Grupas-IB un Belkasoft kopkursi: ko mēs mācīsim un kas apmeklēs

Algoritmi un taktika reaģēšanai uz informācijas drošības incidentiem, pašreizējo kiberuzbrukumu tendences, pieejas uzņēmumu datu noplūdes izmeklēšanai, pārlūkprogrammu un mobilo ierīču izpēte, šifrētu failu analīze, ģeogrāfiskās atrašanās vietas datu iegūšana un liela datu apjoma analīze - visas šīs un citas tēmas var apgūt jaunos Group-IB un Belkasoft kopīgajos kursos. Augustā mēs paziņoja pirmais Belkasoft Digital Forensics kurss, kas sākas 9. septembrī un, saņemot lielu skaitu jautājumu, nolēmām sīkāk parunāt par to, ko studēs studenti, kādas zināšanas, kompetences un piemaksas (!) saņems tie, kuri sasniegt beigas. Pirmās lietas vispirms.

Divi Viss vienā

Ideja par kopīgu apmācību kursu rīkošanu radās pēc tam, kad Group-IB kursa dalībnieki sāka jautāt par rīku, kas viņiem palīdzētu izmeklēt kompromitētas datorsistēmas un tīklus, kā arī apvienot dažādu bezmaksas utilītu funkcionalitāti, ko mēs iesakām izmantot reaģēšanas laikā.

Mūsuprāt, šāds rīks varētu būt Belkasoft Evidence Center (par to jau runājām raksts Igors Mihailovs “Sākuma atslēga: labākā programmatūra un aparatūra datoru kriminālistikai”). Tāpēc mēs kopā ar Belkasoft esam izstrādājuši divus apmācību kursus: Belkasoft digitālā kriminālistika и Belkasoft incidentu reaģēšanas pārbaude.

SVARĪGI: kursi ir secīgi un savstarpēji saistīti! Belkasoft Digital Forensics ir veltīta programmai Belkasoft Evidence Center, un Belkasoft Incident Response Examination ir paredzēta incidentu izmeklēšanai, izmantojot Belkasoft produktus. Tas nozīmē, ka pirms Belkasoft Incident Response Examination kursa apguves mēs ļoti iesakām pabeigt Belkasoft digitālās kriminālistikas kursu. Ja uzreiz sākat ar kursu par incidentu izmeklēšanu, studentam var būt kaitinošas zināšanu nepilnības Belkasoft pierādījumu centra izmantošanā, kriminālistikas artefaktu atrašanā un pārbaudē. Tas var novest pie tā, ka apmācību laikā Belkasoft Incident Response Examination kursā studentam vai nu nebūs laika apgūt materiālu, vai arī viņš bremzēs pārējo grupu jaunu zināšanu apguvē, jo apmācības laiks tiks pavadīts. pasniedzējs, skaidrojot Belkasoft digitālās kriminālistikas kursa materiālu.

Datoru kriminālistika ar Belkasoft pierādījumu centru

Kursa mērķis Belkasoft digitālā kriminālistika — iepazīstināt studentus ar programmu Belkasoft Evidence Center, iemācīt izmantot šo programmu, lai vāktu pierādījumus no dažādiem avotiem (mākoņkrātuve, brīvpiekļuves atmiņa (RAM), mobilās ierīces, datu nesēji (cietie diski, zibatmiņas diski utt.), meistars pamata kriminālistikas paņēmieni un paņēmieni, Windows artefaktu, mobilo ierīču, RAM izgāztuvju kriminālistikas ekspertīzes metodes. Jūs arī iemācīsities identificēt un dokumentēt pārlūkprogrammu un tūlītējās ziņojumapmaiņas programmu artefaktus, izveidot kriminālistikas datu kopijas no dažādiem avotiem, iegūt ģeogrāfiskās atrašanās vietas datus un meklēt teksta sekvencēm (meklējiet pēc atslēgvārdiem), izpētē izmantojiet jaucējvārdus, analizējiet Windows reģistru, apgūstiet nezināmu SQLite datu bāzu izpētes iemaņas, grafisko un video failu pārbaudes pamatus un izmeklēšanā izmantotās analītiskās metodes.

Kurss būs noderīgs ekspertiem ar specializāciju datortehniskās kriminālistikas (datoru kriminālistikas) jomā; tehniskie speciālisti, kas nosaka veiksmīgas ielaušanās iemeslus, analizē notikumu ķēdi un kiberuzbrukumu sekas; tehniskie speciālisti, kas identificē un dokumentē iekšējās personas (iekšējā pārkāpēja) veikto datu zādzību (noplūdi); e-Discovery speciālisti; SOC un CERT/CSIRT darbinieki; informācijas drošības darbinieki; datoru kriminālistikas entuziasti.

