الخوارزميات والتكتيكات للاستجابة لحوادث أمن المعلومات ، والاتجاهات في الهجمات الإلكترونية الحالية ، وأساليب التحقيق في تسرب البيانات في الشركات ، والبحث في المستعرضات والأجهزة المحمولة ، وتحليل الملفات المشفرة ، واستخراج بيانات الموقع الجغرافي ، وتحليل كميات كبيرة من البيانات - يمكن استكشاف كل هذه المواضيع وغيرها من الموضوعات في مواضيع جديدة دورات Group-IB و Belkasoft المشتركة. في شهر أغسطس ،
أعلنا عن أول دورة تدريبية في الطب الشرعي في Belkasoft ، والتي تبدأ في 9 سبتمبر ، وبعد تلقي عدد كبير من الأسئلة ، قررنا التحدث بمزيد من التفاصيل حول ما سيتعلمه الطلاب ، وما هي المعرفة والكفاءات والعلاوات (!) التي سيتلقاها أولئك الذين يصلون إلى النهاية . أول الأشياء أولاً.
اثنان الكل في واحد
ظهرت فكرة إجراء دورات تدريبية مشتركة بعد أن بدأ طلاب دورات Group-IB يسألون عن أداة من شأنها مساعدتهم في دراسة أنظمة وشبكات الكمبيوتر المعرضة للخطر ، والجمع بين وظائف مختلف المرافق المجانية التي نوصي باستخدامها عند الاستجابة للحوادث .
في رأينا ، يمكن أن تكون مثل هذه الأداة مركز أدلة Belkasoft (لقد تحدثنا بالفعل عن ذلك في
مقالة كتبها إيغور ميخائيلوف ، "مفتاح البداية: أفضل البرامج والأجهزة لجهاز الكمبيوتر الجنائي"). لذلك ، قمنا بالتعاون مع Belkasoft بتطوير دورتين تدريبيتين:
Belkasoft Digital Forensics و
Belkasoft Test Response Response Response .
هام: الدورات متسقة ومترابطة! Belkasoft Digital Forensics مخصص لـ Belkasoft Evidence Center ، ويقوم Belkasoft Exposition Response Examination بفحص الحوادث باستخدام منتجات Belkasoft. وهذا هو ، قبل اتخاذ دورة امتحان الاستجابة لحوادث Belkasoft ، نوصي بشدة أن تأخذ دورة Belkasoft Digital Forensics. إذا بدأت فورًا بدورة تدريبية حول التحقيق في الحوادث ، فقد يواجه المستمع فجوات مزعجة في المعرفة حول استخدام Belkasoft Evidence Center ، والبحث عن القطع الأثرية والبحث عنها. يمكن أن يؤدي ذلك إلى حقيقة أنه أثناء التدريب على دورة اختبار حادثة Belkasoft ، لن يكون للطالب إما الوقت الكافي لإتقان المادة ، أو سيمنع بقية المجموعة في اكتساب معرفة جديدة ، لأن المدرب سيقضي الوقت في شرح المادة من دورة Belkasoft Digital Forensics.
الطب الشرعي الكمبيوتر مع مركز الأدلة Belkasoft
الغرض من دورة
Belkasoft Digital Forensics هو تعريف الطلاب ببرنامج Belkasoft Evidence Center ، وتعليمهم كيفية استخدام هذا البرنامج لجمع الأدلة من مصادر مختلفة (التخزين السحابي ، ذاكرة الوصول العشوائي (RAM) ، الأجهزة المحمولة ، وسائط التخزين (محركات الأقراص الصلبة ، محركات أقراص فلاش ، إلخ.) وما إلى ذلك) ، لإتقان أساليب وتقنيات الطب الشرعي الأساسية ، وتقنيات الطب الشرعي للتحقيق في قطع أثرية من Windows ، والأجهزة المحمولة ، ومكبات ذاكرة الوصول العشوائي .كما ستتعلم أيضًا كيفية تحديد وتوثيق التحف الفنية للمتصفحات وبرامج التبادل على الفور. الرسائل ، وإنشاء نسخ الطب الشرعي للبيانات من مصادر مختلفة ، واستعادة بيانات تحديد الموقع الجغرافي والبحث عن تسلسلات نصية (البحث عن الكلمات الرئيسية) ، واستخدام التجزئة عند إجراء البحوث ، وتحليل سجل ويندوز ، وإتقان مهارات البحث في قواعد بيانات SQLite غير معروفة ، وأساسيات البحث الرسومية و ملفات الفيديو والتقنيات التحليلية المستخدمة أثناء التحقيقات.
