Wspólne kursy Group-IB i Belkasoft: czego będziemy uczyć i kto przyjdzie

Algorytmy i taktyki reagowania na incydenty związane z bezpieczeństwem informacji, trendy w obecnych cyberatakach, podejścia do badania wycieków danych w firmach, badanie przeglądarek i urządzeń mobilnych, analiza zaszyfrowanych plików, wydobywanie danych geolokalizacyjnych i analityka dużych wolumenów danych - to wszystko i inne tematy można uczyć się na nowych, wspólnych kursach Group-IB i Belkasoft. W sierpniu my ogłosił pierwszego kursu Belkasoft Digital Forensics, który rusza 9 września i otrzymawszy dużą liczbę pytań, postanowiliśmy szerzej porozmawiać o tym, czego będą się uczyć studenci, jaką wiedzę, kompetencje i bonusy (!) otrzymają ci, którzy dotrzeć do końca. Najpierw najważniejsze rzeczy.

Dwa Wszystko w jednym

Pomysł prowadzenia wspólnych szkoleń pojawił się, gdy uczestnicy kursów Grupy-IB zaczęli pytać o narzędzie, które pomogłoby im w badaniu zaatakowanych systemów i sieci komputerowych, a także łączyło funkcjonalność różnych bezpłatnych narzędzi, z których zalecamy korzystać podczas reagowania na incydenty.

Naszym zdaniem takim narzędziem mogłoby być Belkasoft Evidence Center (rozmawialiśmy o tym już w Artykuł Igor Michajłow „Klucz do początku: najlepsze oprogramowanie i sprzęt dla informatyki śledczej”). Dlatego wspólnie z Belkasoft opracowaliśmy dwa szkolenia: Cyfrowa kryminalistyka Belkasoft и Badanie reakcji firmy Belkasoft na incydenty.

WAŻNE: kursy odbywają się sekwencyjnie i są ze sobą powiązane! Belkasoft Digital Forensics zajmuje się programem Belkasoft Evidence Center, a Belkasoft Incident Response Examination zajmuje się badaniem incydentów z wykorzystaniem produktów Belkasoft. Oznacza to, że przed przystąpieniem do kursu Belkasoft Incident Response Examination zdecydowanie zalecamy ukończenie kursu Belkasoft Digital Forensics. Jeśli od razu rozpoczniesz kurs dotyczący badania incydentów, student może mieć irytujące luki w wiedzy na temat korzystania z Centrum dowodowego Belkasoft, znajdowania i badania artefaktów kryminalistycznych. Może to prowadzić do tego, że podczas szkolenia w ramach kursu Belkasoft Incident Response Examination uczeń albo nie będzie miał czasu na opanowanie materiału, albo spowolni resztę grupy w zdobywaniu nowej wiedzy, gdyż czas szkolenia zostanie poświęcony przez trenera wyjaśniającego materiał z kursu Belkasoft Digital Forensics.

Informatyka śledcza z Belkasoft Evidence Center

Cel kursu Cyfrowa kryminalistyka Belkasoft — zapoznaj uczniów z programem Belkasoft Evidence Center, naucz ich, jak używać tego programu do gromadzenia dowodów z różnych źródeł (przechowywanie w chmurze, pamięć o dostępie swobodnym (RAM), urządzenia mobilne, nośniki danych (dyski twarde, dyski flash itp.), master podstawowe techniki i techniki kryminalistyczne, metody kryminalistycznego badania artefaktów systemu Windows, urządzeń mobilnych, zrzutów pamięci RAM. Nauczysz się także identyfikować i dokumentować artefakty przeglądarek i komunikatorów internetowych, tworzyć kryminalistyczne kopie danych z różnych źródeł, wydobywać dane geolokalizacyjne i wyszukiwać do sekwencji tekstowych (wyszukiwanie według słów kluczowych), posługiwania się skrótami podczas prowadzenia badań, analizowania rejestru Windows, opanowania umiejętności eksploracji nieznanych baz danych SQLite, podstaw badania plików graficznych i wideo oraz technik analitycznych stosowanych podczas śledztw.

Kurs będzie przydatny dla ekspertów specjalizujących się w dziedzinie informatyki śledczej (computer forensics); specjaliści techniczni, którzy ustalają przyczyny udanej włamania, analizują łańcuch zdarzeń i konsekwencje cyberataków; specjaliści techniczni identyfikujący i dokumentujący kradzież danych (wycieki) przez osobę poufną (sprawcę wewnętrznego naruszenia); specjaliści e-Discovery; Pracownicy SOC i CERT/CSIRT; pracownicy ds. bezpieczeństwa informacji; miłośników informatyki śledczej.

