🥇หลักสูตรร่วมของ Group-IB และ Belkasoft: เราจะสอนอะไรและใครจะมา

อัลกอริธึมและยุทธวิธีในการตอบสนองต่อเหตุการณ์ความปลอดภัยของข้อมูล แนวโน้มของการโจมตีทางไซเบอร์ในปัจจุบัน แนวทางในการตรวจสอบการรั่วไหลของข้อมูลในบริษัท การค้นคว้าเบราว์เซอร์และอุปกรณ์มือถือ การวิเคราะห์ไฟล์ที่เข้ารหัส การดึงข้อมูลตำแหน่งทางภูมิศาสตร์ และการวิเคราะห์ข้อมูลปริมาณมาก - หัวข้อทั้งหมดนี้และหัวข้ออื่น ๆ สามารถศึกษาได้ในหลักสูตรร่วมใหม่ของ Group-IB และ Belkasoft ในเดือนสิงหาคมเรา ประกาศ หลักสูตร Belkasoft Digital Forensics หลักสูตรแรกซึ่งเริ่มในวันที่ 9 กันยายนและเมื่อได้รับคำถามจำนวนมากเราจึงตัดสินใจพูดคุยในรายละเอียดเพิ่มเติมเกี่ยวกับสิ่งที่นักเรียนจะเรียนความรู้ความสามารถและโบนัส (!) จะได้รับจากผู้ที่ ถึงจุดสิ้นสุด สิ่งแรกก่อน

สองทั้งหมดในหนึ่งเดียว

แนวคิดในการจัดหลักสูตรการฝึกอบรมร่วมปรากฏขึ้นหลังจากผู้เข้าร่วมหลักสูตร Group-IB เริ่มถามเกี่ยวกับเครื่องมือที่จะช่วยพวกเขาในการตรวจสอบระบบคอมพิวเตอร์และเครือข่ายที่ถูกบุกรุก และรวมฟังก์ชันการทำงานของยูทิลิตี้ฟรีต่างๆ ที่เราแนะนำให้ใช้ในระหว่างการตอบสนองต่อเหตุการณ์ .

ในความเห็นของเรา เครื่องมือดังกล่าวอาจเป็น Belkasoft Evidence Center (เราได้พูดคุยกันแล้วในนั้น) статье อิกอร์ มิคาอิลอฟ “กุญแจสู่การเริ่มต้น: ซอฟต์แวร์และฮาร์ดแวร์ที่ดีที่สุดสำหรับนิติคอมพิวเตอร์”) ดังนั้นเราจึงได้ร่วมมือกับ Belkasoft เพื่อพัฒนาหลักสูตรการฝึกอบรมสองหลักสูตร: นิติดิจิตอล Belkasoft и การตรวจสอบการตอบสนองเหตุการณ์ของ Belkasoft.

สำคัญ: หลักสูตรมีความต่อเนื่องและเชื่อมโยงถึงกัน! Belkasoft Digital Forensics ทุ่มเทให้กับโปรแกรม Belkasoft Evidence Center และ Belkasoft Incident Response Examination ทุ่มเทให้กับการตรวจสอบเหตุการณ์โดยใช้ผลิตภัณฑ์ของ Belkasoft นั่นคือ ก่อนที่จะศึกษาหลักสูตร Belkasoft Incident Response Examination เราขอแนะนำอย่างยิ่งให้สำเร็จหลักสูตร Belkasoft Digital Forensics หากคุณเริ่มต้นหลักสูตรเกี่ยวกับการสืบสวนเหตุการณ์ทันที นักเรียนอาจมีช่องว่างความรู้ที่น่ารำคาญในการใช้ Belkasoft Evidence Center การค้นหาและตรวจสอบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ สิ่งนี้อาจนำไปสู่ความจริงที่ว่าในระหว่างการฝึกอบรมในหลักสูตรการสอบตอบสนองต่อเหตุการณ์ของ Belkasoft นักเรียนจะไม่มีเวลาเชี่ยวชาญเนื้อหาหรือจะทำให้กลุ่มที่เหลือช้าลงในการรับความรู้ใหม่ เนื่องจากจะใช้เวลาในการฝึกอบรม โดยวิทยากรบรรยายเนื้อหาจากหลักสูตร Belkasoft Digital Forensics

