Skupni tečaji Group-IB in Belkasoft: kaj bomo učili in kdo se bo udeležil

Algoritmi in taktike za odzivanje na incidente informacijske varnosti, trendi trenutnih kibernetskih napadov, pristopi k raziskovanju uhajanja podatkov v podjetjih, raziskovanje brskalnikov in mobilnih naprav, analiza šifriranih datotek, pridobivanje geolokacijskih podatkov in analitika velikih količin podatkov – vse te in druge teme lahko študirate na novih skupnih tečajih Group-IB in Belkasoft. Avgusta smo napovedal prvim tečajem Belkasoft Digital Forensics, ki se začne 9. septembra, in ker smo prejeli ogromno vprašanj, smo se odločili, da podrobneje spregovorimo o tem, kaj bodo študenti študirali, kakšna znanja, kompetence in bonuse (!) bodo prejeli tisti, ki doseči konec. Najprej najprej.

Dva Vse v enem

Zamisel o skupnih izobraževanjih se je pojavila, ko so udeleženci tečaja Group-IB začeli spraševati o orodju, ki bi jim pomagalo pri raziskovanju ogroženih računalniških sistemov in omrežij ter združilo funkcionalnosti različnih brezplačnih pripomočkov, ki jih priporočamo pri odzivanju na incidente.

Po našem mnenju bi lahko bilo takšno orodje Belkasoft Evidence Center (o njem smo že govorili v članek Igor Mikhailov "Ključ do začetka: najboljša programska in strojna oprema za računalniško forenziko"). Zato smo skupaj z Belkasoftom razvili dve izobraževalni tečaji: Belkasoftova digitalna forenzika и Pregled odziva na incident Belkasoft.

POMEMBNO: tečaji potekajo zaporedno in so med seboj povezani! Belkasoft Digital Forensics je namenjen programu Belkasoft Evidence Center, Belkasoft Incident Response Examination pa je namenjen preiskovanju incidentov z uporabo izdelkov Belkasoft. To pomeni, da pred študijem tečaja Belkasoft Incident Response Examination močno priporočamo dokončanje tečaja Belkasoft Digital Forensics. Če začnete takoj s tečajem o preiskavah incidentov, ima lahko študent moteče vrzeli v znanju pri uporabi Belkasoft Evidence Center, iskanju in pregledovanju forenzičnih artefaktov. To lahko privede do dejstva, da med usposabljanjem na tečaju Belkasoft Incident Response Examination tečajnik ne bo imel časa za obvladovanje snovi ali pa bo upočasnil preostalo skupino pri pridobivanju novega znanja, saj bo čas usposabljanja porabljen trener razlaga snov tečaja Belkasoft Digital Forensics.

Računalniška forenzika z Belkasoft Evidence Center

Namen tečaja Belkasoftova digitalna forenzika — študente seznaniti s programom Belkasoft Evidence Center, jih naučiti uporabljati ta program za zbiranje dokazov iz različnih virov (shramba v oblaku, pomnilnik z naključnim dostopom (RAM), mobilne naprave, mediji za shranjevanje (trdi diski, bliskovni diski itd.), obvladati osnovne forenzične tehnike in tehnike, metode forenzičnega pregleda Windows artefaktov, mobilnih naprav, RAM dumps. Naučili se boste tudi prepoznati in dokumentirati artefakte brskalnikov in programov za neposredno sporočanje, ustvariti forenzične kopije podatkov iz različnih virov, ekstrahirati geolokacijske podatke in iskati. za besedilna zaporedja (iskanje po ključnih besedah), uporaba hashov pri izvajanju raziskav, analiza Windows registra, obvladovanje veščin raziskovanja neznanih baz podatkov SQLite, osnov pregledovanja grafičnih in video datotek ter analitičnih tehnik, ki se uporabljajo pri preiskavah.

Predmet bo koristen strokovnjakom s specializacijo na področju računalniško tehnične forenzike (računalniška forenzika); tehnični strokovnjaki, ki ugotavljajo razloge za uspešen vdor, analizirajo tok dogodkov in posledice kibernetskih napadov; tehnični strokovnjaki za prepoznavanje in dokumentiranje kraje podatkov (puščanja) s strani insajderja (notranji kršitelj); strokovnjaki za e-odkrivanje; osebje SOC in CERT/CSIRT; zaposleni na področju informacijske varnosti; ljubitelji računalniške forenzike.

