| Tipo de edición | Edición única tarde (desempleados/as y ocupados/as |
|---|---|
| Metodología | Virtual |
| Tipo | CURSO |
| Matrícula | Gratuita |
| Fecha inicio | 28/10/2024 |
| Fecha fin | 02/11/2024 |
| Certificación oficial | Si |
| Examen | GIAC Certified Forensic Analyst (GCFA) |
| Nº inscritos | 124 |
Las tácticas y procedimientos de caza de amenazas y respuesta a incidentes han evolucionado rápidamente en los últimos años. Su equipo ya no puede permitirse utilizar técnicas anticuadas de respuesta a incidentes y caza de amenazas que no identifican correctamente los sistemas comprometidos. La clave está en buscar constantemente ataques que burlen los sistemas de seguridad y en atrapar las intrusiones en curso, en lugar de hacerlo después de que las/os atacantes hayan completado sus objetivos y causados daños peores a la organización. Para el personal de respuesta a incidentes, este proceso se conoce como "caza de amenazas". FOR508 enseña habilidades avanzadas para cazar, identificar, contrarrestar y recuperarse de una amplia gama de amenazas dentro de las redes empresariales, incluyendo adversarios APT nación-estado, sindicatos del crimen organizado y operadores de ransomeware.
El curso le ayudará a:
- Comprender las técnicas de las/os atacantes para realizar evaluaciones de compromiso
- Detectar cómo y cuándo se ha producido una brecha
- Identificar rápidamente los sistemas comprometidos e infectados
- Realizar evaluaciones de daños y determinar qué se ha leído, robado o modificado
- Contener y remediar incidentes de todo tipo
- Rastrear a las/los adversarios y desarrollar inteligencia sobre amenazas para delimitar una red
- Cazar nuevas brechas utilizando el conocimiento de las técnicas de los adversarios
- Desarrollar habilidades forenses avanzadas para contrarrestar las técnicas antiforense y la ocultación de datos de los sujetos técnicos
Los ejercicios del curso y los desafíos finales ilustran rastros reales de atacantes encontrados a través de artefactos de punto final, registros de eventos, memoria del sistema, etc.:
- Fase 1: compromiso cero del paciente e instalación de balizas C2 de malware
- Fase 2: elevación de privilegios, movimiento lateral a otros sistemas, descarga de utilidades de malware, instalación de balizas adicionales y obtención de credenciales de administrador de dominio
- Fase 3: búsqueda de propiedad intelectual, creación de perfiles de red, compromiso del correo electrónico empresarial, volcado de hashes empresariales
- Fase 4: encontrar el punto de exfiltración, recopilar y preparar los datos para el robo
- Fase 5: exfiltración de archivos del servidor de montaje, limpieza y establecimiento de mecanismos de persistencia a largo plazo (alternativamente, esta fase se utilizaría para desplegar ransomware)
La certificación GIAC Certified Forensic Analyst (GCFA) se centra en:
- Las competencias básicas necesarias para recopilar y analizar datos de sistemas informáticos. Las/os candidatas/os tienen los conocimientos, las habilidades y la capacidad para llevar a cabo investigaciones formales de incidentes y manejar escenarios avanzados de gestión de incidentes, incluidas intrusiones internas y externas de violación de datos, amenazas persistentes avanzadas, técnicas antiforense utilizadas por los atacantes y casos forenses digitales complejos
- Dar respuesta avanzada a incidentes y análisis forense digital
- Análisis forense de memoria, análisis de líneas de tiempo y detección antiforense
- Caza de amenazas y respuesta a incidentes de intrusión APT
Examen: existen dos opciones de evaluación: evaluación remota a través de ProctorU y evaluación in situ a través de PearsonVUE
- 1 proctored exam
- 106 preguntas
- 4 horas
- Calificación mínima de aprobado 70%
La docencia do curso, el material asociado y la certificación se realizarán en inglés.