นิติคอมพิวเตอร์กับ Belkasoft Evidence Center

วัตถุประสงค์ของหลักสูตร นิติดิจิตอล Belkasoft — แนะนำนักเรียนให้รู้จักกับโปรแกรม Belkasoft Evidence Center สอนให้ใช้โปรแกรมนี้เพื่อรวบรวมหลักฐานจากแหล่งต่างๆ (ที่เก็บข้อมูลบนคลาวด์, หน่วยความจำเข้าถึงโดยสุ่ม (RAM), อุปกรณ์มือถือ, สื่อเก็บข้อมูล (ฮาร์ดไดรฟ์, แฟลชไดรฟ์ ฯลฯ ), ผู้เชี่ยวชาญ เทคนิคและเทคนิคทางนิติวิทยาศาสตร์พื้นฐาน วิธีการตรวจสอบทางนิติเวชของสิ่งประดิษฐ์ Windows อุปกรณ์มือถือ การทิ้ง RAM นอกจากนี้คุณยังจะได้เรียนรู้ในการระบุและบันทึกสิ่งประดิษฐ์ของเบราว์เซอร์และโปรแกรมส่งข้อความโต้ตอบแบบทันที สร้างสำเนาทางนิติวิทยาศาสตร์ของข้อมูลจากแหล่งต่าง ๆ ดึงข้อมูลตำแหน่งทางภูมิศาสตร์และการค้นหา สำหรับลำดับข้อความ (ค้นหาด้วยคำหลัก) ใช้แฮชเมื่อดำเนินการวิจัย วิเคราะห์รีจิสทรีของ Windows ฝึกฝนทักษะในการสำรวจฐานข้อมูล SQLite ที่ไม่รู้จัก พื้นฐานของการตรวจสอบไฟล์กราฟิกและวิดีโอ และเทคนิคการวิเคราะห์ที่ใช้ในการตรวจสอบ

หลักสูตรนี้จะเป็นประโยชน์สำหรับผู้เชี่ยวชาญที่เชี่ยวชาญด้านนิติคอมพิวเตอร์ทางเทคนิค (นิติคอมพิวเตอร์) ผู้เชี่ยวชาญด้านเทคนิคที่กำหนดสาเหตุของการบุกรุกที่ประสบความสำเร็จ วิเคราะห์ห่วงโซ่ของเหตุการณ์และผลที่ตามมาของการโจมตีทางไซเบอร์ ผู้เชี่ยวชาญด้านเทคนิคระบุและบันทึกการโจรกรรมข้อมูล (การรั่วไหล) โดยบุคคลภายใน (ผู้ฝ่าฝืนภายใน) ผู้เชี่ยวชาญด้าน e-Discovery; เจ้าหน้าที่ SOC และ CERT/CSIRT พนักงานรักษาความปลอดภัยข้อมูล ผู้ชื่นชอบนิติคอมพิวเตอร์

แผนหลักสูตร:

Belkasoft Evidence Center (BEC): ก้าวแรก
การสร้างและดำเนินการคดีในบีอีซี
รวบรวมหลักฐานดิจิทัลเพื่อการสอบสวนทางนิติวิทยาศาสตร์กับบีอีซี

การใช้ตัวกรอง
การรายงาน
การวิจัยเกี่ยวกับโปรแกรมส่งข้อความโต้ตอบแบบทันที

การวิจัยเว็บเบราว์เซอร์

การวิจัยอุปกรณ์เคลื่อนที่
การแยกข้อมูลตำแหน่งทางภูมิศาสตร์

ค้นหาลำดับข้อความในกรณี
การแยกและวิเคราะห์ข้อมูลจากที่เก็บข้อมูลบนคลาวด์
การใช้บุ๊กมาร์กเพื่อเน้นหลักฐานสำคัญที่พบในระหว่างการวิจัย
การตรวจสอบไฟล์ระบบ Windows

การวิเคราะห์รีจิสทรีของ Windows
การวิเคราะห์ฐานข้อมูล SQLite

วิธีการกู้คืนข้อมูล
เทคนิคการตรวจสอบ RAM dumps
การใช้เครื่องคำนวณแฮชและการวิเคราะห์แฮชในการวิจัยทางนิติวิทยาศาสตร์
การวิเคราะห์ไฟล์ที่เข้ารหัส
วิธีการศึกษาไฟล์กราฟิกและวีดิทัศน์
การใช้เทคนิคการวิเคราะห์ในการวิจัยทางนิติวิทยาศาสตร์
ดำเนินการตามปกติโดยอัตโนมัติโดยใช้ภาษาการเขียนโปรแกรม Belkascripts ในตัว

