| Tipo de edición | Edición única tarde (desempregados/as e ocupados/as) |
|---|---|
| Metodoloxía | Virtual |
| Tipo | CURSO |
| Matrícula | Gratuíta |
| Data inicio | 28/10/2024 |
| Data fin | 02/11/2024 |
| Certificación oficial | Si |
| Exame | GIAC Certified Forensic Analyst (GCFA) |
| Nº inscritos | 124 |
As tácticas e procedementos de caza de ameazas e resposta a incidentes evolucionaron rapidamente nos últimos anos. O seu equipo xa non pode permitirse utilizar técnicas anticuadas de resposta a incidentes e caza de ameazas que non identifican correctamente os sistemas comprometidos. A clave está en buscar constantemente ataques que burlen os sistemas de seguridade e en atrapar as intrusións en curso, en lugar de facelo despois de que as/os atacantes completen os seus obxectivos e causen danos peores á organización. Para o persoal de resposta a incidentes, este proceso coñécese como "caza de ameazas". FOR508 ensina habilidades avanzadas para cazar, identificar, contrarrestar e recuperarse dunha ampla gama de ameazas dentro das redes empresariais, incluíndo adversarios APT nación-estado, sindicatos do crime organizado e operadores de ransomeware.
O curso axudaralle a:
- Comprender as técnicas dos atacantes para realizar avaliacións de compromiso
- Detectar como e cando se produciu unha brecha
- Identificar rapidamente os sistemas comprometidos e infectados
- Realizar avaliacións de danos e determinar que se leu, roubado ou modificado
- Conter e remediar incidentes de todo tipo
- Rastrexar aos adversarios e desenvolver intelixencia sobre ameazas para delimitar unha rede
- Cazar novas brechas utilizando o coñecemento das técnicas dos adversarios
- Desenvolver habilidades forenses avanzadas para contrarrestar as técnicas antiforense e a ocultación de datos dos suxeitos técnicos
Os exercicios do curso e os desafíos finais ilustran rastros reais de atacantes atopados a través de artefactos de punto final, rexistros de eventos, memoria do sistema, etc.:
- Fase 1: compromiso cero do paciente e instalación de balizas C2 de malware
- Fase 2: elevación de privilexios, movemento lateral a outros sistemas, descarga de utilidades de malware, instalación de balizas adicionais e obtención de credenciais de administrador de dominio
- Fase 3: procura de propiedade intelectual, creación de perfís de rede, compromiso do correo electrónico empresarial, envorcado de hashes empresariais
- Fase 4: atopar o punto de exfiltración, recompilar e preparar os datos para o roubo
- Fase 5: exfiltración de arquivos do servidor de montaxe, limpeza e establecemento de mecanismos de persistencia a longo prazo (alternativamente, esta fase utilizaríase para despregar ransomware)
A certificación GIAC Certified Forensic Analyst (GCFA) centrase en:
- As competencias básicas necesarias para recompilar e analizar datos de sistemas informáticos. As/os candidatas/os teñen os coñecementos, as habilidades e a capacidade para levar a cabo investigacións formais de incidentes e manexar escenarios avanzados de xestión de incidentes, incluídas intrusións internas e externas de violación de datos, ameazas persistentes avanzadas, técnicas antiforense utilizadas polos atacantes e casos forenses dixitais complexos
- Dar resposta avanzada a incidentes e análises forense dixital
- Análise forense de memoria, análise de liñas de tempo e detección antiforense
- Caza de ameazas e resposta a incidentes de intrusión APT
Examen: existen dúas opcións de avaliación: avaliación remota a través de ProctorU e avaliación in situ a través de PearsonVUE
- 1 proctored exam
- 106 preguntas
- 4 horas
- Calificación mínima de aprobado 70%
A docencia do curso, o material asociado e maila certificación desenvolveránse en inglés.
