Gruppe-IB og Belkasoft felleskurs: hva vi skal undervise og hvem som skal delta

Algoritmer og taktikker for å svare på informasjonssikkerhetshendelser, trender i aktuelle cyberangrep, tilnærminger til å undersøke datalekkasjer i selskaper, undersøke nettlesere og mobile enheter, analysere krypterte filer, trekke ut geolokaliseringsdata og analyser av store datamengder – alle disse og andre emner kan studeres på nye felleskurs for Group-IB og Belkasoft. I august vi kunngjort det første Belkasoft Digital Forensics-kurset, som starter 9. september, og etter å ha mottatt et stort antall spørsmål, bestemte vi oss for å snakke mer detaljert om hva studentene skal studere, hvilken kunnskap, kompetanse og bonuser (!) som vil mottas av de som nå slutten. Første ting først.

To Alt i ett

Ideen om å holde felles opplæringskurs dukket opp etter at Group-IB-kursdeltakere begynte å spørre om et verktøy som ville hjelpe dem med å undersøke kompromitterte datasystemer og nettverk, og kombinere funksjonaliteten til ulike gratisverktøy som vi anbefaler å bruke under respons.

Etter vår mening kan et slikt verktøy være Belkasoft Evidence Center (vi har allerede snakket om det i artikkel Igor Mikhailov "Nøkkel til starten: den beste programvaren og maskinvaren for dataetterforskning"). Derfor har vi, sammen med Belkasoft, utviklet to kurs: Belkasoft Digital Forensics и Belkasoft Incident Response-undersøkelse.

VIKTIG: kursene er sekvensielle og sammenkoblet! Belkasoft Digital Forensics er dedikert til Belkasoft Evidence Center-programmet, og Belkasoft Incident Response Examination er dedikert til å undersøke hendelser ved bruk av Belkasoft-produkter. Det vil si at før du studerer Belkasoft Incident Response Examination-kurset, anbefaler vi sterkt å fullføre Belkasoft Digital Forensics-kurset. Hvis du starter med en gang med et kurs om hendelsesundersøkelser, kan studenten ha irriterende kunnskapshull i bruken av Belkasoft Evidence Center, finne og undersøke rettsmedisinske artefakter. Dette kan føre til at under opplæring i Belkasoft Incident Response Examination-kurset vil studenten enten ikke ha tid til å mestre materialet, eller bremse resten av gruppen med å tilegne seg ny kunnskap, siden treningstiden vil bli brukt ved at treneren forklarer materialet fra Belkasoft Digital Forensics-kurset.

Dataetterforskning med Belkasoft Evidence Center

Formålet med kurset Belkasoft Digital Forensics – introduser elevene til Belkasoft Evidence Center-programmet, lær dem å bruke dette programmet til å samle bevis fra forskjellige kilder (skylagring, RAM-minne), mobile enheter, lagringsmedier (harddisker, flash-stasjoner, etc.), master grunnleggende rettsmedisinske teknikker og teknikker, metoder for rettsmedisinsk undersøkelse av Windows-artefakter, mobile enheter, RAM-dumper. Du vil også lære å identifisere og dokumentere gjenstander fra nettlesere og direktemeldingsprogrammer, lage rettsmedisinske kopier av data fra ulike kilder, trekke ut geolokaliseringsdata og søke for tekstsekvenser (søkeordsøk), bruk hashes når du utfører undersøkelser, analyser Windows-registeret, mestre ferdighetene til å utforske ukjente SQLite-databaser, det grunnleggende om å undersøke grafikk- og videofiler, og analytiske teknikker som brukes under undersøkelser.

Kurset vil være nyttig for eksperter med spesialisering innen datateknisk rettsmedisin (dataetterforskning); tekniske spesialister som bestemmer årsakene til et vellykket inntrenging, analyserer hendelseskjeden og konsekvensene av cyberangrep; tekniske spesialister som identifiserer og dokumenterer datatyveri (lekkasjer) av en insider (intern overtreder); e-Discovery-spesialister; SOC og CERT/CSIRT ansatte; informasjonssikkerhet ansatte; datakriminaltekniske entusiaster.