سوف تكون الدورة مفيدة للخبراء المتخصصين في مجال الخبرة الفنية الحاسوبية (خبرة الكمبيوتر) ؛ يحلل الفنيون الذين يحددون أسباب الغزو الناجح سلسلة الأحداث ونتائج الهجمات الإلكترونية ؛ المتخصصون الفنيون الذين يحددون ويوثقون سرقة (تسرب) البيانات من قِبل شخص من الداخل (منتهك داخلي) ؛ المتخصصون في الاكتشاف الإلكتروني موظفو شركة SOC و CERT / CSIRT ؛ ضباط أمن المعلومات ؛ هواة الطب الشرعي الكمبيوتر.
خطة الدورة:- مركز أدلة Belkasoft (BEC): الخطوات الأولى
- إنشاء ومعالجة الحالات في BEC
- جمع الأدلة الجنائية مع BEC
- باستخدام المرشحات
- إنشاء التقارير
- البحث في برامج المراسلة الفورية
- البحوث المتنقلة
- استعادة بيانات الموقع الجغرافي
- البحث عن تسلسل النص في الحالات
- استخراج وتحليل البيانات من التخزين السحابي
- استخدام الإشارات المرجعية لتسليط الضوء على الأدلة الهامة التي عثر عليها أثناء الدراسة
- استكشاف ملفات نظام ويندوز
- تحليل سجل ويندوز
- سكليتي تحليل قاعدة البيانات
- طرق استعادة البيانات
- طرق البحث في مقالب ذاكرة الوصول العشوائي
- باستخدام حاسبة التجزئة وتحليل التجزئة في البحوث الجنائية
- تحليل الملفات المشفرة
- طرق البحث لملفات الرسومات والفيديو
- استخدام التقنيات التحليلية في أبحاث الطب الشرعي
- أتمتة الإجراءات الروتينية باستخدام لغة البرمجة المضمنة في Belkascripts
الدورة: امتحان الاستجابة لحوادث Belkasoft
الغرض من الدورة هو دراسة أساسيات التحقيق الجنائي للهجمات الإلكترونية وإمكانيات استخدام Belkasoft Evidence Center في التحقيق. سوف تتعرف على العوامل الرئيسية للهجمات الحديثة على شبكات الكمبيوتر ، وتعلم تصنيف هجمات الكمبيوتر بناءً على مصفوفة MITER ATT & CK ، وتطبيق خوارزميات البحث في نظام التشغيل لإثبات حقيقة التسوية وإعادة بناء إجراءات المهاجمين ، ومعرفة مكان وجود القطع الأثرية التي تشير إلى الملفات التي تم فتحها مؤخرًا ، حيث يخزن نظام التشغيل معلومات حول تنزيل الملفات القابلة للتنفيذ وتشغيلها ، وكيفية تحرك المهاجمين عبر الشبكة ، ومعرفة كيفية استكشاف هذه القطع الأثرية باستخدام BE C. سوف تتعرف أيضًا على الأحداث الموجودة في سجلات النظام والتي تهمك فيما يتعلق بالتحقيق في الحوادث وتحديد حقيقة الوصول عن بُعد ومعرفة كيفية التحقيق فيها باستخدام BEC.
ستكون الدورة مفيدة للمتخصصين الفنيين الذين يحددون أسباب الغزو الناجح ، وتحليل سلسلة الأحداث ونتائج الهجمات الإلكترونية ؛ مسؤولي النظام موظفو شركة SOC و CERT / CSIRT ؛ ضباط أمن المعلومات.