- Aprender e dominar as ferramentas, técnicas e procedementos necesarios para detectar e conter unha variedade de adversarias/os e solucionar incidentes
- Detectar e cazar malware descoñecido vivo, latente e personalizado en memoria en varios sistemas Widows nun contorna empresa
- Buscar e responder a incidentes en centos de sistemas simultaneamente con F-Response Enterprise e a estación de traballo SIFT
- Identificar e rastrexar o malware cara á súa canle de mando e control (C2) mediante análises forenses e residuos de conexión de rede
- Determinar como se produciu a brecha identificando a cabeza de praia e os phishing - Identifique as técnicas de "vivir da terra” incluíndo o uso malicioso de PowerShell e WMI
- Apuntar a técnicas antiforense avanzadas da/o adversario como o malware oculto xunto coas técnicas utilizadas para moverse na rede e manter a presenza dun atacante
- Utilizar análise de memoria, resposta a incidentes e ferramentas de caza de ameazas en SIFT Workstation para detectar procesos ocultos, malware, liñas de comandos de atacantes, rootkits, conexións de rede etc.
- Rastrexar a actividade de usuarias/os e atacantes segundo a segundo no sistema que está a analizar mediante a análise en profundidade da liña de tempo e a superlínea de tempo
- Recuperar datos borrados mediante técnicas antiforense Volume Shadow Copy/ Análises de puntos de restauración
- Identificar o movemento lateral e os pivotes dentro da súa empresa a través das súas endpoints, mostrando como os atacantes se trasladan dun sistema a outro sen detección
- Comprender como a/o atacante pode adquirir credenciais lexítimas, incluídos os de dominio, mesmo nunha contorna bloqueada
- Rastrexar o movemento de datos a medida que as/os atacantes recompilan datos críticos e trasládanos a puntos de exfiltración
- Recuperar os datos borrados mediante técnicas antiforenses mediante a análise de Volume Shadow Copy e análise de puntos de restauración e esculpido de artefactos
- Utilizar os datos recompilados de forma efectiva en toda a empresa
- Xestoras/es de incidentes
- Personas responsables de equipos de xestión de incidentes
- Administradoras/es de sistemas en primeira liña defendendo os seus sistemas e responden os ataques
- Outro persoal de seguridade que son os primeiros en responder cando son atacados
- Profesionais da seguridade en xeral e arquitectos de seguridade que desexen deseñar, construír e operar os seus sistemas para previr, detectar e responder os ataques
- Duración :
50 horas - Metodoloxía :
Virtual - Matrícula :
Gratuíta - Tecnoloxía :
- Ciberseguridade
- SANS
- GIAC
- Beneficios :
- Diploma de asistencia
- Opción gratuita dun exame de certificación oficial
- Módulos transversais :
- Igualdade de 5 horas
SECCIÓN 1: Resposta avanzada a incidentes e caza de ameazas
Tácticas de resposta a incidentes reais. Caza de ameazas na empresa. Resposta a incidentes e caza en toda a empresa. Evasión da defensa contra o malware. Evasión e identificación de defensas contra malware. Identificación da persistencia do malware. Prevención, detección e mitigación do roubo de credenciais.
SECCIÓN 2: Análise de intrusións
Detección avanzada de probas de execución. Tácticas, técnicas e procedementos dos adversarios de movemento lateral e procedementos dos adversarios. Análise de rexistros para Investigación de ataques baseados en WMI e PowerShell.
SECCIÓN 3: Análise forense da memoria na resposta a incidentes.y a caza de ameazas
Detección e resposta de puntos finais. Adquisición de memoria. Proceso de análise forense da memoria para a resposta e a procura. Exames forenses de memoria. Ferramentas de análises de memoria.
SECCIÓN 4: Análise da liña de tempo
Evasión e detección de defensas contra malware. Análises de liñas de tempo. Creación e análise de super liñas de tempo.
SECCIÓN 5: Resposta a incidentes e caza en toda a empresa | Detección avanzada de adversarios e antiforense
Análise de Volume Shadow Copy. Tácticas avanzadas do sistema de arquivos NTFS. Técnicas avanzadas de Recuperación de probas.
SECCIÓN 6: O desafío de resposta a incidentes do grupo de ameazas APT
Identificación e alcance. Contención e recompilación de información de ameazas. Reparación e recuperación.