ProHoster > blog > aħbarijiet fuq l-internet > Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi
Algoritmi u tattiċi għar-rispons għal inċidenti ta' sigurtà tal-informazzjoni, xejriet f'attakki ċibernetiċi attwali, approċċi għall-investigazzjoni ta' tnixxijiet ta' dejta fil-kumpaniji, riċerka ta' browsers u tagħmir mobbli, analiżi ta' fajls encrypted, estrazzjoni ta' data ta' ġeolokalizzazzjoni u analitika ta' volumi kbar ta' dejta - dawn kollha u suġġetti oħra jistgħu jiġu studjati fuq korsijiet konġunti ġodda ta 'Grupp-IB u Belkasoft. F’Awwissu aħna ħabbar l-ewwel kors tal-Belkasoft Digital Forensics, li jibda fid-9 ta’ Settembru, u wara li rċevejna numru kbir ta’ mistoqsijiet, iddeċidejna li nitkellmu f’aktar dettall dwar x’se jistudjaw l-istudenti, x’għarfien, kompetenzi u bonuses (!) se jirċievu dawk li jilħaq it-tmiem. L-ewwel affarijiet l-ewwel.

Żewġ Kollha f'wieħed

L-idea li jsiru korsijiet ta’ taħriġ konġunti dehret wara li l-parteċipanti tal-korsijiet tal-Grupp-IB bdew jistaqsu dwar għodda li tgħinhom jinvestigaw sistemi u netwerks tal-kompjuter kompromessi, u jgħaqqdu l-funzjonalità ta’ diversi utilitajiet b’xejn li nirrakkomandaw li jużaw waqt ir-rispons għall-inċidenti.

Fl-opinjoni tagħna, għodda bħal din tista 'tkun Belkasoft Evidence Center (diġà tkellimna dwarha fi artikolu Igor Mikhailov "Ewwel tal-bidu: l-aħjar softwer u ħardwer għall-forensika tal-kompjuter"). Għalhekk, aħna, flimkien ma’ Belkasoft, żviluppajna żewġ korsijiet ta’ taħriġ: Belkasoft Forensika Diġitali и Eżami ta' Rispons għal Incident ta' Belkasoft.

IMPORTANTI: il-korsijiet huma sekwenzjali u interkonnessi! Belkasoft Digital Forensics hija ddedikata għall-programm Belkasoft Evidence Center, u Belkasoft Incident Response Examination huwa ddedikat għall-investigazzjoni ta 'inċidenti bl-użu ta' prodotti Belkasoft. Jiġifieri, qabel ma tistudja l-kors tal-Eżami ta’ Rispons għall-Inċidenti ta’ Belkasoft, nirrakkomandaw bil-qawwa li tlesti l-kors tal-Forensika Diġitali ta’ Belkasoft. Jekk tibda mill-ewwel b'kors dwar investigazzjonijiet ta 'inċidenti, l-istudent jista' jkollu nuqqasijiet ta 'għarfien tedjanti fl-użu taċ-Ċentru ta' Evidenza Belkasoft, isib u jeżamina artifatti forensiċi. Dan jista' jwassal għall-fatt li waqt it-taħriġ fil-kors ta' l-Eżami ta' Rispons għall-Inċidenti ta' Belkasoft, l-istudent jew ma jkollux ħin biex jaħkem il-materjal, jew inaqqas bil-mod lill-bqija tal-grupp biex jakkwista għarfien ġdid, peress li l-ħin tat-taħriġ se jintefaq. mit-trejner li jispjega l-materjal mill-kors tal-Belkasoft Digital Forensics.

Forensika tal-kompjuter ma' Belkasoft Evidence Center

Għan tal-kors Belkasoft Forensika Diġitali — tintroduċi lill-istudenti fil-programm Belkasoft Evidence Center, għallimhom jużaw dan il-programm biex jiġbru evidenza minn diversi sorsi (ħżin fis-sħab, memorja b’aċċess każwali (RAM), apparat mobbli, mezzi ta’ ħażna (hard drives, flash drives, eċċ.), master tekniki u tekniki forensiċi bażiċi, metodi ta 'eżaminazzjoni forensika ta' artifacts tal-Windows, apparat mobbli, miżbliet RAM.Tgħallem ukoll tidentifika u tiddokumenta artifacts ta 'browsers u programmi ta' messaġġi istantanji, toħloq kopji forensiċi ta 'data minn sorsi varji, estratt data ta' ġeolokalizzazzjoni u tfittxija għal sekwenzi ta 'test (tfittxija bil-kliem kjavi), uża hashes meta twettaq riċerka, tanalizza r-reġistru tal-Windows, tikkontrolla l-ħiliet ta' esplorazzjoni ta 'databases SQLite mhux magħrufa, il-baŜi ta' l-eżaminazzjoni ta 'fajls grafiċi u video, u tekniki analitiċi użati waqt l-investigazzjonijiet.