การฝึกปฏิบัติ

หลักสูตร: การตรวจสอบการตอบสนองเหตุการณ์ของ Belkasoft

วัตถุประสงค์ของหลักสูตรคือเพื่อเรียนรู้พื้นฐานของการสืบสวนทางนิติวิทยาศาสตร์เกี่ยวกับการโจมตีทางไซเบอร์ และความเป็นไปได้ของการใช้ Belkasoft Evidence Center ในการสืบสวน คุณจะได้เรียนรู้เกี่ยวกับเวกเตอร์หลักของการโจมตีสมัยใหม่บนเครือข่ายคอมพิวเตอร์ เรียนรู้ที่จะจำแนกการโจมตีคอมพิวเตอร์ตามเมทริกซ์ MITER ATT&CK ใช้อัลกอริธึมการวิจัยระบบปฏิบัติการเพื่อสร้างข้อเท็จจริงของการประนีประนอม และสร้างการกระทำของผู้โจมตีขึ้นใหม่ เรียนรู้ว่าสิ่งประดิษฐ์อยู่ที่ใด ระบุว่าไฟล์ใดถูกเปิดล่าสุด โดยที่ระบบปฏิบัติการจัดเก็บข้อมูลเกี่ยวกับวิธีการดาวน์โหลดและเรียกใช้ไฟล์ปฏิบัติการ ผู้โจมตีเคลื่อนย้ายข้ามเครือข่ายอย่างไร และเรียนรู้วิธีตรวจสอบสิ่งประดิษฐ์เหล่านี้โดยใช้ BEC นอกจากนี้คุณยังจะได้เรียนรู้ว่าเหตุการณ์ใดในบันทึกของระบบที่น่าสนใจจากมุมมองของการตรวจสอบเหตุการณ์และการตรวจจับการเข้าถึงระยะไกล และเรียนรู้วิธีตรวจสอบเหตุการณ์เหล่านั้นโดยใช้ BEC

หลักสูตรนี้จะเป็นประโยชน์สำหรับผู้เชี่ยวชาญทางเทคนิคที่กำหนดสาเหตุของการบุกรุกที่ประสบความสำเร็จ วิเคราะห์ห่วงโซ่ของเหตุการณ์ และผลที่ตามมาของการโจมตีทางไซเบอร์ ผู้ดูแลระบบ เจ้าหน้าที่ SOC และ CERT/CSIRT เจ้าหน้าที่รักษาความปลอดภัยข้อมูล

ภาพรวมของหลักสูตร

Cyber Kill Chain อธิบายขั้นตอนหลักของการโจมตีทางเทคนิคบนคอมพิวเตอร์ของเหยื่อ (หรือเครือข่ายคอมพิวเตอร์) ดังนี้:

การกระทำของพนักงาน SOC (CERT, ความปลอดภัยของข้อมูล ฯลฯ) มีวัตถุประสงค์เพื่อป้องกันไม่ให้ผู้บุกรุกเข้าถึงทรัพยากรข้อมูลที่ได้รับการคุ้มครอง

หากผู้โจมตีเจาะเข้าไปในโครงสร้างพื้นฐานที่ได้รับการป้องกัน บุคคลข้างต้นควรพยายามลดความเสียหายจากกิจกรรมของผู้โจมตีให้เหลือน้อยที่สุด กำหนดวิธีการโจมตี สร้างเหตุการณ์ใหม่และลำดับการกระทำของผู้โจมตีในโครงสร้างข้อมูลที่ถูกบุกรุก และดำเนินการ มาตรการป้องกันการโจมตีประเภทนี้ในอนาคต

การติดตามประเภทต่อไปนี้สามารถพบได้ในโครงสร้างพื้นฐานข้อมูลที่ถูกบุกรุก ซึ่งบ่งชี้ว่าเครือข่าย (คอมพิวเตอร์) ถูกบุกรุก:

ร่องรอยดังกล่าวทั้งหมดสามารถพบได้โดยใช้โปรแกรม Belkasoft Evidence Center

BEC มีโมดูล "การสืบสวนเหตุการณ์" ซึ่งเมื่อวิเคราะห์สื่อจัดเก็บข้อมูล จะมีการวางข้อมูลเกี่ยวกับสิ่งประดิษฐ์ที่สามารถช่วยผู้วิจัยในการตรวจสอบเหตุการณ์ได้

BEC รองรับการตรวจสอบประเภทหลักของ Windows Artifact ที่ระบุถึงการดำเนินการของไฟล์ปฏิบัติการบนระบบภายใต้การตรวจสอบ รวมถึงไฟล์ Amcache, Userassist, Prefetch, BAM/DAM ไทม์ไลน์ของ Windows 10,การวิเคราะห์เหตุการณ์ของระบบ

