Mga pinagsamang kurso ng Group-IB at Belkasoft: kung ano ang ituturo namin at kung sino ang darating

Mga algorithm at taktika para sa pagtugon sa mga insidente sa seguridad ng impormasyon, mga uso sa kasalukuyang pag-atake sa cyber, mga diskarte sa pagsisiyasat ng mga pagtagas ng data sa mga kumpanya, pagsasaliksik sa mga browser at mobile device, pagsusuri sa mga naka-encrypt na file, pagkuha ng data ng geolocation at analytics ng malalaking volume ng data - lahat ng ito at iba pang mga paksa maaaring pag-aralan sa mga bagong pinagsamang kurso ng Group-IB at Belkasoft. Noong Agosto kami inihayag ang unang Belkasoft Digital Forensics na kurso, na magsisimula sa Setyembre 9, at nakatanggap ng maraming tanong, nagpasya kaming pag-usapan nang mas detalyado kung ano ang pag-aaralan ng mga mag-aaral, kung anong kaalaman, kakayahan at bonus (!) ang matatanggap ng mga taong umabot sa dulo. Una sa lahat.

Dalawa All in one

Ang ideya ng pagdaraos ng magkasanib na mga kurso sa pagsasanay ay lumitaw pagkatapos magsimulang magtanong ang mga kalahok sa kurso ng Group-IB tungkol sa isang tool na makakatulong sa kanila sa pagsisiyasat sa mga nakompromisong sistema at network ng computer, at pagsamahin ang functionality ng iba't ibang libreng utility na inirerekomenda naming gamitin sa pagtugon sa insidente .

Sa aming opinyon, ang naturang tool ay maaaring Belkasoft Evidence Center (napag-usapan na namin ito sa Artikulo Igor Mikhailov "Susi sa simula: ang pinakamahusay na software at hardware para sa computer forensics"). Samakatuwid, kami, kasama ang Belkasoft, ay bumuo ng dalawang kurso sa pagsasanay: Belkasoft Digital Forensics и Belkasoft Incident Response Examination.

MAHALAGA: ang mga kurso ay sunud-sunod at magkakaugnay! Ang Belkasoft Digital Forensics ay nakatuon sa programang Belkasoft Evidence Center, at ang Belkasoft Incident Response Examination ay nakatuon sa pagsisiyasat ng mga insidente gamit ang mga produkto ng Belkasoft. Ibig sabihin, bago pag-aralan ang kursong Belkasoft Incident Response Examination, mariing inirerekumenda naming kumpletuhin ang kursong Belkasoft Digital Forensics. Kung magsisimula ka kaagad sa isang kurso sa mga pagsisiyasat ng insidente, ang mag-aaral ay maaaring magkaroon ng nakakainis na gaps sa kaalaman sa paggamit ng Belkasoft Evidence Center, paghahanap at pagsusuri ng mga forensic artifact. Ito ay maaaring humantong sa katotohanan na sa panahon ng pagsasanay sa kursong Belkasoft Incident Response Examination, ang mag-aaral ay maaaring hindi magkakaroon ng oras upang makabisado ang materyal, o magpapabagal sa natitirang bahagi ng grupo sa pagkuha ng bagong kaalaman, dahil ang oras ng pagsasanay ay gugugol. sa pamamagitan ng tagapagsanay na nagpapaliwanag ng materyal mula sa kursong Belkasoft Digital Forensics.

Computer forensics na may Belkasoft Evidence Center

Layunin ng kurso Belkasoft Digital Forensics — ipakilala sa mga mag-aaral ang programang Belkasoft Evidence Center, turuan silang gamitin ang program na ito upang mangolekta ng ebidensya mula sa iba't ibang mapagkukunan (cloud storage, random access memory (RAM), mobile device, storage media (hard drive, flash drive, atbp.), master basic forensic techniques and techniques, mga paraan ng forensic examination ng Windows artifacts, mobile device, RAM dumps.Matututuhan mo ring kilalanin at idokumento ang mga artifact ng mga browser at instant messaging program, gumawa ng forensic na kopya ng data mula sa iba't ibang source, kunin ang data ng geolocation at maghanap para sa mga pagkakasunud-sunod ng teksto (paghahanap ng keyword), gumamit ng mga hash kapag nagsasagawa ng pananaliksik, pag-aralan ang Windows registry, master ang mga kasanayan sa paggalugad ng hindi kilalang mga database ng SQLite, ang mga pangunahing kaalaman sa pagsusuri ng mga graphic at video file, at analytical technique na ginagamit sa mga pagsisiyasat.

