Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

Algorithmen an Taktike fir z'äntwerten op Informatiounssécherheetsvirfäll, Trends an aktuellen Cyberattacken, Approche fir d'Untersuchung vun Datenlecken an Firmen, Fuerschung vu Browser a mobilen Apparater, Analyse vun verschlësselte Dateien, Extrait vun Geolocatiounsdaten an Analyse vu grousse Volumen vun Daten - all dës an aner Themen kann op nei gemeinsame Coursen vu Group-IB a Belkasoft studéiert ginn. Am August hu mir ugekënnegt den éischte Belkasoft Digital Forensics Cours, deen den 9. September ufänkt, a mir hunn eng grouss Zuel vu Froen kritt, hu mir beschloss méi detailléiert ze schwätzen iwwer wat d'Studenten studéieren, wat fir Wëssen, Kompetenzen a Bonus (!) um Enn kommen. Éischt Saachen éischt.

Zwee Alles an engem

D'Iddi fir gemeinsame Trainingscoursen ze halen ass erschéngt nodeems d'Participanten vun de Group-IB Coursen ugefaang hunn iwwer en Tool ze froen dat hinnen hëllefe bei der Enquête vu kompromittéierte Computersystemer an Netzwierker, an d'Funktionalitéit vu verschiddene gratis Utilities kombinéieren, déi mir recommandéieren während der Tëschefallreaktioun ze benotzen.

An eiser Meenung no kéint esou en Tool Belkasoft Evidence Center sinn (mir hu scho geschwat an Artikel Igor Mikhailov "Schlëssel zum Start: déi bescht Software an Hardware fir Computer Forensik"). Dofir hu mir zesumme mam Belkasoft zwee Trainingscoursen entwéckelt: Belkasoft Digital Forensics и Belkasoft Incident Response Examen.

WICHTEG: d'Course si sequentiell a matenee verbonnen! Belkasoft Digital Forensics ass dem Belkasoft Evidence Center Programm gewidmet, a Belkasoft Incident Response Examination ass gewidmet fir Tëschefäll z'ënnersichen mat Belkasoft Produkter. Dat ass, ier Dir de Belkasoft Incident Response Examination Cours studéiert, empfeelen mir staark de Belkasoft Digital Forensics Cours ofzeschléissen. Wann Dir direkt mat engem Cours iwwer Tëschefalluntersuchungen ufänkt, kann de Student lästeg Wëssenslücken hunn am Belkasoft Evidence Center ze benotzen, forensesch Artefakte ze fannen an z'ënnersichen. Dëst kann zu der Tatsaach féieren datt während Training am Belkasoft Incident Response Examination Cours de Student entweder keng Zäit huet fir d'Material ze beherrschen, oder de Rescht vum Grupp verlangsamt fir neit Wëssen ze kréien, well d'Trainingszäit gëtt verbruecht. vum Trainer erkläert d'Material vum Belkasoft Digital Forensics Cours.

Computer Forensik mat Belkasoft Evidence Center

Zweck vum Cours Belkasoft Digital Forensics — d'Studente mam Belkasoft Evidence Center Programm aféieren, hinnen erklären, wéi se dëse Programm benotze kënnen, fir Beweiser aus verschiddene Quellen ze sammelen (Cloud-Späicher, RAM), mobilen Apparater, Späichermedien (Festplacken, USB-Sticks, asw.), grondleeënd forensesch Techniken a Methoden, a Methode vun der forensescher Untersuchung vun Artefakten beherrschen Windows, mobil Apparater a RAM-Dumps. Dir léiert och, wéi Dir Browser- an Instant-Messaging-Artefakte identifizéiert an dokumentéiert, forensesch Kopie vun Daten aus verschiddene Quellen erstellt, Geolokatiounsdaten extrahéiert a no Textsequenzen sicht (Schlësselwuertsich), Hashes an der Recherche benotzt a Registrierungsanalysen duerchféiert. Windows, beherrschen d'Fäegkeeten vun der Recherche vun onbekannte SQLite-Datebanken, d'Grondlage vun der Untersuchung vu Grafik- a Videodateien, an analytesch Techniken, déi bei Enquêten benotzt ginn.

