Grupės-IB ir Belkasoft jungtiniai kursai: ko mokysime ir kas lankys

Reagavimo į informacijos saugumo incidentus algoritmai ir taktika, dabartinių kibernetinių atakų tendencijos, duomenų nutekėjimo įmonėse tyrimo metodai, naršyklių ir mobiliųjų įrenginių tyrimas, šifruotų failų analizė, geografinės vietos duomenų išgavimas ir didelių duomenų kiekių analizė – visos šios ir kitos temos gali studijuoti naujuose jungtiniuose Group-IB ir Belkasoft kursuose. Rugpjūčio mėnesį mes paskelbė rugsėjo 9 d. prasidėsiantį pirmąjį „Belkasoft Digital Forensics“ kursą ir, gavę daugybę klausimų, nusprendėme plačiau papasakoti, ką studentai mokysis, kokias žinias, kompetencijas ir priedus (!) gaus tie. kurie pasiekia pabaigą. Apie viską tvarkingai.

Du viskas viename

Idėja rengti bendrus mokymo kursus kilo po to, kai grupės-IB kursų dalyviai ėmė teirautis apie įrankį, kuris padėtų tirti pažeistas kompiuterines sistemas ir tinklus bei apjungti įvairių nemokamų paslaugų, kurias rekomenduojame, funkcionalumą. naudojimas reaguojant į incidentą.

Mūsų nuomone, Belkasoft įrodymų centras galėtų būti toks įrankis (apie tai jau kalbėjome straipsnis Igoris Michailovas „Raktas pradžiai: geriausia programinė ir techninė įranga kompiuterių kriminalistikai“). Todėl mes kartu su Belkasoft sukūrėme du mokymo kursus: „Belkasoft Digital Forensics“. и „Belkasoft“ reagavimo į incidentus tyrimas.

SVARBU: kursai yra nuoseklūs ir tarpusavyje susiję! „Belkasoft Digital Forensics“ skirta „Belkasoft Evidence Center“ programai, o „Belkasoft Incident Response Examination“ skirta incidentų tyrimui naudojant „Belkasoft“ produktus. Tai yra, prieš studijuojant „Belkasoft“ reagavimo į incidentus tyrimo kursą, primygtinai rekomenduojame baigti „Belkasoft“ skaitmeninės teismo ekspertizės kursą. Jei iškart pradėsite nuo incidentų tyrimo kurso, studentas gali turėti erzinančių žinių spragų naudodamasis Belkasoft įrodymų centru, ieškant ir tiriant teismo ekspertizės artefaktus. Tai gali lemti tai, kad „Belkasoft“ reagavimo į incidentus egzamino kurso metu studentas arba neturės laiko įsisavinti medžiagos, arba sulėtins likusią grupės dalį naujų žinių įgijimo metu, nes mokymo laiką praleis treneris, paaiškinantis „Belkasoft Digital Forensics“ kurso medžiagą.

Kompiuterinė ekspertizė su Belkasoft įrodymų centru

Kurso tikslas „Belkasoft Digital Forensics“. — supažindinti studentus su Belkasoft Evidence Center programa, išmokyti naudotis šia programa renkant įrodymus iš įvairių šaltinių (debesų saugyklos, laisvosios kreipties atminties (RAM), mobiliųjų įrenginių, laikmenų (standžių diskų, „flash drives“ ir kt.) , įvaldysite pagrindinius teismo ekspertizės metodus ir metodus, „Windows“ artefaktų, mobiliųjų įrenginių, atminties sąvartynų kriminalistinių tyrimų metodus Taip pat sužinosite, kaip atpažinti ir dokumentuoti naršyklės ir momentinių pranešimų siuntimo artefaktus, kurti kriminalistikos duomenų kopijas iš įvairių šaltinių, išgauti geografinės vietos duomenis ir ieškoti teksto sekoms (ieškoti pagal raktinius žodžius), tiriant naudoti maišą, analizuoti Windows registrą, mokytis nežinomų SQLite duomenų bazių tyrimo įgūdžių, grafinių ir vaizdo failų tyrimo pagrindų bei tyrimų metu naudojamų analizės technikų.

Kursas bus naudingas ekspertams, turintiems specializaciją kompiuterinės-techninės ekspertizės (kompiuterinės ekspertizės) srityje; techninius specialistus, kurie nustato sėkmingo įsibrovimo priežastis, analizuoja įvykių grandinę ir kibernetinių atakų pasekmes; techniniai specialistai, nustatantys ir dokumentuojantys asmens (vidaus pažeidėjo) įvykdytą duomenų vagystę (nutetinimą); e-Discovery specialistai; SOC ir CERT/CSIRT darbuotojai; informacijos apsaugos pareigūnai; kompiuterių kriminalistikos entuziastai.

