Các khóa học chung giữa Group-IB và Belkasoft: chúng tôi sẽ dạy gì và ai sẽ tham dự

Các thuật toán và chiến thuật để ứng phó với các sự cố bảo mật thông tin, xu hướng tấn công mạng hiện nay, các phương pháp điều tra rò rỉ dữ liệu trong các công ty, nghiên cứu trình duyệt và thiết bị di động, phân tích các tệp được mã hóa, trích xuất dữ liệu vị trí địa lý và phân tích khối lượng dữ liệu lớn - tất cả những chủ đề này và các chủ đề khác đều có thể được học các khóa học chung mới của Group-IB và Belkasoft. Vào tháng XNUMX chúng tôi công bố Khóa học Pháp y kỹ thuật số Belkasoft đầu tiên, bắt đầu vào ngày 9 tháng XNUMX và sau khi nhận được một số lượng lớn câu hỏi, chúng tôi quyết định thông báo chi tiết hơn về những gì học sinh sẽ học, những kiến ​​thức, năng lực và tiền thưởng (!) nào mà những học sinh đó sẽ nhận được người đi đến cuối cùng. Về mọi thứ theo thứ tự.

Hai tất cả trong một

Ý tưởng tổ chức các khóa đào tạo chung xuất hiện sau khi những người tham gia khóa học Group-IB bắt đầu hỏi về một công cụ có thể giúp họ điều tra các hệ thống và mạng máy tính bị xâm nhập, đồng thời kết hợp chức năng của nhiều tiện ích miễn phí khác nhau mà chúng tôi đề xuất sử dụng trong quá trình ứng phó sự cố.

Theo ý kiến ​​của chúng tôi, Trung tâm Chứng cứ Belkasoft có thể là một công cụ như vậy (chúng tôi đã nói về nó trong Bài viết Igor Mikhailov "Chìa khóa để bắt đầu: phần mềm và phần cứng tốt nhất cho pháp y máy tính"). Vì vậy, chúng tôi cùng với Belkasoft đã phát triển hai khóa đào tạo: Pháp y kỹ thuật số Belkasoft и Kiểm tra ứng phó sự cố Belkasoft.

QUAN TRỌNG: các khóa học diễn ra tuần tự và liên kết với nhau! Điều tra kỹ thuật số Belkasoft được dành riêng cho chương trình Trung tâm Chứng cứ Belkasoft và Kiểm tra ứng phó sự cố Belkasoft được dành riêng cho việc điều tra sự cố bằng cách sử dụng các sản phẩm của Belkasoft. Nghĩa là, trước khi học khóa Kiểm tra ứng phó sự cố Belkasoft, chúng tôi thực sự khuyên bạn nên hoàn thành khóa học Pháp y kỹ thuật số Belkasoft. Nếu bạn bắt đầu ngay với khóa học điều tra sự cố, học viên có thể có những lỗ hổng kiến ​​thức khó chịu trong việc sử dụng Trung tâm Bằng chứng Belkasoft, tìm kiếm và nghiên cứu các hiện vật pháp y. Điều này có thể dẫn đến thực tế là trong khóa học Kiểm tra ứng phó sự cố Belkasoft, học viên sẽ không có thời gian để nắm vững tài liệu hoặc sẽ làm chậm quá trình tiếp thu kiến ​​​​thức mới của những người còn lại trong nhóm, vì thời gian đào tạo sẽ được dành cho học viên. huấn luyện viên giải thích tài liệu từ khóa học Pháp y kỹ thuật số Belkasoft.

