SEC599: Derrotando adversários avançados – Táticas de equipe roxas e defesas em cadeia de destruição (36 CPEs)

Você acabou de ser contratado para ajudar nossa organização virtual “SYNCTECHLABS” a desenvolver um recurso de segurança cibernética. Em seu primeiro dia, seu gerente lhe diz: “Analisamos alguns relatórios recentes de tendências de segurança cibernética e sentimos que perdemos o rumo. Ameaças persistentes avançadas, ransomware, negação de serviço … Não temos certeza de onde para iniciar!”

As ameaças cibernéticas estão aumentando: as táticas de ransomware estão afetando pequenas, médias e grandes empresas, enquanto adversários patrocinados pelo estado estão tentando obter acesso às joias da coroa mais preciosas. SEC599: Derrotando Adversários Avançados – Táticas de Equipe Roxa e Defesas de Cadeia de Combate irão equipá-lo com o conhecimento e a experiência de que você precisa para superar as ameaças de hoje. Reconhecendo que uma estratégia apenas de prevenção não é suficiente, introduziremos controles de segurança destinados a parar, detectar e responder aos seus adversários.

Os autores do curso Stephen Sims e Erik Van Buggenhout (ambos certificados como Especialistas em Segurança GIAC) são profissionais que desenvolveram uma compreensão profunda de como os ataques cibernéticos funcionam por meio de testes de penetração e resposta a incidentes. Ao ministrar cursos de teste de penetração, eles costumavam fazer a seguinte pergunta: “Como posso prevenir ou detectar este tipo de ataque?” Bem, é isso! SEC599 dá aos alunos exemplos do mundo real de como prevenir ataques. O curso apresenta mais de 20 laboratórios, além de um exercício Defend-the-Flag de dia inteiro, durante o qual os alunos tentam defender nossa organização virtual de diferentes ondas de ataques contra seu ambiente.

Nossa jornada em seis partes começará com uma análise dos ataques recentes por meio de estudos de caso aprofundados. Explicaremos quais tipos de ataques estão ocorrendo e apresentaremos descrições formais do comportamento do adversário, como o Cyber ??Kill Chain e a estrutura MITER ATT & CK. Para entender como funcionam os ataques, você também comprometerá nossa organização virtual “SYNCTECHLABS” nos exercícios da seção um.

Nas seções dois, três, quatro e cinco, discutiremos como controles de segurança eficazes podem ser implementados para prevenir, detectar e responder a ataques cibernéticos. Os tópicos a serem tratados incluem:

• Aproveitando MITER ATT & CK como uma “linguagem comum” na organização
• Construindo sua própria solução Cuckoo sandbox para analisar cargas úteis
• Desenvolvimento de políticas de grupo eficazes para melhorar a execução de scripts (incluindo PowerShell, Windows Script Host, VBA, HTA, etc.)
• Destacando as principais estratégias de desvio para controles de script (Powershell não gerenciado, desvios AMSI, etc.)
• Interromper explorações de 0 dia usando ExploitGuard e lista de permissões de aplicativos
• Destacando as principais estratégias de desvio na lista de permissões de aplicativos (foco no AppLocker)
• Detecção e prevenção da persistência de malware
• Aproveitando a pilha Elastic como uma solução central de análise de log
• Detecção e prevenção de movimentos laterais por meio do Sysmon, monitoramento de eventos do Windows e políticas de grupo
• Bloqueio e detecção de comando e controle por meio de análise de tráfego de rede
• Aproveitando a inteligência de ameaças para melhorar sua postura de segurança

SEC599 vai terminar com um estrondo. Durante o desafio Defend-the-Flag na seção final do curso, você enfrentará adversários avançados na tentativa de manter sua rede segura. Você pode proteger o meio ambiente contra as diferentes ondas de ataques? Os adversários não estão diminuindo a velocidade.

Treinamento prático

SEC599 aproveita os sistemas SANS OnDemand, onde os participantes serão capazes de concluir os mais de 20 laboratórios do curso em um ambiente de navegador completo. Isso elimina possíveis problemas com os laptops dos alunos e aumenta o tempo gasto no aprendizado de tópicos de segurança, não na configuração de máquinas virtuais. As VMs do aluno são fornecidas para permitir que os alunos continuem aprendendo em casa!