De Cours wäert nëtzlech sinn fir Experten mat Spezialisatioun am Beräich vun der Computertechnescher Forensik (Computer Forensik); technesch Spezialisten déi d'Grënn fir eng erfollegräich Andréngen bestëmmen, d'Kette vun Eventer an d'Konsequenze vun Cyberattacken analyséieren; technesch Spezialisten identifizéieren an dokumentéieren Dateverletzung (Leck) vun engem Insider (intern Verstouss); E-Discovery Spezialisten; SOC an CERT / CSIRT Personal; Informatiounen Sécherheet Mataarbechter; Computer Forensik Begeeschterten.

Course Plang:

• Belkasoft Evidence Center (BEC): éischt Schrëtt
• Kreatioun a Veraarbechtung vu Fäll am BEC
• Sammelt digitale Beweiser fir forensesch Ermëttlungen mat BEC

• Benotzt Filteren
• Berichterstattung
• Fuerschung iwwer Instant Messaging Programmer

• Web Browser Fuerschung

• Mobile Apparat Fuerschung
• Geolocatiounsdaten extrahéieren

• Sich no Textsequenzen a Fäll
• Daten aus Cloud Storage extrahéieren an analyséieren
• Lieszeeche benotze fir bedeitend Beweiser ze markéieren déi während der Fuerschung fonnt goufen
• Systemdateien entdecken Windows

• Analyse vum Register Windows
• Analyse vun SQLite Datenbanken

• Daten Erhuelung Methoden
• Techniken fir RAM Dumps z'ënnersichen
• Benotzt Hash Rechner an Hash Analyse an der forensescher Fuerschung
• Analyse vun verschlësselte Fichieren
• Methoden fir Grafik- a Videodateien ze studéieren
• D'Benotzung vun analyteschen Techniken an der forensescher Fuerschung
• Automatiséiert Routineaktiounen mat der agebauter Belkascripts Programméierungssprooch

• Praktesch Übungen

Kurs: Belkasoft Incident Response Examen

Den Zweck vum Cours ass d'Grondlage vun der forensescher Untersuchung vu Cyberattacken ze léieren an d'Méiglechkeete fir de Belkasoft Evidence Center an enger Enquête ze benotzen. Dir léiert iwwer d'Haaptvektore vu modernen Attacken op Computernetzwierker, léiert Computerattacken op Basis vun der MITER ATT&CK Matrix klassifizéieren, Betribssystem Fuerschung Algorithmen uwenden fir de Fakt vu Kompromëss z'etabléieren an d'Aktiounen vun Ugräifer ze rekonstruéieren, léiere wou Artefakte lokaliséiert sinn uginn wéi eng Dateie fir d'lescht opgemaach goufen, wou de Betribssystem Informatioun späichert iwwer wéi ausführbar Dateie gelueden an ausgefouert goufen, wéi Ugräifer iwwer d'Netz geplënnert sinn, a léiert wéi een dës Artefakte mat BEC ënnersicht. Dir léiert och wéi eng Eventer an de Systemprotokoller interessant sinn aus der Siicht vun der Tëschefall Enquête a Remote Zougang Detektioun, a léiert wéi een se mat BEC ënnersicht.

De Cours wäert nëtzlech sinn fir technesch Spezialisten, déi d'Grënn fir eng erfollegräich Intrusioun bestëmmen, Ketten vun Eventer an d'Konsequenze vun Cyberattacken analyséieren; System Administrateuren; SOC an CERT / CSIRT Personal; Informatiounen Sécherheet Personal.