Plan kursu:

• Belkasoft Evidence Center (BEC): pierwsze kroki
• Tworzenie i obsługa spraw w BEC
• Zbieraj cyfrowe dowody na potrzeby dochodzeń kryminalistycznych za pomocą BEC

• Korzystanie z filtrów
• Generowanie raportów
• Badania dotyczące programów do obsługi wiadomości błyskawicznych

• Badania przeglądarek internetowych

• Badania urządzeń mobilnych
• Wyodrębnianie danych geolokalizacyjnych

• Wyszukiwanie ciągów tekstowych w przypadkach
• Wyodrębnianie i analizowanie danych z magazynów w chmurze
• Używanie zakładek do podkreślania znaczących dowodów znalezionych podczas badań
• Badanie plików systemowych Windows

• Analiza rejestru systemu Windows
• Analiza baz danych SQLite

• Metody odzyskiwania danych
• Techniki badania zrzutów pamięci RAM
• Wykorzystanie kalkulatora skrótu i ​​analizy skrótu w badaniach kryminalistycznych
• Analiza zaszyfrowanych plików
• Metody badania plików graficznych i wideo
• Zastosowanie technik analitycznych w badaniach kryminalistycznych
• Automatyzuj rutynowe działania, korzystając z wbudowanego języka programowania Belkascripts

• Zajęcia praktyczne

Kurs: Badanie reakcji na incydenty Belkasoft

Celem kursu jest poznanie podstaw kryminalistycznych dochodzeń w sprawie cyberataków oraz możliwości wykorzystania Belkasoft Evidence Center w dochodzeniu. Poznasz główne wektory współczesnych ataków na sieci komputerowe, nauczysz się klasyfikować ataki komputerowe w oparciu o macierz MITRE ATT&CK, zastosujesz algorytmy badania systemów operacyjnych w celu ustalenia faktu włamania i rekonstrukcji działań atakujących, dowiesz się, gdzie zlokalizowane są artefakty wskaż, które pliki zostały otwarte jako ostatnie, gdzie system operacyjny przechowuje informacje o tym, jak pliki wykonywalne zostały pobrane i wykonane, w jaki sposób osoby atakujące przemieszczały się w sieci oraz dowiedz się, jak zbadać te artefakty za pomocą BEC. Dowiesz się także, jakie zdarzenia w logach systemowych są interesujące z punktu widzenia badania incydentów i wykrywania zdalnego dostępu oraz dowiesz się, jak je badać za pomocą BEC.

Kurs będzie przydatny dla specjalistów technicznych, którzy ustalają przyczyny udanej włamania, analizują łańcuchy zdarzeń i konsekwencje cyberataków; administratorzy systemu; Pracownicy SOC i CERT/CSIRT; pracownicy ds. bezpieczeństwa informacji.

Przegląd kursu

Cyber ​​​​Kill Chain opisuje główne etapy każdego ataku technicznego na komputery (lub sieć komputerową) ofiary w następujący sposób:

Działania pracowników SOC (CERT, bezpieczeństwo informacji itp.) mają na celu uniemożliwienie intruzom dostępu do chronionych zasobów informacyjnych.

Jeżeli atakujący rzeczywiście przedostaną się do chronionej infrastruktury, powyższe osoby powinny spróbować zminimalizować szkody wynikające z działań atakujących, ustalić, w jaki sposób przeprowadzono atak, zrekonstruować zdarzenia i sekwencję działań atakujących w skompromitowanej strukturze informacji oraz podjąć środków zapobiegających tego typu atakom w przyszłości.

W zaatakowanej infrastrukturze informacyjnej można znaleźć następujące rodzaje śladów wskazujące, że sieć (komputer) została naruszona:

Wszystkie takie ślady można znaleźć za pomocą programu Belkasoft Evidence Center.

BEC posiada moduł „Badanie incydentów”, w którym podczas analizy nośników umieszczane są informacje o artefaktach, które mogą pomóc badaczowi w badaniu incydentów.

BEC obsługuje badanie głównych typów artefaktów systemu Windows, które wskazują na wykonanie plików wykonywalnych w badanym systemie, w tym plików Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Oś czasu,analiza zdarzeń systemowych.

Informacje o śladach zawierające informacje o działaniach użytkownika w zaatakowanym systemie mogą być prezentowane w następującej formie:

Informacje te obejmują między innymi informacje o uruchamianiu plików wykonywalnych:

Informacje o uruchomieniu pliku „RDPWInst.exe”.

Informacje o obecności atakujących w zaatakowanych systemach można znaleźć w kluczach startowych rejestru systemu Windows, usługach, zaplanowanych zadaniach, skryptach logowania, WMI itp. Przykłady wykrycia informacji o podłączonych do systemu atakujących można zobaczyć na poniższych zrzutach ekranu:

Ograniczanie atakujących przy użyciu harmonogramu zadań poprzez utworzenie zadania uruchamiającego skrypt PowerShell.