Exemplos de laboratórios práticos e exercícios que você concluirá neste curso permitirão que você:

• Use MITER ATT & CK Navigator para avaliar diferentes técnicas
• Aproveite o MITER ATT & CK como uma “linguagem comum” na organização
• Crie sua própria solução Cuckoo sandbox para analisar cargas úteis
• Desenvolva políticas de grupo eficazes para melhorar a execução de scripts (incluindo PowerShell, Windows Script Host, VBA, HTA, etc.)
• Destaque as principais estratégias de desvio para controles de script (Powershell não gerenciado, desvios de AMSI, etc.)
• Interrompa explorações de 0 dia usando ExploitGuard e lista de permissões de aplicativos
• Destaque as principais estratégias de desvio na lista de permissões de aplicativos (foco no AppLocker), incluindo:
• Detectar e evitar a persistência de malware usando Autoruns e OSQuery
• Aproveitar a pilha Elastic como uma solução central de análise de log
• Detecção e prevenção de movimentos laterais por meio do Sysmon, monitoramento de eventos do Windows e políticas de grupo
• Bloqueio e detecção de comando e controle por meio de análise de tráfego de rede usando Suricata, Zeek e RITA
• Aproveitando a inteligência de ameaças para melhorar sua postura de segurança usando MISP, Loki e Volatilidade

Requisitos de laptop

Importante! Traga seu próprio sistema configurado de acordo com estas instruções!

Um sistema devidamente configurado é necessário para participar totalmente deste curso. Se você não ler e seguir atentamente essas instruções, provavelmente deixará a classe insatisfeito porque não poderá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos enfaticamente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

Como o curso aproveita a plataforma SANS OnDemand, os laboratórios serão baseados em navegador. As seções a seguir descrevem os principais requisitos para experiências de laboratório ideais.

Sistema operacional

Os alunos devem trazer um laptop para a aula executando qualquer uma das seguintes famílias de sistemas operacionais:

• Sistema operacional host: versão mais recente do Windows 10, macOS 10.15.x ou posterior ou Linux. É necessário atualizar totalmente o sistema operacional host antes da aula para garantir que você tenha os drivers e patches corretos instalados para utilizar os dispositivos USB 3.0 mais recentes. Aqueles que usam um host Linux também devem ser capazes de acessar partições exFAT usando o kernel apropriado ou módulos FUSE.
• Nota: Os sistemas Apple que usam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados ??para este curso.
• Por motivos de solução de problemas, certifique-se de ter privilégios de administrador local em seu laptop

Navegador

Uma versão atualizada das seguintes famílias de navegadores é compatível:

• Microsoft borda
• Google Chrome
• Mozilla Firefox

Hardware

• CPU de 2.0 GHz compatível com x86 ou compatível com x64, no mínimo ou superior
• Mínimo de 4 GB de RAM com 8 GB ou superior recomendado
• Um adaptador de rede sem fio
• 10 GB de espaço disponível no disco rígido

Durante o curso, você se conectará a uma rede repleta de especialistas em segurança! Como prática recomendada, não tenha nenhum dado confidencial armazenado no sistema. O SANS não é responsável pelo seu sistema se alguém da classe o atacar durante o curso.

Ao trazer o equipamento certo e se preparar com antecedência, você pode maximizar o que verá e aprenderá, além de se divertir muito.

A mídia do seu curso agora será entregue via download. Os arquivos de mídia para a aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa permitir bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads de mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite anterior ao início da aula para começar o download tem uma grande probabilidade de falha.

SANS começou a fornecer materiais impressos em formato PDF. Além disso, certas classes estão usando uma pasta de trabalho eletrônica, além dos PDFs. O número de aulas usando eWorkbooks aumentará rapidamente. Neste novo ambiente, descobrimos que um segundo monitor e / ou um tablet pode ser útil, mantendo os materiais da aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando nos exercícios de laboratório.

SEC599.1: Introdução e reconhecimento

• Esboço do curso e configuração do laboratório
• Emulação do adversário e a equipe roxa
• Reconhecimento

SEC599.2: Entrega e execução de carga útil

• Mecanismos de entrega comuns
• Impedindo a entrega de carga útil
• Prevenção de execução de carga útil

SEC599.3: Exploração, persistência e comando e controle

• Protegendo aplicativos contra exploração
• Evitando instalação
• Comando e controle para frustrar

SEC599.4: Movimento lateral

• Protegendo o acesso administrativo
• Principais estratégias de ataque contra AD
• Como podemos detectar o movimento lateral?

SEC599.5: Ação sobre os objetivos, caça às ameaças e resposta a incidentes

• Controle do domínio
• Exfiltração de dados
• Aproveitando a Inteligência de Ameaças
• Caça a ameaças e resposta a incidentes

SEC599.6: APT Defender Capstone

• Aplicação detalhada dos controles de segurança anteriormente cobertos
• Reconhecimento
• Armamento
• Entrega
• Exploração
• Instalação
• Comando e controle
• Ação em Objetivos

• Experiência com Linux e Windows na linha de comando (incluindo PowerShell)
• Familiaridade com os conceitos do Windows Active Directory
• Uma compreensão básica dos tópicos de segurança cibernética
• Uma sólida compreensão de TCP / IP e conceitos de rede

• Entender como ataques recentes de alto perfil foram realizados e como eles poderiam ter sido interrompidos
• Implementar controles de segurança em todas as fases da Cyber Kill Chain e da estrutura MITER ATT & CK para prevenir, detectar e responder a ataques