מוצלחת, מנתחים את שרשרת האירועים ואת ההשלכות של התקפות סייבר; מומחים טכניים המזהים ומתעדים גניבת נתונים (דליפות) על ידי איש פנים (מפר פנימי); מומחי e-Discovery; צוות SOC ו-CERT/CSIRT; עובדי אבטחת מידע; חובבי זיהוי פלילי מחשבים.

תוכנית הקורס:

• Belkasoft Evidence Center (BEC): צעדים ראשונים
• יצירה וטיפול בתיקים ב-BEC
• אסוף ראיות דיגיטליות לחקירות משפטיות עם BEC

• שימוש במסננים
• הפקת דוחות
• מחקר על תוכניות הודעות מיידיות

• מחקר דפדפן אינטרנט

• מחקר מכשירים ניידים
• חילוץ נתוני מיקום גיאוגרפי

• חיפוש רצפי טקסט במקרים
• חילוץ וניתוח נתונים ממחסני ענן
• שימוש בסימניות כדי להדגיש עדויות משמעותיות שנמצאו במהלך המחקר
• בחינת קבצי מערכת Windows

• ניתוח הרישום של Windows
• ניתוח מסדי נתונים של SQLite

• שיטות שחזור נתונים
• טכניקות לבחינת השלכות RAM
• שימוש במחשבון hash וניתוח hash במחקר משפטי
• ניתוח קבצים מוצפנים
• שיטות ללימוד קבצי גרפיקה ווידאו
• השימוש בטכניקות אנליטיות במחקר משפטי
• אוטומציה של פעולות שגרתיות באמצעות שפת התכנות המובנית Belkascripts

• שיעורים מעשיים

קורס: בחינת תגובה לאירועים של Belkasoft

מטרת הקורס היא ללמוד את יסודות החקירה פורנזית של מתקפות סייבר ואת אפשרויות השימוש במרכז הראיות של Belkasoft בחקירה. תלמדו על הווקטורים העיקריים של התקפות מודרניות על רשתות מחשבים, תלמדו לסווג התקפות מחשב על סמך מטריצת MITER ATT&CK, תחילו אלגוריתמים למחקר של מערכות הפעלה כדי לבסס את עובדת הפשרה ולשחזר את פעולות התוקפים, תלמדו היכן ממוקמים חפצים ציינו אילו קבצים נפתחו לאחרונה, היכן מערכת ההפעלה מאחסנת מידע על אופן ההורדה והביצוע של קבצי הפעלה, כיצד התוקפים עברו ברחבי הרשת, ולמד כיצד לבחון את החפצים הללו באמצעות BEC. תלמדו גם אילו אירועים ביומני המערכת מעניינים מנקודת מבט של חקירת אירועים וזיהוי גישה מרחוק, ותלמדו כיצד לחקור אותם באמצעות BEC.

הקורס יהיה שימושי למומחים טכניים שיקבעו את הסיבות לפריצה מוצלחת, מנתחים שרשראות אירועים ואת ההשלכות של התקפות סייבר; מנהלי מערכת; צוות SOC ו-CERT/CSIRT; צוות אבטחת מידע.

סקירת הקורס

Cyber ​​​​Kill Chain מתאר את השלבים העיקריים של כל מתקפה טכנית על מחשבי הקורבן (או רשת המחשבים) כדלקמן:

הפעולות של עובדי SOC (CERT, אבטחת מידע וכו') מכוונות למנוע מפולשים לגשת למשאבי מידע מוגנים.

אם אכן חודרים תוקפים לתשתית המוגנת, על האנשים לעיל לנסות למזער את הנזק מפעילות התוקפים, לקבוע כיצד בוצעה התקיפה, לשחזר את האירועים ורצף הפעולות של התוקפים במבנה המידע שנפגע, ולנקוט אמצעים למניעת תקיפה מסוג זה בעתיד.

ניתן למצוא את סוגי העקבות הבאים בתשתית מידע שנפגעה, המעידים על כך שהרשת (המחשב) נפגעה:

ניתן למצוא את כל העקבות הללו באמצעות תוכנית Belkasoft Evidence Center.

ל-BEC מודול "חקירת תקריות", שבו, בעת ניתוח אמצעי אחסון, מוצב מידע על חפצים שיכול לעזור לחוקר בעת חקירת תקריות.

BEC תומך בבדיקה של הסוגים העיקריים של חפצי Windows המצביעים על ביצוע קבצי הפעלה במערכת הנחקרת, לרבות קבצי Amcache, Userassist, Prefetch, BAM/DAM, ציר הזמן של Windows 10,ניתוח אירועי מערכת.

מידע על עקבות המכילים מידע על פעולות המשתמש במערכת שנפרצה יכול להיות מוצג בצורה הבאה:

מידע זה, בין היתר, כולל מידע על הפעלת קבצי הפעלה:

מידע על הפעלת הקובץ 'RDPWInst.exe'.

