Group-IB და Belkasoft ერთობლივი კურსები: რას ვასწავლით და ვინ დაესწრება

ინფორმაციული უსაფრთხოების ინციდენტებზე რეაგირების ალგორითმები და ტაქტიკა, მიმდინარე კიბერშეტევების ტენდენციები, კომპანიებში მონაცემთა გაჟონვის გამოკვლევის მიდგომები, ბრაუზერებისა და მობილური მოწყობილობების კვლევა, დაშიფრული ფაილების ანალიზი, გეოლოკაციის მონაცემების მოპოვება და დიდი მონაცემთა მოცულობის ანალიტიკა - ეს ყველაფერი და სხვა თემები შეიძლება შეისწავლება Group-IB და Belkasoft-ის ახალ ერთობლივ კურსებზე. აგვისტოში ჩვენ გამოაცხადა პირველი Belkasoft Digital Forensics კურსი, რომელიც იწყება 9 სექტემბერს და დიდი რაოდენობით კითხვების მიღების შემდეგ, გადავწყვიტეთ უფრო დეტალურად გვეთქვა, რას შეისწავლიან სტუდენტები, რა ცოდნას, კომპეტენციებს და პრემიებს (!) მიიღებენ ისინი. რომლებიც აღწევენ ბოლომდე. ყველაფრის შესახებ წესრიგში.

ორი ყველა ერთში

ერთობლივი ტრენინგის კურსების ჩატარების იდეა გაჩნდა მას შემდეგ, რაც Group-IB კურსების მონაწილეებმა დაიწყეს კითხვა ინსტრუმენტის შესახებ, რომელიც დაეხმარება მათ კომპრომეტირებული კომპიუტერული სისტემებისა და ქსელების გამოძიებაში და აერთიანებს სხვადასხვა უფასო კომუნალური სერვისების ფუნქციონირებას, რომელსაც ჩვენ გირჩევთ. გამოყენება ინციდენტის რეაგირების დროს.

ჩვენი აზრით, Belkasoft Evidence Center შეიძლება იყოს ასეთი ინსტრუმენტი (ამაზე უკვე ვისაუბრეთ მუხლი იგორ მიხაილოვი "გასაღები დასაწყებად: საუკეთესო პროგრამული უზრუნველყოფა და აპარატურა კომპიუტერული სასამართლო ექსპერტიზისთვის"). აქედან გამომდინარე, ჩვენ, Belkasoft-თან ერთად, შევიმუშავეთ ორი სასწავლო კურსი: Belkasoft ციფრული სასამართლო ექსპერტიზა и Belkasoft ინციდენტზე რეაგირების ექსპერტიზა.

მნიშვნელოვანია: კურსები თანმიმდევრული და ურთიერთდაკავშირებულია! Belkasoft Digital Forensics ეძღვნება Belkasoft Evidence Center პროგრამას, ხოლო Belkasoft Incident Response Examination ეძღვნება ინციდენტის გამოძიებას Belkasoft-ის პროდუქტების გამოყენებით. ანუ, Belkasoft Incident Response Examination კურსის შესწავლამდე, ჩვენ გირჩევთ დაასრულოთ Belkasoft Digital Forensics კურსი. თუ დაუყოვნებლივ დაიწყებთ ინციდენტის გამოძიების კურსს, სტუდენტს შეიძლება ჰქონდეს შემაშფოთებელი ცოდნის ხარვეზები Belkasoft Evidence Center-ის გამოყენებაში, სასამართლო ექსპერტიზის არტეფაქტების მოძიებასა და კვლევაში. ამან შეიძლება გამოიწვიოს ის ფაქტი, რომ Belkasoft Incident Response Examination კურსის დროს სტუდენტს ან არ ექნება დრო მასალის ათვისებისთვის, ან შეანელებს ჯგუფის დანარჩენ წევრებს ახალი ცოდნის მიღებაში, რადგან ტრენინგის დროს გაატარებს ტრენერი ხსნის მასალას Belkasoft Digital Forensics კურსიდან.

