තොරතුරු ආරක්ෂණ සිදුවීම්වලට ප්රතිචාර දැක්වීම සඳහා ඇල්ගොරිතම සහ උපක්රම, වර්තමාන සයිබර් ප්රහාරවල ප්රවණතා, සමාගම්වල දත්ත කාන්දුවීම් විමර්ශනය කිරීමට ප්රවේශයන්, බ්රව්සර් සහ ජංගම උපාංග පර්යේෂණ, සංකේතාත්මක ගොනු විශ්ලේෂණය, භූ ස්ථානගත දත්ත සහ විශාල දත්ත පරිමාවන් පිළිබඳ විශ්ලේෂණ - මේ සියල්ල සහ වෙනත් මාතෘකා කළ හැක. Group-IB සහ Belkasoft හි නව ඒකාබද්ධ පාඨමාලා පිළිබඳව අධ්යයනය කළ යුතුය. අගෝස්තු මාසයේදී අපි
දෙක ඔක්කොම එකයි
සමූහ-IB පා courses මාලා සඳහා සහභාගිවන්නන් සම්මුතිවාදී පරිගණක පද්ධති සහ ජාල විමර්ශනය කිරීමට සහ අපි නිර්දේශ කරන විවිධ නොමිලේ උපයෝගිතා වල ක්රියාකාරිත්වය ඒකාබද්ධ කිරීමට උපකාරී වන මෙවලමක් ගැන විමසීමට පටන් ගැනීමෙන් පසුව ඒකාබද්ධ පුහුණු පා courses මාලා පැවැත්වීමේ අදහස මතු විය. සිදුවීම් ප්රතිචාරය අතරතුර භාවිතා කිරීම.
අපගේ මතය අනුව, Belkasoft සාක්ෂි මධ්යස්ථානය එවැනි මෙවලමක් විය හැකිය (අපි දැනටමත් ඒ ගැන කතා කර ඇත
වැදගත්: පාඨමාලා අනුක්රමික සහ අන්තර් සම්බන්ධිතයි! Belkasoft Digital Forensics Belkasoft Evidence Center වැඩසටහන සඳහා කැපවී ඇති අතර Belkasoft සිද්ධි ප්රතිචාර විභාගය Belkasoft නිෂ්පාදන භාවිතයෙන් සිද්ධි විමර්ශනය සඳහා කැපවී ඇත. එනම් Belkasoft Incident Response Examination පාඨමාලාව හැදෑරීමට පෙර, Belkasoft Digital Forensics පාඨමාලාව සම්පූර්ණ කරන ලෙස අපි තරයේ නිර්දේශ කරමු. ඔබ සිදුවීම් විමර්ශන පාඨමාලාව සමඟ වහාම ආරම්භ කරන්නේ නම්, බෙල්කාසොෆ්ට් සාක්ෂි මධ්යස්ථානය භාවිතා කිරීම, අධිකරණ වෛද්ය කෞතුක වස්තු සොයා ගැනීම සහ පර්යේෂණ කිරීම සඳහා ශිෂ්යයාට කරදරකාරී දැනුමේ හිඩැස් තිබිය හැකිය. මෙය බෙල්කාසොෆ්ට් සිද්ධි ප්රතිචාර විභාග පා course මාලාවේදී, ශිෂ්යයාට තොරතුරු ප්රගුණ කිරීමට කාලය නොමැති වනු ඇත, නැතහොත් නව දැනුම ලබා ගැනීමේදී කණ්ඩායමේ සෙසු අය මන්දගාමී වනු ඇත, මන්ද පුහුණු කාලය වැය කරනු ලබන්නේ බෙල්කාසොෆ්ට් ඩිජිටල් අධිකරණ වෛද්ය පාඨමාලාවේ තොරතුරු පැහැදිලි කරන පුහුණුකරු.
