Algoritmi u tattiċi għar-rispons għal inċidenti ta' sigurtà tal-informazzjoni, xejriet f'attakki ċibernetiċi attwali, approċċi għall-investigazzjoni ta' tnixxijiet ta' dejta fil-kumpaniji, riċerka ta' browsers u tagħmir mobbli, analiżi ta' fajls encrypted, estrazzjoni ta' data ta' ġeolokalizzazzjoni u analitika ta' volumi kbar ta' dejta - dawn kollha u suġġetti oħra jistgħu jiġu studjati fuq korsijiet konġunti ġodda ta 'Grupp-IB u Belkasoft. F’Awwissu aħna
Żewġ Kollha f'wieħed
L-idea li jsiru korsijiet ta’ taħriġ konġunti dehret wara li l-parteċipanti tal-korsijiet tal-Grupp-IB bdew jistaqsu dwar għodda li tgħinhom jinvestigaw sistemi u netwerks tal-kompjuter kompromessi, u jgħaqqdu l-funzjonalità ta’ diversi utilitajiet b’xejn li nirrakkomandaw li jużaw waqt ir-rispons għall-inċidenti.
Fl-opinjoni tagħna, għodda bħal din tista 'tkun Belkasoft Evidence Center (diġà tkellimna dwarha fi
IMPORTANTI: il-korsijiet huma sekwenzjali u interkonnessi! Belkasoft Digital Forensics hija ddedikata għall-programm Belkasoft Evidence Center, u Belkasoft Incident Response Examination huwa ddedikat għall-investigazzjoni ta 'inċidenti bl-użu ta' prodotti Belkasoft. Jiġifieri, qabel ma tistudja l-kors tal-Eżami ta’ Rispons għall-Inċidenti ta’ Belkasoft, nirrakkomandaw bil-qawwa li tlesti l-kors tal-Forensika Diġitali ta’ Belkasoft. Jekk tibda mill-ewwel b'kors dwar investigazzjonijiet ta 'inċidenti, l-istudent jista' jkollu nuqqasijiet ta 'għarfien tedjanti fl-użu taċ-Ċentru ta' Evidenza Belkasoft, isib u jeżamina artifatti forensiċi. Dan jista' jwassal għall-fatt li waqt it-taħriġ fil-kors ta' l-Eżami ta' Rispons għall-Inċidenti ta' Belkasoft, l-istudent jew ma jkollux ħin biex jaħkem il-materjal, jew inaqqas bil-mod lill-bqija tal-grupp biex jakkwista għarfien ġdid, peress li l-ħin tat-taħriġ se jintefaq. mit-trejner li jispjega l-materjal mill-kors tal-Belkasoft Digital Forensics.
Forensika tal-kompjuter ma' Belkasoft Evidence Center
Għan tal-kors Belkasoft Forensika Diġitali — tintroduċi lill-istudenti fil-programm Belkasoft Evidence Center, għallimhom jużaw dan il-programm biex jiġbru evidenza minn diversi sorsi (ħżin fis-sħab, memorja b’aċċess każwali (RAM), apparat mobbli, mezzi ta’ ħażna (hard drives, flash drives, eċċ.), master tekniki u tekniki forensiċi bażiċi, metodi ta 'eżaminazzjoni forensika ta' artifacts tal-Windows, apparat mobbli, miżbliet RAM.Tgħallem ukoll tidentifika u tiddokumenta artifacts ta 'browsers u programmi ta' messaġġi istantanji, toħloq kopji forensiċi ta 'data minn sorsi varji, estratt data ta' ġeolokalizzazzjoni u tfittxija għal sekwenzi ta 'test (tfittxija bil-kliem kjavi), uża hashes meta twettaq riċerka, tanalizza r-reġistru tal-Windows, tikkontrolla l-ħiliet ta' esplorazzjoni ta 'databases SQLite mhux magħrufa, il-baŜi ta' l-eżaminazzjoni ta 'fajls grafiċi u video, u tekniki analitiċi użati waqt l-investigazzjonijiet.
