Group-IB と Belkasoft の共同コース: 何を教えるのか、誰が来るのか

情報セキュリティインシデントに対応するためのアルゴリズムと戦術、現在のサイバー攻撃の傾向、企業内のデータ漏洩の調査アプローチ、ブラウザとモバイルデバイスの調査、暗号化されたファイルの分析、位置情報データの抽出と大量のデータの分析 - これらすべておよびその他のトピックGroup-IBとBelkasoftの新しい共同コースで学ぶことができます。 XNUMX月に私たちは 発表した 最初の Belkasoft デジタル フォレンジック コースは 9 月 XNUMX 日に始まりますが、多数の質問が寄せられたため、学生が何を学ぶのか、学生がどのような知識、能力、ボーナス (!) を受け取ることになるのかについて、さらに詳しく話すことにしました。最後まで到達する。 まず最初に。

XNUMXつのオールインワン

共同トレーニング コースを実施するというアイデアは、Group-IB コースの参加者が、侵害されたコンピューター システムやネットワークの調査に役立ち、インシデント対応中に使用することを推奨するさまざまな無料ユーティリティの機能を組み合わせるツールについて質問し始めた後に現れました。

私たちの意見では、そのようなツールは Belkasoft Evidence Center である可能性があります (これについてはすでに次の記事で説明しています)。 статье イーゴリ・ミハイロフ「スタートへの鍵: コンピューターフォレンジックに最適なソフトウェアとハ​​ードウェア」)。 したがって、私たちは Belkasoft と協力して XNUMX つのトレーニング コースを開発しました。 Belkasoft デジタル フォレンジック и Belkasoft インシデント対応試験.

重要: コースは連続しており、相互に接続されています。 Belkasoft Digital Forensics は Belkasoft Evidence Center プログラムに特化しており、Belkasoft Incident Response Exam は Belkasoft 製品を使用したインシデントの調査に特化しています。 つまり、Belkasoft Incident Response Exam コースを学習する前に、Belkasoft Digital Forensics コースを完了することを強くお勧めします。 すぐにインシデント調査のコースを開始すると、学生は Belkasoft Evidence Center の使用、法医学的成果物の発見と調査に関して迷惑な知識不足に直面する可能性があります。 これは、Belkasoft Incident Response Exam コースでのトレーニング中に、トレーニング時間が費やされるため、学生が教材を習得する時間がなかったり、グループの他のメンバーが新しい知識を習得するのが遅くなったりするという事実につながる可能性があります。トレーナーが Belkasoft デジタル フォレンジック コースの内容を説明します。

Belkasoft Evidence Center によるコンピューターフォレンジック

コースの目的 Belkasoft デジタル フォレンジック — 学生に Belkasoft Evidence Center プログラムを紹介し、このプログラムを使用してさまざまなソース (クラウド ストレージ、ランダム アクセス メモリ (RAM)、モバイル デバイス、ストレージ メディア (ハード ドライブ、フラッシュ ドライブなど)、マスター) から証拠を収集する方法を教えます。基本的なフォレンジック技術とテクニック、Windows アーティファクト、モバイル デバイス、RAM ダンプのフォレンジック検査の方法。また、ブラウザーやインスタント メッセージング プログラムのアーティファクトを特定して文書化すること、さまざまなソースからデータのフォレンジック コピーを作成すること、地理位置情報データを抽出して検索することも学習します。テキスト シーケンスの検索 (キーワードによる検索)、調査時のハッシュの使用、Windows レジストリの分析、未知の SQLite データベースの探索スキル、グラフィック ファイルやビデオ ファイルの調査の基本、調査中に使用される分析テクニックを習得します。

このコースは、コンピューター技術フォレンジック (コンピューターフォレンジック) の分野を専門とする専門家にとって役立ちます。 侵入成功の理由を特定し、一連のイベントとサイバー攻撃の結果を分析する技術専門家。 技術専門家が内部関係者（内部違反者）によるデータ盗難（漏洩）を特定し文書化する。 e-Discovery スペシャリスト。 SOC および CERT/CSIRT スタッフ。 情報セキュリティ担当者。 コンピューターフォレンジックの愛好家。

