ProHoster > BLOG > știri pe internet > Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa
Algoritmi și tactici de răspuns la incidente de securitate a informațiilor, tendințe în atacurile cibernetice actuale, abordări pentru investigarea scurgerilor de date în companii, cercetarea browserelor și dispozitivelor mobile, analiza fișierelor criptate, extragerea datelor de geolocalizare și analiza unor volume mari de date - toate acestea și alte subiecte poate fi studiat pe noi cursuri comune ale Grupului-IB și Belkasoft. În august noi a anunțat primul curs Belkasoft Digital Forensics, care începe pe 9 septembrie, și după ce am primit un număr mare de întrebări, am decis să vorbim mai detaliat despre ce vor studia studenții, ce cunoștințe, competențe și bonusuri (!) vor primi cei care ajunge la capăt. Să începem cu începutul.

Două Toate într-unul

Ideea de a organiza cursuri comune de formare a apărut după ce participanții la cursul Grup-IB au început să întrebe despre un instrument care să-i ajute în investigarea sistemelor și rețelelor informatice compromise și să combine funcționalitatea diferitelor utilități gratuite pe care le recomandăm să le folosească în timpul răspunsului la incident.

În opinia noastră, un astfel de instrument ar putea fi Belkasoft Evidence Center (am vorbit deja despre el în articol Igor Mikhailov „Cheia începutului: cel mai bun software și hardware pentru criminalistica computerizată”). Prin urmare, împreună cu Belkasoft, am dezvoltat două cursuri de formare: Belkasoft Digital Forensics и Examinare Belkasoft pentru răspunsul la incident.

IMPORTANT: cursurile sunt secvențiale și interconectate! Belkasoft Digital Forensics este dedicat programului Belkasoft Evidence Center, iar Belkasoft Incident Response Examination este dedicat investigării incidentelor folosind produsele Belkasoft. Adică, înainte de a studia cursul Belkasoft pentru răspunsul la incident, vă recomandăm insistent să urmați cursul Belkasoft Digital Forensics. Dacă începeți imediat cu un curs despre investigarea incidentelor, studentul poate avea lacune enervante de cunoștințe în utilizarea Centrului de dovezi Belkasoft, găsirea și examinarea artefactelor criminalistice. Acest lucru poate duce la faptul că, în timpul antrenamentului în cursul Belkasoft Incident Response Examination, studentul fie nu va avea timp să stăpânească materialul, fie va încetini restul grupului în dobândirea de noi cunoștințe, deoarece timpul de instruire va fi petrecut. de către trainer explicând materialul de la cursul Belkasoft Digital Forensics.

Criminalistica informatică cu Belkasoft Evidence Center

Scopul cursului Belkasoft Digital Forensics — prezentați studenților programul Belkasoft Evidence Center, învățați-i să folosească acest program pentru a colecta dovezi din diverse surse (stocare în cloud, memorie cu acces aleatoriu (RAM), dispozitive mobile, medii de stocare (hard disk, unități flash etc.), master tehnici și tehnici criminalistice de bază, metode de examinare criminalistică a artefactelor Windows, dispozitive mobile, depozite de memorie RAM. De asemenea, veți învăța să identificați și să documentați artefacte ale browserelor și ale programelor de mesagerie instantanee, să creați copii criminalistice ale datelor din diverse surse, să extrageți date de geolocalizare și să căutați pentru secvențe de text (căutare după cuvinte cheie), utilizați hashuri atunci când efectuați cercetări, analizați registrul Windows, stăpâniți abilitățile de explorare a bazelor de date SQLite necunoscute, elementele de bază ale examinării fișierelor grafice și video și tehnici analitice utilizate în timpul investigațiilor.

Cursul va fi util experților cu specializare în domeniul criminalistică tehnică informatică (computer forensics); specialiști tehnici care determină motivele unei intruziuni reușite, analizează lanțul de evenimente și consecințele atacurilor cibernetice; specialiști tehnici care identifică și documentează furtul de date (scurgeri) de către un insider (infractor intern); Specialiști în e-Discovery; Personalul SOC și CERT/CSIRT; angajați în securitatea informațiilor; pasionati de criminalistica informatica.