Kursu plāns:

• Belkasoft pierādījumu centrs (BEC): pirmie soļi
• Lietu veidošana un apstrāde BEC
• Apkopojiet digitālos pierādījumus kriminālistikas izmeklēšanai ar BEC

• Izmantojot filtrus
• Pārskatu ģenerēšana
• Pētījums par tūlītējās ziņojumapmaiņas programmām

• Tīmekļa pārlūkprogrammas izpēte

• Mobilo ierīču izpēte
• Ģeolokācijas datu iegūšana

• Teksta secību meklēšana gadījumos
• Datu iegūšana un analīze no mākoņkrātuvēm
• Grāmatzīmju izmantošana, lai izceltu nozīmīgus pētījumu laikā atrastus pierādījumus
• Windows sistēmas failu pārbaude

• Windows reģistra analīze
• SQLite datu bāzu analīze

• Datu atkopšanas metodes
• RAM izgāztuvju pārbaudes metodes
• Hash kalkulatora un hash analīzes izmantošana tiesu ekspertīzē
• Šifrētu failu analīze
• Grafisko un video failu izpētes metodes
• Analītisku metožu izmantošana tiesu ekspertīzē
• Automatizējiet ikdienas darbības, izmantojot iebūvēto Belkascripts programmēšanas valodu

• praktiskie vingrinājumi

Kurss: Belkasoft incidentu reaģēšanas pārbaude

Kursa mērķis ir apgūt kiberuzbrukumu kriminālistikas izmeklēšanas pamatus un Belkasoft pierādījumu centra izmantošanas iespējas izmeklēšanā. Uzzināsiet par galvenajiem mūsdienu uzbrukumu vektoriem datortīkliem, iemācīsities klasificēt datoruzbrukumus, pamatojoties uz MITER ATT&CK matricu, pielietosiet operētājsistēmu izpētes algoritmus, lai konstatētu kompromisa faktu un rekonstruēsiet uzbrucēju darbības, uzzināsiet, kur atrodas artefakti, kas norādiet, kuri faili tika atvērti pēdējo reizi , kur operētājsistēma glabā informāciju par to, kā tika lejupielādēti un izpildīti izpildāmie faili, kā uzbrucēji pārvietojās tīklā, un uzziniet, kā pārbaudīt šos artefaktus, izmantojot BEC. Jūs arī uzzināsit, kādi notikumi sistēmas žurnālos ir interesanti no incidentu izmeklēšanas un attālās piekļuves noteikšanas viedokļa, un uzzināsiet, kā tos izmeklēt, izmantojot BEC.

Kurss noderēs tehniskajiem speciālistiem, kuri nosaka veiksmīgas ielaušanās iemeslus, analizē notikumu ķēdes un kiberuzbrukumu sekas; sistēmas administratori; SOC un CERT/CSIRT darbinieki; informācijas drošības darbinieki.

Kursa pārskats

Kibernogalināšanas ķēde apraksta galvenos posmus jebkura tehniska uzbrukuma upura datoriem (vai datortīklam) šādi:

SOC darbinieku rīcība (CERT, informācijas drošība u.c.) ir vērsta uz to, lai neļautu iebrucējiem piekļūt aizsargātajiem informācijas resursiem.

Ja uzbrucēji tomēr iekļūst aizsargātajā infrastruktūrā, tad minētajām personām jācenšas samazināt uzbrucēju darbības radīto kaitējumu, noteikt, kā uzbrukums tika veikts, rekonstruēt uzbrucēju notikumus un darbību secību apdraudētajā informācijas struktūrā un veikt pasākumus, lai novērstu šāda veida uzbrukumus nākotnē.

Kompromitētā informācijas infrastruktūrā var atrast šādu veidu pēdas, kas norāda, ka tīkls (dators) ir apdraudēts:

Visas šādas pēdas var atrast, izmantojot programmu Belkasoft Evidence Center.

BEC ir “Incidentu izmeklēšanas” modulis, kurā, analizējot datu nesējus, tiek ievietota informācija par artefaktiem, kas var palīdzēt pētniekam incidentu izmeklēšanā.

BEC atbalsta galveno Windows artefaktu veidu pārbaudi, kas norāda uz izpildāmo failu izpildi pētāmajā sistēmā, tostarp Amcache, Userassist, Prefetch, BAM/DAM failus, Windows 10 laika skala,sistēmas notikumu analīze.

Informāciju par trasēm, kas satur informāciju par lietotāja darbībām apdraudētā sistēmā, var parādīt šādā formā:

Šī informācija, cita starpā, ietver informāciju par izpildāmo failu palaišanu:

Informācija par faila RDPWInst.exe palaišanu.

Informāciju par uzbrucēju klātbūtni apdraudētajās sistēmās var atrast Windows reģistra startēšanas atslēgās, pakalpojumos, ieplānotajos uzdevumos, pieteikšanās skriptos, WMI utt. Piemēri, kā noteikt informāciju par sistēmai pievienotajiem uzbrucējiem, ir redzami šādos ekrānuzņēmumos:

Uzbrucēju ierobežošana, izmantojot uzdevumu plānotāju, izveidojot uzdevumu, kas palaiž PowerShell skriptu.