Il-kors se jkun utli għal esperti bi speċjalizzazzjoni fil-qasam tal-forensika teknika tal-kompjuter (forensika tal-kompjuter); speċjalisti tekniċi li jiddeterminaw ir-raġunijiet għal intrużjoni b'suċċess, janalizzaw il-katina ta 'avvenimenti u l-konsegwenzi ta' attakki ċibernetiċi; speċjalisti tekniċi li jidentifikaw u jiddokumentaw serq tad-dejta (tnixxijiet) minn persuna minn ġewwa (ksur intern); Speċjalisti tal-e-Discovery; Staff tas-SOC u CERT/CSIRT; impjegati tas-sigurtà tal-informazzjoni; dilettanti tal-forensika tal-kompjuter.
Pjan tal-kors:
- Belkasoft Evidence Centre (BEC): l-ewwel passi
- Ħolqien u pproċessar ta' każijiet fil-BEC
- Iġbor evidenza diġitali għal investigazzjonijiet forensiċi mal-BEC
- Użu ta 'filtri
- Ġenerazzjoni ta' rapporti
- Riċerka dwar Programmi ta' Messaġġi Instant
- Web Browser Riċerka
- Riċerka dwar l-Apparat Mobbli
- Estrazzjoni tad-dejta tal-ġeolokalizzazzjoni
- Tiftix għal sekwenzi ta' test f'każijiet
- L-estrazzjoni u l-analiżi tad-dejta minn ħażniet cloud
- Uża bookmarks biex tenfasizza evidenza sinifikanti misjuba waqt ir-riċerka
- Eżami tal-fajls tas-sistema tal-Windows
- Analiżi tar-Reġistru tal-Windows
- Analiżi ta 'databases SQLite
- Metodi ta 'rkupru tad-data
- Tekniki għall-eżaminazzjoni ta' dumps ta' RAM
- Użu ta 'kalkulatur tal-hash u analiżi tal-hash fir-riċerka forensika
- Analiżi ta 'fajls encrypted
- Metodi għall-istudju ta 'fajls grafiċi u vidjo
- L-użu ta 'tekniki analitiċi fir-riċerka forensika
- Awtomatizza l-azzjonijiet ta’ rutina billi tuża l-lingwa ta’ programmar Belkascripts inkorporata
- Lezzjonijiet prattiċi
Kors: Eżami ta' Rispons għall-Inċidenti ta' Belkasoft
L-iskop tal-kors huwa li titgħallem il-baŜi tal-investigazzjoni forensika tal-attakki ċibernetiċi u l-possibbiltajiet tal-użu taċ-Ċentru tal-Evidenza ta' Belkasoft f'investigazzjoni. Se titgħallem dwar il-vettori ewlenin ta 'attakki moderni fuq netwerks tal-kompjuter, titgħallem tikklassifika attakki tal-kompjuter ibbażati fuq il-matriċi MITRE ATT&CK, tapplika algoritmi ta' riċerka tas-sistema operattiva biex tistabbilixxi l-fatt ta 'kompromess u tibni mill-ġdid l-azzjonijiet tal-attakkanti, titgħallem fejn jinsabu l-artifacts li indika liema fajls infetħu l-aħħar , fejn is-sistema operattiva taħżen informazzjoni dwar kif il-fajls eżekutibbli ġew imniżżla u esegwiti, kif l-attakkanti mxew madwar in-netwerk, u jitgħallmu kif teżamina dawn l-artifacts bl-użu tal-BEC. Se titgħallem ukoll liema avvenimenti fir-reġistri tas-sistema huma ta 'interess mil-lat ta' investigazzjoni ta 'inċidenti u skoperta ta' aċċess mill-bogħod, u titgħallem kif tinvestigahom bl-użu tal-BEC.
Il-kors se jkun utli għal speċjalisti tekniċi li jiddeterminaw ir-raġunijiet għal intrużjoni ta 'suċċess, janalizzaw ktajjen ta' avvenimenti u l-konsegwenzi ta 'attakki ċibernetiċi; amministraturi tas-sistema; Staff tas-SOC u CERT/CSIRT; persunal tas-sigurtà tal-informazzjoni.
Ħarsa ġenerali tal-Kors
Cyber Kill Chain tiddeskrivi l-istadji ewlenin ta 'kwalunkwe attakk tekniku fuq il-kompjuters tal-vittma (jew netwerk tal-kompjuter) kif ġej:
L-azzjonijiet tal-impjegati tas-SOC (CERT, sigurtà tal-informazzjoni, eċċ.) huma mmirati biex jipprevjenu l-intrużi milli jaċċessaw riżorsi ta 'informazzjoni protetti.