Pháp y máy tính với Trung tâm chứng cứ Belkasoft

Mục đích của khóa học Pháp y kỹ thuật số Belkasoft — để giới thiệu cho sinh viên về chương trình Trung tâm Chứng cứ Belkasoft, dạy họ cách sử dụng chương trình này để thu thập bằng chứng từ nhiều nguồn khác nhau (lưu trữ đám mây, bộ nhớ truy cập ngẫu nhiên (RAM), thiết bị di động, phương tiện lưu trữ (ổ cứng, ổ flash, v.v.) , nắm vững các kỹ thuật và kỹ thuật pháp y cơ bản, các phương pháp điều tra pháp y đối với các tạo phẩm Windows, thiết bị di động, kết xuất bộ nhớ. Bạn cũng sẽ tìm hiểu cách xác định và ghi lại các tạo phẩm của trình duyệt và tin nhắn tức thời, tạo bản sao dữ liệu pháp lý từ nhiều nguồn khác nhau, trích xuất dữ liệu vị trí địa lý và tìm kiếm đối với chuỗi văn bản (tìm kiếm theo từ khóa), sử dụng hàm băm trong nghiên cứu, phân tích sổ đăng ký Windows, tìm hiểu các kỹ năng nghiên cứu cơ sở dữ liệu SQLite chưa biết, kiến ​​thức cơ bản về nghiên cứu tệp đồ họa và video cũng như các kỹ thuật phân tích được sử dụng trong quá trình điều tra.

Khóa học sẽ hữu ích cho các chuyên gia có chuyên môn trong lĩnh vực chuyên môn kỹ thuật máy tính (chuyên môn máy tính); chuyên gia kỹ thuật xác định lý do xâm nhập thành công, phân tích chuỗi sự kiện và hậu quả của các cuộc tấn công mạng; chuyên gia kỹ thuật xác định và ghi lại hành vi trộm cắp dữ liệu (rò rỉ) bởi người trong cuộc (người phạm tội nội bộ); chuyên gia khám phá điện tử; nhân viên SOC và CERT/CSIRT; cán bộ an toàn thông tin; những người đam mê pháp y máy tính.

Kế hoạch khóa học:

• Trung tâm chứng cứ Belkasoft (BEC): những bước đầu tiên
• Tạo và xử lý các trường hợp trong BEC
• Thu thập bằng chứng kỹ thuật số trong cuộc điều tra pháp y với BEC

• Sử dụng bộ lọc
• Báo cáo
• Khám phá các chương trình nhắn tin tức thời

• Nghiên cứu trình duyệt web

• Nghiên cứu di động
• Trích xuất dữ liệu định vị địa lý

• Tìm kiếm chuỗi văn bản trong các trường hợp
• Trích xuất và phân tích dữ liệu từ kho lưu trữ đám mây
• Sử dụng dấu trang để làm nổi bật bằng chứng quan trọng được tìm thấy trong quá trình nghiên cứu
• Kiểm tra tập tin hệ thống Windows

• Phân tích sổ đăng ký Windows
• Phân tích cơ sở dữ liệu SQLite

• Phương pháp khôi phục dữ liệu
• Kỹ thuật kiểm tra kết xuất RAM
• Sử dụng máy tính hàm băm và phân tích hàm băm trong điều tra pháp y
• Phân tích các tập tin được mã hóa
• Phương pháp nghiên cứu file đồ họa và video
• Việc sử dụng các kỹ thuật phân tích trong nghiên cứu pháp y
• Tự động hóa các hoạt động thường ngày bằng ngôn ngữ lập trình tích hợp Belkascripts

• Bài tập thực hành

Khóa học: Kiểm tra ứng phó sự cố Belkasoft

Mục đích của khóa học là tìm hiểu những kiến ​​thức cơ bản về điều tra pháp y về các cuộc tấn công mạng và khả năng sử dụng Trung tâm Bằng chứng Belkasoft trong cuộc điều tra. Bạn sẽ tìm hiểu về các vectơ chính của các cuộc tấn công hiện đại vào mạng máy tính, tìm hiểu cách phân loại các cuộc tấn công máy tính dựa trên ma trận MITER ATT & CK, áp dụng các thuật toán nghiên cứu hệ điều hành để thiết lập thực tế về sự thỏa hiệp và tái cấu trúc hành động của những kẻ tấn công, tìm ra nơi các tạo phẩm được định vị cho biết tệp nào được mở lần cuối, nơi hệ điều hành lưu trữ thông tin về việc tải và chạy các tệp thực thi, cách kẻ tấn công di chuyển khắp mạng và tìm hiểu cách khám phá các tạo phẩm này bằng BEC. Bạn cũng sẽ tìm hiểu những sự kiện nhật ký hệ thống nào cần được điều tra sự cố và xác định quyền truy cập từ xa cũng như tìm hiểu cách điều tra chúng bằng BEC.

