Algoritma dan taktik untuk bertindak balas terhadap insiden keselamatan maklumat, arah aliran dalam serangan siber semasa, pendekatan untuk menyiasat kebocoran data dalam syarikat, menyelidik pelayar dan peranti mudah alih, menganalisis fail yang disulitkan, mengekstrak data geolokasi dan analisis volum data besar - semua ini dan topik lain boleh dipelajari pada kursus bersama Kumpulan-IB dan Belkasoft baharu. Pada bulan Ogos kami kursus pertama Belkasoft Digital Forensik, yang bermula pada 9 September, dan, setelah menerima sejumlah besar soalan, kami memutuskan untuk memberitahu dengan lebih terperinci apa yang pelajar akan pelajari, pengetahuan, kecekapan dan bonus (!) yang akan diterima oleh mereka yang sampai ke penghujungnya. Mengenai segala-galanya mengikut urutan.
Dua dalam satu
Idea untuk mengadakan kursus latihan bersama muncul selepas peserta kursus Kumpulan-IB mula bertanya tentang alat yang akan membantu mereka dalam penyiasatan sistem dan rangkaian komputer yang terjejas, dan menggabungkan fungsi pelbagai utiliti percuma yang kami cadangkan menggunakan semasa tindak balas insiden.
Pada pendapat kami, Pusat Bukti Belkasoft boleh menjadi alat sedemikian (kami telah membincangkannya dalam Igor Mikhailov "Kunci untuk bermula: perisian dan perkakasan terbaik untuk forensik komputer"). Oleh itu, kami, bersama-sama dengan Belkasoft, telah membangunkan dua kursus latihan: Forensik Digital Belkasoft ΠΈ Peperiksaan Tindak Balas Insiden Belkasoft.
PENTING: kursus adalah berurutan dan saling berkaitan! Forensik Digital Belkasoft didedikasikan untuk program Pusat Bukti Belkasoft, dan Pemeriksaan Respons Insiden Belkasoft didedikasikan untuk penyiasatan insiden menggunakan produk Belkasoft. Iaitu, sebelum mempelajari kursus Peperiksaan Tindak Balas Insiden Belkasoft, kami amat mengesyorkan agar anda melengkapkan kursus Forensik Digital Belkasoft. Jika anda bermula dengan segera dengan kursus penyiasatan insiden, pelajar mungkin mempunyai jurang pengetahuan yang menjengkelkan dalam menggunakan Pusat Bukti Belkasoft, mencari dan menyelidik artifak forensik. Ini boleh membawa kepada fakta bahawa semasa kursus Peperiksaan Tindak Balas Insiden Belkasoft, pelajar sama ada tidak mempunyai masa untuk menguasai bahan, atau akan melambatkan kumpulan lain dalam mendapatkan pengetahuan baharu, kerana masa latihan akan dibelanjakan oleh jurulatih menerangkan bahan daripada kursus Forensik Digital Belkasoft.
Forensik komputer dengan Pusat Bukti Belkasoft
Tujuan kursus Forensik Digital Belkasoft β untuk memperkenalkan pelajar kepada program Belkasoft Evidence Center, ajar mereka cara menggunakan program ini untuk mengumpul bukti daripada pelbagai sumber (storan awan, memori akses rawak (RAM), peranti mudah alih, media storan (pemacu keras, pemacu kilat, dll.) , menguasai teknik dan teknik forensik asas, kaedah untuk penyiasatan forensik artifak Windows, peranti mudah alih, pembuangan memori Anda juga akan belajar cara mengenal pasti dan mendokumentasikan artifak penyemak imbas dan pemesejan segera, mencipta salinan forensik data daripada pelbagai sumber, mengekstrak data geolokasi dan mencari untuk urutan teks (carian mengikut kata kunci), gunakan cincang dalam penyelidikan, menganalisis pendaftaran Windows, pelajari kemahiran menyelidik pangkalan data SQLite yang tidak diketahui, asas penyelidikan fail grafik dan video, dan teknik analisis yang digunakan dalam perjalanan penyiasatan.
Kursus ini berguna untuk pakar dengan pengkhususan dalam bidang kepakaran teknikal komputer (kepakaran komputer); pakar teknikal yang menentukan sebab pencerobohan yang berjaya, menganalisis rantaian peristiwa dan akibat serangan siber; pakar teknikal yang mengenal pasti dan mendokumentasikan kecurian data (kebocoran) oleh orang dalam (pesalah dalaman); pakar e-Penemuan; Kakitangan SOC dan CERT/CSIRT; pegawai keselamatan maklumat; peminat forensik komputer.
