Group-IB және Belkasoft бірлескен курстары: біз нені үйретеміз және кім барады

Ақпараттық қауіпсіздік инциденттеріне әрекет ету алгоритмдері мен тактикасы, қазіргі кибершабуылдардың тенденциялары, компаниялардағы деректердің ағып кетуін зерттеу тәсілдері, браузерлер мен мобильді құрылғыларды зерттеу, шифрланған файлдарды талдау, геолокация деректерін шығару және үлкен деректер көлемінің аналитикасы - осы және басқа да тақырыптар. Group-IB және Belkasoft жаңа бірлескен курстарында оқытылады. Тамыз айында біз жарияланды 9 қыркүйекте басталатын алғашқы Belkasoft сандық криминалистика курсы және көптеген сұрақтар алған соң, біз студенттердің нені оқитынын, қандай білім, құзыреттер мен бонустар (!) алатынын толығырақ айтуды жөн көрдік. кім соңына жетеді. Барлығы туралы ретімен.

Екі барлығы бір

Бірлескен оқу курстарын өткізу идеясы Group-IB курстарының қатысушылары бұзылған компьютерлік жүйелер мен желілерді зерттеуге көмектесетін және біз ұсынатын әртүрлі тегін утилиталардың функционалдығын біріктіретін құрал туралы сұрай бастағаннан кейін пайда болды. оқиғаға жауап беру кезінде пайдалану.

Біздің ойымызша, Belkasoft Evidence Center мұндай құрал болуы мүмкін (біз бұл туралы бұрын айтқанбыз мақала Игорь Михайлов «Бастау кілті: компьютерлік криминалистикаға арналған ең жақсы бағдарламалық және аппараттық құрал»). Сондықтан, біз Belkasoft-пен бірлесіп екі оқу курсын әзірледік: Belkasoft сандық криминалистика и Belkasoft оқиғасына жауап беру сараптамасы.

МАҢЫЗДЫ: курстар бірізді және өзара байланысты! Belkasoft Digital Forensics Belkasoft Evidence Center бағдарламасына арналған және Belkasoft Incident Response Examination Belkasoft өнімдерін пайдаланып оқиғаны тергеуге арналған. Яғни, Belkasoft Incident Response Examination курсын оқымас бұрын, Belkasoft Digital Forensics курсын аяқтауды ұсынамыз. Оқиғаны тергеу курсын бірден бастасаңыз, студентте Belkasoft дәлелдеу орталығын пайдалануда, сот-медициналық артефактілерді табу және зерттеуде тітіркендіретін білім кемшіліктері болуы мүмкін. Бұл Belkasoft Incident Response Examination курсы кезінде студенттің материалды меңгеруге уақыты болмайтындығына немесе топтың қалған бөлігінің жаңа білім алуын баяулататынына әкелуі мүмкін, өйткені оқу уақытын оқытушы жұмсайды. Belkasoft сандық криминалистика курсының материалын түсіндіретін жаттықтырушы.

Belkasoft дәлелдеу орталығымен компьютерлік сот сараптамасы

Курстың мақсаты Belkasoft сандық криминалистика — студенттерді Belkasoft Evidence Center бағдарламасымен таныстыру, осы бағдарламаны әртүрлі көздерден (бұлтты сақтау, жедел жад (RAM), мобильді құрылғылар, сақтау құралдары (қатты дискілер, флэш-дискілер және т.б.) деректер жинау үшін пайдалануды үйрету. , негізгі криминалистикалық әдістер мен әдістерді, Windows артефактілерін, мобильді құрылғыларды, жад қоқыстарын криминалистикалық зерттеу әдістерін меңгеріңіз Сондай-ақ, сіз браузер мен лезде хабар алмасу артефактілерін анықтау және құжаттау, әртүрлі көздерден деректердің криминалистикалық көшірмелерін жасау, геолокация деректерін алу және іздеу әдістерін үйренесіз. мәтін тізбегі үшін (кілт сөздер бойынша іздеу), зерттеуде хэштерді қолданыңыз, Windows реестріне талдау жасаңыз, белгісіз SQLite дерекқорларын зерттеу дағдыларын, графикалық және бейне файлдарды зерттеу негіздерін және зерттеу барысында қолданылатын аналитикалық әдістерді үйреніңіз.

