应对信息安全事件,当前网络攻击趋势,研究公司数据泄漏,研究浏览器和移动设备,分析加密文件,提取地理位置数据并分析大量数据的方法和策略-可以在新主题上探讨所有这些主题和其他主题IB组和Belkasoft联合课程。 8月,我们
宣布了首个Belkasoft数字取证课程,该课程将于9月9日开始,在收到大量问题后,我们决定更详细地讨论学生将学到什么,知识,能力和奖金(!)。 。 首先是第一件事。
二合一
组IB课程的学生开始询问可以帮助他们研究受感染的计算机系统和网络的工具,并结合了我们建议在应对事件时使用的各种免费实用程序的功能之后,进行联合培训课程的想法就出现了。 。
我们认为,这样的工具可能是Belkasoft证据中心(我们已经在Igor Mikhailov的
文章 “开始的关键:计算机取证的最佳软件和硬件”中对此进行了
讨论 )。 因此,我们与Belkasoft一起开发了两个培训课程:
Belkasoft Digital Forensics和
Belkasoft事件响应考试 。
重要提示:课程是一致且相互联系的! Belkasoft Digital Forensics致力于Belkasoft证据中心,而Belkasoft事件响应考试正在调查使用Belkasoft产品的事件。 也就是说,在参加Belkasoft事件响应考试课程之前,我们强烈建议您参加Belkasoft数字取证课程。 如果您立即开始进行事件调查课程,那么在使用Belkasoft证据中心,查找和研究法医文物时,听众可能会感到不幸的知识空白。 这可能导致这样的事实,即在Belkasoft事件响应考试课程的培训期间,学生将没有时间掌握材料,或者会阻止其他人学习新知识,因为培训师将花费培训时间来解释Belkasoft数字取证课程中的材料。
Belkasoft证据中心提供的计算机取证
Belkasoft数字取证课程的目的是使学生熟悉Belkasoft证据中心计划,教他们如何使用该计划从各种来源(云存储,随机存取存储器(RAM),移动设备,存储介质(硬盘,闪存驱动器等))收集证据。等),以掌握基本的取证技术和技巧,调查Windows工件,移动设备,RAM转储的取证技术。您还将学习识别和记录浏览器的工件并立即进行程序交换 消息,从各种来源创建数据的取证副本,检索地理位置数据并搜索文本序列(关键字搜索),进行研究时使用哈希,分析Windows注册表,掌握研究未知SQLite数据库的技能,研究图形和数据库的基础知识调查期间使用的视频文件和分析技术。
本课程将对计算机技术专长(计算机专长)领域的专家有所帮助; 确定成功入侵原因的技术人员会分析事件链和网络攻击的后果; 识别并记录内部人员(内部违规者)盗窃(泄漏)数据的技术专家; 电子发现专家; SOC和CERT / CSIRT员工; 信息安全官员; 计算机取证爱好者。
课程计划:- Belkasoft证据中心(BEC):第一步
- 在BEC中创建和处理案例
- BEC的取证证据
- 在情况下搜索文本序列
- 从云存储中提取和分析数据
- 使用书签突出显示研究期间发现的重要证据
- 浏览Windows系统文件
- 数据恢复方法
- 随机存取存储器转储的研究方法
- 在法证研究中使用哈希计算器和哈希分析
- 加密文件分析
- 图形和视频文件的研究方法
- 分析技术在法医研究中的使用
- 使用Belkascripts内置编程语言自动执行常规操作
课程:Belkasoft事件响应考试
本课程的目的是研究网络攻击法医调查的基础知识,以及在调查中使用Belkasoft证据中心的可能性。 您将了解计算机网络上现代攻击的主要媒介,学习基于MITER ATT&CK矩阵对计算机攻击进行分类,应用操作系统研究算法来确定危害的事实并重建攻击者的行动,找出指示最后打开哪些文件的工件在哪里。 ,其中操作系统存储有关下载和运行可执行文件,攻击者如何在网络上移动以及了解如何使用BE探索这些工件的信息。 C. 您还将了解在调查事件和确定远程访问的事实方面,系统日志中哪些事件是您感兴趣的,并学习如何使用BEC进行调查。
该课程对确定成功入侵原因,分析事件链和网络攻击后果的技术专家很有用; 系统管理员; SOC和CERT / CSIRT员工; 信息安全人员。
课程概述