コースプラン：

• Belkasoft Evidence Center (BEC): 最初のステップ
• BEC でのケースの作成と処理
• BEC を使用してフォレンジック調査のためのデジタル証拠を収集

• フィルターの使用
• 報告
• インスタントメッセージングプログラムの研究

• ウェブブラウザの調査

• モバイルデバイスの研究
• 地理位置情報データの抽出

• ケース内のテキストシーケンスの検索
• クラウドストレージからのデータの抽出と分析
• ブックマークを使用して調査中に見つかった重要な証拠を強調表示する
• Windowsシステムファイルの検査

• Windows レジストリ分析
• SQLiteデータベースの分析

• データ回復方法
• RAM ダンプを調べるためのテクニック
• フォレンジック研究におけるハッシュ計算機とハッシュ分析の使用
• 暗号化されたファイルの解析
• グラフィックファイルとビデオファイルを研究する方法
• 法医学研究における分析技術の使用
• 組み込みの Belkascripts プログラミング言語を使用して日常的なアクションを自動化します

• 応用問題

コース: Belkasoft インシデント対応試験

このコースの目的は、サイバー攻撃のフォレンジック調査の基礎と、調査に Belkasoft Evidence Center を使用する可能性を学ぶことです。 コンピューター ネットワークに対する現代の攻撃の主なベクトルについて学び、MITRE ATT&CK マトリックスに基づいてコンピューター攻撃を分類する方法を学び、オペレーティング システムの研究アルゴリズムを適用して侵害の事実を確立し、攻撃者の行動を再構築し、アーティファクトがどこにあるかを学びます。最後に開かれたファイルを示し、実行可能ファイルがどのようにダウンロードされ実行されたか、攻撃者がネットワーク上をどのように移動したかに関する情報がオペレーティング システムに保存される場所、BEC を使用してこれらのアーティファクトを調べる方法を学びます。 また、インシデント調査とリモート アクセス検出の観点からシステム ログ内のどのようなイベントが重要であるかを学び、BEC を使用してそれらを調査する方法も学びます。

このコースは、侵入成功の理由を特定し、一連のイベントとサイバー攻撃の結果を分析する技術専門家にとって役立ちます。 システム管理者。 SOC および CERT/CSIRT スタッフ。 情報セキュリティスタッフ。

コースの概要

Cyber​​ Kill Chain では、被害者のコンピュータ (またはコンピュータ ネットワーク) に対する技術的攻撃の主な段階を次のように説明します。

SOC 従業員 (CERT、情報セキュリティなど) の行動は、保護された情報リソースへの侵入者のアクセスを防ぐことを目的としています。

攻撃者が保護されたインフラストラクチャに侵入した場合、上記の担当者は、攻撃者の活動による被害を最小限に抑え、攻撃がどのように行われたかを特定し、侵害された情報構造内でのイベントと攻撃者の一連の行動を再構築し、次の措置を講じる必要があります。今後この種の攻撃を防ぐための措置を講じます。

侵害された情報インフラストラクチャでは、ネットワーク (コンピューター) が侵害されたことを示す次の種類の痕跡が見つかります。

このような痕跡はすべて、Belkasoft Evidence Center プログラムを使用して見つけることができます。

BEC には「インシデント調査」モジュールがあり、ストレージ メディアを分析するときに、研究者がインシデントを調査する際に役立つアーティファクトに関する情報が配置されます。

BEC は、Amcache、Userassist、Prefetch、BAM/DAM ファイル、 Windows 10タイムライン、システム イベントの分析。

侵害されたシステムでのユーザーのアクションに関する情報を含むトレースに関する情報は、次の形式で表示されます。

この情報には、実行可能ファイルの実行に関する情報が含まれます。

ファイル「RDPWInst.exe」の実行に関する情報。

侵害されたシステムにおける攻撃者の存在に関する情報は、Windows レジストリのスタートアップ キー、サービス、スケジュールされたタスク、ログオン スクリプト、WMI などで見つかります。 システムに接続されている攻撃者に関する情報を検出する例を、次のスクリーンショットに示します。