- Aprender y dominar las herramientas, técnicas y procedimientos necesarios para detectar y contener una variedad de adversarios y solucionar incidentes
- Detectar y cazar malware desconocido vivo, latente y personalizado en memoria en varios sistemas Windows en un entorno empresa
- Buscar y responder a incidentes en cientos de sistemas simultáneamente con F-Response Enterprise y la estación de trabajo SIFT
- Identificar y rastrar el malware hacia su canal de mando y control (C2) mediante análisis forenses y residuos de conexión de red
- Determinar cómo se produjo la brecha identificando la cabeza de playa y los phishing
- Identifiar las técnicas de "vivir de la tierra”, incluyendo el uso malicioso de PowerShell y WMI
- Apuntar a técnicas antiforense avanzadas del adversaria/o como el malware oculto junto con las técnicas utilizadas para moverse en la red y mantener la presencia de una/un atacante
- Utilizar análisis de memoria, respuesta a incidentes y herramientas de caza de amenazas en SIFT Workstation para detectar procesos ocultos, malware, líneas de comandos de atacantes, rootkits, conexiones de red, etc.
- Rastrear la actividad de usuarias/os y atacantes segundo a segundo en el sistema que está analizando mediante el análisis en profundidad de la línea de tiempo y la superlínea de tiempo
- Recuperar datos borrados mediante técnicas antiforense Volume Shadow Copy/ Análisis de puntos de restauración
- Identificar el movimiento lateral y los pivotes dentro de su empresa a través de sus endpoints, mostrando cómo las/os atacantes se trasladan de un sistema a otro sin detección
- Comprender cómo el atacante puede adquirir credenciales legítimas, incluidos los de dominio, incluso en un entorno bloqueado
- Rastrear el movimiento de datos a medida que las/os atacantes recopilan datos críticos y los trasladan a puntos de exfiltración
- Recuperar los datos borrados mediante técnicas antiforenses mediante el análisis de Volume Shadow Copy y análisis de puntos de restauración y esculpido de artefactos
- Utilizar los datos recopilados de forma efectiva en toda la empresa
- Gestoras/es de incidentes
- Personas responsables de equipos de gestión de incidentes
- Administradoras/es de sistemas en primera línea defendiendo sus sistemas y responden a los ataques
- Otro personal de seguridad que son los primeros en responder cuando son atacados
- Profesionales de la seguridad en general y arquitectas/os de seguridad que deseen diseñar, construir y operar sus sistemas para prevenir, detectar y responder a los ataques
- Duración :
50 horas - Metodología :
Virtual - Matrícula :
Gratuita - Tecnología :
- Ciberseguridade
- GIAC
- SANS
- Beneficios :
- Diploma de asistencia
- Opción gratuita de un examen de certificación oficial
- Módulos transversales :
- Igualdad de 5 horas
SECCIÓN 1: respuesta avanzada a incidentes y caza de amenazas
Esta sección fue diseñada para ayudar a las organizaciones a aumentar su capacidad para detectar y responder a eventos de intrusión. Se trata de un objetivo alcanzable y comienza enseñando las herramientas y técnica necesarias para encontrar el mal en su red. Este curso está diseñado para hacer de usted y su organización una parte integral de la solución. Para mantener el ritmo, los que responden a incidentes y los cazadores de amenazas deben, con las últimas herramientas, técnicas de análisis y metodologías empresariales para identificar, rastrear y contener adversarios avanzados con el objetivo último de solucionar rápidamente los incidentes y mitigar los daños. Además, las/os analistas de respuesta a incidentes deben ser capaces de ampliar sus esfuerzos a miles de sistemas de la empresa. Comenzaremos el día examinando la metodología de respuesta a incidentes en seis pasos que se aplica a la respuesta a incidentes de grupos de amenazas avanzadas. La importancia de desarrollar inteligencia de ciber amenazas para impactar en la "cadena mortal" de las/os adversarios y se demuestran técnicas y tácticas de respuesta que pueden aplicarse tanto a sistemas individuales como a toda la empresa.
