Kozi za pamoja za Kundi-IB na Belkasoft: tutafundisha nini na nani aje

Algorithms na mbinu za kujibu matukio ya usalama wa habari, mwelekeo wa mashambulizi ya sasa ya mtandao, mbinu za kuchunguza uvujaji wa data katika makampuni, kutafiti vivinjari na vifaa vya rununu, kuchambua faili zilizosimbwa, kutoa data ya geolocation na uchanganuzi wa idadi kubwa ya data - mada hizi zote na zingine. inaweza kusomwa kwenye kozi mpya za pamoja za Kundi-IB na Belkasoft. Mnamo Agosti sisi alitangaza kozi ya kwanza ya Belkasoft Digital Forensics, ambayo huanza Septemba 9, na baada ya kupokea idadi kubwa ya maswali, tuliamua kuzungumza kwa undani zaidi juu ya nini wanafunzi watasoma, ni ujuzi gani, ujuzi na bonuses (!) zitapokelewa na wale ambao kufikia mwisho. Mambo ya kwanza kwanza.

Mbili zote kwa moja

Wazo la kufanya kozi za mafunzo ya pamoja lilionekana baada ya washiriki wa kozi ya Kundi-IB kuanza kuuliza kuhusu chombo ambacho kingewasaidia katika kuchunguza mifumo na mitandao ya kompyuta iliyoathiriwa, na kuchanganya utendakazi wa huduma mbalimbali za bure ambazo tunapendekeza kutumia wakati wa kukabiliana na matukio .

Kwa maoni yetu, chombo kama hicho kinaweza kuwa Kituo cha Ushahidi cha Belkasoft (tayari tulizungumza juu yake Ibara ya Igor Mikhailov "Ufunguo wa mwanzo: programu bora na vifaa vya uchunguzi wa kompyuta"). Kwa hivyo, sisi, pamoja na Belkasoft, tumeandaa kozi mbili za mafunzo: Belkasoft Digital Forensics и Uchunguzi wa Majibu ya Tukio la Belkasoft.

MUHIMU: kozi zinafuatana na zimeunganishwa! Belkasoft Digital Forensics imejitolea kwa mpango wa Kituo cha Ushahidi cha Belkasoft, na Uchunguzi wa Majibu ya Tukio la Belkasoft umejitolea kuchunguza matukio kwa kutumia bidhaa za Belkasoft. Hiyo ni, kabla ya kusoma kozi ya Uchunguzi wa Majibu ya Tukio la Belkasoft, tunapendekeza sana kukamilisha kozi ya Belkasoft Digital Forensics. Ukianza mara moja na kozi ya uchunguzi wa matukio, mwanafunzi anaweza kuwa na mapungufu ya maarifa ya kukasirisha katika kutumia Kituo cha Ushahidi cha Belkasoft, kutafuta na kuchunguza mabaki ya uchunguzi. Hii inaweza kusababisha ukweli kwamba wakati wa mafunzo katika kozi ya Mtihani wa Majibu ya Tukio la Belkasoft, mwanafunzi labda hatakuwa na wakati wa kusoma nyenzo, au atapunguza kasi ya kikundi katika kupata maarifa mapya, kwani wakati wa mafunzo utatumika. na mkufunzi akifafanua nyenzo kutoka kwa kozi ya Belkasoft Digital Forensics.

Uchunguzi wa kompyuta na Kituo cha Ushahidi cha Belkasoft

Kusudi la kozi Belkasoft Digital Forensics - kuwajulisha wanafunzi kwenye mpango wa Kituo cha Ushahidi cha Belkasoft, wafundishe kutumia programu hii kukusanya ushahidi kutoka kwa vyanzo anuwai (hifadhi ya wingu, kumbukumbu ya ufikiaji bila mpangilio (RAM), vifaa vya rununu, media ya uhifadhi (anatoa ngumu, anatoa flash, n.k.), bwana. mbinu na mbinu za msingi za uchunguzi, mbinu za uchunguzi wa kitaalamu wa mabaki ya Windows, vifaa vya rununu, utupaji wa RAM. Pia utajifunza kutambua na kuandika mabaki ya vivinjari na programu za ujumbe wa papo hapo, kuunda nakala za uchunguzi wa data kutoka kwa vyanzo mbalimbali, dondoo data ya eneo la kijiografia na utafutaji. kwa mlolongo wa maandishi (tafuta kwa maneno muhimu), tumia heshi wakati wa kufanya utafiti, kuchambua Usajili wa Windows, ujuzi ujuzi wa kuchunguza hifadhidata zisizojulikana za SQLite, misingi ya kuchunguza faili za graphic na video, na mbinu za uchambuzi zinazotumiwa wakati wa uchunguzi.