PowerShell スクリプトを実行するタスクを作成することで、タスク スケジューラを使用して攻撃者を制限します。

Windows Management Instrumentation (WMI) を使用して攻撃者を統合します。

ログオン スクリプトを使用して攻撃者を統合します。

侵害されたコンピュータ ネットワーク全体での攻撃者の移動は、たとえば Windows システム ログを分析することによって検出できます (攻撃者が RDP サービスを使用している場合)。

検出された RDP 接続に関する情報。

ネットワーク上の攻撃者の移動に関する情報。

したがって、Belkasoft Evidence Center は、研究者が攻撃されたコンピュータ ネットワーク内で侵害されたコンピュータを特定し、マルウェアの起動の痕跡、システム内での固定およびネットワーク内での移動の痕跡、侵害されたコンピュータ上での攻撃者の活動のその他の痕跡を見つけるのに役立ちます。

このような調査を実施し、上記のアーティファクトを検出する方法については、Belkasoft Incident Response Exam トレーニング コースで説明されています。

コースプラン：

• サイバー攻撃の傾向。 攻撃者のテクノロジー、ツール、目的
• 脅威モデルを使用して攻撃者の戦術、テクニック、手順を理解する
• サイバーキルチェーン
• インシデント対応アルゴリズム: 識別、位置特定、インジケーターの生成、新たに感染したノードの検索
• BEC を使用した Windows システムの分析
• BECを使用したマルウェアの一次感染、ネットワーク拡散、統合、およびネットワーク活動の手法の検出
• BEC を使用して感染したシステムを特定し、感染履歴を復元する
• 応用問題

よくある質問コースはどこで開催されますか?
コースは、Group-IB 本部または外部サイト (トレーニング センター) で開催されます。 法人顧客がいる現場へトレーナーが出張することも可能です。

誰が授業を行うのですか?
Group-IB のトレーナーは、フォレンジック調査、企業調査、情報セキュリティ インシデントへの対応において長年の経験を持つ専門家です。

トレーナーの資格は、GCFA、MCFE、ACE、EnCE などの多数の国際証明書によって確認されています。

私たちのトレーナーは聴衆との共通言語を簡単に見つけて、最も複雑なトピックでも明確に説明します。 学生は、コンピュータインシデントの調査、コンピュータ攻撃の特定と対策方法について多くの関連性のある興味深い情報を学び、卒業後すぐに応用できる実際的な知識を得ることができます。

コースでは、Belkasoft 製品に関係のない有用なスキルが提供されますか? それとも、このソフトウェアがなければこれらのスキルは適用できませんか?
トレーニング中に習得したスキルは、Belkasoft 製品を使用しなくても役立ちます。

初期テストには何が含まれますか?

一次テストは、コンピューターフォレンジックの基本に関する知識をテストするものです。 Belkasoft および Group-IB 製品に関する知識をテストする予定はありません。

会社の教育コースに関する情報はどこで入手できますか?

Group-IB は、教育コースの一環として、インシデント対応、マルウェア研究、サイバー インテリジェンス スペシャリスト (脅威インテリジェンス)、セキュリティ オペレーション センター (SOC) で働くスペシャリスト、プロアクティブな脅威ハンティングのスペシャリスト (脅威ハンター) などを訓練します。 。 Group-IB の独自コースの完全なリストが利用可能です ここで.

Group-IB と Belkasoft の共同コースを完了した学生はどのようなボーナスを受け取りますか?
Group-IB と Belkasoft 間の共同コースのトレーニングを完了した人には、以下が与えられます。

1. コース修了証明書。
2. Belkasoft Evidence Center への月額無料サブスクリプション。
3. Belkasoft Evidence Center の購入が 10% 割引になります。

最初のコースは月曜日に始まることをお知らせします。 9 9月, - 情報セキュリティ、コンピュータフォレンジック、インシデント対応の分野における独自の知識を得る機会をお見逃しなく! コースへの登録 ここで.

ソース記事を作成する際、Oleg Skulkin によるプレゼンテーション「ホストベースのフォレンジックを使用して、インテリジェンス主導のインシデント対応を成功させるための侵害の兆候を取得する」を使用しました。

出所： habr.com