Kursų planas:

• Belkasoft įrodymų centras (BEC): pirmieji žingsniai
• Bylų kūrimas ir apdorojimas BEC
• Skaitmeninių įrodymų rinkimas atliekant teismo ekspertizę su BEC

• Naudojant filtrus
• Ataskaitų teikimas
• Momentinių pranešimų programų tyrinėjimas

• Žiniatinklio naršyklės tyrimas

• Mobilieji tyrimai
• Geografinės vietos duomenų ištraukimas

• Ieškokite teksto sekų atvejais
• Duomenų išgavimas ir analizė iš debesies saugyklų
• Žymių naudojimas norint pabrėžti reikšmingus tyrimo metu rastus įrodymus
• „Windows“ sistemos failų tyrimas

• Windows registro analizė
• SQLite duomenų bazės analizė

• Duomenų atkūrimo metodai
• RAM sąvartynų tyrimo metodai
• Maišos skaičiuoklės ir maišos analizės naudojimas teismo medicinos tyrimuose
• Šifruotų failų analizė
• Grafinių ir vaizdo failų tyrimo metodai
• Analizės metodų taikymas teismo medicinos tyrimuose
• Įprastų veiksmų automatizavimas naudojant integruotą programavimo kalbą Belkascripts

• Praktinės užduotys

Kursas: „Belkasoft“ reagavimo į incidentus egzaminas

Kurso tikslas – išmokti kibernetinių atakų kriminalistinių tyrimų pagrindus ir Belkasoft įrodymų centro panaudojimo tyrime galimybes. Sužinosite apie pagrindinius šiuolaikinių atakų prieš kompiuterių tinklus vektorius, sužinosite, kaip klasifikuoti kompiuterines atakas pagal MITER ATT & CK matricą, pritaikysite operacinių sistemų tyrimo algoritmus kompromiso faktui nustatyti ir atkursite užpuolikų veiksmus, sužinosite, kur yra artefaktų, nurodančių, kurie failai buvo atidaryti paskutinį kartą, kur operacinė sistema saugo informaciją apie vykdomųjų failų įkėlimą ir paleidimą, kaip užpuolikai judėjo tinkle, ir sužinokite, kaip ištirti šiuos artefaktus naudojant BEC. Taip pat sužinosite, kurie sistemos žurnalo įvykiai yra svarbūs incidentų tyrimui ir nuotolinės prieigos nustatymui, ir sužinosite, kaip juos ištirti naudojant BEC.

Kursas bus naudingas technikos specialistams, kurie nustato sėkmingo įsibrovimo priežastis, analizuoja įvykių grandinę ir kibernetinių atakų pasekmes; sistemos administratoriai; SOC ir CERT/CSIRT darbuotojai; informacijos apsaugos darbuotojai.

Kurso apžvalga

„Cyber ​​​​Kill Chain“ aprašo pagrindinius bet kokios techninės atakos prieš aukos kompiuterius (ar kompiuterių tinklą) etapus taip:

SOC darbuotojų veiksmais (CERT, informacijos saugumas ir kt.) siekiama neleisti įsibrovėliams prieiti prie saugomų informacijos išteklių.

Jei įsibrovėliai vis dėlto įsiskverbė į saugomą infrastruktūrą, minėti asmenys turėtų stengtis kuo labiau sumažinti užpuolikų veiklos padarytą žalą, nustatyti, kaip buvo įvykdyta ataka, rekonstruoti įvykius ir užpuolikų veiksmų seką pažeistoje informacinėje struktūroje ir imtis priemonių, kad ateityje būtų išvengta tokio pobūdžio išpuolių.

Pažeistoje informacinėje infrastruktūroje galima rasti šių tipų pėdsakus, rodančius tinklo (kompiuterio) pažeidimą:

Visus tokius pėdsakus galima rasti naudojant Belkasoft įrodymų centrą.

BEC turi „Incidentų tyrimo“ modulį, kuriame, analizuojant laikmenas, talpinama informacija apie artefaktus, kurie gali padėti tyrėjui tirti incidentus.

BEC palaiko pagrindinių „Windows“ artefaktų tipų, kurie rodo vykdomųjų failų paleidimą tiriamoje sistemoje, tyrimą, įskaitant „Amcache“, „Userassist“, „Prefetch“, BAM/DAM, „Windows 10“ laiko juosta, sistemos įvykių analizė.

Informacija apie pėdsakus, kuriuose yra informacijos apie vartotojo veiksmus pažeistoje sistemoje, gali būti pateikta tokia forma:

Ši informacija, be kita ko, apima informaciją apie vykdomųjų failų paleidimą:

Informacija apie failo „RDPWInst.exe“ paleidimą.

Informacijos apie užpuolikus, pasiliekančius pažeistose sistemose, galima rasti „Windows“ registro paleisties raktuose, paslaugose, suplanuotose užduotyse, prisijungimo scenarijuose, WMI ir pan. Prisegimo informacijos aptikimo užpuoliko sistemoje pavyzdžiai pateikiami šiose ekrano kopijose:

Užpuolikų prisegimas naudojant užduočių planuoklį sukuriant užduotį, kuri vykdo PowerShell scenarijų.