Kozi hiyo itakuwa muhimu kwa wataalam walio na utaalam katika uwanja wa uchunguzi wa kiufundi wa kompyuta (uchunguzi wa kompyuta); wataalam wa kiufundi ambao huamua sababu za kuingilia kwa mafanikio, kuchambua mlolongo wa matukio na matokeo ya mashambulizi ya cyber; wataalam wa ufundi kutambua na kurekodi wizi wa data (uvujaji) na mtu wa ndani (mkiukaji wa ndani); wataalam wa ugunduzi wa elektroniki; Wafanyakazi wa SOC na CERT/CSIRT; wafanyikazi wa usalama wa habari; wapenda uchunguzi wa kompyuta.

Mpango wa kozi:

• Kituo cha Ushahidi cha Belkasoft (BEC): hatua za kwanza
• Uundaji na usindikaji wa kesi katika BEC
• Kusanya ushahidi wa kidijitali kwa uchunguzi wa kitaalamu na BEC

• Kwa kutumia vichungi
• Inazalisha ripoti
• Utafiti wa Programu za Ujumbe wa Papo hapo

• Utafiti wa Kivinjari cha Wavuti

• Utafiti wa Kifaa cha Mkononi
• Inachimba data ya eneo la kijiografia

• Kutafuta mlolongo wa maandishi katika matukio
• Kuchimba na kuchambua data kutoka kwa hifadhi za wingu
• Kutumia alamisho kuonyesha ushahidi muhimu uliopatikana wakati wa utafiti
• Uchunguzi wa faili za mfumo wa Windows

• Uchambuzi wa Usajili wa Windows
• Uchambuzi wa hifadhidata za SQLite

• Mbinu za Urejeshaji Data
• Mbinu za kuchunguza utupaji wa RAM
• Kutumia kikokotoo cha hashi na uchanganuzi wa heshi katika utafiti wa kitaalamu
• Uchambuzi wa faili zilizosimbwa
• Njia za kusoma faili za picha na video
• Matumizi ya mbinu za uchambuzi katika utafiti wa kimahakama
• Rekebisha vitendo vya kawaida kwa kutumia lugha iliyojengewa ndani ya programu ya Belkascripts

• Masomo ya vitendo

Kozi: Uchunguzi wa Majibu ya Tukio la Belkasoft

Madhumuni ya kozi hiyo ni kujifunza misingi ya uchunguzi wa kitaalamu wa mashambulizi ya mtandaoni na uwezekano wa kutumia Kituo cha Ushahidi cha Belkasoft katika uchunguzi. Utajifunza kuhusu vekta kuu za mashambulizi ya kisasa kwenye mitandao ya kompyuta, kujifunza kuainisha mashambulizi ya kompyuta kulingana na matrix ya MITER ATT & CK, kutumia algorithms ya utafiti wa mfumo wa uendeshaji ili kuthibitisha ukweli wa maelewano na kuunda upya vitendo vya washambuliaji, kujifunza mahali ambapo mabaki yanapatikana onyesha ni faili zipi zilifunguliwa mwisho , ambapo mfumo wa uendeshaji huhifadhi maelezo kuhusu jinsi faili zinazoweza kutekelezeka zilivyopakuliwa na kutekelezwa, jinsi washambuliaji walivyohamia kwenye mtandao, na kujifunza jinsi ya kuchunguza vizalia hivi kwa kutumia BEC. Pia utajifunza ni matukio gani katika kumbukumbu za mfumo yanavutia kutoka kwa mtazamo wa uchunguzi wa matukio na utambuzi wa ufikiaji wa mbali, na ujifunze jinsi ya kuyachunguza kwa kutumia BEC.