Uzbrucēju apvienošana, izmantojot Windows pārvaldības instrumentu (WMI).

Uzbrucēju konsolidācija, izmantojot pieteikšanās skriptu.

Uzbrucēju pārvietošanos pa apdraudētu datortīklu var noteikt, piemēram, analizējot Windows sistēmas žurnālus (ja uzbrucēji izmanto RDP pakalpojumu).

Informācija par konstatētajiem LAP savienojumiem.

Informācija par uzbrucēju pārvietošanos tīklā.

Tādējādi Belkasoft pierādījumu centrs var palīdzēt pētniekiem identificēt apdraudētos datorus uzbrukuma datortīklā, atrast ļaunprātīgas programmatūras palaišanas pēdas, fiksācijas pēdas sistēmā un pārvietošanos tīklā, kā arī citas uzbrucēju darbības pēdas apdraudētajos datoros.

Kā veikt šādu izpēti un atklāt iepriekš aprakstītos artefaktus, ir aprakstīts Belkasoft Incident Response Examination apmācības kursā.

Kursu plāns:

• Kiberuzbrukumu tendences. Uzbrucēju tehnoloģijas, rīki, mērķi
• Drudu modeļu izmantošana, lai izprastu uzbrucēju taktiku, paņēmienus un procedūras
• Kibernogalināšanas ķēde
• Incidentu reaģēšanas algoritms: identifikācija, lokalizācija, indikatoru ģenerēšana, jaunu inficēto mezglu meklēšana
• Windows sistēmu analīze, izmantojot BEC
• Ļaunprātīgas programmatūras primārās infekcijas, tīkla izplatības, konsolidācijas un tīkla darbības metožu noteikšana, izmantojot BEC
• Identificējiet inficētās sistēmas un atjaunojiet infekcijas vēsturi, izmantojot BEC
• praktiskie vingrinājumi

FAQKur notiek kursi?
Kursi notiek Group-IB galvenajā mītnē vai ārējā vietā (apmācību centrā). Trenerim ir iespēja doties uz objektiem ar korporatīvajiem klientiem.

Kas vada nodarbības?
Grupas IB pasniedzēji ir praktiķi ar daudzu gadu pieredzi kriminālistikas izpētē, korporatīvajā izmeklēšanā un reaģēšanā uz informācijas drošības incidentiem.

Treneru kvalifikāciju apliecina daudzi starptautiski sertifikāti: GCFA, MCFE, ACE, EnCE u.c.

Mūsu pasniedzēji viegli atrod kopīgu valodu ar auditoriju, skaidri izskaidrojot pat vissarežģītākās tēmas. Studenti uzzinās daudz aktuālas un interesantas informācijas par datoru incidentu izmeklēšanu, datoruzbrukumu identificēšanas un apkarošanas metodēm, kā arī iegūs reālas praktiskas zināšanas, kuras varēs pielietot uzreiz pēc studiju beigšanas.

Vai kursi sniegs noderīgas prasmes, kas nav saistītas ar Belkasoft produktiem, vai arī šīs prasmes nebūs pielietojamas bez šīs programmatūras?
Apmācībās iegūtās prasmes noderēs, neizmantojot Belkasoft produktus.

Kas ir iekļauts sākotnējā pārbaudē?

Primārā pārbaude ir datoru kriminālistikas pamatu zināšanu pārbaude. Zināšanas par Belkasoft un Group-IB produktiem nav plānots pārbaudīt.

Kur var atrast informāciju par uzņēmuma izglītības kursiem?

Izglītojošo kursu ietvaros Group-IB apmāca speciālistus incidentu reaģēšanā, ļaunprogrammatūras izpētē, kiberizlūkošanas speciālistus (Threat Intelligence), speciālistus darbam Drošības operāciju centrā (SOC), speciālistus proaktīvās draudu medībās (Threat Hunter) u.c. . Ir pieejams pilns Group-IB patentēto kursu saraksts šeit.

Kādus bonusus saņem studenti, kuri pabeidz Group-IB un Belkasoft kopīgos kursus?
Tie, kas ir pabeiguši apmācību kopīgos kursos starp Group-IB un Belkasoft, saņems:

1. sertifikāts par kursu beigšanu;
2. bezmaksas ikmēneša Belkasoft pierādījumu centra abonements;
3. 10% atlaide Belkasoft pierādījumu centra iegādei.

Atgādinām, ka pirmais kurss sākas pirmdien, 9 septembris, - nepalaid garām iespēju iegūt unikālas zināšanas informācijas drošības, datoru kriminālistikas un incidentu reaģēšanas jomā! Reģistrācija kursam šeit.

avotiSagatavojot rakstu, mēs izmantojām Oļega Skulkina prezentāciju “Uz resursdatora balstītas kriminālistikas izmantošana, lai iegūtu kompromisa rādītājus veiksmīgai uz izlūkošanu balstītai incidentu reaģēšanai”.

Avots: www.habr.com