Réponse aux incidents avancée pour les entreprises

Ce cours de cinq jours enseigne aux spécialistes de la réponse aux incidents des techniques d’investigation avancées pour les aider à identifier et à cerner les intrusions par des groupes cybercriminels, financiers et politiques. 

Le cours comprend une série d'exercices pratiques qui permettront aux participants d'explorer les bases de ce qu'ils ont appris et de les approfondir, en appliquant directement des techniques à des scénarios réels. Les élèves apprendront à identifier, à détecter et à rechercher des techniques avancées, à contourner l'obscurcissement par des logiciels malveillants et à appliquer des techniques de traque à grande échelle sur des terminaux traditionnels et sur une infrastructure cloud. 

Dans ce cours, vous découvrirez des scénarios et techniques d’attaques réelles et historiques, que les équipes de sécurité pourront mettre en œuvre pour réduire les pertes potentielles de l’entreprise lors d’un incident en cours.

Prérequis : les participants doivent posséder d'excellentes connaissances des principes de base des ordinateurs et des systèmes d'exploitation. Il est en outre fortement recommandé d'avoir des bases en programmation informatique et une expérience sur le fonctionnement interne de Windows. Il est également recommandé de suivre les cours Mandiant de réponse aux incidents Windows Enterprise et/ou Linux Enterprise.

• Utiliser le framework ATT&CK pour guider les décisions stratégiques de sécurité de l’entreprise
• Résumer les étapes du processus de réponse aux incidents
• Déterminer comment communiquer efficacement les informations sur les incidents à la direction et aux autres membres de votre organisation
• Démontrer une compréhension des techniques avancées utilisées par les acteurs malveillants
• Présenter des techniques non conventionnelles de déploiement d'implants que nous rencontrons lorsque nous sommes confrontés à des acteurs malveillants APT avancés, mais qui sont rarement exploitées par des groupes moins perfectionnés
• Identifier quand l'obscurcissement est utilisé
• Résumer ce qu'est YARA et comment développer une règle YARA
• Découvrir la structure de la mémoire courante et les méthodes d'attaque de mémoire courantes
• Expliquer les avantages et les inconvénients des différents outils d'analyse
• Fournir un aperçu des sources de preuves disponibles, de la façon de recueillir des preuves, des scénarios d'investigation courants et des outils disponibles pour l'analyse et l'investigation des données
• Insister sur le rythme différent à suivre face à des pirates informatiques réels, et souligner les implications pour l’organisation et la coordination de vos équipes de réponse aux incidents

Il s’agit d’un cours technique au rythme soutenu qui vise à fournir une expérience pratique des investigations d’attaques ciblées et des étapes d’analyse requises pour trier les systèmes compromis. Le contenu et le rythme s'adressent à des participants ayant une certaine expérience des opérations de sécurité, de la réponse aux incidents, de l'analyse forensique, de l'analyse du trafic réseau, de l'analyse des journaux, des évaluations de sécurité et des tests d'intrusion, ou même des tâches d'architecture de sécurité et d'administration système. Il convient également aux personnes qui gèrent des équipes CIRT/de réponse aux incidents ou qui doivent superviser l'analyse forensique et d'autres tâches d'enquête.

Cours en présentiel avec formateur

5 jours (formation en personne)

Un ordinateur connecté à Internet et un navigateur récent (tel que Google Chrome)