Jekk l-attakkanti jippenetraw l-infrastruttura protetta, allura l-persuni ta 'hawn fuq għandhom jippruvaw jimminimizzaw il-ħsara mill-attivitajiet tal-attakkanti, jiddeterminaw kif twettaq l-attakk, jibnu mill-ġdid l-avvenimenti u s-sekwenza tal-azzjonijiet tal-attakkanti fl-istruttura tal-informazzjoni kompromessa, u jieħdu miżuri biex jipprevjenu dan it-tip ta’ attakk fil-futur.
It-tipi ta' traċċi li ġejjin jistgħu jinstabu f'infrastruttura ta' informazzjoni kompromessa, li jindikaw li n-netwerk (kompjuter) ġie kompromess:
Dawn it-traċċi kollha jistgħu jinstabu bl-użu tal-programm Belkasoft Evidence Center.
BEC għandha modulu "Investigazzjoni ta 'Inċidenti", fejn, meta jiġu analizzati l-mezzi ta' ħażna, titqiegħed informazzjoni dwar artifacts li tista 'tgħin lir-riċerkatur meta jinvestiga inċidenti.
BEC jappoġġja l-eżami tat-tipi ewlenin ta 'artifacts tal-Windows li jindikaw l-eżekuzzjoni ta' fajls eżekutibbli fuq is-sistema taħt investigazzjoni, inklużi fajls Amcache, Userassist, Prefetch, BAM/DAM,
Informazzjoni dwar traċċi li fihom informazzjoni dwar azzjonijiet tal-utent f'sistema kompromessa tista' tiġi ppreżentata fil-forma li ġejja:
Din l-informazzjoni, fost affarijiet oħra, tinkludi informazzjoni dwar it-tħaddim ta’ fajls eżekutibbli:
Informazzjoni dwar it-tħaddim tal-fajl 'RDPWInst.exe'.
L-informazzjoni dwar il-preżenza tal-attakkanti f'sistemi kompromessi tista' tinstab fiċ-ċwievet tal-istartjar tar-reġistru tal-Windows, servizzi, kompiti skedati, skripts tal-Logon, WMI, eċċ. Eżempji ta 'sejbien ta' informazzjoni dwar attakkanti li jkunu mwaħħla mas-sistema jistgħu jidhru fil-screenshots li ġejjin:
Li tillimita lill-attakkanti li jużaw l-iskedar tal-kompiti billi toħloq kompitu li jmexxi script PowerShell.
Il-konsolidazzjoni tal-attakkanti bl-użu tal-Windows Management Instrumentation (WMI).
Jikkonsolidaw l-attakkanti bl-użu ta' skript ta' Logon.
Il-moviment tal-attakkanti fuq netwerk tal-kompjuter kompromess jista' jiġi skopert, pereżempju, billi jiġu analizzati r-reġistri tas-sistema tal-Windows (jekk l-attakkanti jużaw is-servizz RDP).
Informazzjoni dwar konnessjonijiet RDP misjuba.
Informazzjoni dwar il-moviment tal-attakkanti madwar in-netwerk.
Għalhekk, Belkasoft Evidence Centre jista 'jgħin lir-riċerkaturi jidentifikaw kompjuters kompromessi f'netwerk tal-kompjuter attakkat, isibu traċċi tat-tnedija ta' malware, traċċi ta 'fissazzjoni fis-sistema u moviment madwar in-netwerk, u traċċi oħra ta' attività tal-attakkant fuq kompjuters kompromessi.
Kif twettaq tali riċerka u tiskopri l-artifacts deskritti hawn fuq huwa deskritt fil-kors ta 'taħriġ ta' Belkasoft Incident Response Examination.
