Kurse të përbashkëta Group-IB dhe Belkasoft: çfarë do të mësojmë dhe kush do të marrë pjesë

Algoritmet dhe taktikat për t'iu përgjigjur incidenteve të sigurisë së informacionit, tendencat në sulmet aktuale kibernetike, qasjet për hetimin e rrjedhjeve të të dhënave në kompani, kërkimin e shfletuesve dhe pajisjeve celulare, analizimin e skedarëve të koduar, nxjerrjen e të dhënave të vendndodhjes dhe analitikën e vëllimeve të të dhënave të mëdha - të gjitha këto dhe tema të tjera mund të të studiohen në kurse të reja të përbashkëta të Group-IB dhe Belkasoft. Në gusht ne i shpallur kursi i parë i Belkasoft Digital Forensics, i cili fillon më 9 shtator, dhe pasi morëm një numër të madh pyetjesh, vendosëm të tregojmë më në detaje se çfarë do të studiojnë studentët, çfarë njohurish, kompetencash dhe shpërblimesh (!) do të marrin ata. të cilët arrijnë në fund. Për gjithçka në rregull.

Dy të gjitha në një

Ideja e mbajtjes së kurseve të përbashkëta të trajnimit u shfaq pasi pjesëmarrësit e kurseve Group-IB filluan të pyesin për një mjet që do t'i ndihmonte ata në hetimin e sistemeve dhe rrjeteve kompjuterike të komprometuara dhe të kombinonte funksionalitetin e shërbimeve të ndryshme falas që ne rekomandojmë. duke përdorur gjatë reagimit ndaj incidentit.

Sipas mendimit tonë, Belkasoft Evidence Center mund të jetë një mjet i tillë (ne kemi folur tashmë për të në artikull Igor Mikhailov "Çelësi për të filluar: softueri dhe pajisja më e mirë për mjekësinë ligjore kompjuterike"). Prandaj, ne, së bashku me Belkasoft, kemi zhvilluar dy kurse trajnimi: Forenzika Dixhitale Belkasoft и Ekzaminimi i Përgjigjes së Incidentit të Belkasoft.

E RËNDËSISHME: kurset janë të njëpasnjëshme dhe të ndërlidhura! Belkasoft Digital Forensics i dedikohet programit Belkasoft Evidence Center dhe Belkasoft Incident Response Examination i kushtohet hetimit të incidentit duke përdorur produktet Belkasoft. Kjo do të thotë, përpara se të studioni kursin e Ekzaminimit të Reagimit ndaj Incidentit në Belkasoft, ju rekomandojmë fuqimisht që të përfundoni kursin e Mjekësisë Ligjore Dixhitale Belkasoft. Nëse filloni menjëherë me kursin e hetimit të incidentit, studenti mund të ketë boshllëqe të bezdisshme njohurish në përdorimin e Qendrës së Evidencës Belkasoft, gjetjen dhe kërkimin e objekteve mjeko-ligjore. Kjo mund të çojë në faktin se gjatë kursit Belkasoft Incident Response Examination, studenti ose nuk do të ketë kohë për të zotëruar materialin, ose do të ngadalësojë pjesën tjetër të grupit në marrjen e njohurive të reja, pasi koha e trajnimit do të shpenzohet nga trajner që shpjegon materialin nga kursi i Belkasoft Digital Forensics.

Forenzika kompjuterike me Belkasoft Evidence Center

Qëllimi i kursit Forenzika Dixhitale Belkasoft — për t'i prezantuar studentët me programin Belkasoft Evidence Center, mësojini se si ta përdorin këtë program për të mbledhur prova nga burime të ndryshme (ruajtje në renë kompjuterike, memorie me akses të rastësishëm (RAM), pajisje celulare, media ruajtëse (hard disqe, disqe flash, etj.) , zotëroni teknikat dhe teknikat bazë të mjekësisë ligjore, metodat për hetimin mjeko-ligjor të objekteve të Windows, pajisjeve celulare, deponive të memories Ju gjithashtu do të mësoni se si të identifikoni dhe dokumentoni artefaktet e shfletuesit dhe mesazheve të çastit, të krijoni kopje mjekoligjore të të dhënave nga burime të ndryshme, të nxirrni të dhëna për vendndodhjen dhe të kërkoni për sekuencat e tekstit (kërkoni me fjalë kyçe), përdorni hash në kërkime, analizoni regjistrin e Windows, mësoni aftësitë e kërkimit të bazave të të dhënave të panjohura SQLite, bazat e kërkimit të skedarëve grafikë dhe video dhe teknikat analitike të përdorura gjatë hetimeve.