Ang kurso ay magiging kapaki-pakinabang sa mga eksperto na may espesyalisasyon sa larangan ng computer technical forensics (computer forensics); mga teknikal na espesyalista na tumutukoy sa mga dahilan para sa isang matagumpay na panghihimasok, sinusuri ang kadena ng mga kaganapan at ang mga kahihinatnan ng mga pag-atake sa cyber; mga teknikal na espesyalista na kumikilala at nagdodokumento ng pagnanakaw ng data (paglabas) ng isang tagaloob (panloob na lumalabag); Mga espesyalista sa e-Discovery; kawani ng SOC at CERT/CSIRT; mga empleyado ng seguridad ng impormasyon; mahilig sa computer forensics.

Plano ng kurso:

• Belkasoft Evidence Center (BEC): mga unang hakbang
• Paglikha at pagproseso ng mga kaso sa BEC
• Mangolekta ng digital na ebidensya para sa forensic na pagsisiyasat kasama ng BEC

• Paggamit ng mga filter
• Pag-uulat
• Pananaliksik sa Instant Messaging Programs

• Pananaliksik sa Web Browser

• Pananaliksik sa Mobile Device
• Pag-extract ng data ng geolocation

• Naghahanap ng mga pagkakasunud-sunod ng teksto sa mga kaso
• Pag-extract at pagsusuri ng data mula sa mga cloud storage
• Paggamit ng mga bookmark upang i-highlight ang makabuluhang ebidensya na natagpuan sa panahon ng pananaliksik
• Pagsusuri ng mga file ng system ng Windows

• Pagsusuri sa Windows Registry
• Pagsusuri ng mga database ng SQLite

• Mga Paraan ng Pagbawi ng Data
• Mga pamamaraan para sa pagsusuri sa mga dump ng RAM
• Paggamit ng hash calculator at hash analysis sa forensic research
• Pagsusuri ng mga naka-encrypt na file
• Mga pamamaraan para sa pag-aaral ng mga graphic at video file
• Ang paggamit ng analytical techniques sa forensic research
• I-automate ang mga nakagawiang pagkilos gamit ang built-in na Belkascripts programming language

• Praktikal na pagsasanay

Kurso: Pagsusuri sa Pagtugon sa Insidente ng Belkasoft

Ang layunin ng kurso ay upang matutunan ang mga pangunahing kaalaman ng forensic investigation ng cyber attacks at ang mga posibilidad ng paggamit ng Belkasoft Evidence Center sa isang imbestigasyon. Matututuhan mo ang tungkol sa mga pangunahing vectors ng mga modernong pag-atake sa mga network ng computer, matutong mag-uri-uriin ang mga pag-atake sa computer batay sa MITRE ATT&CK matrix, maglapat ng mga algorithm sa pagsasaliksik ng operating system upang maitaguyod ang katotohanan ng kompromiso at muling buuin ang mga aksyon ng mga umaatake, alamin kung saan matatagpuan ang mga artifact na ipahiwatig kung aling mga file ang huling binuksan , kung saan ang operating system ay nag-iimbak ng impormasyon tungkol sa kung paano na-download at nai-execute ang mga executable na file, kung paano lumipat ang mga umaatake sa network, at matutunan kung paano suriin ang mga artifact na ito gamit ang BEC. Malalaman mo rin kung anong mga kaganapan sa mga log ng system ang kawili-wili mula sa pananaw ng pagsisiyasat ng insidente at pagtukoy ng malayuang pag-access, at matutunan kung paano siyasatin ang mga ito gamit ang BEC.

Ang kurso ay magiging kapaki-pakinabang sa mga teknikal na espesyalista na tumutukoy sa mga dahilan para sa isang matagumpay na panghihimasok, pag-aralan ang mga kadena ng mga kaganapan at ang mga kahihinatnan ng mga pag-atake sa cyber; mga tagapangasiwa ng system; kawani ng SOC at CERT/CSIRT; kawani ng seguridad ng impormasyon.