බෙල්කාසොෆ්ට් සාක්ෂි මධ්යස්ථානය සමඟ පරිගණක අධිකරණ වෛද්ය විද්යාව
පාඨමාලාවේ අරමුණ Belkasoft ඩිජිටල් අධිකරණ වෛද්ය විද්යාව — Belkasoft Evidence Center වැඩසටහනට සිසුන් හඳුන්වා දීමට, විවිධ මූලාශ්රවලින් (වලාකුළු ආචයනය, සසම්භාවී ප්රවේශ මතකය (RAM), ජංගම උපාංග, ගබඩා මාධ්ය (දෘඪ තැටි, ෆ්ලෑෂ් ඩ්රයිව්, ආදිය) සාක්ෂි එකතු කිරීමට මෙම වැඩසටහන භාවිතා කරන ආකාරය ඔවුන්ට උගන්වන්න. , මූලික අධිකරණ වෛද්ය ශිල්පීය ක්රම සහ ශිල්පීය ක්රම ප්රගුණ කිරීම, Windows කෞතුක භාණ්ඩ, ජංගම උපාංග, මතක ඩම්ප් පිළිබඳ අධිකරණ වෛද්ය පරීක්ෂණ සඳහා ක්රම ඔබ බ්රවුසරය සහ ක්ෂණික පණිවිඩ කෞතුක වස්තු හඳුනාගෙන ලේඛනගත කරන ආකාරය, විවිධ මූලාශ්රවලින් දත්තවල අධිකරණ වෛද්ය පිටපත් නිර්මාණය කිරීම, භූ ස්ථාන දත්ත උපුටා ගැනීම සහ සෙවීම ඉගෙන ගනු ඇත. පෙළ අනුපිළිවෙල සඳහා (මූල පද අනුව සෙවීම), පර්යේෂණයේදී හෑෂ් භාවිතා කරන්න, වින්ඩෝස් රෙජිස්ට්රිය විශ්ලේෂණය කරන්න, නොදන්නා SQLite දත්ත සමුදායන් පර්යේෂණ කිරීමේ කුසලතා ඉගෙන ගන්න, ග්රැෆික් සහ වීඩියෝ ගොනු පර්යේෂණයේ මූලික කරුණු සහ විමර්ශනයේදී භාවිතා කරන විශ්ලේෂණ ශිල්පීය ක්රම.
මෙම පාඨමාලාව පරිගණක-තාක්ෂණික විශේෂඥතාව (පරිගණක විශේෂඥතාව) ක්ෂේත්රයේ විශේෂඥයින් සඳහා ප්රයෝජනවත් වනු ඇත; සාර්ථක ආක්රමණයක් සඳහා හේතු තීරණය කරන තාක්ෂණික විශේෂඥයින්, සිදුවීම් දාමය සහ සයිබර් ප්රහාරවල ප්රතිවිපාක විශ්ලේෂණය කිරීම; අභ්යන්තර (අභ්යන්තර වැරදිකරුවෙකු) විසින් දත්ත සොරකම් (කාන්දු වීම) හඳුනාගෙන ලේඛනගත කරන තාක්ෂණික විශේෂඥයින්; e-Discovery විශේෂඥයින්; SOC සහ CERT/CSIRT කාර්ය මණ්ඩලය; තොරතුරු ආරක්ෂක නිලධාරීන්; පරිගණක අධිකරණ වෛද්ය විද්යාව පිළිබඳ උනන්දුවක් දක්වන අය.