Курс компьютерлік-техникалық сараптама (компьютерлік сараптама) саласындағы маманданған сарапшылар үшін пайдалы болады; сәтті ену себептерін анықтайтын, оқиғалар тізбегін және кибершабуылдардың салдарын талдайтын техникалық мамандар; инсайдер (ішкі құқық бұзушы) деректердің ұрлануын (ағып кетуін) анықтайтын және құжаттайтын техникалық мамандар; e-Discovery мамандары; SOC және CERT/CSIRT қызметкерлері; ақпараттық қауіпсіздік қызметкерлері; компьютерлік сот сараптамасының әуесқойлары.

Курс жоспары:

• Belkasoft Evidence Center (BEC): алғашқы қадамдар
• BEC-те істерді құру және өңдеу
• BEC-пен сот-медициналық тергеуде цифрлық дәлелдемелерді жинау

• Сүзгілерді пайдалану
• Есеп беру
• Жылдам хабар алмасу бағдарламаларын зерттеу

• Веб-шолғышты зерттеу

• Мобильді зерттеу
• Геолокация деректерін шығару

• Істердегі мәтін ретін іздеңіз
• Бұлттық қоймалардан деректерді алу және талдау
• Зерттеу барысында табылған маңызды дәлелдерді бөлектеу үшін бетбелгілерді пайдалану
• Windows жүйелік файлдарын тексеру

• Windows тізілімін талдау
• SQLite деректер базасын талдау

• Деректерді қалпына келтіру әдістері
• ЖЖҚ қоқыстарын тексеру әдістері
• Сот-медициналық тергеуде хэш-калькуляторды және хэш талдауын қолдану
• Шифрланған файлдарды талдау
• Графикалық және бейне файлдарды зерттеу әдістері
• Криминалистикалық зерттеулерде аналитикалық әдістерді қолдану
• Belkascripts ендірілген бағдарламалау тілін пайдалана отырып, күнделікті әрекеттерді автоматтандыру

• Практикалық сабақтар

Курс: Belkasoft оқиғаға жауап беру емтиханы

Курстың мақсаты кибершабуылдарды криминалистикалық тергеу негіздерін және тергеуде Belkasoft Evidence Center пайдалану мүмкіндіктерін үйрену болып табылады. Сіз компьютерлік желілерге қазіргі заманғы шабуылдардың негізгі векторларымен танысасыз, MITER ATT & CK матрицасы негізінде компьютерлік шабуылдарды қалай жіктеуді үйренесіз, компромисс фактісін анықтау және шабуылдаушылардың әрекеттерін қайта құру үшін операциялық жүйені зерттеу алгоритмдерін қолданасыз, қай жерде екенін білесіз. Артефактілер қай файлдардың соңғы рет ашылғанын көрсететін орналасқан, операциялық жүйе орындалатын файлдарды жүктеу және іске қосу туралы ақпаратты, шабуылдаушылар желіде қалай қозғалғаны туралы ақпаратты сақтайды және BEC арқылы осы артефактілерді зерттеуді үйренеді. Оқиғаларды зерттеу және қашықтан қол жеткізуді анықтау үшін қандай жүйе оқиғалары қызықтыратынын және BEC көмегімен оларды зерттеу жолын үйренесіз.

Курс сәтті енудің себептерін анықтайтын, оқиғалар тізбегін және кибершабуылдардың салдарын талдайтын техникалық мамандар үшін пайдалы болады; жүйелік әкімшілер; SOC және CERT/CSIRT қызметкерлері; ақпаратты қорғау қызметкерлері.