网络杀伤链描述了对受害者计算机(或计算机网络)进行任何技术攻击的主要阶段,如下所示:
SOC员工的行为(CERT,信息安全等)旨在防止入侵者保护信息资源。
如果攻击者仍然侵入受保护的基础架构,则上述人员应尽量减少攻击者活动造成的损害,确定攻击的方式,在受到破坏的信息结构中重建攻击者的事件和顺序,并采取措施防止将来发生此类攻击。
在受到破坏的信息基础结构中,可以找到以下类型的跟踪,表明受到破坏的网络(计算机):
所有此类曲目均可在Belkasoft证据中心找到。
BEC具有事件调查模块,当分析存储介质时,该模块包含有关工件的信息,可以帮助研究人员调查事件。
BEC支持研究Windows工件的主要类型,这些工件指示了正在研究的系统中可执行文件的启动,包括Amcache,Userassist,Prefetch,BAM / DAM,
Windows 10时间线文件以及系统事件分析。
包含以下信息的跟踪信息可以包含有关受感染系统中用户操作的信息:
此信息包括有关运行可执行文件的信息:
有关启动文件“ RDPWInst.exe”的信息。可在Windows注册表启动键,服务,计划的任务,登录脚本,WMI等中找到有关在受感染系统中修复攻击者的信息。 以下屏幕快照中提供了有关检测攻击者系统中的修复信息的示例:
通过创建启动PowerShell脚本的任务,使用任务计划程序保护攻击者的安全。使用Windows Management Instrumentation(WMI)保护攻击者的安全。使用登录脚本保护攻击者的安全。例如,可以通过分析Windows系统日志(当攻击者使用RDP服务时)来检测攻击者在受感染计算机网络上的移动。
有关检测到的RDP连接的信息。有关攻击者在网络上移动的信息。因此,Belkasoft证据中心可以帮助研究人员识别受攻击的计算机网络中的受感染计算机,查找恶意软件启动的痕迹,与系统的连接以及网络中的移动的痕迹以及其他受到入侵的计算机的痕迹。
Belkasoft事件响应测试培训课程中介绍了如何进行此类研究和检测上述工件。
课程计划:- 网络攻击的趋势。 技术,工具,攻击者的目标
- 使用威胁模型了解攻击策略,技术和步骤
- 网络杀戮链
- 事件响应算法:识别,定位,指标形成,搜索新的受感染节点
- 使用BEC的Windows系统分析
- 使用BEC识别主要感染方法,网络传播,修复,恶意软件的网络活动
- 使用BEC识别受感染的系统并恢复感染历史
- 实践练习
常见问题课程在哪里举行?课程在IB集团总部或外部场所(培训中心)举行。 培训师可以前往公司客户的现场。
谁主持课程?IB集团的培训师是在进行法证调查,公司调查和信息安全事件响应方面具有多年经验的从业人员。
培训师的资格由众多国际证书确认:GCFA,MCFE,ACE,EnCE等。
我们的培训师可以轻松地与观众找到共同的语言,甚至可以解释最复杂的主题。 学生将学到许多有关调查计算机事件,检测和抵抗计算机攻击的方法的相关且有趣的信息,并获得毕业后可以立即应用的实际知识。
这些课程是否提供与Belkasoft产品无关的有用技能,或者如果没有这些软件,这些技能将不适用?在不使用Belkasoft产品的情况下,培训中获得的技能将非常有用。
初始测试中包括什么?
初级测试是对计算机取证基础知识的测试。 没有计划进行Belkasoft和Group-IB产品的知识测试。
在哪里可以找到有关公司教育课程的信息?
作为培训课程的一部分,Group-IB对事件响应,恶意软件研究,网络智能专家(威胁情报),安全运营中心(SOC)专家,主动威胁搜索专家(威胁猎人)等方面的专家进行培训。 。 可从Group-IB获得版权课程的完整列表。
完成IB组和Belkasoft组联合课程的学生可以获得什么奖金?接受IB组和Belkasoft组联合课程培训的人员将获得:
- 完成证书;
- 免费每月订阅Belkasoft证据中心;
- Belkasoft证据中心可享受10%的折扣。
谨在此提醒您,第一门课程将于
9月9日星期一开始-不要错过获得信息安全,计算机取证和事件响应领域独特知识的机会! 在
此注册课程。
资料来源在准备本文时,使用了Oleg Skulkin的演示文稿“使用基于主机的取证为成功的情报驱动事件响应获取折衷指标”。