კომპიუტერული სასამართლო ექსპერტიზა Belkasoft Evidence Center-ით

კურსის მიზანი Belkasoft ციფრული სასამართლო ექსპერტიზა — გააცნოთ სტუდენტებს Belkasoft Evidence Center პროგრამას, ასწავლეთ მათ, თუ როგორ გამოიყენონ ეს პროგრამა მტკიცებულებების შესაგროვებლად სხვადასხვა წყაროდან (ღრუბლოვანი მეხსიერება, შემთხვევითი წვდომის მეხსიერება (RAM), მობილური მოწყობილობები, შენახვის მედია (მყარი დისკები, ფლეშ დრაივები და ა.შ.) , დაეუფლეთ საბაზისო სასამართლო ტექნიკებს და ტექნიკას, მეთოდებს ვინდოუსის არტეფაქტების, მობილური მოწყობილობების, მეხსიერების ნაგავსაყრელის სასამართლო გამოკვლევის მეთოდებს. ტექსტის თანმიმდევრობისთვის (საკვანძო სიტყვების მიხედვით ძიება), გამოიყენე ჰეშები კვლევაში, გააანალიზე Windows რეესტრი, ისწავლე უცნობი SQLite მონაცემთა ბაზების კვლევის უნარები, გრაფიკული და ვიდეო ფაილების კვლევის საფუძვლები და გამოძიების პროცესში გამოყენებული ანალიტიკური ტექნიკა.

კურსი გამოადგებათ კომპიუტერულ-ტექნიკური ექსპერტიზის დარგის სპეციალიზაციის მქონე ექსპერტებს (კომპიუტერული ექსპერტიზა); ტექნიკური სპეციალისტები, რომლებიც განსაზღვრავენ წარმატებული შეჭრის მიზეზებს, აანალიზებენ მოვლენების ჯაჭვს და კიბერშეტევების შედეგებს; ტექნიკური სპეციალისტები, რომლებიც იდენტიფიცირებენ და დოკუმენტირებენ მონაცემთა ქურდობას (გაჟონვას) ინსაიდერის (შიდა დამნაშავე) მიერ; e-Discovery სპეციალისტები; SOC და CERT/CSIRT პერსონალი; ინფორმაციის უსაფრთხოების ოფიცრები; კომპიუტერული სასამართლო ექსპერტიზის ენთუზიასტები.

კურსის გეგმა:

• Belkasoft Evidence Center (BEC): პირველი ნაბიჯები
• საქმეების შექმნა და დამუშავება BEC-ში
• ციფრული მტკიცებულებების შეგროვება სასამართლო ექსპერტიზის დროს BEC-თან

• ფილტრების გამოყენება
• მოხსენება
• მყისიერი შეტყობინებების პროგრამების შესწავლა

• ვებ ბრაუზერის კვლევა

• მობილური კვლევა
• გეოლოკაციის მონაცემების მოპოვება

• მოძებნეთ ტექსტის თანმიმდევრობა საქმეებში
• მონაცემთა მოპოვება და ანალიზი ღრუბლოვანი საცავებიდან
• სანიშნეების გამოყენება კვლევის დროს ნაპოვნი მნიშვნელოვანი მტკიცებულებების ხაზგასასმელად
• Windows სისტემის ფაილების შესწავლა

• Windows რეესტრის ანალიზი
• SQLite მონაცემთა ბაზის ანალიზი

• მონაცემთა აღდგენის მეთოდები
• RAM-ის ნაგავსაყრელის გამოკვლევის ტექნიკა
• ჰეშის კალკულატორისა და ჰეშის ანალიზის გამოყენება სასამართლო ექსპერტიზაში
• დაშიფრული ფაილების ანალიზი
• გრაფიკული და ვიდეო ფაილების კვლევის მეთოდები
• ანალიტიკური ტექნიკის გამოყენება სასამართლო კვლევებში
• რუტინული მოქმედებების ავტომატიზაცია ჩაშენებული პროგრამირების ენის Belkascripts-ის გამოყენებით