Khóa học sẽ hữu ích cho các chuyên gia kỹ thuật xác định nguyên nhân xâm nhập thành công, phân tích chuỗi sự kiện và hậu quả của các cuộc tấn công mạng; quản trị viên hệ thống; nhân viên SOC và CERT/CSIRT; nhân viên an toàn thông tin.

Tổng quan về nhiên

Cyber ​​Kill Chain mô tả các giai đoạn chính của bất kỳ cuộc tấn công kỹ thuật nào vào máy tính (hoặc mạng máy tính) của nạn nhân như sau:

Hành động của nhân viên SOC (CERT, bảo mật thông tin, v.v.) nhằm mục đích ngăn chặn những kẻ xâm nhập truy cập vào tài nguyên thông tin được bảo vệ.

Tuy nhiên, nếu những kẻ xâm nhập đã xâm nhập vào cơ sở hạ tầng được bảo vệ thì những người trên nên cố gắng giảm thiểu thiệt hại từ hoạt động của những kẻ tấn công, xác định cách thức cuộc tấn công được thực hiện, tái tạo lại các sự kiện và chuỗi hành động của những kẻ tấn công trong cấu trúc thông tin bị xâm phạm và thực hiện các biện pháp để ngăn chặn loại tấn công này trong tương lai.

Trong cơ sở hạ tầng thông tin bị xâm phạm, có thể tìm thấy các loại dấu vết sau cho thấy sự xâm phạm mạng (máy tính):

Tất cả các dấu vết như vậy có thể được tìm thấy bằng cách sử dụng Trung tâm Bằng chứng Belkasoft.

BEC có mô-đun "Điều tra sự cố", trong đó, khi phân tích phương tiện lưu trữ, thông tin về các hiện vật được đặt có thể giúp nhà nghiên cứu điều tra sự cố.

BEC hỗ trợ kiểm tra các loại tạo phẩm Windows chính cho biết việc khởi chạy các tệp thực thi trên hệ thống đang được điều tra, bao gồm Amcache, Userassist, Prefetch, BAM/DAM, Dòng thời gian Windows 10, phân tích các sự kiện của hệ thống.

Thông tin về dấu vết chứa thông tin về hành động của người dùng trong hệ thống bị xâm nhập có thể được trình bày dưới dạng sau:

Thông tin này, cùng với những thông tin khác, bao gồm thông tin về việc khởi chạy các tệp thực thi:

Thông tin về việc chạy tệp 'RDPWInst.exe'.

Thông tin về những kẻ tấn công lưu trú trên các hệ thống bị xâm nhập có thể được tìm thấy trong các khóa khởi động sổ đăng ký Windows, dịch vụ, tác vụ đã lên lịch, tập lệnh Đăng nhập, WMI, v.v. Có thể xem ví dụ về việc phát hiện thông tin ghim trong hệ thống của kẻ tấn công trong các ảnh chụp màn hình sau:

Ghim những kẻ tấn công bằng cách sử dụng bộ lập lịch tác vụ bằng cách tạo một tác vụ chạy tập lệnh PowerShell.

Khắc phục những kẻ tấn công bằng Công cụ quản lý Windows (WMI).

Ghim những kẻ tấn công bằng tập lệnh Đăng nhập.

Ví dụ: có thể phát hiện chuyển động của những kẻ tấn công trên mạng máy tính bị xâm nhập bằng cách phân tích nhật ký hệ thống Windows (khi kẻ tấn công sử dụng dịch vụ RDP).

Thông tin về các kết nối RDP được phát hiện.

Thông tin về sự di chuyển của kẻ tấn công qua mạng.

Do đó, Trung tâm Bằng chứng Belkasoft có thể giúp các nhà nghiên cứu xác định các máy tính bị xâm nhập trong mạng máy tính bị tấn công, tìm dấu vết khởi chạy phần mềm độc hại, dấu vết sửa lỗi trong hệ thống và di chuyển khắp mạng cũng như các dấu vết khác về hoạt động của kẻ tấn công trên các máy tính bị xâm nhập.

Cách tiến hành các nghiên cứu như vậy và phát hiện các hiện vật được mô tả ở trên được mô tả trong khóa đào tạo Kiểm tra ứng phó sự cố của Belkasoft.