TEMAS: tácticas de respuesta a incidentes reales. Caza de amenazas en la empresa. Respuesta a incidentes y caza en toda la empresa. Evasión de la defensa contra el malware. Evasión e identificación de defensas contra malware. Identificación de la persistencia del malware. Prevención, detección y mitigación del robo de credenciales.
SECCIÓN 2: análisis de intrusiones
Las/os ciber defensoras/es disponen de una amplia variedad de herramientas y artefactos para identificar, cazar y rastrear la actividad del adversario en una red. Cada acción de una/un atacante deja un artefacto; entender lo que se deja atrás como huellas puede ser crucial para los miembros de los equipos rojo y azul. Los ataques siguen un patrón predecible; y nosotros centramos nuestros esfuerzos detectivescos en partes inmutables de ese patrón. Por ejemplo, en algún momento una/un atacante necesitará ejecutar código para lograr sus objetivos. Podemos identificar esta actividad a través de artefactos de ejecución de aplicaciones. La/el atacante también necesitará una o más cuentas para ejecutar código. En consecuencia, la auditoría de cuentas es un poderoso medio de identificar maliciosas/os. Una/un atacante también necesita un medio para moverse por la red, así que buscamos artefactos dejados por el número relativamente pequeño de formas, realizar movimientos laterales internos. En esta sección, cubrimos las técnicas habituales de los atacantes y fuentes de datos y herramientas forenses que puede utilizar para identificar actividad maliciosa en la empresa. Prepárese para cazar.
TEMAS: detección avanzada de pruebas de ejecución. Tácticas, técnicas y procedimientos de los adversarios de movimiento lateral y procedimientos de los adversarios. Análisis de registros para Investigación de ataques basados en WMI y PowerShell.
SECCIÓN 3: análisis forense de la memoria en la respuesta a incidentes y la caza de amenazas
El análisis forense de la memoria ha avanzado mucho en pocos años. Ahora es un componente crítico de muchas suites de herramientas avanzadas (en particular EDR) de respuesta a incidentes y equipos de caza de amenazas. El análisis forense de la memoria puede ser extraordinariamente eficaz para encontrar pruebas de gusanos, rootkits, ataques PowerShell, precursores de ransomware y malware avanzado utilizado por atacantes. De hecho, algunos ataques sin archivos pueden ser casi imposibles de desentrañar sin un análisis de la memoria. El análisis de memoria era tradicionalmente el dominio de las/os expertas/os en el funcionamiento interno de Windows y de los ingenieras/os inversos, pero las nuevas herramientas, técnicas y heurísticas de detección han nivelado enormemente el campo de juego, haciéndolo accesible hoy a todos las/os investigadoras/es, respondedoras/es a incidentes y cazadoras/es de amenazas. Además, comprender los patrones de ataque en la memoria es una habilidad básica del analista de detección y respuesta para puntos finales (EDR), lo que hace que estas herramientas sean aún más eficaces. Esta sección, extremadamente popular, cubrirá muchas de las capacidades de funciones de análisis de memoria más potentes y proporcionará una base sólida de habilidades forenses avanzadas de memoria para investigaciones, independientemente del conjunto de herramientas empleado.
TEMAS: detección y respuesta de puntos finales. Adquisición de memoria. Proceso de análisis forense de la memoria para la respuesta y la búsqueda. Exámenes forenses de memoria; Herramientas de análisis de memoria.