පාඨමාලා සැලැස්ම:
- Belkasoft සාක්ෂි මධ්යස්ථානය (BEC): පළමු පියවර
- BEC හි නඩු නිර්මාණය කිරීම සහ සැකසීම
- BEC සමඟ අධිකරණ වෛද්ය පරීක්ෂණයකදී ඩිජිටල් සාක්ෂි එකතු කිරීම
- පෙරහන් භාවිතා කිරීම
- වාර්තා
- ක්ෂණික පණිවුඩකරණ වැඩසටහන් ගවේෂණය කිරීම
- වෙබ් බ්රව්සර් පර්යේෂණ
- ජංගම පර්යේෂණ
- භූ ස්ථාන දත්ත උපුටා ගැනීම
- අවස්ථා වලදී පෙළ අනුපිළිවෙල සොයන්න
- වලාකුළු ගබඩා වලින් දත්ත උපුටා ගැනීම සහ විශ්ලේෂණය
- පර්යේෂණ අතරතුර සොයාගත් සැලකිය යුතු සාක්ෂි ඉස්මතු කිරීමට පිටු සලකුණු භාවිතා කිරීම
- වින්ඩෝස් පද්ධති ගොනු පරීක්ෂා කිරීම
- වින්ඩෝස් රෙජිස්ට්රි විශ්ලේෂණය
- SQLite දත්ත සමුදා විශ්ලේෂණය
- දත්ත ප්රතිසාධන ක්රම
- RAM ඩම්ප් පරීක්ෂා කිරීමේ තාක්ෂණික ක්රම
- අධිකරණ වෛද්ය පරීක්ෂණ වලදී හැෂ් කැල්කියුලේටරය සහ හැෂ් විශ්ලේෂණය භාවිතා කිරීම
- සංකේතාත්මක ගොනු විශ්ලේෂණය
- ග්රැෆික් සහ වීඩියෝ ගොනු පර්යේෂණ සඳහා ක්රම
- අධිකරණ වෛද්ය පර්යේෂණවල විශ්ලේෂණ ශිල්පීය ක්රම භාවිතය
- සාදන ලද ක්රමලේඛන භාෂාව බෙල්කාස්ක්රිප්ට් භාවිතයෙන් සාමාන්ය ක්රියා ස්වයංක්රීය කිරීම
- ප්රායෝගික පාඩම්
පාඨමාලාව: Belkasoft සිදුවීම් ප්රතිචාර විභාගය
පා course මාලාවේ අරමුණ වන්නේ සයිබර් ප්රහාර පිළිබඳ අධිකරණ වෛද්ය විමර්ශනයේ මූලික කරුණු සහ විමර්ශනයේදී Belkasoft සාක්ෂි මධ්යස්ථානය භාවිතා කිරීමේ හැකියාව ඉගෙන ගැනීමයි. පරිගණක ජාල වල නවීන ප්රහාරවල ප්රධාන දෛශික ගැන ඔබ ඉගෙන ගනු ඇත, MITER ATT සහ CK අනුකෘතිය මත පදනම්ව පරිගණක ප්රහාර වර්ගීකරණය කරන්නේ කෙසේදැයි ඉගෙන ගනු ඇත, සම්මුතියේ කාරණය තහවුරු කිරීමට සහ ප්රහාරකයින්ගේ ක්රියාවන් ප්රතිනිර්මාණය කිරීමට මෙහෙයුම් පද්ධති පර්යේෂණ ඇල්ගොරිතම යොදන්න, කොතැනදැයි සොයා බලන්න. කෞතුක වස්තු පිහිටා ඇත්තේ අවසන් වරට විවෘත කළ ගොනු මොනවාද, මෙහෙයුම් පද්ධතිය ක්රියාත්මක කළ හැකි ගොනු පැටවීම සහ ධාවනය කිරීම පිළිබඳ තොරතුරු ගබඩා කරන ස්ථානය, ප්රහාරකයින් ජාලය වටා ගමන් කළ ආකාරය සහ BEC භාවිතයෙන් මෙම පුරාවස්තු ගවේෂණය කරන්නේ කෙසේදැයි ඉගෙන ගන්න. සිදුවීම් විමර්ශනය සහ දුරස්ථ ප්රවේශ නිර්ණය සඳහා උනන්දුවක් දක්වන syslog සිදුවීම් මොනවාදැයි ඔබ ඉගෙන ගනු ඇත, සහ BEC භාවිතයෙන් ඒවා විමර්ශනය කරන්නේ කෙසේදැයි ඉගෙන ගන්න.
සාර්ථක ආක්රමණයක් සඳහා හේතු නිර්ණය කරන, සිදුවීම් දාමය සහ සයිබර් ප්රහාරවල ප්රතිවිපාක විශ්ලේෂණය කරන තාක්ෂණික විශේෂඥයින් සඳහා පාඨමාලාව ප්රයෝජනවත් වනු ඇත; පද්ධති පරිපාලකයින්; SOC සහ CERT/CSIRT කාර්ය මණ්ඩලය; තොරතුරු ආරක්ෂක නිලධාරීන්.
පාඨමාලා දළ විශ්ලේෂණය
Cyber Kill Chain වින්දිතයාගේ පරිගණක (හෝ පරිගණක ජාලය) මත සිදුවන ඕනෑම තාක්ෂණික ප්රහාරයක ප්රධාන අදියර පහත පරිදි විස්තර කරයි:
SOC සේවකයින්ගේ ක්රියාවන් (CERT, තොරතුරු ආරක්ෂාව, ආදිය) ආරක්ෂිත තොරතුරු සම්පත් වෙත ප්රවේශ වීමෙන් අනවසරයෙන් වැලැක්වීම අරමුණු කර ගෙන ඇත.
