FOR578: Inteligência de ameaças cibernéticas (36 CPEs)

A inteligência de ameaças cibernéticas representa um multiplicador de força para organizações que buscam atualizar seus programas de resposta e detecção para lidar com ameaças persistentes avançadas cada vez mais sofisticadas. O malware é uma ferramenta do adversário, mas a ameaça real é a humana, e a inteligência de ameaças cibernéticas se concentra em combater essas ameaças humanas flexíveis e persistentes com defensores humanos capacitados e treinados. Durante um ataque direcionado, uma organização precisa de uma equipe de detecção de ameaças ou de resposta a incidentes de primeira linha, armada com a inteligência de ameaças necessária para entender como os adversários operam e combater a ameaça. FOR578: Cyber Threat Intelligence treinará você e sua equipe nas habilidades e técnicas de inteligência de ameaças cibernéticas de nível tático, operacional e estratégico necessárias para tornar as equipes de segurança melhores, a caça a ameaças mais precisa, a resposta a incidentes mais eficaz e as organizações mais conscientes da evolução cenário de ameaças.

Todos os profissionais de segurança devem participar do FOR578: Inteligência de ameaças cibernéticas para aprimorar suas habilidades analíticas. Este curso é diferente de qualquer outro treinamento técnico que você já experimentou. Ele se concentra na análise estruturada para estabelecer uma base sólida para qualquer conjunto de habilidades de segurança e ampliar as habilidades existentes.

É comum os profissionais de segurança se autodenominarem analistas. Mas quantos de nós fizeram um treinamento de análise estruturada em vez de simplesmente participar de um treinamento técnico? Ambos são importantes, mas muito raramente os analistas se concentram no treinamento de formas analíticas de pensar. Este curso expõe os analistas a novas mentalidades, metodologias e técnicas para complementar seus conhecimentos existentes e ajudá-los a estabelecer novas práticas recomendadas para suas equipes de segurança. As habilidades de análise adequadas são fundamentais para o mundo complexo ao qual os defensores são expostos diariamente.

A análise da intenção, oportunidade e capacidade de um adversário de causar danos é conhecida como inteligência de ameaças cibernéticas. A inteligência não é um feed de dados, nem é algo que vem de uma ferramenta. Inteligência são informações acionáveis ??que abordam as principais lacunas de conhecimento, pontos problemáticos ou requisitos de uma organização. Essa coleta, classificação e exploração do conhecimento sobre os adversários dá aos defensores uma vantagem sobre os adversários e força os defensores a aprender e evoluir com cada intrusão subsequente que enfrentam.

A inteligência de ameaças cibernéticas representa, portanto, um multiplicador de força para organizações que buscam estabelecer ou atualizar seus programas de resposta e detecção para lidar com ameaças cada vez mais sofisticadas. O malware é uma ferramenta do adversário, mas a ameaça real é a humana, e a inteligência de ameaças cibernéticas se concentra em combater essas ameaças humanas flexíveis e persistentes com defensores humanos capacitados e treinados.

O conhecimento sobre o adversário é fundamental para todas as equipes de segurança. A equipe vermelha precisa entender os métodos dos adversários para emular seu ofício. O Centro de Operações de Segurança precisa saber priorizar invasões e lidar rapidamente com aquelas que precisam de atenção imediata. A equipe de resposta a incidentes precisa de informações acionáveis ??sobre como avaliar e responder rapidamente a invasões direcionadas. O grupo de gerenciamento de vulnerabilidades precisa entender quais vulnerabilidades são mais importantes para a priorização e o risco que cada uma apresenta. A equipe de caçadores de ameaças precisa entender os comportamentos dos adversários para procurar novas ameaças.

Em outras palavras, a inteligência de ameaças cibernéticas informa todas as práticas de segurança que lidam com adversários. FOR578: Cyber ??Threat Intelligence equipará você, sua equipe de segurança e sua organização com o nível de habilidades táticas, operacionais e estratégicas de inteligência de ameaças cibernéticas e técnicas necessárias para entender melhor o cenário de ameaças em evolução e combater essas ameaças com precisão e eficácia.

GIAC Cyber Threat Intelligence

A certificação GCTI prova que os profissionais dominam os fundamentos e a aplicação de inteligência contra ameaças cibernéticas estratégicas, operacionais e táticas.

