Cursos conjuntos do Grupo-IB e Belkasoft: o que vamos ensinar e quem virá

Algoritmos e táticas para responder a incidentes de segurança da informação, tendências em ataques cibernéticos atuais, abordagens para investigar vazamentos de dados em empresas, pesquisar navegadores e dispositivos móveis, analisar arquivos criptografados, extrair dados de geolocalização e análises de grandes volumes de dados – todos esses e outros tópicos pode ser estudado em novos cursos conjuntos do Group-IB e Belkasoft. Em agosto nós anunciado o primeiro curso Belkasoft Digital Forensics, que começa no dia 9 de setembro, e tendo recebido um grande número de dúvidas, decidimos falar mais detalhadamente sobre o que os alunos irão estudar, quais conhecimentos, competências e bônus (!) serão recebidos por aqueles que chegar ao fim. Primeiras coisas primeiro.

Dois tudo em um

A ideia de realizar cursos de treinamento conjuntos surgiu depois que os participantes do curso do Grupo-IB começaram a perguntar sobre uma ferramenta que os ajudaria na investigação de sistemas e redes de computadores comprometidos e combinaria a funcionalidade de vários utilitários gratuitos que recomendamos usar durante a resposta a incidentes.

Em nossa opinião, tal ferramenta poderia ser o Belkasoft Evidence Center (já falamos sobre isso em статье Igor Mikhailov “Chave para o início: o melhor software e hardware para computação forense”). Por isso, nós, em conjunto com a Belkasoft, desenvolvemos dois cursos de treinamento: Belkasoft Digital Forense и Exame de resposta a incidentes da Belkasoft.

IMPORTANTE: os cursos são sequenciais e interligados! Belkasoft Digital Forensics é dedicado ao programa Belkasoft Evidence Center, e Belkasoft Incident Response Examination é dedicado a investigar incidentes usando produtos Belkasoft. Ou seja, antes de estudar o curso Belkasoft Incident Response Examination, recomendamos fortemente a conclusão do curso Belkasoft Digital Forensics. Se você começar imediatamente com um curso sobre investigações de incidentes, o aluno poderá ter lacunas de conhecimento irritantes no uso do Belkasoft Evidence Center, na localização e no exame de artefatos forenses. Isso pode levar ao fato de que durante o treinamento no curso Belkasoft Incident Response Examination, o aluno não terá tempo para dominar o material, ou atrasará o restante do grupo na aquisição de novos conhecimentos, já que o tempo de treinamento será gasto pelo treinador explicando o material do curso Belkasoft Digital Forensics.

Análise forense de computadores com Belkasoft Evidence Center

Objetivo do curso Belkasoft Digital Forense — apresentar aos alunos o programa Belkasoft Evidence Center, ensiná-los a usar este programa para coletar evidências de várias fontes (armazenamento em nuvem, memória de acesso aleatório (RAM), dispositivos móveis, mídia de armazenamento (discos rígidos, unidades flash, etc.), mestre técnicas e técnicas forenses básicas, métodos de exame forense de artefatos do Windows, dispositivos móveis, despejos de RAM. Você também aprenderá a identificar e documentar artefatos de navegadores e programas de mensagens instantâneas, criar cópias forenses de dados de várias fontes, extrair dados de geolocalização e pesquisar para sequências de texto (pesquisa por palavra-chave), usar hashes ao conduzir pesquisas, analisar o registro do Windows, dominar as habilidades de exploração de bancos de dados SQLite desconhecidos, os fundamentos do exame de arquivos gráficos e de vídeo e técnicas analíticas usadas durante as investigações.

O curso será útil a especialistas com especialização na área de perícia técnica informática (computação forense); especialistas técnicos que determinam as razões de uma intrusão bem-sucedida, analisam a cadeia de eventos e as consequências dos ataques cibernéticos; especialistas técnicos que identificam e documentam roubo de dados (vazamentos) por um insider (violador interno); especialistas em e-Discovery; Pessoal SOC e CERT/CSIRT; funcionários de segurança da informação; entusiastas da computação forense.