කෙසේ වෙතත්, ආක්රමණිකයන් ආරක්ෂිත යටිතල ව්යුහයට විනිවිද ගියේ නම්, ඉහත පුද්ගලයින් උත්සාහ කළ යුත්තේ ප්රහාරකයින්ගේ ක්රියාකාරකම් වලින් වන හානිය අවම කර ගැනීමට, ප්රහාරය සිදු වූ ආකාරය තීරණය කිරීමට, සම්මුතිගත තොරතුරු ව්යුහය තුළ ප්රහාරකයින්ගේ සිදුවීම් සහ ක්රියා අනුපිළිවෙල ප්රතිනිර්මාණය කිරීමට සහ අනාගතයේදී මෙවැනි ප්රහාර වැළැක්වීමට පියවර ගන්න.
සම්මුතියකට ලක් වූ තොරතුරු යටිතල ව්යුහයක් තුළ, ජාල (පරිගණක) සම්මුතියක් පෙන්නුම් කරන පහත දැක්වෙන ආකාරයේ හෝඩුවාවන් සොයාගත හැකිය:
බෙල්කාසොෆ්ට් සාක්ෂි මධ්යස්ථානය භාවිතයෙන් එවැනි සියලු අංශු සොයා ගත හැක.
BEC සතුව "සිදුවීම් විමර්ශන" මොඩියුලයක් ඇත, එහිදී, ගබඩා මාධ්ය විශ්ලේෂණය කරන විට, සිද්ධීන් විමර්ශනය කිරීමේදී පර්යේෂකයාට උපකාර කළ හැකි පුරාවස්තු පිළිබඳ තොරතුරු තැන්පත් කෙරේ.
Amcache, Userassist, Prefetch, BAM/DAM, ඇතුළුව විමර්ශනයට ලක්ව ඇති පද්ධතිය මත ක්රියාත්මක කළ හැකි ගොනු දියත් කිරීම පෙන්නුම් කරන ප්රධාන වින්ඩෝස් කෞතුක වස්තු පරීක්ෂා කිරීමට BEC සහාය දක්වයි.
සම්මුතිගත පද්ධතියක පරිශීලක ක්රියාවන් පිළිබඳ තොරතුරු අඩංගු හෝඩුවාවන් පිළිබඳ තොරතුරු පහත ආකාරයෙන් ඉදිරිපත් කළ හැක:
මෙම තොරතුරු, වෙනත් දේ අතර, ක්රියාත්මක කළ හැකි ගොනු දියත් කිරීම පිළිබඳ තොරතුරු ඇතුළත් වේ:
'RDPWInst.exe' ගොනුව ධාවනය කිරීම පිළිබඳ තොරතුරු.
සම්මුතිගත පද්ධතිවල රැඳී සිටින ප්රහාරකයින් පිළිබඳ තොරතුරු Windows රෙජිස්ට්රි ආරම්භක යතුරු, සේවා, නියමිත කාර්යයන්, ලොගින් ස්ක්රිප්ට්, ඩබ්ලිව්එම්අයි, සහ යනාදියෙහි සොයා ගත හැක. ප්රහාරකයෙකුගේ පද්ධතියක ඇමුණුම් තොරතුරු අනාවරණය කර ගැනීමේ උදාහරණ පහත තිරපිටපත්වල දැකිය හැක:
PowerShell ස්ක්රිප්ට් එකක් ක්රියාත්මක කරන කාර්යයක් නිර්මාණය කිරීම මගින් කාර්ය කාලසටහන භාවිතා කරමින් ප්රහාරකයින් ඇමතීම.
Windows Management Instrumentation (WMI) භාවිතයෙන් ප්රහාරකයන් සවි කිරීම.
Logon ස්ක්රිප්ටය සමඟින් ප්රහාරකයින් පින් කිරීම.
