"*" indica campos obrigatórios
SEC501: Fundamentos de Segurança Avançada – Enterprise Defender (38CPEs)
R$64.000,00
Carga horária:
36 horas
Nível do curso:
Avançado
Voucher para prova incluso ?
O curso SEC501: Fundamentos de Segurança Avançada – Enterprise Defender é um curso essencial para membros de equipes de segurança de todos os tamanhos. Isso inclui equipes menores, onde você usa vários (ou todos) chapéus e precisa de uma compreensão robusta de muitas facetas da segurança cibernética, e equipes maiores, onde sua função é mais […]
Proposta
Se você precisa de uma proposta personalizada para se capacitar e/ou capacitar sua equipe, preencha o formulário e fale com nossos consultores.
O curso SEC501: Fundamentos de Segurança Avançada – Enterprise Defender é um curso essencial para membros de equipes de segurança de todos os tamanhos. Isso inclui equipes menores, onde você usa vários (ou todos) chapéus e precisa de uma compreensão robusta de muitas facetas da segurança cibernética, e equipes maiores, onde sua função é mais focada, e adquirir habilidades em áreas adicionais aumenta sua flexibilidade e oportunidades. Este curso se concentra em mostrar a você como examinar o tráfego que está fluindo em suas redes, procurar indicações de um ataque e realizar testes de penetração e análise de vulnerabilidade em sua empresa para identificar problemas e problemas antes que ocorra um comprometimento. Quando ocorrer um comprometimento – e ocorrerá – você poderá erradicá-lo porque já terá definido o escopo das atividades de seus adversários coletando artefatos digitais de suas ações e analisando o malware que eles instalaram em seus sistemas. Feito isso, você pode realizar as etapas de recuperação e correção que seriam inúteis se seu adversário persistisse em sua rede.
Quem deve participar do SEC501?Profissionais de segurança multifacetados que trabalham em empresas onde são responsáveis não apenas por um ou dois aspectos da segurança, mas por todos eles, e que desejam aprimorar seu conhecimento e experiência em um variedade de áreasProfissionais de segurança com foco restrito que desejam explorar várias áreas adicionais de segurança cibernéticaSocorristas de incidentesTestadores de penetraçãoEngenheiros e analistas do Security Operations CenterProfissionais de segurança de redeQualquer pessoa que busque conhecimento técnico aprofundado sobre a implementação de soluções de segurança abrangentesPré requisitos de hardware e softwareImportante! Configure o seu computador de acordo com estas instruções!É necessário um laptop configurado corretamente para participar do SEC501: Advanced Security Essentials – Enterprise Defender. Os alunos devem ser capazes de obter privilégios elevados (“Administrador” ou “raiz”). O software antivírus não é recomendado e pode precisar ser desativado ou desinstalado. Se você tiver um sistema de produção já instalado com dados que não deseja perder, é recomendável substituí-lo por um disco rígido limpo.NOTA CRÍTICA: Os sistemas Apple que utilizam a linha de processadores M1 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem de forma alguma ser usados ??para este curso.Para simplificar, são fornecidas as seguintes listas de verificação. Você deve ser capaz de confirmar cada item nestas listas de verificação. Se houver algum item sobre o qual você não tenha certeza, mostre essas listas de verificação à equipe de suporte de tecnologia local ou entre em contato com o Suporte da SANS (laptop_prep@sans.org) antes do início do curso.O seu sistema deve atender à estes dez critérios:Processador Intel/AMD (um macOS M* não executará as VMs)Pelo menos 16 GB de RAM (mais é melhor, menos é insuficiente para executar todos os exercícios de laboratório)Processador de 64 bits (um processador de 32 bits não executará as VMs nem atenderá aos requisitos de RAM)Pelo menos 125 GB de armazenamento gratuito disponível (mais é melhor; as VMs são um download de 20 GB e crescem quatro a cinco vezes mais depois de importar e fazer snapshots; você deve poder ter tudo isso instalado simultaneamente)Sistema operacional (SO) de 64 bits (32 bits não executará as VMs nem atenderá aos requisitos de RAM)Executando, quando inicializado (ou seja, como um sistema operacional host), um dos seguintes:Windows 10 versão 20H1 ou posterior (versões anteriores podem funcionar, mas o Hyper-V deve ser desabilitado)macOS 10.15 (Catalina) ou posteriorLinux (isso é altamente desencorajado, a menos que você seja totalmente competente para realizar sua própria solução de problemas e fornecer seu próprio suporte)Pré-instalado com um dos seguintes:VMware Workstation Pro v15.5.5 ou posterior [Windows/Linux] (o VMware Player é insuficiente; você deve ser capaz de criar e restaurar instantâneos de VM, que o Player não suporta)VMware Fusion 11.5 ou posterior [macOS]Os links para obter cópias de avaliação gratuitas do VMware estão abaixo; hypervisors alternativos não são suportados!Devidamente licenciado para executar o VMware até o final do curso (uma cópia de avaliação está bem, mas não deve expirar prematuramente)Acessar a Internet via Wi-Fi (WLAN) (você não pode completar todos os exercícios de laboratório, nem participar facilmente do desafio Capstone-the-Flags sem acesso à Internet)Opcional: É