Il-kors se jkun utli għal esperti bi speċjalizzazzjoni fil-qasam tal-forensika teknika tal-kompjuter (forensika tal-kompjuter); speċjalisti tekniċi li jiddeterminaw ir-raġunijiet għal intrużjoni b'suċċess, janalizzaw il-katina ta 'avvenimenti u l-konsegwenzi ta' attakki ċibernetiċi; speċjalisti tekniċi li jidentifikaw u jiddokumentaw serq tad-dejta (tnixxijiet) minn persuna minn ġewwa (ksur intern); Speċjalisti tal-e-Discovery; Staff tas-SOC u CERT/CSIRT; impjegati tas-sigurtà tal-informazzjoni; dilettanti tal-forensika tal-kompjuter.

Pjan tal-kors:

  • Belkasoft Evidence Centre (BEC): l-ewwel passi
  • Ħolqien u pproċessar ta' każijiet fil-BEC
  • Iġbor evidenza diġitali għal investigazzjonijiet forensiċi mal-BEC

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Użu ta 'filtri
  • Ġenerazzjoni ta' rapporti
  • Riċerka dwar Programmi ta' Messaġġi Instant

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Web Browser Riċerka

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Riċerka dwar l-Apparat Mobbli
  • Estrazzjoni tad-dejta tal-ġeolokalizzazzjoni

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Tiftix għal sekwenzi ta' test f'każijiet
  • L-estrazzjoni u l-analiżi tad-dejta minn ħażniet cloud
  • Uża bookmarks biex tenfasizza evidenza sinifikanti misjuba waqt ir-riċerka
  • Eżami tal-fajls tas-sistema tal-Windows

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Analiżi tar-Reġistru tal-Windows
  • Analiżi ta 'databases SQLite

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Metodi ta 'rkupru tad-data
  • Tekniki għall-eżaminazzjoni ta' dumps ta' RAM
  • Użu ta 'kalkulatur tal-hash u analiżi tal-hash fir-riċerka forensika
  • Analiżi ta 'fajls encrypted
  • Metodi għall-istudju ta 'fajls grafiċi u vidjo
  • L-użu ta 'tekniki analitiċi fir-riċerka forensika
  • Awtomatizza l-azzjonijiet ta’ rutina billi tuża l-lingwa ta’ programmar Belkascripts inkorporata

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi

  • Lezzjonijiet prattiċi

Kors: Eżami ta' Rispons għall-Inċidenti ta' Belkasoft

L-iskop tal-kors huwa li titgħallem il-baŜi tal-investigazzjoni forensika tal-attakki ċibernetiċi u l-possibbiltajiet tal-użu taċ-Ċentru tal-Evidenza ta' Belkasoft f'investigazzjoni. Se titgħallem dwar il-vettori ewlenin ta 'attakki moderni fuq netwerks tal-kompjuter, titgħallem tikklassifika attakki tal-kompjuter ibbażati fuq il-matriċi MITRE ATT&CK, tapplika algoritmi ta' riċerka tas-sistema operattiva biex tistabbilixxi l-fatt ta 'kompromess u tibni mill-ġdid l-azzjonijiet tal-attakkanti, titgħallem fejn jinsabu l-artifacts li indika liema fajls infetħu l-aħħar , fejn is-sistema operattiva taħżen informazzjoni dwar kif il-fajls eżekutibbli ġew imniżżla u esegwiti, kif l-attakkanti mxew madwar in-netwerk, u jitgħallmu kif teżamina dawn l-artifacts bl-użu tal-BEC. Se titgħallem ukoll liema avvenimenti fir-reġistri tas-sistema huma ta 'interess mil-lat ta' investigazzjoni ta 'inċidenti u skoperta ta' aċċess mill-bogħod, u titgħallem kif tinvestigahom bl-użu tal-BEC.

Il-kors se jkun utli għal speċjalisti tekniċi li jiddeterminaw ir-raġunijiet għal intrużjoni ta 'suċċess, janalizzaw ktajjen ta' avvenimenti u l-konsegwenzi ta 'attakki ċibernetiċi; amministraturi tas-sistema; Staff tas-SOC u CERT/CSIRT; persunal tas-sigurtà tal-informazzjoni.