Kursi do të jetë i dobishëm për ekspertët me specializim në fushën e ekspertizës kompjuterike-teknike (ekspertizë kompjuterike); specialistë teknikë që përcaktojnë arsyet e një ndërhyrjeje të suksesshme, analizojnë zinxhirin e ngjarjeve dhe pasojat e sulmeve kibernetike; specialistë teknikë që identifikojnë dhe dokumentojnë vjedhjen (rrjedhjen) e të dhënave nga një person i brendshëm (shkelës i brendshëm); specialistë të e-Discovery; Stafi i SOC dhe CERT/CSIRT; zyrtarët e sigurisë së informacionit; entuziastët e mjekësisë ligjore kompjuterike.

Plani i kursit:

• Qendra e Evidencës Belkasoft (BEC): hapat e parë
• Krijimi dhe përpunimi i rasteve në BEC
• Mbledhja e provave dixhitale në një hetim mjekoligjor me BEC

• Përdorimi i filtrave
• Raportimi
• Eksplorimi i programeve të mesazheve të çastit

• Hulumtimi i shfletuesit të uebit

• Hulumtim celular
• Nxjerrja e të dhënave të vendndodhjes

• Kërkoni për sekuenca teksti në raste
• Nxjerrja dhe analiza e të dhënave nga depozitat në cloud
• Përdorimi i faqeshënuesve për të nxjerrë në pah provat e rëndësishme të gjetura gjatë hulumtimit
• Ekzaminimi i skedarëve të sistemit të Windows

• Analiza e regjistrit të Windows
• Analiza e bazës së të dhënave SQLite

• Metodat e rikuperimit të të dhënave
• Teknikat për ekzaminimin e deponive të RAM-it
• Përdorimi i kalkulatorit të hash-it dhe analizës së hash-it në hetimet mjeko-ligjore
• Analiza e skedarëve të koduar
• Metodat për kërkimin e skedarëve grafikë dhe video
• Përdorimi i teknikave analitike në kërkimin mjeko-ligjor
• Automatizimi i veprimeve rutinë duke përdorur gjuhën e integruar të programimit Belkascripts

• Ushtrime praktike

Kursi: Ekzaminimi i reagimit ndaj incidentit të Belkasoft

Qëllimi i kursit është të mësojë bazat e hetimit mjeko-ligjor të sulmeve kibernetike dhe mundësitë e përdorimit të Belkasoft Evidence Center në hetim. Do të mësoni për vektorët kryesorë të sulmeve moderne në rrjetet kompjuterike, do të mësoni se si të klasifikoni sulmet kompjuterike bazuar në matricën MITER ATT & CK, do të aplikoni algoritme kërkimore të sistemit operativ për të vërtetuar faktin e kompromisit dhe rindërtimin e veprimeve të sulmuesve, zbuloni se ku gjenden objekte që tregojnë se cilët skedarë janë hapur të fundit, ku sistemi operativ ruan informacione rreth ngarkimit dhe ekzekutimit të skedarëve të ekzekutueshëm, se si sulmuesit lëviznin nëpër rrjet dhe mësojnë se si t'i eksplorojnë këto objekte duke përdorur BEC. Do të mësoni gjithashtu se cilat ngjarje syslog janë me interes për hetimin e incidentit dhe përcaktimin e aksesit në distancë, dhe do të mësoni se si t'i hetoni ato duke përdorur BEC.