Plano de curso:

• Belkasoft Evidence Center (BEC): primeiros passos
• Criação e tramitação de processos no BEC
• Colete evidências digitais para investigações forenses com o BEC

• Usando filtros
• Gerando relatórios
• Pesquisa sobre programas de mensagens instantâneas

• Pesquisa de navegador da web

• Pesquisa de dispositivos móveis
• Extraindo dados de geolocalização

• Procurando sequências de texto em casos
• Extraindo e analisando dados de armazenamentos em nuvem
• Usando marcadores para destacar evidências significativas encontradas durante a pesquisa
• Exame de arquivos de sistema do Windows

• Análise do Registro do Windows
• Análise de bancos de dados SQLite

• Métodos de recuperação de dados
• Técnicas para examinar dumps de RAM
• Usando calculadora de hash e análise de hash em pesquisas forenses
• Análise de arquivos criptografados
• Métodos para estudar arquivos gráficos e de vídeo
• O uso de técnicas analíticas em pesquisas forenses
• Automatize ações de rotina usando a linguagem de programação Belkascripts integrada

• Exercícios práticos

Curso: Exame de resposta a incidentes da Belkasoft

O objetivo do curso é aprender os fundamentos da investigação forense de ataques cibernéticos e as possibilidades de utilização do Belkasoft Evidence Center em uma investigação. Você aprenderá sobre os principais vetores de ataques modernos a redes de computadores, aprenderá a classificar os ataques de computador com base na matriz MITRE ATT&CK, aplicará algoritmos de pesquisa de sistema operacional para estabelecer o fato do comprometimento e reconstruir as ações dos invasores, aprenderá onde estão localizados os artefatos que indicar quais arquivos foram abertos por último, onde o sistema operacional armazena informações sobre como os arquivos executáveis ​​foram baixados e executados, como os invasores se movimentaram pela rede e aprender como examinar esses artefatos usando BEC. Você também aprenderá quais eventos nos logs do sistema são de interesse do ponto de vista da investigação de incidentes e detecção de acesso remoto, e aprenderá como investigá-los usando BEC.

O curso será útil para especialistas técnicos que determinam as razões de uma intrusão bem-sucedida, analisam cadeias de eventos e as consequências de ataques cibernéticos; administradores de sistema; Pessoal SOC e CERT/CSIRT; pessoal de segurança da informação.

Visão geral do curso

Cyber ​​​​Kill Chain descreve os principais estágios de qualquer ataque técnico aos computadores (ou rede de computadores) da vítima da seguinte forma:

As ações dos funcionários do SOC (CERT, segurança da informação, etc.) visam impedir que intrusos acessem recursos de informação protegidos.

Se os atacantes penetrarem na infra-estrutura protegida, então as pessoas acima mencionadas deverão tentar minimizar os danos das actividades dos atacantes, determinar como o ataque foi realizado, reconstruir os eventos e a sequência de acções dos atacantes na estrutura de informação comprometida, e tomar medidas medidas para prevenir este tipo de ataque no futuro.

Os seguintes tipos de rastros podem ser encontrados em uma infraestrutura de informação comprometida, indicando que a rede (computador) foi comprometida:

Todos esses vestígios podem ser encontrados usando o programa Belkasoft Evidence Center.

O BEC possui um módulo “Investigação de Incidentes”, onde, ao analisar mídias de armazenamento, são colocadas informações sobre artefatos que podem auxiliar o pesquisador na investigação de incidentes.

O BEC suporta o exame dos principais tipos de artefatos do Windows que indicam a execução de arquivos executáveis ​​no sistema sob investigação, incluindo Amcache, Userassist, Prefetch, arquivos BAM/DAM, Linha do tempo do Windows 10,análise de eventos do sistema.

Informações sobre rastreamentos contendo informações sobre ações do usuário em um sistema comprometido podem ser apresentadas da seguinte forma:

Essas informações, entre outras coisas, incluem informações sobre a execução de arquivos executáveis:

Informações sobre como executar o arquivo 'RDPWInst.exe'.

Informações sobre a presença de invasores em sistemas comprometidos podem ser encontradas nas chaves de inicialização do registro do Windows, serviços, tarefas agendadas, scripts de logon, WMI, etc. Exemplos de detecção de informações sobre invasores anexados ao sistema podem ser vistos nas capturas de tela a seguir:

Restringir invasores usando o agendador de tarefas criando uma tarefa que executa um script do PowerShell.

