Temas Diversos

SEÇÃO 1: Resposta avançada a incidentes e caça a ameaçasOs responsáveis pela resposta a incidentes e os caçadores de ameaças devem estar equipados com as mais recentes ferramentas, técnicas de análise de memória e metodologias empresariais para identificar, rastrear e conter adversários avançados e para corrigir incidentes. Os analistas de resposta a incidentes e caça a ameaças devem ser capazes de dimensionar sua análise em milhares de sistemas em sua empresa. Esta seção examina a metodologia de resposta a incidentes de seis etapas conforme se aplica à resposta a incidentes para grupos de ameaças avançadas. Mostraremos a importância de desenvolver inteligência sobre ameaças cibernéticas para impactar a “cadeia de destruição” dos adversários. Também demonstraremos técnicas e táticas de resposta ao vivo que podem ser aplicadas a um único sistema e em toda a empresa. Os alunos receberão uma licença completa de seis meses do F-Response Enterprise Edition, permitindo-lhes usar sua estação de trabalho ou a estação de trabalho SIFT para se conectar e fazer scripts de ações em centenas ou milhares de sistemas na empresa. Esse recurso é usado para comparar, facilitar e demonstrar novas tecnologias de resposta a incidentes e caça a ameaças que permitem que um respondente procure indicadores de comprometimento em toda a rede corporativa.SEÇÃO 2: Análise de intrusão Os defensores cibernéticos têm uma ampla variedade de ferramentas e artefatos disponíveis para identificar, caçar e rastrear a atividade do adversário em uma rede. Cada ação do invasor deixa um artefato correspondente e entender o que é deixado para trás como pegadas pode ser crítico para os membros vermelhos e azuis da equipe. Os ataques seguem um padrão previsível e concentramos nossos esforços de detetive em porções imutáveis ??desse padrão. Por exemplo, em algum ponto, um invasor precisará executar um código para cumprir seus objetivos. Podemos identificar essa atividade por meio de artefatos de execução do aplicativo. O invasor também precisará de uma ou mais contas para executar o código. Conseqüentemente, a auditoria de contas é um meio poderoso de identificar ações maliciosas. Um invasor também precisa de um meio para se mover pela rede, portanto, procuramos artefatos deixados pelo número relativamente pequeno de maneiras que existem para realizar essa parte de sua missão. Nesta seção, cobrimos a técnica comum do invasor e discutimos as várias fontes de dados e ferramentas forenses que você pode usar para identificar atividades maliciosas na empresa.SEÇÃO 3: Análise forense de memória em resposta a incidentes e caça a ameaças Agora um componente crítico de muitas equipes de resposta a incidentes e caça a ameaças que detectam regularmente adversários avançados em sua organização, a análise forense de memória percorreu um longo caminho em apenas alguns anos. A análise forense de memória pode ser extraordinariamente eficaz na localização de evidências de worms, rootkits, PowerShell e malware avançado usados ??por atacantes APT. Na verdade, alguns ataques podem ser quase impossíveis de desvendar sem a análise da memória. A análise de memória era tradicionalmente domínio dos especialistas internos do Windows, mas o desenvolvimento recente de novas ferramentas e técnicas a torna acessível hoje a todos os investigadores, responsáveis ??pela resposta a incidentes e caçadores de ameaças. Melhores ferramentas, interfaces e heurísticas de detecção nivelaram bastante o campo de jogo. Compreender os padrões de ataque na memória é uma habilidade fundamental do analista aplicável em uma ampla gama de produtos de detecção e resposta de endpoint (EDR). Esta seção extremamente popular cobrirá muitos dos recursos de análise de memória mais poderosos disponíveis e fornecerá uma base sólida de habilidades forenses de memória avançada para investigações de supercarga, independentemente do conjunto de ferramentas empregado.SEÇÃO 4: Análise da linha do tempo Aprenda técnicas avançadas de caça e resposta a incidentes descobertas por meio da análise da linha do tempo diretamente dos autores que foram os pioneiros na análise da linha do tempo. Os dados temporais estão localizados em todos os lugares em um sistema de computador. Tempos de modificação / acesso / criação / alteração do sistema de arquivos, arquivos de log, dados de rede, dados de registro e arquivos de histórico da Internet, todos contêm dados de tempo que podem ser correlacionados em análises críticas para resolver casos com sucesso. Lançada por Rob Lee em 2001, a análise de linha do tempo tornou-se uma técnica crítica de resposta a incidentes, caça e perícia. Novas estruturas de análise de linha do tempo fornecem os meios para conduzir exames simultâneos de uma infinidade de artefatos baseados em tempo. A análise que antes levava dias, agora leva minutos. Esta seção o guiará pelos dois métodos principais de construção e análise de cronogramas criados durante a resposta avançada a incidentes, caça a ameaças e casos forenses. Os exercícios mostrarão aos analistas como criar uma linha do tempo e também como apresentar os principais métodos para ajudá-lo a usar essas linhas do tempo com eficácia em seus casos.SEÇÃO 5: Resposta a incidentes e caça em toda a empresaDetecção avançada de adversários e anti-forenses Ao longo dos anos, observamos que muitos respondentes a incidentes e caçadores de ameaças têm dificuldade para encontrar ameaças sem indicadores predefinidos de comprometimento ou inteligência de ameaças reunidos antes de uma violação. Isso é especialmente verdadeiro em intrusões de adversários APT. Esta sessão avançada demonstrará técnicas usadas por socorristas para identificar malware ou artefatos forenses quando houver muito pouca informação sobre seus recursos ou locais ocultos. Discutiremos técnicas para ajudar a direcionar as possibilidades até os candidatos mais prováveis de serem malwares malignos tentando se esconder no sistema.SEÇÃO 6: O desafio de resposta a incidentes do grupo de ameaças APT Este exercício de intrusão empresarial incrivelmente rico e realista é baseado em um grupo de ameaças persistentes avançadas (APT) do mundo real. Ele reúne técnicas aprendidas no início da semana e testa suas habilidades recém-adquiridas em um caso que simula um ataque de um adversário avançado. O desafio reúne tudo isso usando uma intrusão real em um ambiente corporativo Windows completo. Você será solicitado a descobrir como os sistemas foram comprometidos na intrusão inicial, encontrar outros sistemas que o adversário moveu lateralmente e identificar propriedade intelectual roubada por meio de exfiltração de dados. Você sairá do curso com experiência prática na investigação de ataques realistas, com curadoria de um grupo de instrutores com décadas de experiência no combate a ameaças avançadas de invasores que vão de estados-nações a sindicatos do crime financeiro e grupos de hacker ativistas.