Kursi do të jetë i dobishëm për specialistët teknikë të cilët përcaktojnë arsyet e një ndërhyrjeje të suksesshme, analizojnë zinxhirin e ngjarjeve dhe pasojat e sulmeve kibernetike; administratorët e sistemit; Stafi i SOC dhe CERT/CSIRT; personeli i sigurisë së informacionit.

Pasqyrë e kursit

Cyber ​​​​Kill Chain përshkruan fazat kryesore të çdo sulmi teknik në kompjuterët (ose rrjetin kompjuterik) të viktimës si më poshtë:

Veprimet e punonjësve të KOS-it (CERT, siguria e informacionit, etj.) synojnë të parandalojnë hyrjen e ndërhyrësve në burimet e mbrojtura të informacionit.

Nëse ndërhyrës megjithatë kanë depërtuar në infrastrukturën e mbrojtur, atëherë personat e mësipërm duhet të përpiqen të minimizojnë dëmin nga aktivitetet e sulmuesve, të përcaktojnë se si është kryer sulmi, të rindërtojnë ngjarjet dhe sekuencën e veprimeve të sulmuesve në strukturën e informacionit të komprometuar dhe marrin masa për të parandaluar këtë lloj sulmesh në të ardhmen.

Në një infrastrukturë informacioni të komprometuar, mund të gjenden llojet e mëposhtme të gjurmëve që tregojnë një kompromis të rrjetit (kompjuterit):

Të gjitha gjurmët e tilla mund të gjenden duke përdorur Belkasoft Evidence Center.

BEC ka një modul "Incident Investigation", ku, kur analizohen mediat e ruajtjes, vendosen informacione rreth artefakteve që mund të ndihmojnë studiuesin në hetimin e incidenteve.

BEC mbështet ekzaminimin e llojeve kryesore të artefakteve të Windows që tregojnë nisjen e skedarëve të ekzekutueshëm në sistemin nën hetim, duke përfshirë Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Timeline, analiza e ngjarjeve të sistemit.

Informacioni rreth gjurmëve që përmbajnë informacion në lidhje me veprimet e përdoruesit në një sistem të komprometuar mund të paraqitet në formën e mëposhtme:

Ky informacion, ndër të tjera, përfshin informacion në lidhje me nisjen e skedarëve të ekzekutueshëm:

Informacion rreth ekzekutimit të skedarit "RDPWInst.exe".

Informacioni rreth sulmuesve që qëndrojnë në sisteme të komprometuara mund të gjenden në çelësat e fillimit të regjistrit të Windows, shërbimet, detyrat e planifikuara, skriptet e hyrjes, WMI, etj. Shembuj të zbulimit të informacionit të fiksimit në sistemin e një sulmuesi mund të shihen në pamjet e mëposhtme të ekranit:

Gozhdimi i sulmuesve duke përdorur planifikuesin e detyrave duke krijuar një detyrë që ekzekuton një skript PowerShell.

Rregullimi i sulmuesve duke përdorur Instrumentimin e Menaxhimit të Windows (WMI).

Gozhdimi i sulmuesve me skriptin Logon.

Lëvizja e sulmuesve nëpër një rrjet kompjuterik të komprometuar mund të zbulohet, për shembull, duke analizuar regjistrat e sistemit të Windows (kur sulmuesit përdorin shërbimin RDP).

Informacion rreth lidhjeve të zbuluara RDP.

Informacion në lidhje me lëvizjen e sulmuesve përmes rrjetit.

Kështu, Belkasoft Evidence Center është në gjendje të ndihmojë studiuesit të identifikojnë kompjuterët e komprometuar në një rrjet kompjuterik të sulmuar, të gjejnë gjurmë të lëshimeve të malware, gjurmë të rregullimit në sistem dhe lëvizjes nëpër rrjet, dhe gjurmë të tjera të aktiviteteve të sulmuesve në kompjuterë të komprometuar.

Mënyra se si të kryhen studime të tilla dhe të zbulohen artefaktet e përshkruara më sipër përshkruhet në kursin e trajnimit të ekzaminimit të reagimit ndaj incidentit të Belkasoft.