සම්මුතියට පත් පරිගණක ජාලයක් හරහා ප්රහාරකයින්ගේ චලනය හඳුනාගත හැකිය, උදාහරණයක් ලෙස, වින්ඩෝස් පද්ධති ලොග් විශ්ලේෂණය කිරීමෙන් (ප්රහාරකයන් RDP සේවාව භාවිතා කරන විට).
අනාවරණය කරගත් RDP සම්බන්ධතා පිළිබඳ තොරතුරු.
ජාලය හරහා ප්රහාරකයන්ගේ චලනය පිළිබඳ තොරතුරු.
මේ අනුව, ප්රහාරයට ලක් වූ පරිගණක ජාලයක සම්මුතියට පත් පරිගණක හඳුනා ගැනීමට, අනිෂ්ට මෘදුකාංග දියත් කිරීම් පිළිබඳ අංශු මාත්ර, පද්ධතිය තුළ සවි කර ජාලය වටා ගමන් කිරීමේ හෝඩුවාවන් සහ සම්මුතියට පත් පරිගණකවල ප්රහාරකයන්ගේ ක්රියාකාරකම් පිළිබඳ වෙනත් අංශු සොයා ගැනීමට පර්යේෂකයන්ට උපකාර කිරීමට Belkasoft සාක්ෂි මධ්යස්ථානය සමත් වේ.
එවැනි අධ්යයනයන් සිදු කරන්නේ කෙසේද සහ ඉහත විස්තර කර ඇති පුරාවස්තු හඳුනා ගන්නේ කෙසේද යන්න Belkasoft සිදුවීම් ප්රතිචාර විභාග පුහුණු පාඨමාලාවේ විස්තර කෙරේ.
පාඨමාලා සැලැස්ම:
- සයිබර් ප්රහාරවල ප්රවණතා. ප්රහාරකයන්ගේ තාක්ෂණයන්, මෙවලම්, ඉලක්ක
- ප්රහාරකයන්ගේ උපක්රම, ශිල්පීය ක්රම සහ ක්රියා පටිපාටි තේරුම් ගැනීමට තර්ජන ආකෘති භාවිතා කිරීම
- සයිබර් ඝාතන දාමය
- සිද්ධි ප්රතිචාර ඇල්ගොරිතම: හඳුනා ගැනීම, ප්රාදේශීයකරණය, දර්ශක උත්පාදනය, නව ආසාදිත නෝඩ් සෙවීම
- BEC සමඟ වින්ඩෝස් පද්ධති විශ්ලේෂණය කිරීම
- BEC භාවිතා කරන අනිෂ්ට මෘදුකාංග වල ප්රාථමික ආසාදන ක්රම හඳුනා ගැනීම, ජාල ප්රචාරණය, නොනැසී පැවතීම, ජාල ක්රියාකාරකම්
- BEC භාවිතයෙන් ආසාදිත පද්ධති හඳුනා ගැනීම සහ ආසාදන ඉතිහාසය යථා තත්ත්වයට පත් කිරීම
- ප්රායෝගික පාඩම්
නිති අසන පැණපාඨමාලා පැවැත්වෙන්නේ කොහේද?
පාඨමාලා කණ්ඩායම්-IB මූලස්ථානයේ හෝ බාහිර ස්ථානයක (පුහුණු මධ්යස්ථානයේ) පවත්වනු ලැබේ. ආයතනික ගනුදෙනුකරුවන් වෙත වේදිකාවල පුහුණුකරු පිටත්ව යාම කළ හැකිය.
පන්ති පවත්වන්නේ කවුද?
Group-IB හි පුහුණුකරුවන් අධිකරණ වෛද්ය පරීක්ෂණ, ආයතනික පරීක්ෂණ සහ තොරතුරු ආරක්ෂණ සිදුවීම් ප්රතිචාරය පිළිබඳ වසර ගණනාවක පළපුරුද්ද ඇති වෘත්තිකයන් වේ.
පුහුණුකරුවන්ගේ සුදුසුකම් බොහෝ ජාත්යන්තර සහතික මගින් තහවුරු කර ඇත: GCFA, MCFE, ACE, EnCE, ආදිය.