Načrt tečaja:

• Belkasoft Evidence Center (BEC): prvi koraki
• Izdelava in obdelava primerov v BEC
• Z BEC zbirajte digitalne dokaze za forenzične preiskave

• Uporaba filtrov
• Poročanje
• Raziskovanje programov za takojšnje sporočanje

• Raziskava spletnega brskalnika

• Raziskave mobilnih naprav
• Pridobivanje geolokacijskih podatkov

• Iskanje besedilnih zaporedij v primerih
• Pridobivanje in analiziranje podatkov iz shramb v oblaku
• Uporaba zaznamkov za poudarjanje pomembnih dokazov, najdenih med raziskavo
• Pregled sistemskih datotek Windows

• Analiza registra Windows
• Analiza baz podatkov SQLite

• Metode za obnovitev podatkov
• Tehnike za preučevanje odlagališč RAM-a
• Uporaba hash kalkulatorja in hash analize v forenzičnih raziskavah
• Analiza šifriranih datotek
• Metode za preučevanje grafičnih in video datotek
• Uporaba analitičnih tehnik v forenzičnih raziskavah
• Avtomatizirajte rutinska dejanja z uporabo vgrajenega programskega jezika Belkascripts

• Praktične vaje

Tečaj: Belkasoft Incident Response Examination

Namen tečaja je spoznati osnove forenzičnega preiskovanja kibernetskih napadov in možnosti uporabe Belkasoft Evidence Center v preiskavi. Spoznali boste glavne vektorje sodobnih napadov na računalniška omrežja, se naučili klasificirati računalniške napade na podlagi matrike MITER ATT&CK, uporabiti raziskovalne algoritme operacijskega sistema za ugotavljanje dejstva ogroženosti in rekonstrukcijo dejanj napadalcev, spoznali, kje se nahajajo artefakti, ki navedite, katere datoteke so bile nazadnje odprte, kam operacijski sistem shranjuje informacije o tem, kako so bile izvedljive datoteke prenesene in izvedene, kako so se napadalci premikali po omrežju, in se naučite, kako pregledati te artefakte z uporabo BEC. Izvedeli boste tudi, kateri dogodki v sistemskih dnevnikih so zanimivi z vidika preiskovanja incidentov in zaznavanja oddaljenega dostopa ter se naučili, kako jih raziskati s pomočjo BEC.

Tečaj bo koristen tehničnim strokovnjakom, ki ugotavljajo razloge za uspešen vdor, analizirajo verige dogodkov in posledice kibernetskih napadov; sistemski skrbniki; osebje SOC in CERT/CSIRT; osebje za informacijsko varnost.

Pregled tečaja

Cyber ​​​​Kill Chain opisuje glavne faze katerega koli tehničnega napada na žrtvine računalnike (ali računalniško omrežje), kot sledi:

Delovanje uslužbencev SOC (CERT, informacijska varnost itd.) je namenjeno preprečevanju vsiljivcem dostopa do zaščitenih informacijskih virov.

Če napadalci vendarle prodrejo v varovano infrastrukturo, naj zgoraj navedene osebe poskušajo zmanjšati škodo zaradi aktivnosti napadalcev, ugotoviti, kako je bil napad izveden, rekonstruirati dogodke in zaporedje dejanj napadalcev v ogroženi informacijski strukturi ter sprejeti ukrepe za preprečevanje tovrstnih napadov v prihodnosti.

V ogroženi informacijski infrastrukturi je mogoče najti naslednje vrste sledi, ki kažejo, da je bilo omrežje (računalnik) ogroženo:

Vse takšne sledi je mogoče najti s programom Belkasoft Evidence Center.

BEC ima modul »Incident Investigation«, kjer se pri analizi pomnilniških medijev namestijo informacije o artefaktih, ki lahko pomagajo raziskovalcu pri preiskovanju incidentov.

BEC podpira preučevanje glavnih vrst artefaktov sistema Windows, ki kažejo na izvajanje izvedljivih datotek v sistemu, ki ga preiskujejo, vključno z datotekami Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Timeline,analiza sistemskih dogodkov.

Informacije o sledeh, ki vsebujejo informacije o dejanjih uporabnikov v ogroženem sistemu, so lahko predstavljene v naslednji obliki:

Te informacije med drugim vključujejo informacije o izvajanju izvršljivih datotek:

Informacije o zagonu datoteke 'RDPWInst.exe'.

Informacije o prisotnosti napadalcev v ogroženih sistemih je mogoče najti v zagonskih ključih registra Windows, storitvah, načrtovanih opravilih, skriptih za prijavo, WMI itd. Primere zaznavanja informacij o napadalcih, ki so povezani s sistemom, lahko vidite na naslednjih posnetkih zaslona:

Omejevanje napadalcev pri uporabi razporejevalnika opravil z ustvarjanjem opravila, ki izvaja skript PowerShell.