• Aplicação e fundamentos estratégicos, operacionais e táticos de inteligência contra ameaças cibernéticas
• Inteligência e campanhas de código aberto
• Aplicativos de inteligência e análise de intrusão
• Análise de inteligência, atribuição, coleta e armazenamento de conjuntos de dados
• Kill chain, modelo de diamante e matriz de cursos de ação
• Malware como fonte de coleta, dinamizando e compartilhando inteligência

Para mais informações sobre a certificação GIAC GCTI, clique aqui

Requisitos do laptop

Importante! Utilize seu equipamento de acordo com as especificações do SANS!

Para a especificação detalhada do equipamento, clique aqui

É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

Isso é senso comum, mas vamos dizer de qualquer maneira. Faça backup do seu sistema antes da aula. Melhor ainda, não tenha nenhum dado sensível armazenado no sistema. SANS não pode ser responsável por seu sistema ou dados.

A mídia do seu curso agora será entregue via download. Os arquivos de mídia para aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa dar bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads de mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite antes do início da aula para o seu download tem uma alta probabilidade de falha.

A SANS começou a fornecer materiais impressos em formato PDF. Além disso, algumas turmas estão usando uma pasta de trabalho eletrônica além dos PDFs. O número de aulas usando eWorkbooks crescerá rapidamente. Nesse novo ambiente, descobrimos que um segundo monitor e/ou um tablet podem ser úteis, mantendo os materiais da aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando em exercícios de laboratório.

FOR578.1: Inteligência e requisitos de ameaças cibernéticas

• A inteligência de ameaças cibernéticas é um campo em rápido crescimento. No entanto, a inteligência era uma profissão muito antes da palavra “ciber” entrar no léxico. Compreender os pontos-chave relacionados à terminologia de inteligência, tradecraft e impacto é vital para entender e usar a inteligência de ameaças cibernéticas. Esta seção apresenta aos alunos os conceitos mais importantes de inteligência, técnicas de análise e níveis de inteligência de ameaças, bem como o valor que eles podem agregar às organizações. Ele também se concentra em dar início ao seu programa de inteligência com planejamento, direção e geração de requisitos de inteligência. Como em todas as seções, esta seção do curso inclui laboratórios práticos imersivos para garantir que os alunos tenham a capacidade de transformar a teoria em prática.

FOR578.2: O Conjunto de Habilidades Fundamentais: Análise de Intrusão

• A análise de intrusão está no centro da inteligência de ameaças. É um conjunto de habilidades fundamental para qualquer profissional de segurança que deseja usar uma abordagem mais completa para abordar a segurança. Três dos modelos mais usados para avaliar invasões adversárias são o Kill Chain, o Diamond Model e o MITRE ATT&CK. Esses modelos servem como uma estrutura e esquema estruturado para analisar intrusões e extrair padrões como comportamentos de adversários e indicadores maliciosos. Nesta seção, os alunos serão orientados e participarão de intrusões em várias fases, desde a notificação inicial da atividade do adversário até a conclusão da análise do evento. A seção também destaca a importância desse processo em termos de estruturação e definição de campanhas adversárias.

FOR578.3: Fontes de Coleta

• Os analistas de inteligência de ameaças cibernéticas devem ser capazes de interrogar e entender completamente suas fontes de coleta. Como exemplo, os analistas não precisam ser engenheiros reversos de malware, mas devem pelo menos entender esse trabalho e saber quais dados podem ser buscados. Esta seção continua da anterior na identificação das principais fontes de coleta para analistas. A quantidade considerável do que é comumente referido como inteligência de código aberto (OSINT) também é apresentada. Nesta seção, os alunos aprenderão a buscar e explorar informações de domínios, conjuntos de dados externos, malware, certificados TLS/SSL (Transport Layer Security/Secure Sockets Layer) e muito mais. Os alunos também estruturarão os dados a serem explorados para fins de compartilhamento interno e externo.

FOR578.4: Análise e Produção de Inteligência

• Com grandes dados vêm grandes expectativas de análise. Agora que os alunos estão familiarizados com as diferentes fontes de intrusão e coleta, é importante aplicar rigor analítico à forma como essas informações são usadas para satisfazer os requisitos de inteligência para análise de longo prazo. Pegar uma única intrusão e transformá-la em um grupo e rastrear as campanhas do adversário são essenciais para ficar à frente dos adversários. Nesta seção os alunos aprenderão como estruturar e armazenar suas informações a longo prazo usando ferramentas como MISP; como alavancar ferramentas analíticas para identificar falácias lógicas e vieses cognitivos; como realizar técnicas analíticas estruturadas em grupos, como análise de hipóteses concorrentes; e como agrupar intrusões em grupos de ameaças.