• პრაქტიკული სავარჯიშოები

კურსი: Belkasoft ინციდენტების რეაგირების გამოცდა

კურსის მიზანია კიბერშეტევების სასამართლო ექსპერტიზის საფუძვლების შესწავლა და გამოძიებაში Belkasoft Evidence Center-ის გამოყენების შესაძლებლობები. თქვენ გაეცნობით კომპიუტერულ ქსელებზე თანამედროვე თავდასხმების ძირითად ვექტორებს, შეიტყობთ როგორ კლასიფიციროთ კომპიუტერის შეტევები MITER ATT & CK მატრიცის საფუძველზე, გამოიყენებთ ოპერაციული სისტემის კვლევის ალგორითმებს კომპრომისის ფაქტის დასადგენად და თავდამსხმელთა მოქმედებების რეკონსტრუქციას, გაარკვიეთ სად განლაგებულია არტეფაქტები, რომლებიც მიუთითებს იმაზე, თუ რომელი ფაილები გაიხსნა ბოლოს, სადაც ოპერაციული სისტემა ინახავს ინფორმაციას შესრულებადი ფაილების ჩატვირთვისა და გაშვების შესახებ, როგორ მოძრაობდნენ თავდამსხმელები ქსელში და ისწავლიან როგორ გამოიკვლიონ ეს არტეფაქტები BEC-ის გამოყენებით. თქვენ ასევე შეიტყობთ, თუ რომელი syslog მოვლენებია საინტერესო ინციდენტის გამოძიებისა და დისტანციური წვდომის განსაზღვრისთვის და შეისწავლით როგორ გამოიძიოთ ისინი BEC-ის გამოყენებით.

კურსი სასარგებლო იქნება ტექნიკური სპეციალისტებისთვის, რომლებიც განსაზღვრავენ წარმატებული შეჭრის მიზეზებს, აანალიზებენ მოვლენების ჯაჭვს და კიბერშეტევების შედეგებს; სისტემის ადმინისტრატორები; SOC და CERT/CSIRT პერსონალი; ინფორმაციის უსაფრთხოების პერსონალი.

კურსის მიმოხილვა

Cyber ​​Kill Chain აღწერს მსხვერპლის კომპიუტერებზე (ან კომპიუტერულ ქსელზე) ნებისმიერი ტექნიკური თავდასხმის ძირითად ეტაპებს შემდეგნაირად:

SOC-ის თანამშრომლების ქმედებები (CERT, ინფორმაციული უსაფრთხოება და ა.შ.) მიზნად ისახავს თავდამსხმელების დაცულ საინფორმაციო რესურსებზე წვდომის თავიდან აცილებას.

თუ თავდამსხმელებმა მაინც შეაღწიეს დაცულ ინფრასტრუქტურაში, მაშინ ზემოაღნიშნულმა პირებმა უნდა შეეცადონ მინიმუმამდე დაიყვანონ თავდამსხმელთა მოქმედებებიდან მიყენებული ზიანი, დაადგინონ, როგორ განხორციელდა თავდასხმა, აღადგინონ თავდამსხმელების მოვლენები და ქმედებების თანმიმდევრობა კომპრომეტირებული ინფორმაციის სტრუქტურაში და მიიღოს ზომები მომავალში ამ ტიპის თავდასხმების თავიდან ასაცილებლად.

გაფუჭებულ საინფორმაციო ინფრასტრუქტურაში შეიძლება მოიძებნოს შემდეგი ტიპის კვალი, რომელიც მიუთითებს ქსელის (კომპიუტერის) კომპრომისზე:

ყველა ასეთი კვალი შეგიძლიათ იხილოთ Belkasoft Evidence Center-ის გამოყენებით.

BEC-ს აქვს „ინციდენტების გამოძიების“ მოდული, სადაც შესანახი მედიის გაანალიზებისას განთავსებულია ინფორმაცია არტეფაქტების შესახებ, რომელიც შეიძლება დაეხმაროს მკვლევარს ინციდენტების გამოძიებაში.