Kursplan:

• Belkasoft Evidence Center (BEC): første trinn
• Oppretting og behandling av saker i BEC
• Samle inn digitale bevis for rettsmedisinske undersøkelser med BEC

• Ved hjelp av filtre
• Genererer rapporter
• Forskning på direktemeldingsprogrammer

• Nettleserforskning

• Mobile Device Research
• Trekker ut geolokaliseringsdata

• Søker etter tekstsekvenser i saker
• Trekke ut og analysere data fra skylagringer
• Bruke bokmerker for å fremheve betydelig bevis funnet under forskning
• Undersøkelse av Windows-systemfiler

• Windows-registeranalyse
• Analyse av SQLite-databaser

• Datagjenopprettingsmetoder
• Teknikker for å undersøke RAM-dumper
• Bruke hasjkalkulator og hasjanalyse i rettsmedisinsk forskning
• Analyse av krypterte filer
• Metoder for å studere grafikk- og videofiler
• Bruk av analytiske teknikker i rettsmedisinsk forskning
• Automatiser rutinehandlinger ved å bruke det innebygde programmeringsspråket Belkascripts

• Praktiske øvelser

Kurs: Belkasoft Incident Response Examination

Formålet med kurset er å lære det grunnleggende om rettsmedisinske etterforskning av cyberangrep og mulighetene for å bruke Belkasoft Evidence Center i en etterforskning. Du vil lære om hovedvektorene for moderne angrep på datanettverk, lære å klassifisere dataangrep basert på MITER ATT&CK-matrisen, bruke operativsystemforskningsalgoritmer for å fastslå faktum om kompromiss og rekonstruere handlingene til angripere, lære hvor artefakter er lokalisert som angi hvilke filer som ble åpnet sist, hvor operativsystemet lagrer informasjon om hvordan kjørbare filer ble lastet ned og utført, hvordan angripere beveget seg over nettverket, og lære hvordan du undersøker disse artefaktene ved hjelp av BEC. Du vil også lære hvilke hendelser i systemloggene som er av interesse med tanke på hendelsesundersøkelse og fjerntilgangsdeteksjon, og lære hvordan du undersøker dem ved hjelp av BEC.

Kurset vil være nyttig for tekniske spesialister som bestemmer årsakene til en vellykket inntrenging, analyserer hendelseskjeder og konsekvensene av cyberangrep; systemadministratorer; SOC og CERT/CSIRT ansatte; informasjonssikkerhetspersonell.

Kursoversikt

Cyber ​​​​Kill Chain beskriver hovedstadiene i ethvert teknisk angrep på offerets datamaskiner (eller datanettverk) som følger:

Handlingene til SOC-ansatte (CERT, informasjonssikkerhet, etc.) er rettet mot å hindre inntrengere fra å få tilgang til beskyttede informasjonsressurser.

Hvis angripere trenger gjennom den beskyttede infrastrukturen, bør personene ovenfor prøve å minimere skaden fra angripernes aktiviteter, finne ut hvordan angrepet ble utført, rekonstruere hendelsene og handlingssekvensen til angriperne i den kompromitterte informasjonsstrukturen, og ta tiltak for å forhindre denne typen angrep i fremtiden.

Følgende typer spor kan finnes i en kompromittert informasjonsinfrastruktur, noe som indikerer at nettverket (datamaskinen) har blitt kompromittert:

Alle slike spor kan bli funnet ved hjelp av Belkasoft Evidence Center-programmet.

BEC har en «Incident Investigation»-modul, der det ved analyse av lagringsmedier plasseres informasjon om artefakter som kan hjelpe forskeren ved etterforskning av hendelser.

BEC støtter undersøkelse av hovedtypene av Windows-artefakter som indikerer kjøring av kjørbare filer på systemet som undersøkes, inkludert Amcache, Userassist, Prefetch, BAM/DAM-filer, Windows 10-tidslinje,analyse av systemhendelser.

Informasjon om spor som inneholder informasjon om brukerhandlinger i et kompromittert system kan presenteres i følgende skjema:

Denne informasjonen inkluderer blant annet informasjon om å kjøre kjørbare filer:

Informasjon om å kjøre filen 'RDPWInst.exe'.

Informasjon om angripernes tilstedeværelse i kompromitterte systemer kan finnes i Windows-registrets oppstartsnøkler, tjenester, planlagte oppgaver, påloggingsskript, WMI, etc. Eksempler på å oppdage informasjon om angripere som er knyttet til systemet kan sees i følgende skjermbilder:

Begrense angripere ved å bruke oppgaveplanleggeren ved å lage en oppgave som kjører et PowerShell-skript.