ข้อมูลเกี่ยวกับการติดตามที่มีข้อมูลเกี่ยวกับการกระทำของผู้ใช้ในระบบที่ถูกบุกรุกสามารถนำเสนอในรูปแบบต่อไปนี้:

ข้อมูลนี้รวมถึงข้อมูลเกี่ยวกับการเรียกใช้ไฟล์ปฏิบัติการ:

ข้อมูลเกี่ยวกับการเรียกใช้ไฟล์ 'RDPWInst.exe'

ข้อมูลเกี่ยวกับการปรากฏตัวของผู้โจมตีในระบบที่ถูกบุกรุกสามารถพบได้ในคีย์การเริ่มต้นรีจิสทรีของ Windows, บริการ, งานที่กำหนดเวลาไว้, สคริปต์การเข้าสู่ระบบ, WMI ฯลฯ ตัวอย่างการตรวจจับข้อมูลเกี่ยวกับผู้โจมตีที่ติดอยู่กับระบบสามารถดูได้ในภาพหน้าจอต่อไปนี้:

การจำกัดผู้โจมตีโดยใช้ตัวกำหนดเวลางานโดยการสร้างงานที่เรียกใช้สคริปต์ PowerShell

รวบรวมผู้โจมตีโดยใช้ Windows Management Instrumentation (WMI)

รวบรวมผู้โจมตีโดยใช้สคริปต์การเข้าสู่ระบบ

สามารถตรวจจับความเคลื่อนไหวของผู้โจมตีผ่านเครือข่ายคอมพิวเตอร์ที่ถูกบุกรุกได้ เช่น โดยการวิเคราะห์บันทึกระบบ Windows (หากผู้โจมตีใช้บริการ RDP)

ข้อมูลเกี่ยวกับการเชื่อมต่อ RDP ที่ตรวจพบ

ข้อมูลเกี่ยวกับการเคลื่อนไหวของผู้โจมตีทั่วทั้งเครือข่าย

ดังนั้น Belkasoft Evidence Center สามารถช่วยนักวิจัยระบุคอมพิวเตอร์ที่ถูกบุกรุกในเครือข่ายคอมพิวเตอร์ที่ถูกโจมตี ค้นหาร่องรอยของการเปิดตัวมัลแวร์ ร่องรอยการแก้ไขในระบบและการเคลื่อนไหวทั่วทั้งเครือข่าย และร่องรอยกิจกรรมอื่นๆ ของผู้โจมตีบนคอมพิวเตอร์ที่ถูกบุกรุก

วิธีดำเนินการวิจัยและตรวจจับสิ่งประดิษฐ์ที่อธิบายไว้ข้างต้นมีอธิบายไว้ในหลักสูตรการฝึกอบรมการตรวจสอบการตอบสนองเหตุการณ์ของ Belkasoft

แผนหลักสูตร:

แนวโน้มการโจมตีทางไซเบอร์ เทคโนโลยี เครื่องมือ เป้าหมายของผู้โจมตี
การใช้โมเดลภัยคุกคามเพื่อทำความเข้าใจกลยุทธ์ เทคนิค และขั้นตอนของผู้โจมตี
ห่วงโซ่การฆ่าไซเบอร์
อัลกอริธึมการตอบสนองต่อเหตุการณ์: การระบุตัวตน การแปล การสร้างตัวบ่งชี้ ค้นหาโหนดใหม่ที่ติดไวรัส
การวิเคราะห์ระบบ Windows โดยใช้ BEC
การตรวจจับวิธีการติดไวรัสหลัก การแพร่กระจายเครือข่าย การรวม และกิจกรรมเครือข่ายของมัลแวร์โดยใช้ BEC
ระบุระบบที่ติดไวรัสและกู้คืนประวัติการติดไวรัสโดยใช้ BEC
การฝึกปฏิบัติ

คำถามที่พบบ่อยหลักสูตรจัดขึ้นที่ไหน?
หลักสูตรจะจัดขึ้นที่สำนักงานใหญ่ Group-IB หรือที่สถานที่ภายนอก (ศูนย์ฝึกอบรม) ผู้ฝึกสอนสามารถเดินทางไปยังไซต์งานกับลูกค้าองค์กรได้