FOR578.5: Divulgação e Atribuição

• A inteligência é inútil se não for disseminada e útil ao consumidor. Nesta seção, os alunos aprenderão sobre disseminação nos vários níveis tático, operacional e estratégico. Os laboratórios exporão os alunos à criação de regras YARA, aproveitando o STIX/TAXII, construindo mapas de calor de campanha para rastrear adversários a longo prazo e analisar relatórios de inteligência. Os alunos também aprenderão sobre a atribuição do adversário do estado, inclusive quando pode ser de valor e quando é apenas uma distração. Abordaremos a atribuição em nível estadual de campanhas previamente identificadas, e os alunos terão uma visão mais holística do setor de Inteligência de Ameaças Cibernéticas até o momento. A seção terminará com uma discussão sobre o consumo de inteligência de ameaças e dicas acionáveis para que os alunos possam fazer mudanças significativas em suas organizações assim que concluírem o curso.

FOR578.6: Capstone

• A pedra angular do FOR578 se concentra na análise. Os alunos serão colocados em equipes, receberão resultados de ferramentas técnicas e casos, e trabalharão para reunir as informações relevantes de uma única intrusão que lhes permita desvendar uma campanha mais ampla. Os alunos obterão experiência prática satisfazendo os requisitos de inteligência que vão desde ajudar a equipe de resposta a incidentes até satisfazer as metas de atribuição em nível estadual. Este processo analítico colocará as mentes dos alunos à prova em vez de colocar uma forte ênfase no uso de ferramentas técnicas. No final do dia, as equipes apresentarão suas análises sobre a ameaça de várias campanhas que descobriram

O FOR578 é um bom curso para quem já teve treinamento em segurança ou experiência anterior na área. Os alunos devem se sentir à vontade para usar a linha de comando no Linux em alguns laboratórios (embora seja fornecido um passo a passo) e estar familiarizados com a terminologia de segurança.

Alguns dos cursos que levam ao FOR578:

• SEC401 – Estilo Bootcamp do Security Essentials
• SEC511 – Monitoramento Contínuo e Operações de Segurança
• FOR508 – Forense Digital Avançada, Resposta a Incidentes e Caça a Ameaças
• FOR572 – Forense de rede avançada
• FOR526 – Memória Forense Em Profundidade
• FOR610 – REM: Análise de malware
• ICS515 – Defesa Ativa do ICS e Resposta a Incidentes

Os alunos que não fizeram nenhum dos cursos acima, mas têm experiência no mundo real ou participaram de outro treinamento de segurança, como qualquer outra aula de SANS, se sentirão confortáveis no curso. Novos alunos e veteranos serão expostos a novos conceitos dado o estilo único da aula focada no treinamento de análise.

Todos os profissionais de segurança devem participar do curso FOR578: Inteligência de ameaças cibernéticas para aprimorar suas habilidades analíticas. Este curso é diferente de qualquer outro treinamento técnico que você já experimentou. Ele se concentra na análise estruturada para estabelecer uma base sólida para qualquer conjunto de habilidades de segurança e ampliar as habilidades existentes. O curso ajudará os profissionais de todo o espectro de segurança:

• Desenvolver habilidades de análise para melhor compreender, sintetizar e alavancar cenários complexos
• Identificar e criar requisitos de inteligência por meio de práticas como modelagem de ameaças
• Compreender e desenvolver habilidades em inteligência de ameaças de nível tático, operacional e estratégico
• Gerar inteligência de ameaças para detectar, responder e derrotar ameaças focadas e direcionadas
• Aprender as diferentes fontes para coletar dados de adversários e como explorar e dinamizar esses dados
• Validar as informações recebidas externamente para minimizar os custos de inteligência ruim
• Criar Indicadores de Compromisso (IOCs) em formatos como YARA e STIX/TAXII
• Compreender e explorar táticas, técnicas e procedimentos adversários e alavancar estruturas como Kill Chain, Diamond Model e MITRE ATT&CK
• Estabelecer técnicas analíticas estruturadas para ter sucesso em qualquer função de segurança