Курсқа шолу

Cyber ​​​​Kill Chain жәбірленушінің компьютерлеріне (немесе компьютерлік желісіне) кез келген техникалық шабуылдың негізгі кезеңдерін келесідей сипаттайды:

SOC қызметкерлерінің әрекеттері (CERT, ақпараттық қауіпсіздік және т.б.) зиянкестердің қорғалған ақпараттық ресурстарға қол жеткізуін болдырмауға бағытталған.

Егер бұзушылар қорғалған инфрақұрылымға соған қарамастан еніп кетсе, онда жоғарыда аталған тұлғалар шабуылдаушылардың әрекетінен келетін залалды барынша азайтуға тырысуы, шабуылдың қалай жасалғанын анықтауы, бұзылған ақпараттық құрылымдағы оқиғалар мен шабуылдаушылардың әрекеттерінің ретін қайта құруы және болашақта мұндай шабуылдардың алдын алу үшін шаралар қабылдау.

Бұзылған ақпараттық инфрақұрылымда желінің (компьютердің) бұзылуын көрсететін іздердің келесі түрлерін табуға болады:

Барлық осындай іздерді Belkasoft Evidence Center арқылы табуға болады.

BEC-де «Инциденттерді зерттеу» модулі бар, онда сақтау құралдарын талдау кезінде зерттеушіге инциденттерді тергеуге көмектесетін артефактілер туралы ақпарат орналастырылады.

BEC Amcache, Userassist, Prefetch, BAM/DAM, соның ішінде зерттелетін жүйеде орындалатын файлдарды іске қосуды көрсететін Windows артефактілерінің негізгі түрлерін тексеруді қолдайды. Windows 10 хронологиясы, жүйелік оқиғаларды талдау.

Бұзылған жүйедегі пайдаланушы әрекеттері туралы ақпаратты қамтитын жолдар туралы ақпаратты келесі пішінде көрсетуге болады:

Бұл ақпарат, басқалармен қатар, орындалатын файлдарды іске қосу туралы ақпаратты қамтиды:

'RDPWInst.exe' файлын іске қосу туралы ақпарат.

Бұзылған жүйелерде қалған шабуылдаушылар туралы ақпаратты Windows тізілімінің іске қосу кілттерінен, қызметтерінен, жоспарланған тапсырмалардан, жүйеге кіру сценарийлерінен, WMI және т.б. табуға болады. Шабуыл жасаушының жүйесінде бекіту ақпаратын анықтау мысалдарын келесі скриншоттардан көруге болады:

PowerShell сценарийін іске қосатын тапсырманы жасау арқылы тапсырмаларды жоспарлаушы арқылы шабуылдаушыларды бекіту.

Windows Management Instrumentation (WMI) көмегімен шабуылдаушыларды түзету.

Логин сценарийімен шабуылдаушыларды бекіту.

Қауіпсіздікке ұшыраған компьютер желісі бойынша шабуылдаушылардың қозғалысын, мысалы, Windows жүйесінің журналдарын талдау арқылы анықтауға болады (шабуылдаушылар RDP қызметін пайдаланған кезде).

Анықталған RDP қосылымдары туралы ақпарат.

Желі арқылы шабуылдаушылардың қозғалысы туралы ақпарат.

Осылайша, Belkasoft Evidence Center зерттеушілерге шабуылға ұшыраған компьютерлік желідегі бұзылған компьютерлерді анықтауға, зиянды бағдарламаларды іске қосу іздерін, жүйеде түзету және желіде қозғалу іздерін және зақымдалған компьютерлердегі шабуылдаушылардың әрекеттерінің басқа іздерін табуға көмектесе алады.

Мұндай зерттеулерді қалай жүргізу және жоғарыда сипатталған артефактілерді анықтау Belkasoft Incident Response Examination оқыту курсында сипатталған.