SECCIÓN 4: análisis de la línea de tiempo
Aprenda técnicas avanzadas de caza y respuesta a incidentes descubiertas a través del análisis de la línea temporal directamente de las/os autores pioneros en el análisis de líneas temporales. Los datos temporales se encuentran en cualquier parte de un sistema informático. Sistema de archivos modificados/acceso/creación/cambio, archivos de registro, datos de red, datos del registro y archivos del historial del navegador contienen datos temporales que pueden correlacionarse y analizarse para resolver casos. Iniciado por Rob Lee en 2001, el análisis de líneas temporales se ha convertido en un método respuesta a incidentes, caza y técnica forense. Los nuevos marcos de análisis de líneas temporales proporcionan exámenes simultáneos en una multitud de sistemas a través de una multitud de artefactos forenses. El análisis que antes llevaba días, ahora lleva minutos. Esta sección le guiará a través de dos métodos principales de construcción y líneas de tiempo utilizadas durante la respuesta avanzada a incidentes, la caza de amenazas y los casos forenses. Los ejercicios mostrarán a los analistas cómo crear líneas de tiempo y cómo introducir los métodos de análisis necesarios para ayudarle en sus casos.
TEMAS: evasión y detección de defensas contra malware. Análisis de líneas de tiempo. Creación y análisis de super líneas de tiempo.
SECCIÓN 5: respuesta a incidentes y caza en toda la empresa | Detección avanzada de adversarios y antiforense
Las/os atacantes suelen tomar medidas para ocultar su presencia en los sistemas comprometidos. Mientras que algunos pasos antiforense pueden ser relativamente fáciles de detectar, otros son mucho más difíciles de tratar. Por ello, es importante que las/os profesionales forenses y las/os encargados de responder a incidentes conozcan los distintos aspectos del sistema operativo y del sistema de archivos que pueden revelar pruebas residuales críticas. Los sindicatos criminales y de ransomware se han vuelto especialmente agresivos en su uso de técnicas antiforenses. En esta sección, nos centramos en la recuperación de archivos, fragmentos de archivos y metadatos de archivos de interés para la investigación. Estos artefactos de rastreo pueden ayudar al analista a descubrir registros eliminados, herramientas del atacante, información sobre la configuración del malware, exhumaciones, datos filtrados y mucho más. El resultado suele ser una comprensión más profunda de las TTP de las/os atacantes y proporciona más información sobre las amenazas para evaluar rápidamente una intrusión y mitigar los daños. En algunos casos, estas técnicas de exploración profunda podrían ser el único medio para demostrar que una/un atacante estaba activo en un sistema de interés y, en última instancia, determinar la raíz del ataque. Aunque son muy pertinentes en casos de intrusión, estas técnicas son aplicables en casi todas las investigaciones forenses.
TEMAS: análisis de Volume Shadow Copy. Tácticas avanzadas del sistema de archivos NTFS. Técnicas avanzadas de Recuperación de pruebas.
SECCIÓN 6: el desafío de respuesta a incidentes del grupo de amenazas APT
Este ejercicio de intrusión empresarial increíblemente rico y realista se basa en un grupo de amenazas persistentes avanzadas (APT) del mundo real. Reúne técnicas aprendidas anteriormente en el curso y pone a prueba sus habilidades recién adquiridas en una investigación sobre un ataque de un adversario avanzado. El desafío reúne todo mediante una intrusión real en un entorno empresarial Windows completo. Se le pedirá que descubra cómo los sistemas fueron comprometidos en la intrusión inicial, encontrar otros sistemas comprometidos a través de movimiento lateral del adversario e identificar la propiedad intelectual robada a través de la exfiltración de datos. Resolver el laboratorio de intrusión final requiere investigar artefactos en más de treinta sistemas, incluyendo estaciones de trabajo Windows 10 y 11, servidores DMZ, un controlador de dominio, servidores de desarrollo interno y correo electrónico Exchange alojado. Usted saldrá del curso con experiencia práctica en la investigación de un ataque real, comisariada por un grupo de expertos, comisariada por un grupo de instructoras/es con décadas de experiencia en la lucha contra amenazas avanzadas de atacantes que van desde grupos de ransomware de alto nivel.
TEMAS: identificación y alcance. Contención y recopilación de información de amenazas. Reparación y recuperación.