نظرة عامة على الدورة
يصف Cyber Kill Chain المراحل الرئيسية لأي هجوم فني على أجهزة الكمبيوتر الخاصة بالضحية (أو شبكة الكمبيوتر) على النحو التالي:
تهدف إجراءات موظفي شركة نفط الجنوب (CERT ، أمن المعلومات ، إلخ) إلى منع المتسللين من تأمين موارد المعلومات.
إذا اخترق المهاجمون البنية التحتية المحمية ، فيجب على الأشخاص المذكورين أعلاه أن يحاولوا تقليل الضرر الناجم عن نشاط المهاجمين ، وتحديد كيفية تنفيذ الهجوم ، وإعادة بناء أحداث وتسلسل المهاجمين في بنية المعلومات التي تم اختراقها واتخاذ التدابير اللازمة لمنع هذا النوع من الهجوم في المستقبل.
في البنية التحتية للمعلومات المعرضة للخطر ، يمكن العثور على الأنواع التالية من الآثار التي تشير إلى وجود شبكة مخترقة (كمبيوتر):
كل هذه المسارات يمكن العثور عليها باستخدام مركز أدلة Belkasoft.
لدى BEC وحدة فحص الحوادث ، والتي عند تحليل وسائط التخزين ، تحتوي على معلومات حول القطع الأثرية التي يمكن أن تساعد الباحث على التحقيق في الحوادث.
تدعم BEC دراسة الأنواع الرئيسية لمصنوعات Windows التي تشير إلى إطلاق الملفات القابلة للتنفيذ في النظام قيد الدراسة ، بما في ذلك Amcache و Userassist و Prefetch و BAM / DAM وملفات
Windows 10 Timeline وتحليل أحداث النظام.
يمكن تقديم معلومات حول التتبعات التي تحتوي على معلومات حول تصرفات المستخدم في نظام معرض للخطر على النحو التالي:
تتضمن هذه المعلومات ، بما في ذلك ، معلومات حول تشغيل الملفات القابلة للتنفيذ:
معلومات حول بدء تشغيل الملف 'RDPWInst.exe'.يمكن العثور على معلومات حول إصلاح المهاجمين في الأنظمة المعرضة للخطر في مفاتيح بدء تشغيل سجل Windows والخدمات والمهام المجدولة ونصوص تسجيل الدخول و WMI وما إلى ذلك. يمكن الاطلاع على أمثلة للكشف عن معلومات حول الإصلاح في نظام المهاجمين في لقطات الشاشة التالية:
تأمين المهاجمين باستخدام برنامج جدولة المهام عن طريق إنشاء مهمة تقوم بتشغيل برنامج PowerShell النصي.تأمين المهاجمين باستخدام Windows Management Instrumentation (WMI).تأمين المهاجمين باستخدام برنامج نصي لتسجيل الدخول.يمكن اكتشاف حركة المهاجمين عبر شبكة كمبيوتر مخترقة ، على سبيل المثال ، من خلال تحليل سجلات نظام Windows (عندما يستخدم المهاجمون خدمة RDP).
معلومات حول الكشف عن اتصالات RDP.معلومات حول حركة المهاجمين عبر الشبكة.وبالتالي ، فإن مركز أدلة Belkasoft قادر على مساعدة الباحثين في التعرف على أجهزة الكمبيوتر المعرضة للخطر في شبكة الكمبيوتر التي تمت مهاجمتها ، والعثور على آثار عمليات إطلاق البرامج الضارة ، وآثار الارتباط بالنظام والحركة عبر الشبكة ، وغيرها من آثار مهاجمة أجهزة الكمبيوتر التي تم اختراقها.
يتم وصف كيفية إجراء مثل هذه الدراسات والكشف عن القطع الأثرية الموضحة أعلاه في الدورة التدريبية في امتحان الاستجابة لحوادث Belkasoft.