Planul cursului:

  • Belkasoft Evidence Center (BEC): primii pași
  • Crearea si prelucrarea dosarelor in BEC
  • Colectați dovezi digitale pentru investigațiile criminalistice cu BEC

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Folosind filtre
  • Generarea de rapoarte
  • Cercetare privind programele de mesagerie instant

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Cercetare browser web

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Cercetarea dispozitivelor mobile
  • Extragerea datelor de geolocalizare

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Căutarea secvențelor de text în cazuri
  • Extragerea și analizarea datelor din stocarea în cloud
  • Utilizarea marcajelor pentru a evidenția dovezi semnificative găsite în timpul cercetării
  • Examinarea fișierelor de sistem Windows

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Analiza registrului Windows
  • Analiza bazelor de date SQLite

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Metode de recuperare a datelor
  • Tehnici de examinare a depozitelor RAM
  • Utilizarea calculatorului hash și a analizei hash în cercetarea criminalistică
  • Analiza fișierelor criptate
  • Metode de studiere a fișierelor grafice și video
  • Utilizarea tehnicilor analitice în cercetarea criminalistică
  • Automatizați acțiunile de rutină folosind limbajul de programare Belkascripts încorporat

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa

  • Exerciții practice

Curs: Belkasoft Incident Response Examination

Scopul cursului este de a învăța elementele de bază ale investigației criminalistice a atacurilor cibernetice și posibilitățile de utilizare a Belkasoft Evidence Center într-o investigație. Veți afla despre principalii vectori ai atacurilor moderne asupra rețelelor de calculatoare, veți învăța să clasificați atacurile computerizate pe baza matricei MITRE ATT&CK, veți aplica algoritmi de cercetare a sistemului de operare pentru a stabili faptul compromiterii și a reconstrui acțiunile atacatorilor, veți afla unde sunt localizate artefactele care indicați ce fișiere au fost deschise ultimele , unde sistemul de operare stochează informații despre modul în care fișierele executabile au fost descărcate și executate, cum s-au mutat atacatorii în rețea și învață cum să examineze aceste artefacte folosind BEC. Veți afla, de asemenea, ce evenimente din jurnalele de sistem sunt de interes din punctul de vedere al investigației incidentelor și al detectării accesului de la distanță și veți afla cum să le investigați folosind BEC.

Cursul va fi util specialiștilor tehnici care determină motivele unei intruziuni de succes, analizează lanțurile de evenimente și consecințele atacurilor cibernetice; administratori de sistem; Personalul SOC și CERT/CSIRT; personalul de securitate a informațiilor.

Privire de ansamblu asupra curs

Cyber ​​​​Kill Chain descrie etapele principale ale oricărui atac tehnic asupra computerelor (sau rețelei de calculatoare) victimei, după cum urmează:
Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa
Acțiunile angajaților SOC (CERT, securitatea informațiilor etc.) au ca scop împiedicarea intrușilor să acceseze resursele informaționale protejate.

Dacă atacatorii pătrund în infrastructura protejată, atunci persoanele de mai sus ar trebui să încerce să minimizeze daunele cauzate de activitățile atacatorilor, să determine modul în care a fost efectuat atacul, să reconstruiască evenimentele și secvența acțiunilor atacatorilor în structura informațională compromisă și să ia măsuri de prevenire a acestui tip de atac în viitor.

Următoarele tipuri de urme pot fi găsite într-o infrastructură informațională compromisă, ceea ce indică faptul că rețeaua (calculatorul) a fost compromisă:

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa
Toate aceste urme pot fi găsite folosind programul Belkasoft Evidence Center.

BEC are un modul „Investigarea incidentelor”, în care, la analizarea mediilor de stocare, sunt plasate informații despre artefacte care pot ajuta cercetătorul atunci când investighează incidente.

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa
BEC acceptă examinarea principalelor tipuri de artefacte Windows care indică execuția fișierelor executabile pe sistemul investigat, inclusiv fișiere Amcache, Userassist, Prefetch, BAM/DAM, Windows Timeline Cronologie 10,analiza evenimentelor din sistem.

Informațiile despre urmele care conțin informații despre acțiunile utilizatorului într-un sistem compromis pot fi prezentate în următoarea formă:

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participa
Aceste informații, printre altele, includ informații despre rularea fișierelor executabile:

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participaInformații despre rularea fișierului „RDPWInst.exe”.

Informații despre prezența atacatorilor în sistemele compromise pot fi găsite în cheile de pornire a registrului Windows, servicii, sarcini programate, scripturi de conectare, WMI etc. Exemple de detectare a informațiilor despre atacatorii atașați la sistem pot fi văzute în următoarele capturi de ecran:

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participaConstrângerea atacatorilor care utilizează programatorul de activități prin crearea unei sarcini care rulează un script PowerShell.