Konsolidowanie atakujących przy użyciu Instrumentacji zarządzania Windows (WMI).

Konsolidacja atakujących za pomocą skryptu logowania.

Ruch atakujących w zaatakowanej sieci komputerowej można wykryć na przykład analizując dzienniki systemu Windows (jeśli napastnicy korzystają z usługi RDP).

Informacje o wykrytych połączeniach RDP.

Informacje o ruchu atakujących w sieci.

W ten sposób Belkasoft Evidence Center może pomóc badaczom zidentyfikować zainfekowane komputery w zaatakowanej sieci komputerowej, znaleźć ślady uruchomienia złośliwego oprogramowania, ślady unieruchomienia systemu i ruchu w sieci oraz inne ślady aktywności atakującego na zaatakowanych komputerach.

Sposób przeprowadzania takich badań i wykrywania opisanych powyżej artefaktów opisano w kursie szkoleniowym Belkasoft Incident Response Examination.

Plan kursu:

• Trendy w cyberatakach. Technologie, narzędzia, cele atakujących
• Używanie modeli zagrożeń do zrozumienia taktyk, technik i procedur atakującego
• Łańcuch cyberzabójstw
• Algorytm reagowania na incydenty: identyfikacja, lokalizacja, generowanie wskaźników, wyszukiwanie nowych zainfekowanych węzłów
• Analiza systemów Windows z wykorzystaniem BEC
• Wykrywanie metod pierwotnej infekcji, rozprzestrzeniania się, konsolidacji i aktywności sieciowej złośliwego oprogramowania za pomocą BEC
• Zidentyfikuj zainfekowane systemy i przywróć historię infekcji za pomocą BEC
• Zajęcia praktyczne

FAQ Gdzie odbywają się kursy?
Kursy odbywają się w siedzibie Group-IB lub w placówce zewnętrznej (centrum szkoleniowym). Istnieje możliwość wyjazdów trenera do placówek z klientami korporacyjnymi.

Kto prowadzi zajęcia?
Trenerzy w Group-IB to praktycy z wieloletnim doświadczeniem w prowadzeniu badań kryminalistycznych, dochodzeniach korporacyjnych i reagowaniu na incydenty związane z bezpieczeństwem informacji.

Kwalifikacje trenerów potwierdzają liczne międzynarodowe certyfikaty: GCFA, MCFE, ACE, EnCE itp.

Nasi trenerzy z łatwością znajdują wspólny język z publicznością, jasno tłumacząc nawet najbardziej skomplikowane tematy. Studenci dowiedzą się wielu istotnych i ciekawych informacji na temat badania incydentów komputerowych, metod identyfikacji i przeciwdziałania atakom komputerowym oraz zdobędą realną wiedzę praktyczną, którą będą mogli zastosować bezpośrednio po ukończeniu studiów.

Czy kursy zapewnią przydatne umiejętności niezwiązane z produktami Belkasoft, czy też umiejętności te nie będą miały zastosowania bez tego oprogramowania?
Umiejętności zdobyte podczas szkolenia przydadzą się bez korzystania z produktów Belkasoft.

Co obejmuje badanie wstępne?

Test podstawowy jest sprawdzianem wiedzy z podstaw informatyki śledczej. Nie ma planów testowania wiedzy o produktach Belkasoft i Group-IB.

Gdzie mogę znaleźć informacje na temat kursów edukacyjnych firmy?

W ramach kursów edukacyjnych Group-IB szkoli specjalistów w zakresie reagowania na incydenty, badania złośliwego oprogramowania, specjalistów cyberwywiadu (Threat Intelligence), specjalistów do pracy w Security Operation Center (SOC), specjalistów w zakresie proaktywnego polowania na zagrożenia (Threat Hunter) itp. . Dostępna jest pełna lista własnych kursów firmy Group-IB tutaj.

Jakie premie otrzymują studenci, którzy ukończą wspólne kursy pomiędzy Group-IB i Belkasoft?
Osoby, które ukończyły szkolenia na wspólnych kursach Group-IB i Belkasoft otrzymają:

1. zaświadczenie o ukończeniu kursu;
2. bezpłatna miesięczna subskrypcja Belkasoft Evidence Center;
3. 10% rabatu na zakup Belkasoft Evidence Center.

Przypominamy, że pierwszy kurs rusza w poniedziałek, 9 września, - nie przegap okazji zdobycia unikalnej wiedzy z zakresu bezpieczeństwa informacji, informatyki śledczej i reagowania na incydenty! Rejestracja na kurs tutaj.

Źródła informacjiPrzygotowując artykuł, skorzystaliśmy z prezentacji Olega Skulkina „Wykorzystywanie kryminalistyki opartej na hostach w celu uzyskania wskaźników kompromisu w celu skutecznej reakcji na incydenty w oparciu o wywiad”.

Źródło: www.habr.com