Group-IB och Belkasoft gemensamma kurser: vad vi kommer att undervisa och vem som kommer att delta

Algoritmer och taktik för att svara på informationssäkerhetsincidenter, trender i aktuella cyberattacker, metoder för att undersöka dataläckor i företag, undersöka webbläsare och mobila enheter, analysera krypterade filer, extrahera geolokaliseringsdata och analyser av stora datamängder - alla dessa och andra ämnen kan studeras på nya gemensamma kurser för Group-IB och Belkasoft. I augusti har vi meddelat den första Belkasoft Digital Forensics-kursen, som startar den 9 september, och efter att ha fått ett stort antal frågor, bestämde vi oss för att prata mer ingående om vad eleverna ska studera, vilka kunskaper, kompetenser och bonusar (!) som kommer att få av de som nå slutet. Först till kvarn.

Två Allt i ett

Idén att genomföra gemensamma utbildningar dök upp efter att Group-IB-kursdeltagare började fråga om ett verktyg som skulle hjälpa dem att undersöka komprometterade datorsystem och nätverk, och kombinera funktionaliteten hos olika gratisverktyg som vi rekommenderar att använda under incidentrespons.

Enligt vår åsikt kan ett sådant verktyg vara Belkasoft Evidence Center (vi har redan pratat om det i artikeln Igor Mikhailov "Nyckeln till början: den bästa mjukvaran och hårdvaran för datorkriminalteknik"). Därför har vi tillsammans med Belkasoft utvecklat två utbildningar: Belkasoft Digital Forensics и Belkasoft Incident Response Examination.

VIKTIGT: kurserna är sekventiella och sammanlänkade! Belkasoft Digital Forensics är tillägnad Belkasoft Evidence Center-programmet, och Belkasoft Incident Response Examination är dedikerat till att undersöka incidenter med hjälp av Belkasofts produkter. Det vill säga, innan du studerar Belkasoft Incident Response Examination-kursen rekommenderar vi starkt att du slutför Belkasoft Digital Forensics-kursen. Om du börjar direkt med en kurs om incidentutredningar kan eleven ha irriterande kunskapsluckor i att använda Belkasoft Evidence Center, hitta och undersöka kriminaltekniska artefakter. Detta kan leda till att under utbildningen i Belkasoft Incident Response Examination-kursen kommer studenten antingen inte att ha tid att bemästra materialet, eller kommer att sakta ner resten av gruppen i att skaffa sig ny kunskap, eftersom utbildningstiden kommer att spenderas genom att tränaren förklarar materialet från Belkasoft Digital Forensics-kurs.

Computer forensics med Belkasoft Evidence Center

Syftet med kursen Belkasoft Digital Forensics — introducera eleverna för Belkasoft Evidence Center-programmet, lär dem att använda detta program för att samla bevis från olika källor (molnlagring, RAM-minne), mobila enheter, lagringsmedia (hårddiskar, flashenheter, etc.), master grundläggande kriminaltekniska tekniker och tekniker, metoder för kriminalteknisk undersökning av Windows-artefakter, mobila enheter, RAM-dumpar. Du kommer också att lära dig att identifiera och dokumentera artefakter från webbläsare och snabbmeddelandeprogram, skapa kriminaltekniska kopior av data från olika källor, extrahera geolokaliseringsdata och söka för textsekvenser (sök med nyckelord), använd hash när du gör forskning, analysera Windows-registret, behärska kunskaperna att utforska okända SQLite-databaser, grunderna för att undersöka grafik- och videofiler och analytiska tekniker som används under undersökningar.

Kursen kommer att vara användbar för experter med specialisering inom området datorteknisk forensik (dataforensik); tekniska specialister som bestämmer orsakerna till ett framgångsrikt intrång, analyserar händelsekedjan och konsekvenserna av cyberattacker; tekniska specialister som identifierar och dokumenterar datastöld (läckor) av en insider (intern överträdare); e-Discovery-specialister; SOC och CERT/CSIRT personal; informationssäkerhetsanställda; dator forensics entusiaster.