Course Iwwersiicht

Cyber ​​​​Kill Chain beschreift d'Haaptstadien vun all techneschen Attack op de Computer vum Affer (oder Computernetz) wéi follegt:

D'Aktiounen vun den SOC Mataarbechter (CERT, Informatiounssécherheet, asw.) zielen dozou ze verhënneren datt Intruder Zougang zu geschützte Informatiounsressourcen kréien.

Wann Ugräifer déi geschützt Infrastruktur penetréieren, da sollten déi uewe genannte Leit probéieren de Schued vun den Ugräifer Aktivitéiten ze minimiséieren, bestëmmen wéi den Attack duerchgefouert gouf, d'Evenementer an d'Sequenz vun den Aktiounen vun den Ugräifer an der kompromittéierter Informatiounsstruktur rekonstruéieren an huelen Moossname fir dës Zort Attack an Zukunft ze verhënneren.

Déi folgend Zorte vu Spure kënnen an enger kompromittéierter Informatiounsinfrastruktur fonnt ginn, wat beweist datt de Reseau (Computer) kompromittéiert ass:

All esou Spure kënne mam Belkasoft Evidence Center Programm fonnt ginn.

BEC huet en "Incident Investigation" Modul, wou, wann d'Späichermedien analyséiert ginn, Informatioun iwwer Artefakte plazéiert gëtt, déi de Fuerscher bei der Untersuchung vun Tëschefäll hëllefe kënnen.

BEC ënnerstëtzt d'Fuerschung iwwer Schlësselartefakttypen Windows, wat d'Start vun ausführbaren Dateien op dem ënnersichte System ugeet, dorënner Amcache, Userassist, Prefetch, BAM/DAM Dateien, Windows 10 Timeline, Analyse vu Systemevenementer.

Informatioun iwwer Spure mat Informatioun iwwer Benotzeraktiounen an engem kompromittéierte System kann an der folgender Form presentéiert ginn:

Dës Informatioun enthält ënner anerem Informatioun iwwer ausféierbar Dateien:

Informatioun iwwer d'Lafen vun der Datei 'RDPWInst.exe'.

Informatiounen iwwer d'Persistenz vun den Ugräifer op kompromittéierte Systemer kënnen an de Startschlësselen vun der Registry fonnt ginn. Windows, Servicer, geplangten Aufgaben, Logon-Skripter, WMI, etc. Beispiller fir d'Detektioun vun Informatiounen iwwer d'Persistenz vun den Ugräifer am System kënnen an de folgende Screenshots gesi ginn:

Beschränken Ugräifer déi den Task Scheduler benotzen andeems Dir eng Aufgab erstellt déi e PowerShell Skript leeft.

Persistent Attacker mat Hëllef vu Managementtools Windows (Windows Managementinstrumentatioun (WMI).

Konsolidéiere vun Ugräifer mam Logon Skript.

D'Beweegunge vun Ugräifer iwwer e kompromittéiert Computernetz kënnen zum Beispill duerch d'Analyse vu Systemprotokoller nogewise ginn. Windows (wann Attacker den RDP-Service benotzen).

Informatioun iwwer entdeckt RDP Verbindungen.

Informatioun iwwer d'Bewegung vun Ugräifer am Netz.

Sou kann de Belkasoft Evidence Center d'Fuerscher hëllefen, kompromittéiert Computeren an engem attackéierte Computernetz ze identifizéieren, Spure vum Start vu Malware ze fannen, Spure vun der Fixatioun am System a Bewegung iwwer d'Netzwierk, an aner Spure vun Ugräifer Aktivitéit op kompromittéiert Computeren.

Wéi Dir esou Fuerschung ausféiert an d'Artefakte festgestallt, déi uewe beschriwwen hunn, gëtt am Belkasoft Incident Response Examination Training Cours beschriwwen.