BEC მხარს უჭერს Windows-ის არტეფაქტების ძირითადი ტიპების გამოკვლევას, რომელიც მიუთითებს გამოსაკვლევ სისტემაზე შესრულებადი ფაილების გაშვებაზე, მათ შორის Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 ქრონოლოგია, სისტემური მოვლენების ანალიზი.

ინფორმაცია კვალის შესახებ, რომელიც შეიცავს ინფორმაციას კომპრომეტირებული სისტემაში მომხმარებლის ქმედებების შესახებ, შეიძლება წარმოდგენილი იყოს შემდეგი ფორმით:

ეს ინფორმაცია, სხვა საკითხებთან ერთად, შეიცავს ინფორმაციას შესრულებადი ფაილების გაშვების შესახებ:

ინფორმაცია ფაილის "RDPWInst.exe" გაშვების შესახებ.

ინფორმაცია თავდამსხმელების შესახებ, რომლებიც რჩებიან კომპრომეტირებულ სისტემებზე, შეგიძლიათ იხილოთ Windows რეესტრის გაშვების გასაღებებში, სერვისებში, დაგეგმილ ამოცანებში, Logon სკრიპტებში, WMI და ა.შ. თავდამსხმელის სისტემაში ჩამაგრებული ინფორმაციის აღმოჩენის მაგალითები შეგიძლიათ იხილოთ შემდეგ სკრინშოტებში:

თავდამსხმელების ჩამაგრება დავალების განრიგის გამოყენებით დავალების შექმნით, რომელიც აწარმოებს PowerShell სკრიპტს.

თავდამსხმელების დაფიქსირება Windows მართვის ინსტრუმენტაციის (WMI) გამოყენებით.

თავდამსხმელების ჩამაგრება Logon სკრიპტით.

თავდამსხმელთა მოძრაობა კომპრომეტირებულ კომპიუტერულ ქსელში შეიძლება გამოვლინდეს, მაგალითად, Windows სისტემის ჟურნალების ანალიზით (როდესაც თავდამსხმელები იყენებენ RDP სერვისს).

ინფორმაცია აღმოჩენილი RDP კავშირების შესახებ.

ინფორმაცია ქსელში თავდამსხმელების გადაადგილების შესახებ.

ამრიგად, Belkasoft Evidence Centre-ს შეუძლია დაეხმაროს მკვლევარებს, ამოიცნონ კომპრომეტირებული კომპიუტერები თავდასხმულ კომპიუტერულ ქსელში, იპოვონ მავნე პროგრამების გაშვების კვალი, სისტემაში დაფიქსირების კვალი და ქსელში გადაადგილება და თავდამსხმელთა საქმიანობის სხვა კვალი დაზიანებულ კომპიუტერებზე.

როგორ ჩატარდეს ასეთი კვლევები და აღმოაჩინოს ზემოთ აღწერილი არტეფაქტები, აღწერილია Belkasoft Incident Response Examination სასწავლო კურსში.

კურსის გეგმა:

• კიბერშეტევების ტენდენციები. ტექნოლოგიები, ინსტრუმენტები, თავდამსხმელთა მიზნები
• საფრთხის მოდელების გამოყენება თავდამსხმელთა ტაქტიკის, ტექნიკისა და პროცედურების გასაგებად
• კიბერ მკვლელობის ჯაჭვი
• ინციდენტზე რეაგირების ალგორითმი: იდენტიფიკაცია, ლოკალიზაცია, ინდიკატორების გენერირება, ახალი ინფიცირებული კვანძების ძიება
• Windows სისტემების ანალიზი BEC-ით
• პირველადი ინფექციის მეთოდების იდენტიფიცირება, ქსელის გავრცელება, მდგრადობა, მავნე პროგრამის ქსელური აქტივობა BEC-ის გამოყენებით
• ინფიცირებული სისტემების იდენტიფიკაცია და ინფექციის ისტორიის აღდგენა BEC-ის გამოყენებით
• პრაქტიკული სავარჯიშოები

კითხვა-პასუხისად ტარდება კურსები?
კურსები ტარდება Group-IB-ის სათაო ოფისში ან გარე ადგილზე (ტრენინგ ცენტრში). ტრენერის გამგზავრება პლატფორმებზე კორპორატიულ კლიენტებთან შესაძლებელია.