Kozi hiyo itakuwa muhimu kwa wataalam wa kiufundi ambao huamua sababu za kuingilia kwa mafanikio, kuchambua minyororo ya matukio na matokeo ya mashambulizi ya cyber; wasimamizi wa mfumo; Wafanyakazi wa SOC na CERT/CSIRT; wafanyakazi wa usalama wa habari.

Muhtasari wa Kozi

Cyber ​​​​Kill Chain inaelezea hatua kuu za shambulio lolote la kiufundi kwenye kompyuta za mwathirika (au mtandao wa kompyuta) kama ifuatavyo:

Vitendo vya wafanyikazi wa SOC (CERT, usalama wa habari, n.k.) vinalenga kuzuia wavamizi kupata rasilimali za habari zinazolindwa.

Ikiwa washambuliaji watapenya miundombinu iliyolindwa, basi watu walio juu wanapaswa kujaribu kupunguza uharibifu kutoka kwa shughuli za washambuliaji, kuamua jinsi shambulio hilo lilifanyika, kuunda upya matukio na mlolongo wa vitendo vya washambuliaji katika muundo wa habari ulioathirika, na kuchukua. hatua za kuzuia aina hii ya shambulio katika siku zijazo.

Aina zifuatazo za ufuatiliaji zinaweza kupatikana katika miundombinu ya habari iliyoathiriwa, ikionyesha kuwa mtandao (kompyuta) umeathiriwa:

Athari zote kama hizo zinaweza kupatikana kwa kutumia programu ya Kituo cha Ushahidi cha Belkasoft.

BEC ina moduli ya "Uchunguzi wa Tukio", ambapo, wakati wa kuchambua vyombo vya habari vya hifadhi, taarifa kuhusu vizalia vya programu huwekwa ambayo inaweza kumsaidia mtafiti anapochunguza matukio.

BEC inasaidia uchunguzi wa aina kuu za vizalia vya Windows vinavyoonyesha utekelezwaji wa faili zinazoweza kutekelezwa kwenye mfumo unaochunguzwa, ikiwa ni pamoja na Amcache, Userassist, Prefetch, faili za BAM/DAM, Ratiba ya Windows 10, uchambuzi wa matukio ya mfumo.

Taarifa kuhusu ufuatiliaji ulio na taarifa kuhusu vitendo vya mtumiaji katika mfumo ulioathiriwa inaweza kuwasilishwa kwa fomu ifuatayo:

Taarifa hii, miongoni mwa mambo mengine, inajumuisha taarifa kuhusu kuendesha faili zinazoweza kutekelezwa:

Taarifa kuhusu kuendesha faili 'RDPWInst.exe'.

Taarifa kuhusu kuwepo kwa washambuliaji katika mifumo iliyoathiriwa inaweza kupatikana katika funguo za kuanzisha usajili wa Windows, huduma, kazi zilizopangwa, hati za Logon, WMI, nk. Mifano ya kugundua taarifa kuhusu wavamizi kuambatishwa kwenye mfumo inaweza kuonekana katika picha za skrini zifuatazo:

Kuwalazimisha washambuliaji kutumia kipanga ratiba cha kazi kwa kuunda kazi inayoendesha hati ya PowerShell.

Kuunganisha washambuliaji kwa kutumia Windows Management Instrumentation (WMI).

Kuunganisha washambuliaji kwa kutumia hati ya Logon.

Mwendo wa washambuliaji kwenye mtandao wa kompyuta ulioathiriwa unaweza kutambuliwa, kwa mfano, kwa kuchanganua kumbukumbu za mfumo wa Windows (ikiwa washambuliaji wanatumia huduma ya RDP).

Taarifa kuhusu miunganisho ya RDP iliyogunduliwa.

Taarifa kuhusu harakati za washambuliaji kwenye mtandao.

Kwa hivyo, Kituo cha Ushahidi cha Belkasoft kinaweza kusaidia watafiti kutambua kompyuta zilizoathiriwa katika mtandao wa kompyuta ulioshambuliwa, kupata athari za uzinduzi wa programu hasidi, athari za kurekebisha kwenye mfumo na harakati kwenye mtandao, na athari zingine za shughuli za washambuliaji kwenye kompyuta zilizoathiriwa.

Jinsi ya kufanya utafiti kama huo na kugundua vibaki vilivyoelezewa hapo juu imefafanuliwa katika kozi ya mafunzo ya Mtihani wa Majibu ya Tukio la Belkasoft.