خطة الدورة:- الاتجاهات في الهجمات الإلكترونية. التقنيات والأدوات وأهداف المهاجمين
- استخدام نماذج التهديد لفهم التكتيكات والأساليب والإجراءات الهجومية
- سايبر سلسلة القتل
- خوارزمية الاستجابة للحوادث: التحديد ، التعريب ، تكوين المؤشرات ، البحث عن العقد المصابة الجديدة
- تحليل نظام ويندوز مع BEC
- تحديد طرق العدوى الأولية ، والانتشار عبر الشبكة ، وتحديد نشاط الشبكة من البرامج الضارة باستخدام BEC
- تحديد النظم المصابة واستعادة تاريخ الإصابة باستخدام BEC
- تمارين عملية
التعليماتأين تعقد الدورات؟تعقد الدورات في مقر Group-IB أو في مكان خارجي (مركز تدريب). يمكن للمدرب الذهاب إلى الموقع للعملاء من الشركات.
من يدير الفصول؟المدربون في Group-IB هم ممارسون يتمتعون بخبرة طويلة في إجراء تحقيقات الطب الشرعي وتحقيقات الشركات والاستجابة لحوادث أمن المعلومات.
تم تأكيد تأهيل المدربين من خلال العديد من الشهادات الدولية: GCFA ، MCFE ، ACE ، EnCE ، إلخ.
يجد المدربون لدينا بسهولة لغة مشتركة مع الجمهور ، يشرحون حتى أكثر الموضوعات تعقيدًا. يتعلم الطلاب الكثير من المعلومات ذات الصلة والمثيرة للاهتمام حول التحقيق في حوادث الكمبيوتر ، وطرق الكشف عن هجمات الكمبيوتر ومواجهتها ، واكتساب معرفة عملية حقيقية يمكن تطبيقها فور التخرج.
هل ستوفر الدورات التدريبية مهارات مفيدة لا تتعلق بمنتجات Belkasoft ، أم بدون هذه البرامج ، لن تكون هذه المهارات قابلة للتطبيق؟ستكون المهارات المكتسبة خلال التدريب مفيدة دون استخدام منتجات Belkasoft.
ما هو مدرج في الاختبار الأولي؟
الاختبار الأساسي هو اختبار لمعرفة أساسيات الطب الشرعي للكمبيوتر. لا يوجد اختبار معرفة لمنتجات Belkasoft و Group-IB.
أين يمكنني العثور على معلومات حول الدورات التعليمية للشركة؟
كجزء من الدورات التدريبية ، تقوم Group-IB بتدريب المتخصصين في الاستجابة للحوادث ، وأبحاث البرمجيات الضارة ، والمتخصصين في الاستخبارات السيبرانية (Threat Intelligence) ، والمتخصصين في مركز العمليات الأمنية (SOC) ، والمتخصصين في البحث الاستباقي عن التهديدات (Threat Hunter) ، إلخ. . قائمة كاملة من دورات حقوق التأليف والنشر من Group-IB متاحة
هنا .
ما هي المكافآت التي يحصل عليها الطلاب الذين أكملوا دورات Group-IB و Belkasoft المشتركة؟سيتلقى المتدربون في دورات Group-IB و Belkasoft المشتركة:
- شهادة الاكتمال
- اشتراك شهري مجاني في مركز أدلة Belkasoft ؛
- خصم 10 ٪ على مركز أدلة Belkasoft.
نذكرك أن الدورة الأولى تبدأ يوم الاثنين
9 سبتمبر ، - لا تفوت فرصة الحصول على معرفة فريدة في مجال أمن المعلومات ، والطب الشرعي للكمبيوتر والاستجابة للحوادث! التسجيل للدورة
هنا .
مصادرفي إعداد المقال ، تم استخدام العرض التقديمي المقدم من Oleg Skulkin بعنوان "استخدام الطب الشرعي المستند إلى المضيف للحصول على مؤشرات حل وسط للاستجابة الناجحة للاستجابة للحوادث".