Spoločné kurzy Group-IB a Belkasoft: čo naučíme a kto sa zúčastní

Algoritmy a taktiky reagovania na incidenty informačnej bezpečnosti, trendy v súčasných kybernetických útokoch, prístupy k vyšetrovaniu únikov dát vo firmách, prieskum prehliadačov a mobilných zariadení, analýza šifrovaných súborov, extrahovanie geolokačných údajov a analýzy veľkých objemov údajov – všetky tieto a ďalšie témy možno študovať na nových spoločných kurzoch Group-IB a Belkasoft. V auguste sme oznámil prvý kurz Belkasoft Digital Forensics, ktorý začína 9. septembra a po veľkom množstve otázok sme sa rozhodli porozprávať podrobnejšie o tom, čo budú študenti študovať, aké vedomosti, kompetencie a bonusy (!) získajú tí, ktorí dosiahnuť koniec. Najprv veci.

Dva Všetko v jednom

Myšlienka usporiadať spoločné školiace kurzy sa objavila po tom, čo sa účastníci kurzu Group-IB začali pýtať na nástroj, ktorý by im pomohol pri vyšetrovaní napadnutých počítačových systémov a sietí a skombinoval funkčnosť rôznych bezplatných nástrojov, ktoré odporúčame používať počas reakcie na incidenty.

Podľa nášho názoru by takýmto nástrojom mohlo byť Belkasoft Evidence Center (už sme o ňom hovorili v článok Igor Mikhailov „Kľúč na začiatok: najlepší softvér a hardvér pre počítačovú forenznú analýzu“). Preto sme spolu so spoločnosťou Belkasoft vyvinuli dva školiace kurzy: Belkasoft Digital Forensics и Skúška reakcie Belkasoft na incident.

DÔLEŽITÉ: kurzy sú sekvenčné a vzájomne prepojené! Belkasoft Digital Forensics sa venuje programu Belkasoft Evidence Center a Belkasoft Incident Response Examination je venovaný vyšetrovaniu incidentov pomocou produktov Belkasoft. To znamená, že pred štúdiom kurzu Belkasoft Incident Response Examination dôrazne odporúčame absolvovať kurz Belkasoft Digital Forensics. Ak hneď začnete s kurzom vyšetrovania incidentov, študent môže mať nepríjemné medzery vo vedomostiach pri používaní Belkasoft Evidence Center, hľadaní a skúmaní forenzných artefaktov. To môže viesť k tomu, že počas školenia v kurze Belkasoft Incident Response Examination študent buď nestihne učivo zvládnuť, alebo spomalí zvyšok skupiny v získavaní nových vedomostí, pretože čas školenia bude tráviť tým, že školiteľ vysvetlí látku z kurzu Belkasoft Digital Forensics.

Počítačová forenzná s Belkasoft Evidence Center

Účel kurzu Belkasoft Digital Forensics — oboznámiť študentov s programom Belkasoft Evidence Center, naučiť ich používať tento program na zbieranie dôkazov z rôznych zdrojov (cloudové úložisko, pamäť s náhodným prístupom (RAM), mobilné zariadenia, pamäťové médiá (pevné disky, flash disky atď.), master základné forenzné techniky a techniky, metódy forenzného skúmania artefaktov Windows, mobilných zariadení, výpisov pamäte RAM. Tiež sa naučíte identifikovať a dokumentovať artefakty prehliadačov a programov na odosielanie okamžitých správ, vytvárať forenzné kópie údajov z rôznych zdrojov, extrahovať geolokačné údaje a vyhľadávať pre textové sekvencie (vyhľadávanie podľa kľúčových slov), používajte hash pri vykonávaní výskumu, analyzujte register Windows, osvojte si zručnosti pri skúmaní neznámych databáz SQLite, základy skúmania grafických a video súborov a analytické techniky používané počas vyšetrovania.

Kurz bude užitočný pre odborníkov so špecializáciou v oblasti počítačovej technickej kriminalistiky (počítačová kriminalistika); technickí špecialisti, ktorí určujú dôvody úspešného prieniku, analyzujú reťazec udalostí a dôsledky kybernetických útokov; technickí špecialisti, ktorí identifikujú a dokumentujú krádež (úniky) údajov zasvätenou osobou (interným porušovateľom); špecialisti na e-Discovery; pracovníci SOC a CERT/CSIRT; zamestnanci informačnej bezpečnosti; nadšencov počítačovej forenznej medicíny.