Mpango wa kozi:

• Mitindo ya mashambulizi ya mtandaoni. Teknolojia, zana, malengo ya washambuliaji
• Kutumia miundo ya vitisho kuelewa mbinu, mbinu na taratibu za washambuliaji
• Mlolongo wa kuua wa Cyber
• Algorithm ya majibu ya tukio: kitambulisho, ujanibishaji, kizazi cha viashiria, tafuta nodi mpya zilizoambukizwa
• Uchambuzi wa mifumo ya Windows kwa kutumia BEC
• Ugunduzi wa mbinu za maambukizi ya msingi, kuenea kwa mtandao, ujumuishaji, na shughuli za mtandao za programu hasidi kwa kutumia BEC
• Tambua mifumo iliyoambukizwa na urejeshe historia ya maambukizi kwa kutumia BEC
• Masomo ya vitendo

MaswaliKozi zinafanyika wapi?
Kozi hufanyika katika makao makuu ya Kundi-IB au kwenye tovuti ya nje (kituo cha mafunzo). Inawezekana kwa mkufunzi kusafiri kwa tovuti na wateja wa kampuni.

Nani anaongoza madarasa?
Wakufunzi katika Kundi-IB ni watendaji walio na uzoefu wa miaka mingi katika kufanya utafiti wa kisayansi, uchunguzi wa kampuni na kujibu matukio ya usalama wa habari.

Sifa za wakufunzi zinathibitishwa na vyeti vingi vya kimataifa: GCFA, MCFE, ACE, EnCE, nk.

Wakufunzi wetu hupata kwa urahisi lugha ya kawaida na watazamaji, wakifafanua wazi hata mada ngumu zaidi. Wanafunzi watajifunza habari nyingi muhimu na za kuvutia kuhusu kuchunguza matukio ya kompyuta, mbinu za kutambua na kukabiliana na mashambulizi ya kompyuta, na kupata ujuzi halisi wa vitendo ambao wanaweza kutumia mara baada ya kuhitimu.

Je, kozi zitatoa ujuzi muhimu usiohusiana na bidhaa za Belkasoft, au ujuzi huu hautatumika bila programu hii?
Ujuzi uliopatikana wakati wa mafunzo utakuwa muhimu bila kutumia bidhaa za Belkasoft.

Ni nini kinachojumuishwa katika jaribio la awali?

Upimaji wa msingi ni mtihani wa ujuzi wa misingi ya uchunguzi wa kompyuta. Hakuna mipango ya kujaribu maarifa ya bidhaa za Belkasoft na Group-IB.

Ninaweza kupata wapi habari kuhusu kozi za elimu za kampuni?

Kama sehemu ya kozi za elimu, Kundi-IB hufunza wataalamu katika kukabiliana na matukio, utafiti wa programu hasidi, wataalamu wa kijasusi kwenye mtandao (Ujasusi wa Tishio), wataalam wa kufanya kazi katika Kituo cha Operesheni ya Usalama (SOC), wataalam wa uwindaji wa vitisho (Threat Hunter), n.k. . Orodha kamili ya kozi za umiliki kutoka Kundi-IB inapatikana hapa.

Wanafunzi wanaomaliza kozi za pamoja kati ya Group-IB na Belkasoft wanapata bonasi gani?
Wale ambao wamemaliza mafunzo katika kozi za pamoja kati ya Kundi-IB na Belkasoft watapokea:

1. cheti cha kukamilika kwa kozi;
2. usajili wa bure wa kila mwezi kwa Kituo cha Ushahidi cha Belkasoft;
3. Punguzo la 10% kwa ununuzi wa Kituo cha Ushahidi cha Belkasoft.

Tunakukumbusha kwamba kozi ya kwanza huanza Jumatatu, 9 Septemba, - usikose fursa ya kupata ujuzi wa kipekee katika uwanja wa usalama wa habari, uchunguzi wa kompyuta na majibu ya tukio! Usajili kwa kozi hapa.

VyanzoKatika kuandaa nakala hiyo, tulitumia uwasilishaji wa Oleg Skulkin "Kutumia uchunguzi wa msingi wa mwenyeji kupata viashiria vya maelewano kwa majibu ya matukio yanayoendeshwa na akili."

Chanzo: mapenzi.com