ใครเป็นผู้ดำเนินการชั้นเรียน?
ผู้ฝึกสอนที่ Group-IB เป็นผู้ปฏิบัติงานที่มีประสบการณ์หลายปีในการทำวิจัยทางนิติเวช การสืบสวนองค์กร และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูล

คุณสมบัติของผู้ฝึกสอนได้รับการยืนยันจากใบรับรองระหว่างประเทศมากมาย: GCFA, MCFE, ACE, EnCE เป็นต้น

ผู้ฝึกสอนของเราค้นหาภาษากลางกับผู้ชมได้อย่างง่ายดาย อธิบายได้อย่างชัดเจนแม้กระทั่งหัวข้อที่ซับซ้อนที่สุด นักศึกษาจะได้เรียนรู้ข้อมูลที่เกี่ยวข้องและน่าสนใจมากมายเกี่ยวกับการสืบสวนเหตุการณ์ทางคอมพิวเตอร์ วิธีการระบุและตอบโต้การโจมตีทางคอมพิวเตอร์ และได้รับความรู้เชิงปฏิบัติจริงที่สามารถนำไปใช้ได้ทันทีหลังจากสำเร็จการศึกษา

หลักสูตรนี้จะมอบทักษะที่มีประโยชน์ซึ่งไม่เกี่ยวข้องกับผลิตภัณฑ์ Belkasoft หรือทักษะเหล่านี้จะนำไปใช้ไม่ได้หากไม่มีซอฟต์แวร์นี้
ทักษะที่ได้รับระหว่างการฝึกอบรมจะมีประโยชน์โดยไม่ต้องใช้ผลิตภัณฑ์ Belkasoft

มีอะไรรวมอยู่ในการทดสอบเบื้องต้นบ้าง?

การทดสอบเบื้องต้นคือการทดสอบความรู้พื้นฐานของนิติคอมพิวเตอร์ ไม่มีแผนที่จะทดสอบความรู้เกี่ยวกับผลิตภัณฑ์ Belkasoft และ Group-IB

ฉันจะหาข้อมูลเกี่ยวกับหลักสูตรการศึกษาของบริษัทได้จากที่ไหน?

ในฐานะส่วนหนึ่งของหลักสูตรการศึกษา Group-IB จะฝึกอบรมผู้เชี่ยวชาญในการตอบสนองต่อเหตุการณ์ การวิจัยมัลแวร์ ผู้เชี่ยวชาญด้านข่าวกรองไซเบอร์ (Threat Intelligence) ผู้เชี่ยวชาญให้ทำงานในศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) ผู้เชี่ยวชาญในการตามล่าภัยคุกคามเชิงรุก (Threat Hunter) ฯลฯ . มีรายชื่อหลักสูตรที่เป็นกรรมสิทธิ์ทั้งหมดจาก Group-IB ที่นี่.

นักเรียนที่สำเร็จหลักสูตรร่วมระหว่าง Group-IB และ Belkasoft จะได้รับโบนัสอะไรบ้าง
ผู้ที่สำเร็จการศึกษาหลักสูตรร่วมระหว่าง Group-IB และ Belkasoft จะได้รับ:

ใบรับรองการสำเร็จหลักสูตร
สมัครสมาชิก Belkasoft Evidence Center ฟรีทุกเดือน
ส่วนลด 10% ในการซื้อ Belkasoft Evidence Center

เราขอเตือนคุณว่าหลักสูตรแรกเริ่มในวันจันทร์ 9 กันยายน, - อย่าพลาดโอกาสที่จะได้รับความรู้เฉพาะในด้านความปลอดภัยของข้อมูล นิติคอมพิวเตอร์ และการตอบสนองต่อเหตุการณ์! การลงทะเบียนเรียนหลักสูตร ที่นี่.

แหล่งที่มาในการเตรียมบทความ เราใช้การนำเสนอของ Oleg Skulkin "การใช้นิติเวชตามโฮสต์เพื่อรับตัวบ่งชี้ของการประนีประนอมเพื่อการตอบสนองต่อเหตุการณ์ที่ขับเคลื่อนด้วยข่าวกรองที่ประสบความสำเร็จ"

ที่มา: will.com

หลักสูตรร่วมของ Group-IB และ Belkasoft: เราจะสอนอะไรและใครจะมาในอนาคต

สองทั้งหมดในหนึ่งเดียว

นิติคอมพิวเตอร์กับ Belkasoft Evidence Center

หลักสูตร: การตรวจสอบการตอบสนองเหตุการณ์ของ Belkasoft

ภาพรวมของหลักสูตร

เพิ่มความคิดเห็น ยกเลิกการตอบ