Konsolidere angripere ved hjelp av Windows Management Instrumentation (WMI).

Konsoliderer angripere ved hjelp av påloggingsskript.

Bevegelsen av angripere over et kompromittert datanettverk kan oppdages, for eksempel ved å analysere Windows-systemlogger (hvis angriperne bruker RDP-tjenesten).

Informasjon om oppdagede RDP-tilkoblinger.

Informasjon om bevegelsen til angripere over nettverket.

Dermed kan Belkasoft Evidence Center hjelpe forskere med å identifisere kompromitterte datamaskiner i et angrepet datanettverk, finne spor etter lansering av skadelig programvare, spor etter fiksering i systemet og bevegelse på tvers av nettverket, og andre spor etter angriperaktivitet på kompromitterte datamaskiner.

Hvordan man utfører slik forskning og oppdager artefaktene beskrevet ovenfor er beskrevet i Belkasoft Incident Response Examination-opplæringskurset.

Kursplan:

• Nettangrepstrender. Teknologier, verktøy, mål for angripere
• Bruk av trusselmodeller for å forstå angriperens taktikker, teknikker og prosedyrer
• Cyberdrepskjede
• Hendelsesresponsalgoritme: identifikasjon, lokalisering, generering av indikatorer, søk etter nye infiserte noder
• Analyse av Windows-systemer ved hjelp av BEC
• Deteksjon av metoder for primær infeksjon, nettverksspredning, konsolidering og nettverksaktivitet av skadelig programvare ved bruk av BEC
• Identifiser infiserte systemer og gjenopprett infeksjonshistorikk ved hjelp av BEC
• Praktiske øvelser

FAQHvor holdes kursene?
Kurs holdes ved Group-IB-hovedkvarteret eller på et eksternt sted (treningssenter). Det er mulig for en trener å reise til nettsteder med bedriftskunder.

Hvem leder timene?
Trenere ved Group-IB er utøvere med mange års erfaring i å utføre rettsmedisinske undersøkelser, bedriftsundersøkelser og svare på informasjonssikkerhetshendelser.

Kvalifikasjonene til trenere er bekreftet av en rekke internasjonale sertifikater: GCFA, MCFE, ACE, EnCE, etc.

Våre trenere finner enkelt et felles språk med publikum, og forklarer tydelig selv de mest komplekse emnene. Studentene vil lære mye relevant og interessant informasjon om etterforskning av datahendelser, metoder for å identifisere og motvirke dataangrep, og få reell praktisk kunnskap som de kan bruke umiddelbart etter endt utdanning.

Vil kursene gi nyttige ferdigheter som ikke er relatert til Belkasoft-produkter, eller vil disse ferdighetene være uanvendelige uten denne programvaren?
Ferdighetene tilegnet under opplæringen vil være nyttige uten å bruke Belkasoft-produkter.

Hva er inkludert i den innledende testingen?

Primærtesting er en test av kunnskap om det grunnleggende innen dataetterforskning. Det er ingen planer om å teste kunnskap om Belkasoft og Group-IB-produkter.

Hvor finner jeg informasjon om bedriftens utdanningskurs?

Som en del av utdanningskurs utdanner Group-IB spesialister innen respons på hendelser, skadevareforskning, spesialister på cyberintelligens (Threat Intelligence), spesialister til å jobbe i Security Operation Center (SOC), spesialister i proaktiv trusseljakt (Threat Hunter), etc. . En komplett liste over proprietære kurs fra Group-IB er tilgjengelig her.

Hvilke bonuser mottar studenter som gjennomfører felleskurs mellom Group-IB og Belkasoft?
De som har gjennomført opplæring i felleskurs mellom Group-IB og Belkasoft vil få:

1. sertifikat for fullført kurs;
2. gratis månedlig abonnement på Belkasoft Evidence Center;
3. 10 % rabatt på kjøp av Belkasoft Evidence Center.

Vi minner om at første kurs starter mandag kl. 9 september,- ikke gå glipp av muligheten til å få unik kunnskap innen informasjonssikkerhet, dataetterforskning og hendelsesrespons! Påmelding til kurset her.

kilderUnder utarbeidelsen av artikkelen brukte vi presentasjonen av Oleg Skulkin "Bruk av vertsbasert etterforskning for å få indikatorer på kompromiss for vellykket etterretningsdrevet hendelsesrespons."

Kilde: www.habr.com