Rancangan kursus:
- Pusat Bukti Belkasoft (BEC): langkah pertama
- Mencipta dan memproses kes dalam BEC
- Mengumpul Bukti Digital dalam Penyiasatan Forensik dengan BEC
- Menggunakan penapis
- Pelaporan
- Meneroka Program Pemesejan Segera
- Penyelidikan Pelayar Web
- Penyelidikan Mudah Alih
- Mengekstrak data geolokasi
- Cari urutan teks dalam kes
- Pengekstrakan dan analisis data daripada storan awan
- Menggunakan penanda halaman untuk menyerlahkan bukti penting yang ditemui semasa penyelidikan
- Memeriksa Fail Sistem Windows
- Analisis pendaftaran Windows
- Analisis pangkalan data SQLite
- Kaedah Pemulihan Data
- Teknik untuk memeriksa pembuangan RAM
- Penggunaan kalkulator cincang dan analisis cincang dalam penyiasatan forensik
- Analisis fail yang disulitkan
- Kaedah untuk menyelidik fail grafik dan video
- Penggunaan teknik analisis dalam penyelidikan forensik
- Automasi tindakan rutin menggunakan bahasa pengaturcaraan terbina dalam Belkascripts
- Latihan praktikal
Kursus: Peperiksaan Tindak Balas Insiden Belkasoft
Tujuan kursus ini adalah untuk mempelajari asas penyiasatan forensik serangan siber dan kemungkinan menggunakan Pusat Bukti Belkasoft dalam penyiasatan. Anda akan belajar tentang vektor utama serangan moden pada rangkaian komputer, belajar cara mengklasifikasikan serangan komputer berdasarkan matriks MITRE ATT & CK, menggunakan algoritma penyelidikan sistem pengendalian untuk mewujudkan fakta kompromi dan membina semula tindakan penyerang, mengetahui di mana artifak terletak yang menunjukkan fail yang dibuka terakhir , tempat sistem pengendalian menyimpan maklumat tentang memuatkan dan menjalankan fail boleh laku, cara penyerang bergerak di sekitar rangkaian dan belajar cara meneroka artifak ini menggunakan BEC. Anda juga akan mengetahui peristiwa syslog mana yang menarik untuk penyiasatan insiden dan penentuan akses jauh, dan belajar cara menyiasatnya menggunakan BEC.
Kursus ini berguna untuk pakar teknikal yang menentukan sebab pencerobohan yang berjaya, menganalisis rantaian peristiwa dan akibat serangan siber; pentadbir sistem; Kakitangan SOC dan CERT/CSIRT; kakitangan keselamatan maklumat.
Gambaran Keseluruhan Kursus
Cyber ββββKill Chain menerangkan peringkat utama sebarang serangan teknikal pada komputer (atau rangkaian komputer) mangsa seperti berikut:
Tindakan pekerja SOC (CERT, keselamatan maklumat, dll.) bertujuan untuk menghalang penceroboh daripada mengakses sumber maklumat yang dilindungi.
Jika penceroboh bagaimanapun menembusi infrastruktur yang dilindungi, maka orang di atas harus cuba meminimumkan kerosakan daripada aktiviti penyerang, menentukan bagaimana serangan itu dilakukan, membina semula peristiwa dan urutan tindakan penyerang dalam struktur maklumat yang terjejas dan mengambil langkah untuk mencegah jenis serangan ini pada masa hadapan.
Dalam infrastruktur maklumat yang terjejas, jenis jejak berikut boleh ditemui yang menunjukkan kompromi rangkaian (komputer):
Semua jejak sedemikian boleh didapati menggunakan Pusat Bukti Belkasoft.
BEC mempunyai modul "Siasatan Insiden", di mana, semasa menganalisis media storan, maklumat tentang artifak diletakkan yang boleh membantu penyelidik dalam menyiasat kejadian.
BEC menyokong pemeriksaan jenis utama artifak Windows yang menunjukkan pelancaran fail boleh laku pada sistem yang sedang disiasat, termasuk Amcache, Userassist, Prefetch, BAM/DAM, , analisis peristiwa sistem.
Maklumat tentang jejak yang mengandungi maklumat tentang tindakan pengguna dalam sistem yang terjejas boleh dibentangkan dalam bentuk berikut:
Maklumat ini, antara lain, termasuk maklumat tentang pelancaran fail boleh laku:
Maklumat tentang menjalankan fail 'RDPWInst.exe'.
Maklumat tentang penyerang yang kekal pada sistem yang terjejas boleh didapati dalam kunci permulaan pendaftaran Windows, perkhidmatan, tugas berjadual, skrip Logon, WMI dan sebagainya. Contoh pengesanan menyematkan maklumat dalam sistem penyerang boleh dilihat dalam tangkapan skrin berikut:
Menyemat penyerang menggunakan penjadual tugas dengan mencipta tugasan yang menjalankan skrip PowerShell.
Membaiki penyerang menggunakan Instrumen Pengurusan Windows (WMI).