Ħarsa ġenerali tal-Kors

Cyber ​​​​Kill Chain tiddeskrivi l-istadji ewlenin ta 'kwalunkwe attakk tekniku fuq il-kompjuters tal-vittma (jew netwerk tal-kompjuter) kif ġej:
Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi
L-azzjonijiet tal-impjegati tas-SOC (CERT, sigurtà tal-informazzjoni, eċċ.) huma mmirati biex jipprevjenu l-intrużi milli jaċċessaw riżorsi ta 'informazzjoni protetti.

Jekk l-attakkanti jippenetraw l-infrastruttura protetta, allura l-persuni ta 'hawn fuq għandhom jippruvaw jimminimizzaw il-ħsara mill-attivitajiet tal-attakkanti, jiddeterminaw kif twettaq l-attakk, jibnu mill-ġdid l-avvenimenti u s-sekwenza tal-azzjonijiet tal-attakkanti fl-istruttura tal-informazzjoni kompromessa, u jieħdu miżuri biex jipprevjenu dan it-tip ta’ attakk fil-futur.

It-tipi ta' traċċi li ġejjin jistgħu jinstabu f'infrastruttura ta' informazzjoni kompromessa, li jindikaw li n-netwerk (kompjuter) ġie kompromess:

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi
Dawn it-traċċi kollha jistgħu jinstabu bl-użu tal-programm Belkasoft Evidence Center.

BEC għandha modulu "Investigazzjoni ta 'Inċidenti", fejn, meta jiġu analizzati l-mezzi ta' ħażna, titqiegħed informazzjoni dwar artifacts li tista 'tgħin lir-riċerkatur meta jinvestiga inċidenti.

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi
BEC jappoġġja l-eżami tat-tipi ewlenin ta 'artifacts tal-Windows li jindikaw l-eżekuzzjoni ta' fajls eżekutibbli fuq is-sistema taħt investigazzjoni, inklużi fajls Amcache, Userassist, Prefetch, BAM/DAM, Timeline tal-Windows 10,Analiżi ta' avvenimenti tas-sistema.

Informazzjoni dwar traċċi li fihom informazzjoni dwar azzjonijiet tal-utent f'sistema kompromessa tista' tiġi ppreżentata fil-forma li ġejja:

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendi
Din l-informazzjoni, fost affarijiet oħra, tinkludi informazzjoni dwar it-tħaddim ta’ fajls eżekutibbli:

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendiInformazzjoni dwar it-tħaddim tal-fajl 'RDPWInst.exe'.

L-informazzjoni dwar il-preżenza tal-attakkanti f'sistemi kompromessi tista' tinstab fiċ-ċwievet tal-istartjar tar-reġistru tal-Windows, servizzi, kompiti skedati, skripts tal-Logon, WMI, eċċ. Eżempji ta 'sejbien ta' informazzjoni dwar attakkanti li jkunu mwaħħla mas-sistema jistgħu jidhru fil-screenshots li ġejjin:

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendiLi tillimita lill-attakkanti li jużaw l-iskedar tal-kompiti billi toħloq kompitu li jmexxi script PowerShell.

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendiIl-konsolidazzjoni tal-attakkanti bl-użu tal-Windows Management Instrumentation (WMI).

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendiJikkonsolidaw l-attakkanti bl-użu ta' skript ta' Logon.

Il-moviment tal-attakkanti fuq netwerk tal-kompjuter kompromess jista' jiġi skopert, pereżempju, billi jiġu analizzati r-reġistri tas-sistema tal-Windows (jekk l-attakkanti jużaw is-servizz RDP).

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendiInformazzjoni dwar konnessjonijiet RDP misjuba.

Korsijiet konġunti Group-IB u Belkasoft: x'se ngħallmu u min se jattendiInformazzjoni dwar il-moviment tal-attakkanti madwar in-netwerk.

Għalhekk, Belkasoft Evidence Centre jista 'jgħin lir-riċerkaturi jidentifikaw kompjuters kompromessi f'netwerk tal-kompjuter attakkat, isibu traċċi tat-tnedija ta' malware, traċċi ta 'fissazzjoni fis-sistema u moviment madwar in-netwerk, u traċċi oħra ta' attività tal-attakkant fuq kompjuters kompromessi.

Kif twettaq tali riċerka u tiskopri l-artifacts deskritti hawn fuq huwa deskritt fil-kors ta 'taħriġ ta' Belkasoft Incident Response Examination.