අපගේ පුහුණුකරුවන් ඉතා සංකීර්ණ මාතෘකා පවා ප්රවේශ විය හැකි ආකාරයෙන් පැහැදිලි කරමින් ප්රේක්ෂකයින් සමඟ පොදු භාෂාවක් පහසුවෙන් සොයා ගනී. පරිගණක සිදුවීම් විමර්ශනය කිරීම, පරිගණක ප්රහාර හඳුනා ගැනීම සහ ප්රතිරෝධය දැක්වීමේ ක්රම පිළිබඳව සිසුන්ට අදාළ හා රසවත් තොරතුරු රාශියක් ඉගෙන ගනු ඇත, උපාධිය ලැබීමෙන් පසු ඔවුන්ට අයදුම් කළ හැකි සැබෑ ප්රායෝගික දැනුම ලැබෙනු ඇත.
පාඨමාලා Belkasoft නිෂ්පාදනවලට සම්බන්ධ නොවන ප්රයෝජනවත් කුසලතා ලබා දෙයිද, නැතහොත් මෙම මෘදුකාංගය නොමැතිව මෙම කුසලතා අදාළ නොවේද?
පුහුණුව අතරතුර ලබාගත් කුසලතා Belkasoft නිෂ්පාදන භාවිතා නොකර පවා ප්රයෝජනවත් වනු ඇත.
මූලික පරීක්ෂණයට ඇතුළත් වන්නේ කුමක්ද?
ප්රාථමික පරීක්ෂණ යනු පරිගණක අධිකරණ වෛද්ය විද්යාවේ මූලික කරුණු පිළිබඳ දැනුම පරීක්ෂා කිරීමකි. Belkasoft සහ Group-IB නිෂ්පාදන පිළිබඳ දැනුම පරීක්ෂා කිරීම සැලසුම් කර නැත.
සමාගමේ අධ්යාපනික පාඨමාලා පිළිබඳ තොරතුරු මට සොයාගත හැක්කේ කොතැනින්ද?
අධ්යාපනික පාඨමාලා රාමුව තුළ, Group-IB විසින් සිද්ධි ප්රතිචාර, අනිෂ්ට මෘදුකාංග පර්යේෂණ, සයිබර් බුද්ධි විශේෂඥයින් (තර්ජන බුද්ධිය), ආරක්ෂක මෙහෙයුම් මධ්යස්ථානයේ (SOC), ක්රියාකාරී තර්ජන සෙවීමේ විශේෂඥයින් (තර්ජන දඩයම්කරු) යනාදී විශේෂඥයින් පුහුණු කරයි. . Group-IB වෙතින් කර්තෘ පාඨමාලා සම්පූර්ණ ලැයිස්තුවක් තිබේ
Group-IB සහ Belkasoft හි ඒකාබද්ධ පාඨමාලා සම්පූර්ණ කරන සිසුන්ට ලැබෙන ප්රසාද දීමනා මොනවාද?
Group-IB සහ Belkasoft හි ඒකාබද්ධ පාඨමාලා සම්පූර්ණ කළ අයට ලැබෙනු ඇත:
- පාඨමාලා සම්පූර්ණ කිරීමේ සහතිකය;
- Belkasoft සාක්ෂි මධ්යස්ථානයට නොමිලේ මාසික දායකත්වය;
- Belkasoft සාක්ෂි මධ්යස්ථානය මිලදී ගැනීම සඳහා 10% වට්ටමක්.
පළමු පාඨමාලාව සඳුදා ආරම්භ වන බව අපි ඔබට මතක් කරමු, 9 සැප්තැම්බර්, — තොරතුරු ආරක්ෂාව, පරිගණක අධිකරණ වෛද්ය විද්යාව සහ සිද්ධි ප්රතිචාරය ක්ෂේත්රයේ අද්විතීය දැනුම ලබා ගැනීමට අවස්ථාව අතපසු නොකරන්න! පාඨමාලාව සඳහා ලියාපදිංචි වීම
මුලාශ්රලිපිය සකස් කිරීමේදී, ඔලෙග් ස්කුල්කින්ගේ ඉදිරිපත් කිරීම "සාර්ථක බුද්ධිය මත පදනම් වූ සිදුවීම් ප්රතිචාරය සඳහා සම්මුතියේ දර්ශක ලබා ගැනීම සඳහා සත්කාරක පදනම් වූ අධිකරණ වෛද්ය විද්යාව භාවිතා කිරීම" භාවිතා කරන ලදී.
මූලාශ්රය: www.habr.com