Kursplan:

• Belkasoft Evidence Center (BEC): första stegen
• Skapande och handläggning av ärenden i BEC
• Samla in digitala bevis för kriminaltekniska undersökningar med BEC

• Använda filter
• Genererar rapporter
• Forskning om program för snabbmeddelanden

• Webbläsarforskning

• Forskning om mobila enheter
• Extrahera geolokaliseringsdata

• Söker efter textsekvenser i case
• Extrahera och analysera data från molnlagringar
• Använda bokmärken för att lyfta fram viktiga bevis som hittats under forskning
• Undersökning av Windows-systemfiler

• Windows-registeranalys
• Analys av SQLite-databaser

• Dataåterställningsmetoder
• Tekniker för att undersöka RAM-dumpar
• Använder hash-kalkylator och hashanalys i kriminalteknisk forskning
• Analys av krypterade filer
• Metoder för att studera grafik- och videofiler
• Användning av analytiska tekniker i kriminalteknisk forskning
• Automatisera rutinåtgärder med det inbyggda programmeringsspråket Belkascripts

• Praktiska övningar

Kurs: Belkasoft Incident Response Examination

Syftet med kursen är att lära sig grunderna i forensisk utredning av cyberattacker och möjligheterna att använda Belkasoft Evidence Center i en utredning. Du kommer att lära dig om huvudvektorerna för moderna attacker på datornätverk, lära dig att klassificera datorattacker baserat på MITER ATT&CK-matrisen, tillämpa operativsystemforskningsalgoritmer för att fastställa faktumet att kompromissa och rekonstruera angriparnas handlingar, lära dig var artefakter finns som ange vilka filer som öppnades senast, där operativsystemet lagrar information om hur körbara filer laddades ner och kördes, hur angripare flyttade över nätverket och lär dig hur man undersöker dessa artefakter med BEC. Du kommer också att lära dig vilka händelser i systemloggar som är av intresse med tanke på incidentutredning och fjärråtkomstdetektering, och lära dig hur du undersöker dem med BEC.

Kursen kommer att vara användbar för tekniska specialister som avgör orsakerna till ett framgångsrikt intrång, analyserar händelsekedjor och konsekvenserna av cyberattacker; systemadministratörer; SOC- och CERT/CSIRT-personal; informationssäkerhetspersonal.

Kursöversikt

Cyber ​​​​Kill Chain beskriver huvudstadierna i varje teknisk attack mot offrets datorer (eller datornätverk) enligt följande:

SOC-anställdas åtgärder (CERT, informationssäkerhet, etc.) syftar till att förhindra inkräktare från att komma åt skyddade informationsresurser.

Om angripare penetrerar den skyddade infrastrukturen, bör ovanstående personer försöka minimera skadorna från angriparnas aktiviteter, fastställa hur attacken utfördes, rekonstruera händelserna och handlingssekvensen för angriparna i den komprometterade informationsstrukturen, och ta åtgärder för att förhindra denna typ av attack i framtiden.

Följande typer av spår kan hittas i en komprometterad informationsinfrastruktur, vilket indikerar att nätverket (datorn) har äventyrats:

Alla sådana spår kan hittas med programmet Belkasoft Evidence Center.

BEC har en ”Incident Investigation”-modul, där man vid analys av lagringsmedia placerar information om artefakter som kan hjälpa forskaren vid undersökning av incidenter.

BEC stöder granskning av huvudtyperna av Windows-artefakter som indikerar exekvering av körbara filer på det undersökta systemet, inklusive Amcache, Userassist, Prefetch, BAM/DAM-filer, Windows 10-tidslinje,analys av systemhändelser.

Information om spår som innehåller information om användaråtgärder i ett komprometterat system kan presenteras i följande form:

Denna information inkluderar bland annat information om att köra körbara filer:

Information om att köra filen 'RDPWInst.exe'.

Information om angripares närvaro i komprometterade system kan hittas i Windows-registrets startnycklar, tjänster, schemalagda uppgifter, inloggningsskript, WMI, etc. Exempel på att upptäcka information om angripare som är kopplade till systemet kan ses i följande skärmdumpar:

Begränsa angripare genom att använda uppgiftsschemaläggaren genom att skapa en uppgift som kör ett PowerShell-skript.