Konsolidacija napadalcev z uporabo Windows Management Instrumentation (WMI).

Konsolidacija napadalcev s skriptom za prijavo.

Premikanje napadalcev po ogroženem računalniškem omrežju je mogoče zaznati na primer z analizo sistemskih dnevnikov Windows (če napadalci uporabljajo storitev RDP).

Informacije o zaznanih povezavah RDP.

Informacije o gibanju napadalcev po omrežju.

Tako lahko Belkasoft Evidence Center pomaga raziskovalcem prepoznati ogrožene računalnike v napadenem računalniškem omrežju, najti sledi zagona zlonamerne programske opreme, sledi fiksacije v sistemu in gibanja po omrežju ter druge sledi dejavnosti napadalcev na ogroženih računalnikih.

Kako izvesti takšno raziskavo in odkriti zgoraj opisane artefakte, je opisano v tečaju Belkasoft Incident Response Examination.

Načrt tečaja:

• Trendi kibernetskih napadov. Tehnologije, orodja, cilji napadalcev
• Uporaba modelov groženj za razumevanje taktike, tehnik in postopkov napadalcev
• Cyber ​​​​kill veriga
• Algoritem odziva na incident: identifikacija, lokalizacija, generiranje indikatorjev, iskanje novih okuženih vozlišč
• Analiza sistemov Windows s pomočjo BEC
• Odkrivanje metod primarne okužbe, širjenja omrežja, konsolidacije in omrežne aktivnosti zlonamerne programske opreme z uporabo BEC
• Prepoznajte okužene sisteme in obnovite zgodovino okužb s pomočjo BEC
• Praktične vaje

FAQKje potekajo tečaji?
Tečaji potekajo na sedežu Group-IB ali na zunanji lokaciji (center za usposabljanje). Trener lahko potuje na mesta s poslovnimi strankami.

Kdo vodi pouk?
Trenerji pri Group-IB so praktiki z dolgoletnimi izkušnjami pri izvajanju forenzičnih raziskav, korporativnih preiskav in odzivanja na incidente v zvezi z informacijsko varnostjo.

Usposobljenost trenerjev potrjujejo številni mednarodni certifikati: GCFA, MCFE, ACE, EnCE itd.

Naši trenerji zlahka najdejo skupni jezik z občinstvom in jasno razložijo tudi najbolj zapletene teme. Študenti bodo izvedeli veliko relevantnih in zanimivih informacij o raziskovanju računalniških incidentov, načinih prepoznavanja in boja proti računalniškim napadom ter pridobili pravo praktično znanje, ki ga bodo lahko uporabili takoj po diplomi.

Ali bodo tečaji zagotovili uporabne veščine, ki niso povezane z izdelki Belkasoft, ali bodo te veščine neuporabne brez te programske opreme?
Veščine, pridobljene med usposabljanjem, bodo uporabne tudi brez uporabe izdelkov Belkasoft.

Kaj je vključeno v začetno testiranje?

Primarno testiranje je preizkus znanja iz osnov računalniške forenzike. Testiranja poznavanja izdelkov Belkasoft in Group-IB ni v načrtu.

Kje najdem informacije o izobraževalnih tečajih podjetja?

Group-IB v okviru izobraževalnih tečajev usposablja specialiste za odzivanje na incidente, raziskovanje zlonamerne programske opreme, specialiste za kibernetsko obveščanje (Threat Intelligence), specialiste za delo v Varnostno operativnem centru (SOC), specialiste za proaktivni lov na grožnje (Threat Hunter) itd. . Na voljo je celoten seznam lastniških tečajev Group-IB tukaj.

Kakšne bonuse prejmejo študenti, ki zaključijo skupne tečaje med Group-IB in Belkasoft?
Tisti, ki so zaključili usposabljanje na skupnih tečajih med Group-IB in Belkasoft, bodo prejeli:

1. potrdilo o opravljenem tečaju;
2. brezplačna mesečna naročnina na Belkasoft Evidence Center;
3. 10% popust pri nakupu Belkasoft Evidence Center.

Spomnimo vas, da se prvi tečaj začne v ponedeljek, 9 september, - ne zamudite priložnosti za pridobitev edinstvenega znanja s področja informacijske varnosti, računalniške forenzike in odzivanja na incidente! Prijava na tečaj tukaj.

viriPri pripravi članka smo uporabili predstavitev Olega Skulkina »Uporaba forenzike na gostitelju za pridobivanje indikatorjev ogroženosti za uspešen odziv na incident, ki temelji na obveščevalnih podatkih«.

Vir: www.habr.com