ვინ ატარებს გაკვეთილებს?
ტრენერები Group-IB-ში არიან პრაქტიკოსები, რომლებსაც აქვთ მრავალწლიანი გამოცდილება სასამართლო გამოძიებებში, კორპორატიულ გამოძიებებში და ინფორმაციული უსაფრთხოების ინციდენტებზე რეაგირებაში.

ტრენერების კვალიფიკაცია დადასტურებულია მრავალი საერთაშორისო სერტიფიკატით: GCFA, MCFE, ACE, EnCE და ა.შ.

ჩვენი ტრენერები ადვილად პოულობენ საერთო ენას აუდიტორიასთან, უხსნიან ყველაზე რთულ თემებსაც კი ხელმისაწვდომი გზით. სტუდენტები გაეცნობიან უამრავ შესაბამის და საინტერესო ინფორმაციას კომპიუტერული ინციდენტების გამოძიების შესახებ, კომპიუტერული შეტევების გამოვლენისა და წინააღმდეგობის მეთოდებს, მიიღებენ რეალურ პრაქტიკულ ცოდნას, რომლის გამოყენებაც შეუძლიათ სკოლის დამთავრებისთანავე.

უზრუნველყოფს თუ არა კურსები სასარგებლო უნარებს, რომლებიც არ არის დაკავშირებული Belkasoft-ის პროდუქტებთან, თუ ეს უნარები გამოუყენებელი იქნება ამ პროგრამული უზრუნველყოფის გარეშე?
ტრენინგებზე შეძენილი უნარები გამოგადგებათ Belkasoft-ის პროდუქტების გამოყენების გარეშეც.

რა შედის თავდაპირველ ტესტირებაში?

პირველადი ტესტირება არის კომპიუტერული სასამართლო ექსპერტიზის საფუძვლების ცოდნის ტესტი. Belkasoft და Group-IB პროდუქტების ცოდნის ტესტირება არ იგეგმება.

სად ვიპოვო ინფორმაცია კომპანიის საგანმანათლებლო კურსების შესახებ?

საგანმანათლებლო კურსების ფარგლებში Group-IB ამზადებს სპეციალისტებს ინციდენტების რეაგირებაში, მავნე პროგრამების კვლევაში, კიბერ დაზვერვის სპეციალისტებს (Threat Intelligence), სპეციალისტებს უსაფრთხოების ოპერაციულ ცენტრში (SOC), პროაქტიული საფრთხის ძიების სპეციალისტებს (Threat Hunter) და ა.შ. . საავტორო კურსების სრული სია Group-IB ხელმისაწვდომია აქ.

რა ბონუსებს იღებენ სტუდენტები, რომლებიც დაასრულებენ Group-IB-ისა და Belkasoft-ის ერთობლივ კურსებს?
ვინც დაასრულა Group-IB და Belkasoft-ის ერთობლივი კურსები მიიღებენ:

1. კურსის დასრულების სერთიფიკატი;
2. უფასო ყოველთვიური გამოწერა Belkasoft Evidence Center-ში;
3. 10% ფასდაკლება Belkasoft Evidence Center-ის შესაძენად.

შეგახსენებთ, რომ პირველი კურსი ორშაბათს იწყება, 9 სექტემბერი, — არ გაუშვათ ხელიდან შესაძლებლობა მიიღოთ უნიკალური ცოდნა ინფორმაციული უსაფრთხოების, კომპიუტერული სასამართლო ექსპერტიზისა და ინციდენტებზე რეაგირების სფეროში! კურსზე რეგისტრაცია აქ.

ინფორმაციის წყაროებისტატიის მომზადებისას გამოყენებული იქნა ოლეგ სკულკინის პრეზენტაცია "ჰოსტატზე დაფუძნებული სასამართლო ექსპერტიზის გამოყენება კომპრომისის ინდიკატორების მისაღებად წარმატებული ინციდენტის დაზვერვის საფუძველზე".

წყარო: www.habr.com