מידע על נוכחות התוקפים במערכות שנפגעו ניתן למצוא במפתחות הפעלה של הרישום של Windows, שירותים, משימות מתוזמנות, סקריפטים לכניסה, WMI וכו'. דוגמאות לזיהוי מידע על תוקפים המצורפים למערכת ניתן לראות בצילומי המסך הבאים:

הגבלת תוקפים באמצעות מתזמן המשימות על ידי יצירת משימה המריץ סקריפט PowerShell.

איחוד תוקפים באמצעות Windows Management Instrumentation (WMI).

איחוד תוקפים באמצעות סקריפט כניסה.

ניתן לזהות תנועה של תוקפים ברשת מחשבים שנפגעה, למשל, על ידי ניתוח יומני מערכת Windows (אם התוקפים משתמשים בשירות RDP).

מידע על חיבורי RDP שזוהו.

מידע על תנועת התוקפים ברחבי הרשת.

כך, Belkasoft Evidence Center יכול לסייע לחוקרים לזהות מחשבים שנפגעו ברשת מחשבים מותקפת, למצוא עקבות של השקה של תוכנות זדוניות, עקבות של קיבוע במערכת ותנועה ברחבי הרשת, ושאר עקבות של פעילות תוקפים במחשבים שנפגעו.

כיצד לבצע מחקר כזה ולאתר את החפצים המתוארים לעיל מתואר בקורס ההכשרה של Belkasoft Incident Response Examination.

תוכנית הקורס:

• מגמות מתקפות סייבר. טכנולוגיות, כלים, מטרות של תוקפים
• שימוש במודלים של איומים כדי להבין את הטקטיקות, הטכניקות והנהלים של התוקפים
• שרשרת הרג סייבר
• אלגוריתם תגובה לאירועים: זיהוי, לוקליזציה, יצירת אינדיקטורים, חיפוש צמתים נגועים חדשים
• ניתוח מערכות Windows באמצעות BEC
• זיהוי שיטות של זיהום ראשוני, התפשטות רשת, איחוד ופעילות רשת של תוכנות זדוניות באמצעות BEC
• זיהוי מערכות נגועות ושחזור היסטוריית זיהומים באמצעות BEC
• שיעורים מעשיים

שאלות נפוצותהיכן מתקיימים הקורסים?
הקורסים מתקיימים במטה Group-IB או באתר חיצוני (מרכז הדרכה). יש אפשרות למאמן לנסוע לאתרים עם לקוחות עסקיים.

מי מעביר את השיעורים?
מאמנים ב-Group-IB הם מתרגלים בעלי ניסיון רב שנים בביצוע מחקר משפטי, חקירות ארגוניות ותגובה לאירועי אבטחת מידע.

הכישורים של המאמנים מאושרים על ידי תעודות בינלאומיות רבות: GCFA, MCFE, ACE, EnCE וכו '.

המאמנים שלנו מוצאים בקלות שפה משותפת עם הקהל, ומסבירים בבירור אפילו את הנושאים המורכבים ביותר. הסטודנטים ילמדו מידע רב רלוונטי ומעניין על חקירת אירועי מחשב, שיטות זיהוי ומניעת התקפות מחשב, ויקבלו ידע מעשי אמיתי שיוכלו ליישם מיד לאחר סיום הלימודים.

האם הקורסים יספקו מיומנויות שימושיות שאינן קשורות למוצרי Belkasoft, או האם מיומנויות אלו לא יהיו ישימות ללא תוכנה זו?
המיומנויות שנרכשו במהלך ההדרכה יהיו שימושיות ללא שימוש במוצרי Belkasoft.

מה כלול בבדיקה הראשונית?

בדיקה ראשונית היא מבחן ידע ביסודות הזיהוי הפלילי הממוחשב. אין תוכניות לבחון את הידע במוצרי Belkasoft ו-Group-IB.

היכן ניתן למצוא מידע על הקורסים החינוכיים של החברה?

במסגרת קורסים חינוכיים, Group-IB מכשירה מומחים בתגובה לאירועים, חקר תוכנות זדוניות, מומחי מודיעין סייבר (Threat Intelligence), מומחים לעבודה ב-Security Operation Center (SOC), מומחים לציד איומים פרואקטיבי (Threat Hunter) וכו'. . רשימה מלאה של קורסים קנייניים מ- Group-IB זמינה כאן.

אילו בונוסים מקבלים סטודנטים שמסיימים קורסים משותפים בין Group-IB ל-Belkasoft?
מי שסיים הכשרה בקורסים משותפים בין Group-IB ו-Belkasoft יקבלו:

1. תעודת סיום הקורס;
2. מנוי חודשי חינם למרכז הראיות של Belkasoft;
3. 10% הנחה ברכישת Belkasoft Evidence Center.

מזכירים לכם שהקורס הראשון מתחיל ביום שני, 9 ספטמבר,- אל תפספסו את ההזדמנות לצבור ידע ייחודי בתחום אבטחת מידע, זיהוי פלילי מחשבים ותגובה לאירועים! הרשמה לקורס כאן.

מקורותבהכנת המאמר, השתמשנו במצגת של אולג סקולקין "שימוש בזיהוי פלילי מבוסס מארח כדי לקבל אינדיקטורים של פשרה לתגובה מוצלחת לאירועים מונעי מודיעין."

מקור: www.habr.com