Plani i kursit:

• Tendencat në sulmet kibernetike. Teknologjitë, mjetet, qëllimet e sulmuesve
• Përdorimi i modeleve të kërcënimit për të kuptuar taktikat, teknikat dhe procedurat e sulmuesve
• Zinxhiri i vrasjeve kibernetike
• Algoritmi i reagimit ndaj incidentit: identifikimi, lokalizimi, gjenerimi i treguesve, kërkimi i nyjeve të reja të infektuara
• Analizimi i sistemeve të Windows me BEC
• Identifikimi i metodave të infeksionit primar, përhapja e rrjetit, qëndrueshmëria, aktiviteti i rrjetit të malware duke përdorur BEC
• Identifikimi i sistemeve të infektuara dhe restaurimi i historisë së infeksionit duke përdorur BEC
• Ushtrime praktike

FAQKu mbahen kurset?
Kurset mbahen në selinë e Group-IB ose në një vend të jashtëm (në qendrën e trajnimit). Nisja e trajnerit në platforma për klientët e korporatave është e mundur.

Kush i zhvillon klasat?
Trajnerët në Group-IB janë praktikues me përvojë shumëvjeçare në hetimet mjekoligjore, hetimet e korporatave dhe reagimin ndaj incidenteve të sigurisë së informacionit.

Kualifikimi i trajnerëve konfirmohet me certifikata të shumta ndërkombëtare: GCFA, MCFE, ACE, EnCE, etj.

Trajnerët tanë gjejnë lehtësisht një gjuhë të përbashkët me audiencën, duke shpjeguar edhe temat më komplekse në një mënyrë të arritshme. Studentët do të mësojnë shumë informacione relevante dhe interesante në lidhje me hetimin e incidenteve kompjuterike, metodat për zbulimin dhe kundërvënien e sulmeve kompjuterike, do të marrin njohuri reale praktike që mund t'i aplikojnë menjëherë pas diplomimit.

A do të ofrojnë kurset aftësi të dobishme që nuk lidhen me produktet Belkasoft, apo këto aftësi do të jenë të pazbatueshme pa këtë softuer?
Aftësitë e fituara gjatë trajnimeve do të jenë të dobishme edhe pa përdorur produktet Belkasoft.

Çfarë përfshihet në testimin fillestar?

Testimi primar është një test i njohurive të bazave të forenzikës kompjuterike. Testimi për njohuritë e produkteve Belkasoft dhe Group-IB nuk është planifikuar.

Ku mund të gjej informacion për kurset arsimore të kompanisë?

Në kuadër të kurseve edukative, Group-IB trajnon specialistë për reagim ndaj incidenteve, kërkime malware, specialistë të inteligjencës kibernetike (Threat Intelligence), specialistë për punë në Qendrën Operative të Sigurisë (SOC), specialistë proaktivë të kërkimit të kërcënimeve (Threat Hunter), etj. . Ekziston një listë e plotë e kurseve të autorit nga Group-IB këtu.

Çfarë shpërblimesh marrin studentët që përfundojnë kurset e përbashkëta të Group-IB dhe Belkasoft?
Ata që kanë përfunduar kurset e përbashkëta të Group-IB dhe Belkasoft do të marrin:

1. certifikata e përfundimit të kursit;
2. abonim mujor falas në Belkasoft Evidence Center;
3. 10% zbritje për blerjen e Belkasoft Evidence Center.

Ju kujtojmë se kursi i parë fillon të hënën, 9 shtator, — mos humbisni mundësinë për të fituar njohuri unike në fushën e sigurisë së informacionit, mjekësisë ligjore kompjuterike dhe reagimit ndaj incidenteve! Regjistrimi për kursin këtu.

burimeNë përgatitjen e artikullit, u përdor prezantimi i Oleg Skulkin "Përdorimi i mjekësisë ligjore të bazuar në host për të marrë treguesit e kompromisit për reagimin e suksesshëm të incidentit të drejtuar nga inteligjenca".

Burimi: www.habr.com