pré-instalado com o Microsoft Excel (isso pode ser útil com um dos Exercícios de LaboratórioEmbora não seja necessário se o acesso à Internet Wi-Fi (WLAN) estiver disponível, uma versão de avaliação do Microsoft Excel pode ser obtida em https://www.microsoft.com/en-us/microsoft-365/try.Para mais detalhes sobre a infaestrutura necessária para participar do curso, clique aquiGIAC Certified Enterprise DefenderA certificação GIAC Certified Enterprise Defender (GCED) baseia-se nas habilidades de segurança medidas pela certificação GIAC Security Essentials. Ele avalia habilidades técnicas mais avançadas que são necessárias para defender o ambiente corporativo e proteger uma organização como um todo. Os detentores de certificação GCED validaram conhecimentos e habilidades nas áreas de infraestrutura de rede defensiva, análise de pacotes, teste de penetração, tratamento de incidentes e remoção de malware.Infraestrutura de rede defensivaAnálise de pacotes e testes de penetraçãoTratamento de incidentes e remoção de malwarePara mais informações sobre a certificação GIAC Certified Enterprise Defender (GCED), clique aqui
SEC501.1: Arquitetura de Rede DefensávelA Seção 1 enfocará a segurança no projeto e configuração de várias infraestruturas corporativas. Do ponto de vista da segurança, o design e a configuração adequados protegem os componentes que estão sendo configurados e o restante da empresa que depende desse equipamento para defender outros componentes de ataques. Em outras palavras, uma boa casa precisa de uma boa base!Discutiremos os benchmarks de segurança publicados, a orientação do fornecedor para proteger vários produtos e os requisitos regulatórios e como eles afetam a defesa da infraestrutura contra ataques específicos. Para ilustrar esses pontos, examinaremos detalhadamente como proteger e defender uma infraestrutura de roteador contra vários ataques baseados em dispositivos e redes. A proteção da infraestrutura de nuvem privada e pública contra ataques comuns também será discutida.SEC501.2: Teste de penetraçãoSegurança é entender, mitigar e controlar o risco para os ativos críticos de uma empresa. Uma empresa deve entender o cenário de ameaças em constante mudança e ter a capacidade de compará-lo com suas próprias vulnerabilidades que podem ser exploradas para comprometer o ambiente. Esta segunda seção do curso apresentará a variedade de testes que podem ser executados em uma empresa e mostrará como realizar testes de penetração eficazes para entender melhor a postura de segurança para serviços de rede, sistemas operacionais e aplicativos. Além disso, falaremos sobre engenharia social e atividades de reconhecimento para melhor emular ameaças cada vez mais prevalentes aos usuários.Encontrar vulnerabilidades básicas é fácil, mas não necessariamente eficaz se essas não forem as vulnerabilidades que os invasores exploram para invadir um sistema. O teste de penetração avançado envolve a compreensão da variedade de sistemas e aplicativos em uma rede e como eles podem ser comprometidos por um invasor. Os alunos aprenderão sobre o escopo e o planejamento de seus projetos de teste, realizando testes de penetração de rede externa e interna e testes de aplicativos da Web, e dinamizando o ambiente como invasores do mundo real.SEC501.3: Fundamentos de Operações de Segurança”A prevenção é ideal, mas a detecção é uma obrigação” é um lema fundamental para os profissionais de segurança. No entanto, devido à mudança no cenário dos ataques, detectá-los é um desafio contínuo. Os ataques de hoje são mais furtivos e mais difíceis de encontrar do que nunca. Somente entendendo os princípios básicos da análise de tráfego você pode se tornar um analista habilidoso capaz de diferenciar entre tráfego normal e de ataque. Novos ataques estão surgindo o tempo todo, portanto, os profissionais de segurança devem ser capazes de escrever regras de detecção de intrusão que detectem os ataques mais recentes antes que eles comprometam um ambiente de rede.A análise de tráfego e a detecção de intrusão costumavam ser tratadas como uma disciplina separada em muitas empresas. Hoje, prevenção, detecção e resposta devem estar intimamente interligadas, de modo que, uma vez que um ataque seja detectado, medidas defensivas possam ser adaptadas e uma análise forense proativa implementada para que a empresa possa continuar operando. Esta seção do curso começará com uma breve introdução ao monitoramento de segurança de rede, seguida por uma atualização sobre protocolos de rede com ênfase em campos a serem procurados como profissionais de segurança. Usaremos ferramentas como tcpdump e Wireshark para analisar rastreamentos de pacotes e procurar indicadores de ataques. Usaremos uma variedade de ferramentas de detecção e análise, criaremos pacotes com o Scapy para testar a detecção e abordaremos a análise forense de rede e a distribuição de monitoramento do Security Onion. Os alunos também explorarão o Snort como um sistema de detecção de intrusão de rede e examinarão as assinaturas de regras em profundidade.SEC501.4: Forense Digital e Resposta a Incidentes”Eliminação de bandidos” é a missão principal dos profissionais de Forense Digital e Resposta a Incidentes (DFIR). Incidentes acontecem, e as empresas contam com esses