Užpuolikų šalinimas naudojant „Windows Management Instrumentation“ (WMI).

Užpuolikų prisegimas naudojant prisijungimo scenarijų.

Užpuolikų judėjimą pažeistame kompiuterių tinkle galima aptikti, pavyzdžiui, analizuojant „Windows“ sistemos žurnalus (kai užpuolikai naudojasi KPP paslauga).

Informacija apie aptiktus KPP ryšius.

Informacija apie užpuolikų judėjimą tinkle.

Taigi „Belkasoft Evidence Center“ gali padėti tyrėjams atpažinti pažeistus kompiuterius užpultame kompiuterių tinkle, rasti kenkėjiškų programų paleidimo pėdsakus, fiksavimo sistemoje ir judėjimo tinkle pėdsakus bei kitus užpuolikų veiklos pėdsakus pažeistuose kompiuteriuose.

Kaip atlikti tokius tyrimus ir aptikti anksčiau aprašytus artefaktus, aprašyta „Belkasoft“ reagavimo į incidentus tyrimo kurse.

Kursų planas:

• Kibernetinių atakų tendencijos. Puolėjų technologijos, įrankiai, tikslai
• Grėsmių modelių naudojimas norint suprasti užpuolikų taktiką, metodus ir procedūras
• Kibernetinių žudynių grandinė
• Reagavimo į incidentą algoritmas: identifikavimas, lokalizavimas, indikatorių generavimas, naujų užkrėstų mazgų paieška
• „Windows“ sistemų analizė naudojant BEC
• Pirminės infekcijos metodų, tinklo plitimo, patvarumo, kenkėjiškų programų tinklo veiklos identifikavimas naudojant BEC
• Užkrėstų sistemų identifikavimas ir infekcijos istorijos atkūrimas naudojant BEC
• Praktinės užduotys

Dažnai užduodami klausimaiKur vyksta kursai?
Kursai vyksta Grupės-IB būstinėje arba išorinėje vietoje (mokymo centre). Galimas trenerio išvykimas platformose pas verslo klientus.

Kas veda užsiėmimus?
Grupės IB instruktoriai yra praktikai, turintys ilgametę teismo ekspertizės, įmonių tyrimų ir reagavimo į informacijos saugumo incidentus patirtį.

Trenerių kvalifikaciją patvirtina daugybė tarptautinių sertifikatų: GCFA, MCFE, ACE, EnCE ir kt.

Mūsų treneriai lengvai randa bendrą kalbą su auditorija, suprantamai paaiškindami net sudėtingiausias temas. Studentai sužinos daug aktualios ir įdomios informacijos apie kompiuterinių incidentų tyrimą, kompiuterinių atakų aptikimo ir kovos su jais būdus, įgis realių praktinių žinių, kurias galės pritaikyti iškart baigę studijas.

Ar kursai suteiks naudingų įgūdžių, nesusijusių su „Belkasoft“ produktais, ar šie įgūdžiai bus nepritaikomi be šios programinės įrangos?
Mokymų metu įgyti įgūdžiai pravers net nenaudojant Belkasoft produktų.

Kas įtraukta į pradinį testavimą?

Pirminis testavimas – tai kompiuterinės kriminalistikos pagrindų žinių patikrinimas. „Belkasoft“ ir „Group-IB“ produktų žinių tikrinimas neplanuojamas.

Kur galiu rasti informacijos apie įmonės edukacinius kursus?

Grupė-IB edukacinių kursų metu rengia reagavimo į incidentus, kenkėjiškų programų tyrimo, kibernetinės žvalgybos specialistus (Threat Intelligence), specialistus darbui Saugumo operacijų centre (SOC), proaktyvius grėsmių paieškos specialistus (Threat Hunter) ir kt. . Yra visas grupės IB autorių kursų sąrašas čia.

Kokias premijas gauna studentai, baigę jungtinius Group-IB ir Belkasoft kursus?
Baigę jungtinius Group-IB ir Belkasoft kursus gaus:

1. kursų baigimo pažymėjimas;
2. nemokama mėnesinė „Belkasoft“ įrodymų centro prenumerata;
3. 10% nuolaida perkant Belkasoft įrodymų centrą.

Primename, kad pirmasis kursas prasideda pirmadienį, 9 rugsėjis, — nepraleiskite progos įgyti unikalių žinių informacijos saugumo, kompiuterinės ekspertizės ir reagavimo į incidentus srityse! Registracija į kursus čia.

Informacijos šaltiniaiRengiant straipsnį buvo panaudotas Olego Skulkino pranešimas „Using host-based forensics to get indikators of kompromiss sėkmingam žvalgybos pagrindu reaguoti į incidentus“.

Šaltinis: www.habr.com