Course Plang:

• Trends vun Cyberattacken. Technologien, Tools, Ziler vun Ugräifer
• Benotzt Bedrohungsmodeller fir Ugräifer Taktiken, Techniken a Prozeduren ze verstoen
• Cyber ​​​​kill Kette
• Tëschefall Äntwert Algorithmus: Identifikatioun, Lokalisatioun, Generatioun vun Indikatoren, Sich no neien infizéierte Wirbelen
• Analyse Windows-Systemer déi BEC benotzen
• Detektioun vu Methoden fir primär Infektioun, Netzwierkverbreedung, Konsolidéierung an Netzwierkaktivitéit vu Malware mat BEC
• Identifizéiert infizéiert Systemer a restauréiert d'Infektiounsgeschicht mat BEC
• Praktesch Übungen

FAQWou ginn d'Coursen ofgehalen?
D'Course ginn am Group-IB Sëtz oder op engem externen Site (Formatiounszentrum) duerchgefouert. Et ass méiglech fir en Trainer op Siten mat Firmeclienten ze reesen.

Wien féiert d'Coursen?
Trainere bei Group-IB sinn Praktiker mat ville Joeren Erfarung an der Ausféierung vun forensescher Fuerschung, Firmenuntersuchungen an Äntwert op Informatiounssécherheetsfäll.

D'Qualifikatioune vun den Trainere ginn duerch vill international Certificaten bestätegt: GCFA, MCFE, ACE, EnCE, etc.

Eis Trainere fannen einfach eng gemeinsam Sprooch mam Publikum, kloer erkläert och déi komplexst Themen. D'Studente léiere vill relevant an interessant Informatioun iwwer d'Untersuchung vun Computer-Tëschefäll, Methoden fir Computerattacken z'identifizéieren an ze bekämpfen, a kréien echt praktescht Wëssen, dat se direkt nom Ofschloss kënne uwenden.

Wäerten d'Coursen nëtzlech Fäegkeeten ubidden, déi net mat Belkasoft Produkter verbonne sinn, oder wäerten dës Fäegkeeten ouni dës Software onapplicabel sinn?
D'Kompetenzen, déi während dem Training erliewt ginn, wäerten nëtzlech sinn ouni Belkasoft Produkter ze benotzen.

Wat ass am initialen Test abegraff?

Primär Tester ass en Test vu Wëssen iwwer d'Basis vun der Computerforensik. Et gi keng Pläng fir Wëssen iwwer Belkasoft a Group-IB Produkter ze testen.

Wou kann ech Informatiounen iwwer d'Educatiounscoursen vun der Firma fannen?

Als Deel vun edukativen Coursen trainéiert Group-IB Spezialisten an Tëschefäll Äntwert, Malware Fuerschung, Cyber ​​​​Intelligenz Spezialisten (Threat Intelligence), Spezialisten fir am Security Operation Center (SOC) ze schaffen, Spezialisten an der proaktiver Bedrohungsjagd (Threat Hunter), etc. . Eng komplett Lëscht vu propriétaire Coursen vu Group-IB ass verfügbar hei.

Wéi eng Bonus kréien Studenten déi gemeinsame Coursen tëscht Group-IB a Belkasoft ofgeschloss hunn?
Déi, déi Training a gemeinsame Coursen tëscht Group-IB a Belkasoft ofgeschloss hunn, kréien:

1. Certificat vum Ofschloss vum Cours;
2. gratis monatlecht Abonnement op Belkasoft Evidence Center;
3. 10% Remise op de Kaf vun Belkasoft Evidence Center.

Mir erënneren Iech drun datt den éischte Cours e Méindeg ufänkt, 9 September, - Verpasst net d'Geleeënheet eenzegaarteg Wëssen am Beräich vun Informatiounssécherheet, Computer Forensik an Tëschefall Äntwert ze kréien! Aschreiwung fir de Cours hei.

Quellen vun InformatiounenBei der Virbereedung vum Artikel hu mir d'Presentatioun vum Oleg Skulkin benotzt "Gebrauch vun Host-baséiert Forensik fir Indikatoren vu Kompromëss fir erfollegräich Intelligenz-Undriff Äntwert ze kréien."

Source: will.com