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participaConsolidarea atacatorilor folosind Windows Management Instrumentation (WMI).

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participaConsolidarea atacatorilor folosind scriptul Logon.

Mișcarea atacatorilor într-o rețea de computere compromisă poate fi detectată, de exemplu, prin analiza jurnalelor de sistem Windows (dacă atacatorii folosesc serviciul RDP).

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participaInformații despre conexiunile RDP detectate.

Cursuri comune Group-IB și Belkasoft: ce vom preda și cine va participaInformații despre mișcarea atacatorilor în rețea.

Astfel, Belkasoft Evidence Center îi poate ajuta pe cercetători să identifice computerele compromise dintr-o rețea de calculatoare atacată, să găsească urme ale lansării de malware, urme de fixare în sistem și mișcare în rețea și alte urme ale activității atacatorilor pe computerele compromise.

Modul de efectuare a unor astfel de cercetări și de detectare a artefactelor descrise mai sus este descris în cursul de formare Belkasoft pentru examinarea răspunsului la incident.

Planul cursului:

  • Tendințele atacurilor cibernetice. Tehnologii, instrumente, scopuri ale atacatorilor
  • Utilizarea modelelor de amenințare pentru a înțelege tacticile, tehnicile și procedurile atacatorilor
  • Lanțul de ucidere cibernetică
  • Algoritm de răspuns la incident: identificare, localizare, generare de indicatori, căutare de noi noduri infectate
  • Analiza sistemelor Windows folosind BEC
  • Detectarea metodelor de infecție primară, răspândirea rețelei, consolidarea și activitatea de rețea a malware-ului folosind BEC
  • Identificați sistemele infectate și restaurați istoricul infecțiilor folosind BEC
  • Exerciții practice

FAQUnde se tin cursurile?
Cursurile se desfășoară la sediul Group-IB sau la un site extern (centru de formare). Este posibil ca un trainer să călătorească la site-uri cu clienți corporativi.

Cine conduce cursurile?
Formatorii de la Group-IB sunt practicieni cu mulți ani de experiență în efectuarea de cercetări criminalistice, investigații corporative și răspuns la incidente de securitate a informațiilor.

Calificările formatorilor sunt confirmate de numeroase certificate internaționale: GCFA, MCFE, ACE, EnCE etc.

Formatorii noștri găsesc cu ușurință un limbaj comun cu publicul, explicând clar chiar și cele mai complexe subiecte. Elevii vor învăța o mulțime de informații relevante și interesante despre investigarea incidentelor informatice, metode de identificare și contracarare a atacurilor informatice și vor obține cunoștințe practice reale pe care le pot aplica imediat după absolvire.

Cursurile vor oferi abilități utile care nu au legătură cu produsele Belkasoft sau aceste abilități vor fi inaplicabile fără acest software?
Abilitățile dobândite în timpul instruirii vor fi utile fără a utiliza produsele Belkasoft.

Ce este inclus în testarea inițială?

Testarea primară este un test de cunoștințe despre elementele de bază ale criminalisticii informatice. Nu există planuri de testare a cunoștințelor despre produsele Belkasoft și Group-IB.

Unde pot găsi informații despre cursurile educaționale ale companiei?

În cadrul cursurilor educaționale, Group-IB formează specialiști în răspunsul la incident, cercetarea malware, specialiști în inteligență cibernetică (Threat Intelligence), specialiști care să lucreze în Centrul de operațiuni de securitate (SOC), specialiști în vânătoarea proactivă a amenințărilor (Threat Hunter), etc. . Este disponibilă o listă completă de cursuri proprietare de la Group-IB aici.

Ce bonusuri primesc studenții care parcurg cursuri comune între Group-IB și Belkasoft?
Cei care au absolvit cursuri comune între Group-IB și Belkasoft vor primi:

  1. certificat de absolvire a cursului;
  2. abonament lunar gratuit la Belkasoft Evidence Center;
  3. 10% reducere la achiziționarea Belkasoft Evidence Center.

Vă reamintim că primul curs începe luni, 9 septembrie, - nu ratați ocazia de a obține cunoștințe unice în domeniul securității informațiilor, criminalistică informatică și răspuns la incidente! Înscrierea la curs aici.

surseÎn pregătirea articolului, am folosit prezentarea lui Oleg Skulkin „Utilizarea criminalisticii bazate pe gazdă pentru a obține indicatori de compromis pentru un răspuns de succes la incident bazat pe informații”.

Sursa: www.habr.com

Adauga un comentariu