Consolidando invasores usando Windows Management Instrumentation (WMI).

Consolidando invasores usando script de logon.

O movimento de invasores em uma rede de computadores comprometida pode ser detectado, por exemplo, analisando os logs do sistema Windows (se os invasores usarem o serviço RDP).

Informações sobre conexões RDP detectadas.

Informações sobre o movimento de invasores pela rede.

Assim, o Belkasoft Evidence Center pode ajudar os pesquisadores a identificar computadores comprometidos em uma rede de computadores atacada, encontrar vestígios de lançamento de malware, vestígios de fixação no sistema e movimento pela rede e outros vestígios de atividade de invasores em computadores comprometidos.

Como conduzir tal pesquisa e detectar os artefatos descritos acima está descrito no curso de treinamento Belkasoft Incident Response Examination.

Plano de curso:

• Tendências de ataques cibernéticos. Tecnologias, ferramentas, objetivos dos invasores
• Usando modelos de ameaças para entender táticas, técnicas e procedimentos do invasor
• Cadeia de morte cibernética
• Algoritmo de resposta a incidentes: identificação, localização, geração de indicadores, busca de novos nós infectados
• Análise de sistemas Windows usando BEC
• Detecção de métodos de infecção primária, disseminação de rede, consolidação e atividade de malware na rede usando BEC
• Identifique sistemas infectados e restaure o histórico de infecção usando BEC
• Exercícios práticos

Perguntas frequentesOnde são realizados os cursos?
Os cursos são realizados na sede do Grupo-IB ou em local externo (centro de treinamento). É possível que um treinador viaje para locais com clientes corporativos.

Quem conduz as aulas?
Os instrutores do Grupo-IB são profissionais com muitos anos de experiência na condução de pesquisas forenses, investigações corporativas e resposta a incidentes de segurança da informação.

As qualificações dos formadores são confirmadas por numerosos certificados internacionais: GCFA, MCFE, ACE, EnCE, etc.

Nossos treinadores encontram facilmente uma linguagem comum com o público, explicando claramente até os tópicos mais complexos. Os alunos aprenderão muitas informações relevantes e interessantes sobre a investigação de incidentes informáticos, métodos de identificação e combate a ataques informáticos e obterão conhecimentos práticos reais que poderão aplicar imediatamente após a formatura.

Os cursos fornecerão habilidades úteis não relacionadas aos produtos Belkasoft ou essas habilidades serão inaplicáveis ​​sem este software?
As habilidades adquiridas durante o treinamento serão úteis sem o uso de produtos Belkasoft.

O que está incluído no teste inicial?

O teste primário é um teste de conhecimento dos fundamentos da computação forense. Não há planos para testar o conhecimento dos produtos Belkasoft e Group-IB.

Onde posso encontrar informações sobre os cursos educacionais da empresa?

Como parte dos cursos educacionais, o Grupo-IB forma especialistas em resposta a incidentes, pesquisa de malware, especialistas em inteligência cibernética (Threat Intelligence), especialistas para atuar no Security Operation Center (SOC), especialistas em caça proativa de ameaças (Threat Hunter), etc. . Uma lista completa de cursos proprietários do Grupo-IB está disponível aqui.

Que bônus recebem os alunos que concluem cursos conjuntos entre o Grupo-IB e a Belkasoft?
Aqueles que concluíram o treinamento em cursos conjuntos entre o Grupo-IB e a Belkasoft receberão:

1. certificado de conclusão do curso;
2. assinatura mensal gratuita do Belkasoft Evidence Center;
3. Desconto de 10% na compra do Belkasoft Evidence Center.

Lembramos que o primeiro curso começa na segunda-feira, 9 setembro, - não perca a oportunidade de adquirir conhecimentos únicos na área de segurança da informação, computação forense e resposta a incidentes! Inscrições para o curso aqui.

fontesNa preparação do artigo, utilizamos a apresentação de Oleg Skulkin “Usando análise forense baseada em host para obter indicadores de comprometimento para uma resposta bem-sucedida a incidentes orientada por inteligência”.

Fonte: habr.com