Pjan tal-kors:

  • Xejriet ta' attakki ċibernetiċi. Teknoloġiji, għodod, għanijiet ta 'attakkanti
  • L-użu ta' mudelli ta' theddid biex tifhem it-tattiċi, it-tekniki u l-proċeduri tal-attakkant
  • Katina tal-qtil ċibernetiku
  • Algoritmu ta' rispons għall-inċidenti: identifikazzjoni, lokalizzazzjoni, ġenerazzjoni ta' indikaturi, tfittxija għal nodi infettati ġodda
  • Analiżi ta' sistemi Windows bl-użu ta' BEC
  • Sejbien ta' metodi ta' infezzjoni primarja, tixrid tan-netwerk, konsolidazzjoni, u attività tan-netwerk ta' malware bl-użu ta' BEC
  • Identifika sistemi infettati u restawra l-istorja tal-infezzjoni billi tuża BEC
  • Lezzjonijiet prattiċi

FAQFejn isiru l-korsijiet?
Il-korsijiet isiru fil-kwartieri ġenerali tal-Grupp-IB jew f'sit estern (ċentru ta' taħriġ). Huwa possibbli għal trejner li jivvjaġġa lejn siti bi klijenti korporattivi.

Min imexxi l-klassijiet?
Dawk li jħarrġu fil-Grupp-IB huma prattikanti b'ħafna snin ta 'esperjenza fit-twettiq ta' riċerka forensika, investigazzjonijiet korporattivi u rispons għal inċidenti tas-sigurtà tal-informazzjoni.

Il-kwalifiki tat-trejners huma kkonfermati minn bosta ċertifikati internazzjonali: GCFA, MCFE, ACE, EnCE, eċċ.

It-trejners tagħna faċilment isibu lingwa komuni mal-udjenza, u jispjegaw b'mod ċar anke l-aktar suġġetti kumplessi. L-istudenti se jitgħallmu ħafna informazzjoni rilevanti u interessanti dwar l-investigazzjoni ta 'inċidenti tal-kompjuter, metodi ta' identifikazzjoni u ġlieda kontra attakki tal-kompjuter, u jiksbu għarfien prattiku reali li jistgħu japplikaw immedjatament wara l-gradwazzjoni.

Il-korsijiet se jipprovdu ħiliet utli mhux relatati mal-prodotti Belkasoft, jew dawn il-ħiliet se jkunu inapplikabbli mingħajr dan is-software?
Il-ħiliet miksuba matul it-taħriġ se jkunu utli mingħajr ma jintużaw il-prodotti Belkasoft.

X'inhu inkluż fl-ittestjar inizjali?

L-ittestjar primarju huwa test ta 'għarfien tal-baŜi tal-forensika tal-kompjuter. M'hemm l-ebda pjanijiet biex jiġi ttestjat l-għarfien tal-prodotti Belkasoft u Group-IB.

Fejn nista' nsib informazzjoni dwar il-korsijiet edukattivi tal-kumpanija?

Bħala parti minn korsijiet edukattivi, Group-IB iħarreġ speċjalisti fir-rispons għall-inċidenti, riċerka malware, speċjalisti tal-intelliġenza ċibernetika (Threat Intelligence), speċjalisti biex jaħdmu fiċ-Ċentru tal-Operazzjoni tas-Sigurtà (SOC), speċjalisti fil-kaċċa proattiva għat-theddid (Threat Hunter), eċċ. . Lista kompluta ta' korsijiet proprjetarji minn Group-IB hija disponibbli hawn.

Liema bonus jirċievu studenti li jtemmu korsijiet konġunti bejn Group-IB u Belkasoft?
Dawk li temmew taħriġ f'korsijiet konġunti bejn Group-IB u Belkasoft se jirċievu:

  1. ċertifikat tat-tlestija tal-kors;
  2. abbonament ta' kull xahar b'xejn għal Belkasoft Evidence Center;
  3. Roħs ta’ 10% fuq ix-xiri ta’ Belkasoft Evidence Center.

Infakkrukom li l-ewwel kors jibda nhar it-Tnejn, 9 Settembru, - titlifx l-opportunità li tikseb għarfien uniku fil-qasam tas-sigurtà tal-informazzjoni, il-forensika tal-kompjuter u r-rispons għall-inċidenti! Reġistrazzjoni għall-kors hawn.

SorsiFil-preparazzjoni tal-artiklu, użajna l-preżentazzjoni minn Oleg Skulkin "L-użu tal-forensika bbażata fuq l-ospitanti biex niksbu indikaturi ta 'kompromess għal rispons ta' inċident b'suċċess immexxi mill-intelliġenza."

Sors: www.habr.com

Żid kumment