Pangkalahatang-ideya ng Kurso

Inilalarawan ng Cyber ​​​​Kill Chain ang mga pangunahing yugto ng anumang teknikal na pag-atake sa mga computer (o computer network) ng biktima tulad ng sumusunod:

Ang mga aksyon ng mga empleyado ng SOC (CERT, seguridad ng impormasyon, atbp.) ay naglalayong pigilan ang mga nanghihimasok na ma-access ang mga protektadong mapagkukunan ng impormasyon.

Kung ang mga umaatake ay tumagos sa protektadong imprastraktura, dapat subukan ng mga nasa itaas na bawasan ang pinsala mula sa mga aktibidad ng mga umaatake, tukuyin kung paano isinagawa ang pag-atake, muling buuin ang mga kaganapan at pagkakasunud-sunod ng mga aksyon ng mga umaatake sa nakompromisong istraktura ng impormasyon, at gawin mga hakbang upang maiwasan ang ganitong uri ng pag-atake sa hinaharap.

Ang mga sumusunod na uri ng mga bakas ay matatagpuan sa isang nakompromisong imprastraktura ng impormasyon, na nagpapahiwatig na ang network (computer) ay nakompromiso:

Ang lahat ng naturang mga bakas ay matatagpuan gamit ang programang Belkasoft Evidence Center.

Ang BEC ay may "Insidente Investigation" module, kung saan, kapag sinusuri ang storage media, inilalagay ang impormasyon tungkol sa mga artifact na makakatulong sa mananaliksik kapag nag-iimbestiga ng mga insidente.

Sinusuportahan ng BEC ang pagsusuri sa mga pangunahing uri ng mga artifact ng Windows na nagpapahiwatig ng pagpapatupad ng mga executable na file sa system na sinisiyasat, kabilang ang Amcache, Userassist, Prefetch, BAM/DAM file, Timeline ng Windows 10,pagsusuri ng mga kaganapan sa system.

Ang impormasyon tungkol sa mga bakas na naglalaman ng impormasyon tungkol sa mga aksyon ng user sa isang nakompromisong system ay maaaring ipakita sa sumusunod na form:

Kasama sa impormasyong ito, bukod sa iba pang mga bagay, ang impormasyon tungkol sa pagpapatakbo ng mga executable na file:

Impormasyon tungkol sa pagpapatakbo ng file na 'RDPWInst.exe'.

Ang impormasyon tungkol sa presensya ng mga umaatake sa mga nakompromisong system ay makikita sa mga startup key ng Windows registry, mga serbisyo, naka-iskedyul na gawain, Logon script, WMI, atbp. Ang mga halimbawa ng pag-detect ng impormasyon tungkol sa mga attacker na naka-attach sa system ay makikita sa mga sumusunod na screenshot:

Pinipigilan ang mga umaatake gamit ang task scheduler sa pamamagitan ng paggawa ng gawain na nagpapatakbo ng PowerShell script.

Pinagsasama-sama ang mga umaatake gamit ang Windows Management Instrumentation (WMI).

Pinagsasama-sama ang mga umaatake gamit ang Logon script.

Maaaring matukoy ang paggalaw ng mga umaatake sa isang nakompromisong network ng computer, halimbawa, sa pamamagitan ng pagsusuri sa mga log ng Windows system (kung ginagamit ng mga umaatake ang serbisyo ng RDP).

Impormasyon tungkol sa mga nakitang RDP na koneksyon.

Impormasyon tungkol sa paggalaw ng mga umaatake sa buong network.

Kaya, makakatulong ang Belkasoft Evidence Center sa mga mananaliksik na matukoy ang mga nakompromisong computer sa isang inatakeng network ng computer, maghanap ng mga bakas ng paglulunsad ng malware, mga bakas ng pag-aayos sa system at paggalaw sa buong network, at iba pang bakas ng aktibidad ng attacker sa mga nakompromisong computer.

Kung paano magsagawa ng naturang pananaliksik at makita ang mga artifact na inilarawan sa itaas ay inilarawan sa kursong pagsasanay sa Pagsusuri sa Pagtugon sa Insidente ng Belkasoft.