Kế hoạch khóa học:

• Xu hướng tấn công mạng. Công nghệ, công cụ, mục tiêu của kẻ tấn công
• Sử dụng các mô hình mối đe dọa để hiểu chiến thuật, kỹ thuật và quy trình của kẻ tấn công
• Chuỗi tiêu diệt mạng
• Thuật toán ứng phó sự cố: nhận dạng, bản địa hóa, tạo chỉ báo, tìm kiếm các nút bị nhiễm mới
• Phân tích hệ thống Windows với BEC
• Xác định các phương thức lây nhiễm chính, lan truyền mạng, tồn tại, hoạt động mạng của phần mềm độc hại bằng BEC
• Xác định hệ thống bị nhiễm và khôi phục lịch sử lây nhiễm bằng BEC
• Bài tập thực hành

Câu Hỏi Thường GặpCác khóa học được tổ chức ở đâu?
Các khóa học được tổ chức tại trụ sở chính của Group-IB hoặc tại một địa điểm bên ngoài (tại trung tâm đào tạo). Việc khởi hành của huấn luyện viên trên nền tảng cho khách hàng doanh nghiệp là có thể.

Ai điều hành các lớp học?
Giảng viên tại Group-IB là những học viên có nhiều năm kinh nghiệm trong lĩnh vực điều tra pháp y, điều tra doanh nghiệp và ứng phó sự cố an toàn thông tin.

Trình độ chuyên môn của giảng viên được khẳng định bằng nhiều chứng chỉ quốc tế: GCFA, MCFE, ACE, EnCE, v.v.

Giảng viên của chúng tôi dễ dàng tìm thấy ngôn ngữ chung với khán giả, giải thích ngay cả những chủ đề phức tạp nhất một cách dễ hiểu. Sinh viên sẽ được học nhiều thông tin liên quan và thú vị về điều tra sự cố máy tính, phương pháp phát hiện và chống lại các cuộc tấn công máy tính, tiếp nhận những kiến ​​thức thực tế thực tế có thể áp dụng ngay sau khi tốt nghiệp.

Các khóa học sẽ cung cấp những kỹ năng hữu ích không liên quan đến sản phẩm Belkasoft hay những kỹ năng này sẽ không thể áp dụng được nếu không có phần mềm này?
Các kỹ năng có được trong quá trình đào tạo sẽ hữu ích ngay cả khi không sử dụng các sản phẩm của Belkasoft.

Những gì được bao gồm trong thử nghiệm ban đầu?

Kiểm tra sơ cấp là kiểm tra kiến ​​thức cơ bản về pháp y máy tính. Việc kiểm tra kiến ​​thức về các sản phẩm Belkasoft và Group-IB không được lên kế hoạch.

Tôi có thể tìm thông tin về các khóa học đào tạo của công ty ở đâu?

Trong khuôn khổ các khóa học giáo dục, Group-IB đào tạo các chuyên gia về ứng phó sự cố, nghiên cứu phần mềm độc hại, chuyên gia tình báo mạng (Threat Intelligence), chuyên gia làm việc tại Trung tâm điều hành bảo mật (SOC), chuyên gia tìm kiếm mối đe dọa chủ động (Threat Hunter), v.v. . Có sẵn danh sách đầy đủ các khóa học của tác giả từ Group-IB đây.

Học viên hoàn thành các khóa học chung của Group-IB và Belkasoft nhận được những phần thưởng gì?
Những người hoàn thành khóa học chung của Group-IB và Belkasoft sẽ nhận được:

1. chứng chỉ hoàn thành khóa học;
2. đăng ký miễn phí hàng tháng cho Trung tâm Chứng cứ Belkasoft;
3. Giảm giá 10% khi mua Trung tâm Chứng cứ Belkasoft.

Chúng tôi xin nhắc bạn rằng khóa học đầu tiên bắt đầu vào thứ Hai, 9 tháng chín, — đừng bỏ lỡ cơ hội có được kiến ​​thức độc đáo trong lĩnh vực bảo mật thông tin, pháp y máy tính và ứng phó sự cố! Đăng ký khóa học đây.

nguồnKhi chuẩn bị bài viết, bài trình bày của Oleg Skulkin "Sử dụng pháp y dựa trên máy chủ để có được các chỉ số về sự thỏa hiệp nhằm ứng phó thành công sự cố dựa trên trí thông minh" đã được sử dụng.

Nguồn: www.habr.com