Konsolidera angripare med Windows Management Instrumentation (WMI).

Konsoliderar angripare med hjälp av inloggningsskript.

Angripares förflyttning över ett komprometterat datornätverk kan upptäckas, till exempel genom att analysera Windows-systemloggar (om angriparna använder RDP-tjänsten).

Information om upptäckta RDP-anslutningar.

Information om angripares rörelse över nätverket.

Således kan Belkasoft Evidence Center hjälpa forskare att identifiera komprometterade datorer i ett attackerat datornätverk, hitta spår av lansering av skadlig programvara, spår av fixering i systemet och rörelse över nätverket och andra spår av angriparaktivitet på komprometterade datorer.

Hur man utför sådan forskning och upptäcker artefakterna som beskrivs ovan beskrivs i Belkasoft Incident Response Examination utbildningskurs.

Kursplan:

• Trender för cyberattacker. Teknik, verktyg, angripares mål
• Använda hotmodeller för att förstå angriparens taktik, tekniker och procedurer
• Cyberdödskedja
• Incidentresponsalgoritm: identifiering, lokalisering, generering av indikatorer, sökning efter nya infekterade noder
• Analys av Windows-system med BEC
• Detektering av metoder för primär infektion, nätverksspridning, konsolidering och nätverksaktivitet av skadlig programvara med BEC
• Identifiera infekterade system och återställ infektionshistorik med BEC
• Praktiska övningar

FAQVar hålls kurserna?
Kurser hålls på Group-IB:s huvudkontor eller på en extern plats (utbildningscenter). Det är möjligt för en tränare att resa till webbplatser med företagskunder.

Vem leder klasserna?
Utbildare på Group-IB är utövare med många års erfarenhet av att bedriva kriminalteknisk forskning, företagsutredningar och svara på informationssäkerhetsincidenter.

Utbildarnas kvalifikationer bekräftas av många internationella certifikat: GCFA, MCFE, ACE, EnCE, etc.

Våra tränare hittar lätt ett gemensamt språk med publiken och förklarar tydligt även de mest komplexa ämnena. Studenterna kommer att lära sig mycket relevant och intressant information om att undersöka datorincidenter, metoder för att identifiera och motverka dataangrepp och få verklig praktisk kunskap som de kan tillämpa direkt efter examen.

Kommer kurserna att ge användbara färdigheter som inte är relaterade till Belkasofts produkter, eller kommer dessa färdigheter att vara otillämpliga utan denna programvara?
De färdigheter som förvärvats under utbildningen kommer att vara användbara utan att använda Belkasofts produkter.

Vad ingår i den inledande testningen?

Primärt test är ett test av kunskap om grunderna i datorforensik. Det finns inga planer på att testa kunskap om Belkasoft och Group-IB-produkter.

Var hittar jag information om företagets utbildningar?

Som en del av utbildningskurser utbildar Group-IB specialister inom incidentrespons, malware-forskning, cyberintelligensspecialister (Threat Intelligence), specialister för att arbeta i Security Operation Center (SOC), specialister på proaktiv hotjakt (Threat Hunter), etc. . En komplett lista över egna kurser från Group-IB finns tillgänglig här.

Vilka bonusar får studenter som genomför gemensamma kurser mellan Group-IB och Belkasoft?
De som har genomgått utbildning i gemensamma kurser mellan Group-IB och Belkasoft kommer att få:

1. intyg om avslutad kurs;
2. gratis månatlig prenumeration på Belkasoft Evidence Center;
3. 10 % rabatt på köp av Belkasoft Evidence Center.

Vi påminner om att första kursen startar på måndag kl. 9 September,- Missa inte möjligheten att få unik kunskap inom området informationssäkerhet, datakriminalteknik och incidenthantering! Anmälan till kursen här.

källorNär vi förberedde artikeln använde vi presentationen av Oleg Skulkin "Att använda värdbaserad kriminalteknik för att få indikatorer på kompromiss för framgångsrik intelligensdriven incidentrespons."

Källa: will.com