Plano ng kurso:

• Mga uso sa cyberattack. Mga teknolohiya, tool, layunin ng mga umaatake
• Paggamit ng mga modelo ng pagbabanta upang maunawaan ang mga taktika, diskarte, at pamamaraan ng umaatake
• Cyber ​​​​kill chain
• Algoritmo ng pagtugon sa insidente: pagkilala, lokalisasyon, pagbuo ng mga tagapagpahiwatig, paghahanap ng mga bagong nahawaang node
• Pagsusuri ng mga sistema ng Windows gamit ang BEC
• Pagtukoy ng mga paraan ng pangunahing impeksiyon, pagkalat ng network, pagsasama-sama, at aktibidad ng network ng malware gamit ang BEC
• Kilalanin ang mga nahawaang sistema at ibalik ang kasaysayan ng impeksyon gamit ang BEC
• Praktikal na pagsasanay

FAQSaan gaganapin ang mga kurso?
Ang mga kurso ay gaganapin sa punong-tanggapan ng Group-IB o sa isang panlabas na site (training center). Posible para sa isang tagapagsanay na maglakbay sa mga site na may mga corporate na customer.

Sino ang nagsasagawa ng mga klase?
Ang mga tagapagsanay sa Group-IB ay mga practitioner na may maraming taon ng karanasan sa pagsasagawa ng forensic na pananaliksik, mga pagsisiyasat ng korporasyon at pagtugon sa mga insidente ng seguridad ng impormasyon.

Ang mga kwalipikasyon ng mga tagapagsanay ay kinumpirma ng maraming internasyonal na sertipiko: GCFA, MCFE, ACE, EnCE, atbp.

Ang aming mga tagapagsanay ay madaling makahanap ng isang karaniwang wika sa madla, malinaw na nagpapaliwanag kahit na ang pinakakumplikadong mga paksa. Ang mga mag-aaral ay matututo ng maraming may-katuturan at kawili-wiling impormasyon tungkol sa pagsisiyasat sa mga insidente sa computer, mga paraan ng pagtukoy at pagkontra sa mga pag-atake sa computer, at makakuha ng tunay na praktikal na kaalaman na maaari nilang magamit kaagad pagkatapos ng graduation.

Magbibigay ba ang mga kurso ng mga kapaki-pakinabang na kasanayan na hindi nauugnay sa mga produkto ng Belkasoft, o ang mga kasanayang ito ay hindi magagamit kung wala ang software na ito?
Ang mga kasanayang nakuha sa panahon ng pagsasanay ay magiging kapaki-pakinabang nang hindi gumagamit ng mga produkto ng Belkasoft.

Ano ang kasama sa paunang pagsubok?

Ang pangunahing pagsubok ay isang pagsubok ng kaalaman sa mga pangunahing kaalaman ng computer forensics. Walang mga plano na subukan ang kaalaman sa mga produkto ng Belkasoft at Group-IB.

Saan ako makakahanap ng impormasyon tungkol sa mga kursong pang-edukasyon ng kumpanya?

Bilang bahagi ng mga kursong pang-edukasyon, sinasanay ng Group-IB ang mga espesyalista sa pagtugon sa insidente, pananaliksik sa malware, mga espesyalista sa cyber intelligence (Threat Intelligence), mga espesyalista na magtrabaho sa Security Operation Center (SOC), mga espesyalista sa proactive threat hunting (Threat Hunter), atbp. . Available ang kumpletong listahan ng mga proprietary course mula sa Group-IB dito.

Anong mga bonus ang natatanggap ng mga mag-aaral na nakatapos ng magkasanib na mga kurso sa pagitan ng Group-IB at Belkasoft?
Ang mga nakatapos ng pagsasanay sa magkasanib na mga kurso sa pagitan ng Group-IB at Belkasoft ay makakatanggap ng:

1. sertipiko ng pagkumpleto ng kurso;
2. libreng buwanang subscription sa Belkasoft Evidence Center;
3. 10% na diskwento sa pagbili ng Belkasoft Evidence Center.

Ipinaaalala namin sa iyo na ang unang kurso ay magsisimula sa Lunes, 9 Septiyembre, - huwag palampasin ang pagkakataong makakuha ng natatanging kaalaman sa larangan ng seguridad ng impormasyon, computer forensics at pagtugon sa insidente! Pagpaparehistro para sa kurso dito.

pinagmumulanSa paghahanda ng artikulo, ginamit namin ang presentasyon ni Oleg Skulkin "Paggamit ng host-based na forensics upang makakuha ng mga indicator ng kompromiso para sa matagumpay na pagtugon sa insidente na hinimok ng intelligence."

Pinagmulan: www.habr.com