Plán kurzu:

• Belkasoft Evidence Center (BEC): prvé kroky
• Tvorba a spracovanie prípadov v BEC
• Zbierajte digitálne dôkazy pre forenzné vyšetrovanie s BEC

• Používanie filtrov
• Generovanie správ
• Výskum programov na odosielanie okamžitých správ

• Výskum webových prehliadačov

• Výskum mobilných zariadení
• Extrahovanie geolokačných údajov

• Vyhľadávanie textových sekvencií v prípadoch
• Extrahovanie a analýza údajov z cloudových úložísk
• Používanie záložiek na zvýraznenie významných dôkazov nájdených počas výskumu
• Preskúmanie systémových súborov Windows

• Analýza registrov systému Windows
• Analýza SQLite databáz

• Metódy obnovy dát
• Techniky na skúmanie výpisov pamäte RAM
• Používanie hašovacej kalkulačky a hašovacej analýzy vo forenznom výskume
• Analýza šifrovaných súborov
• Metódy štúdia grafických a video súborov
• Využitie analytických techník vo forenznom výskume
• Automatizujte rutinné činnosti pomocou vstavaného programovacieho jazyka Belkascripts

• Praktické cvičenia

Kurz: Skúška reakcie na incident Belkasoft

Cieľom kurzu je naučiť sa základy forenzného vyšetrovania kybernetických útokov a možnosti využitia Belkasoft Evidence Center pri vyšetrovaní. Dozviete sa o hlavných vektoroch moderných útokov na počítačové siete, naučíte sa klasifikovať počítačové útoky na základe matice MITER ATT&CK, aplikovať výskumné algoritmy operačného systému na zistenie skutočnosti kompromisu a rekonštrukciu akcií útočníkov, dozviete sa, kde sa nachádzajú artefakty, ktoré označte, ktoré súbory boli otvorené naposledy , kde operačný systém ukladá informácie o tom, ako boli spustiteľné súbory stiahnuté a spustené, ako sa útočníci pohybovali po sieti, a naučte sa, ako tieto artefakty skúmať pomocou BEC. Dozviete sa tiež, aké udalosti v systémových protokoloch sú zaujímavé z hľadiska vyšetrovania incidentov a detekcie vzdialeného prístupu a dozviete sa, ako ich vyšetrovať pomocou BEC.

Kurz bude užitočný pre technických špecialistov, ktorí určujú dôvody úspešného prieniku, analyzujú reťazce udalostí a dôsledky kybernetických útokov; správcovia systému; pracovníci SOC a CERT/CSIRT; pracovníci informačnej bezpečnosti.

Prehľad kurzu

Cyber ​​​​Kill Chain popisuje hlavné fázy akéhokoľvek technického útoku na počítače (alebo počítačovú sieť) obete takto:

Činnosti zamestnancov SOC (CERT, informačná bezpečnosť a pod.) sú zamerané na zamedzenie prístupu narušiteľov k chráneným informačným zdrojom.

Ak útočníci preniknú do chránenej infraštruktúry, vyššie uvedené osoby by sa mali pokúsiť minimalizovať škody spôsobené aktivitami útočníkov, zistiť, ako bol útok vykonaný, zrekonštruovať udalosti a postupnosť akcií útočníkov v ohrozenej informačnej štruktúre a prijať opatrenia na zabránenie tomuto typu útoku v budúcnosti.

V kompromitovanej informačnej infraštruktúre možno nájsť nasledujúce typy stôp, čo naznačuje, že sieť (počítač) bola ohrozená:

Všetky takéto stopy je možné nájsť pomocou programu Belkasoft Evidence Center.

BEC má modul „Incident Investigation“, kde sa pri analýze pamäťových médií umiestňujú informácie o artefaktoch, ktoré môžu pomôcť výskumníkovi pri vyšetrovaní incidentov.

BEC podporuje skúmanie hlavných typov artefaktov systému Windows, ktoré naznačujú spustenie spustiteľných súborov v skúmanom systéme, vrátane súborov Amcache, Userassist, Prefetch, BAM/DAM, Časová os systému Windows 10,analýza systémových udalostí.

Informácie o stopách, ktoré obsahujú informácie o akciách používateľa v napadnutom systéme, môžu byť prezentované v nasledujúcej forme:

Tieto informácie okrem iného zahŕňajú informácie o spúšťaní spustiteľných súborov:

Informácie o spustení súboru 'RDPWInst.exe'.

Informácie o prítomnosti útočníkov v kompromitovaných systémoch možno nájsť v spúšťacích kľúčoch registra Windows, službách, plánovaných úlohách, prihlasovacích skriptoch, WMI atď. Príklady zisťovania informácií o útočníkoch pripojených k systému je možné vidieť na nasledujúcich snímkach obrazovky:

Obmedzenie útočníkov pri používaní plánovača úloh vytvorením úlohy, ktorá spúšťa skript PowerShell.