profissionais de resposta para encontrar, definir o escopo, conter e erradicar o mal de suas redes. Os investigadores empregam as práticas do DFIR para determinar o que aconteceu. As equipes do DFIR conduzem investigações para encontrar evidências de comprometimento, remediar o ambiente e fornecer dados para gerar inteligência de ameaças local para equipes de operações, a fim de melhorar continuamente a detecção. Embora tradicionalmente vista como um processo finito, a resposta a incidentes agora é vista como contínua, com profissionais de DFIR procurando evidências de um invasor que existiu no ambiente sem detecção, aplicando novas inteligências de ameaças às evidências existentes. Este é o cerne do conceito conhecido como “caça a ameaças”.SEC501.5: Análise de malwareO software malicioso é responsável por muitos incidentes em quase todos os tipos de empresa. Os tipos de malware variam muito, de ransomware e rootkits a mineradores de moeda criptográfica e worms. Vamos definir cada um dos tipos mais populares de malware e percorrer vários exemplos. As quatro fases principais da análise de malware serão abordadas: Análise Totalmente Automatizada, Análise de Propriedades Estáticas, Análise Interativa de Comportamento e Reversão Manual de Código. Você concluirá vários laboratórios aprofundados que exigem a dissecação completa de um espécime de Ransomware ao vivo, desde a análise estática até a análise de código. Você obterá experiência prática em enganar o malware por meio de técnicas de análise de comportamento e descriptografar arquivos criptografados por Ransomware extraindo as chaves por meio de engenharia reversa. Todas as etapas são bem definidas e testadas para garantir que o processo para atingir esses objetivos seja acionável e digerível.SEC501.6: Capstone do Enterprise DefenderA seção de conclusão do curso servirá como um desafio do mundo real para os alunos, exigindo que trabalhem em equipe, usem as habilidades que aprenderam ao longo do curso, pensem fora da caixa e resolvam uma série de problemas do simples ao complexo. Um sistema de pontuação de servidor web e um mecanismo Capture-the-Flag serão fornecidos para pontuar os alunos à medida que eles enviam bandeiras para marcar pontos. Desafios mais difíceis valerão mais pontos. Neste exercício defensivo, os desafios incluem análise de pacotes, análise de malware e outros desafios relacionados ao material do curso.
Embora não seja obrigatório, é recomendável que os alunos façam o curso SEC401: Security Essentials: Network, Endpoint e Cloud da SANS ou tenham as habilidades ensinadas nessa aula. Isso inclui uma compreensão detalhada de redes, protocolos e sistemas operacionais.
Você vai aprenderComponentes principais para construir uma infraestrutura de rede defensável e proteger adequadamente seus roteadores, switches e outras infraestruturas de redeMétodos formais para realizar avaliação de vulnerabilidades e testes de penetração para encontrar pontos fracos em sua rede corporativaMétodos para detectar ataques avançados contra sua rede e indicadores de comprometimento em sistemas implantados, incluindo a coleção de artefatos forense e o que você pode aprender com elesComo responder a um incidente usando o processo de resposta a incidentes de seis etapas: Preparação, Identificação, Contenção, Erradicação, Recuperação e Lições AprendidasAbordagens para analisar malware, desde técnicas totalmente automatizadas até a análise manual de propriedades estáticas, comportamento interativo e reversão de códigoVocê poderáIdentificar ameaças de segurança de rede contra a infraestrutura e crie redes defensáveis ??que minimizem o impacto dos ataquesUtilizar ferramentas para analisar uma rede para evitar ataques e detectar o adversárioDecodificar e analise pacotes usando várias ferramentas para identificar anomalias e melhorar as defesas de redeEntender como o adversário compromete os sistemas e como responder a ataques usando o processo de tratamento de incidentes de seis etapasRealizar testes de penetração em uma empresa para determinar vulnerabilidades e pontos de comprometimentoUsar várias ferramentas para identificar e corrigir malware em sua empresaSEC501 apresenta 25 exercícios de laboratório que mostrarão como:Criar uma arquitetura de rede defensável auditando as configurações do roteador, lançando ataques bem-sucedidos contra eles, fortalecendo os dispositivos para resistir a esses mesmos ataques e usando ferramentas de defesa ativa para detectar um ataque e gerar um alertaRealizar uma análise detalhada do tráfego usando vários sniffers e analisadores de protocolo e automatize a detecção de ataques criando e testando novas regras para sistemas de detecçãoIdentificar e rastrear ataques e anomalias em pacotes de redeUsar várias ferramentas para avaliar sistemas e aplicativos da Web em busca de vulnerabilidades conhecidas e explore essas vulnerabilidades usando estruturas e conjuntos de ferramentas de teste de penetraçãoAnalisar os sistemas Windows durante um incidente para identificar sinais de comprometimentoEncontrar, identificar, analisar e limpar malware como Ransomware usando uma variedade de técnicas, incluindo monitorar o malware enquanto ele é executado e reverter manualmente seu código para descobrir seus segredos