Курс жоспары:

• Кибершабуылдардың тенденциялары. Шабуылшылардың технологиялары, құралдары, мақсаттары
• Шабуыл жасаушылардың тактикасын, әдістерін және процедураларын түсіну үшін қауіп үлгілерін пайдалану
• Кибер өлтіру тізбегі
• Оқиғаға жауап беру алгоритмі: идентификация, локализация, индикаторларды генерациялау, жаңа жұқтырған түйіндерді іздеу
• BEC көмегімен Windows жүйелерін талдау
• Біріншілік инфекция әдістерін анықтау, желілік таралу, тұрақтылық, BEC көмегімен зиянды бағдарламаның желілік белсенділігі
• БЭК көмегімен жұқтырған жүйелерді анықтау және инфекция тарихын қалпына келтіру
• Практикалық сабақтар

FAQКурстар қайда өтеді?
Курстар Group-IB штаб-пәтерінде немесе сыртқы сайтта (оқу орталығында) өткізіледі. Тренердің корпоративтік клиенттерге платформаларда кетуі мүмкін.

Сабақтарды кім жүргізеді?
Group-IB тренерлері – сот-медициналық тергеулер, корпоративтік тергеулер және ақпараттық қауіпсіздік инциденттеріне жауап беру саласында көп жылдық тәжірибесі бар тәжірибешілер.

Тренерлердің біліктілігі көптеген халықаралық сертификаттармен расталады: GCFA, MCFE, ACE, EnCE және т.б.

Тренерлеріміз тіпті ең күрделі тақырыптарды да қолжетімді түрде түсіндіре отырып, аудиториямен оңай ортақ тіл табады. Студенттер компьютерлік инциденттерді тергеу, компьютерлік шабуылдарды анықтау және оларға қарсы әрекет ету әдістері туралы көптеген өзекті және қызықты ақпаратты біледі, оқуды аяқтағаннан кейін бірден қолдануға болатын нақты практикалық білім алады.

Курстар Belkasoft өнімдеріне қатысы жоқ пайдалы дағдыларды қамтамасыз ете ме, әлде бұл дағдылар осы бағдарламалық жасақтамасыз қолданылмайды ма?
Тренингтер барысында алынған дағдылар Belkasoft өнімдерін пайдаланбай-ақ пайдалы болады.

Бастапқы тестілеуге не кіреді?

Бастапқы тестілеу – компьютерлік криминалистика негіздерін білуді тексеру. Belkasoft және Group-IB өнімдерін білуге ​​тестілеу жоспарланбаған.

Компанияның білім беру курстары туралы ақпаратты қайдан алуға болады?

Білім беру курстары аясында Group-IB инциденттерге әрекет ету, зиянды бағдарламаларды зерттеу, кибер барлау мамандарын (Threat Intelligence), Қауіпсіздік операциялық орталығында (SOC) жұмыс істеу үшін мамандарды, қауіптерді алдын ала іздеу мамандарын (Threat Hunter) және т.б. дайындайды. . Group-IB авторлық курстарының толық тізімі қол жетімді осында.

Group-IB және Belkasoft бірлескен курстарын бітірген студенттер қандай бонустар алады?
Group-IB және Belkasoft бірлескен курстарын бітіргендер мыналарды алады:

1. курсты аяқтағаны туралы сертификат;
2. Belkasoft дәлелдеу орталығына ай сайынғы тегін жазылу;
3. Belkasoft Evidence Center сатып алу үшін 10% жеңілдік.

Бірінші курс дүйсенбіде басталатынын еске саламыз, 9 қыркүйек, — ақпараттық қауіпсіздік, компьютерлік криминалистика және инциденттерге ден қою саласында бірегей білім алу мүмкіндігін жіберіп алмаңыз! Курсқа тіркелу осында.

Ақпарат көздеріМақаланы дайындау кезінде Олег Скулкиннің «Барлаумен негізделген инциденттерге сәтті әрекет ету үшін ымыраға келу көрсеткіштерін алу үшін хост негізіндегі криминалистикалық сараптаманы пайдалану» презентациясы пайдаланылды.

Ақпарат көзі: www.habr.com