Pjan tal-kors:
- Xejriet ta' attakki ċibernetiċi. Teknoloġiji, għodod, għanijiet ta 'attakkanti
- L-użu ta' mudelli ta' theddid biex tifhem it-tattiċi, it-tekniki u l-proċeduri tal-attakkant
- Katina tal-qtil ċibernetiku
- Algoritmu ta' rispons għall-inċidenti: identifikazzjoni, lokalizzazzjoni, ġenerazzjoni ta' indikaturi, tfittxija għal nodi infettati ġodda
- Analiżi ta' sistemi Windows bl-użu ta' BEC
- Sejbien ta' metodi ta' infezzjoni primarja, tixrid tan-netwerk, konsolidazzjoni, u attività tan-netwerk ta' malware bl-użu ta' BEC
- Identifika sistemi infettati u restawra l-istorja tal-infezzjoni billi tuża BEC
- Lezzjonijiet prattiċi
FAQFejn isiru l-korsijiet?
Il-korsijiet isiru fil-kwartieri ġenerali tal-Grupp-IB jew f'sit estern (ċentru ta' taħriġ). Huwa possibbli għal trejner li jivvjaġġa lejn siti bi klijenti korporattivi.
Min imexxi l-klassijiet?
Dawk li jħarrġu fil-Grupp-IB huma prattikanti b'ħafna snin ta 'esperjenza fit-twettiq ta' riċerka forensika, investigazzjonijiet korporattivi u rispons għal inċidenti tas-sigurtà tal-informazzjoni.
Il-kwalifiki tat-trejners huma kkonfermati minn bosta ċertifikati internazzjonali: GCFA, MCFE, ACE, EnCE, eċċ.
It-trejners tagħna faċilment isibu lingwa komuni mal-udjenza, u jispjegaw b'mod ċar anke l-aktar suġġetti kumplessi. L-istudenti se jitgħallmu ħafna informazzjoni rilevanti u interessanti dwar l-investigazzjoni ta 'inċidenti tal-kompjuter, metodi ta' identifikazzjoni u ġlieda kontra attakki tal-kompjuter, u jiksbu għarfien prattiku reali li jistgħu japplikaw immedjatament wara l-gradwazzjoni.
Il-korsijiet se jipprovdu ħiliet utli mhux relatati mal-prodotti Belkasoft, jew dawn il-ħiliet se jkunu inapplikabbli mingħajr dan is-software?
Il-ħiliet miksuba matul it-taħriġ se jkunu utli mingħajr ma jintużaw il-prodotti Belkasoft.
X'inhu inkluż fl-ittestjar inizjali?
L-ittestjar primarju huwa test ta 'għarfien tal-baŜi tal-forensika tal-kompjuter. M'hemm l-ebda pjanijiet biex jiġi ttestjat l-għarfien tal-prodotti Belkasoft u Group-IB.
Fejn nista' nsib informazzjoni dwar il-korsijiet edukattivi tal-kumpanija?
Bħala parti minn korsijiet edukattivi, Group-IB iħarreġ speċjalisti fir-rispons għall-inċidenti, riċerka malware, speċjalisti tal-intelliġenza ċibernetika (Threat Intelligence), speċjalisti biex jaħdmu fiċ-Ċentru tal-Operazzjoni tas-Sigurtà (SOC), speċjalisti fil-kaċċa proattiva għat-theddid (Threat Hunter), eċċ. . Lista kompluta ta' korsijiet proprjetarji minn Group-IB hija disponibbli
Liema bonus jirċievu studenti li jtemmu korsijiet konġunti bejn Group-IB u Belkasoft?
Dawk li temmew taħriġ f'korsijiet konġunti bejn Group-IB u Belkasoft se jirċievu:
- ċertifikat tat-tlestija tal-kors;
- abbonament ta' kull xahar b'xejn għal Belkasoft Evidence Center;
- Roħs ta’ 10% fuq ix-xiri ta’ Belkasoft Evidence Center.
Infakkrukom li l-ewwel kors jibda nhar it-Tnejn, 9 Settembru, - titlifx l-opportunità li tikseb għarfien uniku fil-qasam tas-sigurtà tal-informazzjoni, il-forensika tal-kompjuter u r-rispons għall-inċidenti! Reġistrazzjoni għall-kors
SorsiFil-preparazzjoni tal-artiklu, użajna l-preżentazzjoni minn Oleg Skulkin "L-użu tal-forensika bbażata fuq l-ospitanti biex niksbu indikaturi ta 'kompromess għal rispons ta' inċident b'suċċess immexxi mill-intelliġenza."
Sors: www.habr.com