Menyemat penyerang dengan skrip Logon.
Pergerakan penyerang merentasi rangkaian komputer yang terjejas boleh dikesan, contohnya, dengan menganalisis log sistem Windows (apabila penyerang menggunakan perkhidmatan RDP).
Maklumat tentang sambungan RDP yang dikesan.
Maklumat tentang pergerakan penyerang melalui rangkaian.
Oleh itu, Pusat Bukti Belkasoft dapat membantu penyelidik mengenal pasti komputer yang terjejas dalam rangkaian komputer yang diserang, mencari kesan pelancaran perisian hasad, kesan pembetulan dalam sistem dan bergerak di sekitar rangkaian, dan kesan lain aktiviti penyerang pada komputer yang terjejas.
Cara menjalankan kajian sedemikian dan mengesan artifak yang diterangkan di atas diterangkan dalam kursus latihan Peperiksaan Tindak Balas Insiden Belkasoft.
Rancangan kursus:
- Trend dalam serangan siber. Teknologi, alat, matlamat penyerang
- Menggunakan model ancaman untuk memahami taktik, teknik dan prosedur penyerang
- Rantaian pembunuh siber
- Algoritma tindak balas insiden: pengenalpastian, penyetempatan, penjanaan penunjuk, cari nod baru yang dijangkiti
- Menganalisis Sistem Windows dengan BEC
- Pengenalpastian kaedah jangkitan utama, penyebaran rangkaian, kegigihan, aktiviti rangkaian perisian hasad menggunakan BEC
- Pengenalpastian sistem yang dijangkiti dan pemulihan sejarah jangkitan menggunakan BEC
- Latihan praktikal
Soalan LazimDi manakah kursus diadakan?
Kursus diadakan di ibu pejabat Kumpulan-IB atau di tapak luar (di pusat latihan). Perlepasan jurulatih pada platform kepada pelanggan korporat adalah mungkin.
Siapa yang mengendalikan kelas?
Jurulatih di Group-IB ialah pengamal dengan pengalaman bertahun-tahun dalam penyiasatan forensik, penyiasatan korporat dan tindak balas insiden keselamatan maklumat.
Kelayakan jurulatih disahkan oleh banyak sijil antarabangsa: GCFA, MCFE, ACE, EnCE, dll.
Jurulatih kami mudah mencari bahasa yang sama dengan penonton, menerangkan walaupun topik yang paling kompleks dengan cara yang boleh diakses. Pelajar akan mempelajari banyak maklumat yang relevan dan menarik tentang penyiasatan insiden komputer, kaedah untuk mengesan dan mengatasi serangan komputer, mendapatkan pengetahuan praktikal sebenar yang boleh mereka gunakan serta-merta selepas tamat pengajian.
Adakah kursus akan memberikan kemahiran berguna yang tidak berkaitan dengan produk Belkasoft, atau adakah kemahiran ini tidak boleh digunakan tanpa perisian ini?
Kemahiran yang diperoleh semasa latihan akan berguna walaupun tanpa menggunakan produk Belkasoft.
Apakah yang termasuk dalam ujian awal?
Ujian primer ialah ujian pengetahuan tentang asas forensik komputer. Ujian untuk pengetahuan tentang produk Belkasoft dan Group-IB tidak dirancang.
Di manakah saya boleh mendapatkan maklumat tentang kursus pendidikan syarikat?
Dalam rangka kerja kursus pendidikan, Kumpulan-IB melatih pakar dalam tindak balas insiden, penyelidikan perisian hasad, pakar risikan siber (Risikan Ancaman), pakar untuk bekerja di Pusat Operasi Keselamatan (SOC), pakar carian ancaman proaktif (Pemburu Ancaman), dsb. . Senarai lengkap kursus pengarang daripada Kumpulan-IB tersedia .
Apakah bonus yang diterima oleh pelajar yang menamatkan kursus bersama Kumpulan-IB dan Belkasoft?
Mereka yang menamatkan kursus bersama Kumpulan-IB dan Belkasoft akan menerima:
- sijil tamat kursus;
- langganan bulanan percuma ke Pusat Bukti Belkasoft;
- Diskaun 10% untuk pembelian Pusat Bukti Belkasoft.
Kami mengingatkan anda bahawa kursus pertama bermula pada hari Isnin, 9 September, β jangan lepaskan peluang untuk mendapatkan pengetahuan unik dalam bidang keselamatan maklumat, forensik komputer dan tindak balas insiden! Pendaftaran kursus .
sumberDalam menyediakan artikel, pembentangan Oleg Skulkin "Menggunakan forensik berasaskan hos untuk mendapatkan petunjuk kompromi untuk tindak balas insiden yang didorong oleh risikan yang berjaya" telah digunakan.
Sumber: www.habr.com