Konsolidácia útočníkov pomocou Windows Management Instrumentation (WMI).

Konsolidácia útočníkov pomocou prihlasovacieho skriptu.

Pohyb útočníkov cez kompromitovanú počítačovú sieť je možné zistiť napríklad analýzou systémových protokolov Windows (ak útočníci využívajú službu RDP).

Informácie o zistených pripojeniach RDP.

Informácie o pohybe útočníkov po sieti.

Belkasoft Evidence Center tak môže pomôcť výskumníkom identifikovať napadnuté počítače v napadnutej počítačovej sieti, nájsť stopy po spustení malvéru, stopy po fixácii v systéme a pohybe po sieti a ďalšie stopy aktivity útočníka na napadnutých počítačoch.

Ako vykonať takýto výskum a odhaliť artefakty opísané vyššie, je popísané v školiacom kurze Belkasoft Incident Response Examination.

Plán kurzu:

• Trendy kybernetických útokov. Technológie, nástroje, ciele útočníkov
• Používanie modelov hrozieb na pochopenie taktiky, techník a postupov útočníkov
• Cyber ​​​​kill chain
• Algoritmus reakcie na incidenty: identifikácia, lokalizácia, generovanie indikátorov, vyhľadávanie nových infikovaných uzlov
• Analýza systémov Windows pomocou BEC
• Detekcia metód primárnej infekcie, sieťového šírenia, konsolidácie a sieťovej aktivity malvéru pomocou BEC
• Identifikujte infikované systémy a obnovte históriu infekcie pomocou BEC
• Praktické cvičenia

FAQKde sa kurzy konajú?
Kurzy sa konajú v ústredí Group-IB alebo na externom mieste (školiace stredisko). Pre školiteľa je možné cestovať na stránky s firemnými zákazníkmi.

Kto vedie kurzy?
Školitelia v Group-IB sú odborníci s dlhoročnými skúsenosťami s vykonávaním forenzného výskumu, podnikových vyšetrovaní a reagovaním na incidenty informačnej bezpečnosti.

Kvalifikácia trénerov je potvrdená mnohými medzinárodnými certifikátmi: GCFA, MCFE, ACE, EnCE atď.

Naši školitelia ľahko nájdu spoločnú reč s publikom a jasne vysvetlia aj tie najzložitejšie témy. Študenti sa dozvedia množstvo relevantných a zaujímavých informácií o vyšetrovaní počítačových incidentov, metódach identifikácie a boja proti počítačovým útokom a získajú reálne praktické poznatky, ktoré môžu aplikovať hneď po ukončení štúdia.

Poskytnú kurzy užitočné zručnosti, ktoré nesúvisia s produktmi Belkasoft, alebo budú tieto zručnosti bez tohto softvéru nepoužiteľné?
Zručnosti získané počas školenia budú užitočné aj bez používania produktov Belkasoft.

Čo je zahrnuté v úvodnom testovaní?

Primárne testovanie je testom vedomostí zo základov počítačovej kriminalistiky. Testovanie vedomostí o produktoch Belkasoft a Group-IB sa neplánuje.

Kde nájdem informácie o vzdelávacích kurzoch spoločnosti?

V rámci vzdelávacích kurzov Group-IB školí špecialistov na reakciu na incidenty, výskum malvéru, špecialistov na kybernetickú inteligenciu (Threat Intelligence), špecialistov na prácu v bezpečnostnom operačnom centre (SOC), špecialistov na proaktívne vyhľadávanie hrozieb (Threat Hunter) atď. . K dispozícii je kompletný zoznam proprietárnych kurzov od Group-IB tu.

Aké bonusy dostávajú študenti, ktorí absolvujú spoločné kurzy medzi Group-IB a Belkasoftom?
Tí, ktorí absolvovali školenie v spoločných kurzoch medzi Group-IB a Belkasoftom, získajú:

1. osvedčenie o absolvovaní kurzu;
2. bezplatné mesačné predplatné do Belkasoft Evidence Center;
3. 10% zľava na nákup Belkasoft Evidence Center.

Pripomíname, že prvý kurz začína v pondelok, 9 septembra, - nenechajte si ujsť príležitosť získať jedinečné znalosti v oblasti informačnej bezpečnosti, počítačovej forenznej analýzy a reakcie na incidenty! Registrácia na kurz tu.

zdrojePri príprave článku sme použili prezentáciu Olega Skulkina „Používanie hostiteľskej forenznej analýzy na získanie indikátorov kompromisu pre úspešnú reakciu na incidenty založenú na spravodajstve“.

Zdroj: hab.com