Risposta avanzata agli incidenti di Enterprise

Questo corso di cinque giorni insegna tecniche investigative avanzate agli operatori nel campo della risposta agli incidenti per aiutare a identificare e definire le intrusioni da parte di gruppi malintenzionati governativi, finanziari e politici. 

Il corso comprende una serie di esercitazioni pratiche che consentiranno allo studente di esplorare le nozioni di base di ciò che ha appreso e di approfondire le conoscenze, applicando le tecniche direttamente a scenari del mondo reale. Gli studenti impareranno a identificare, rilevare e ricercare tecniche avanzate, contrastando l'offuscamento del malware e applicando tecniche di ricerca su larga scala sia attraverso gli endpoint tradizionali che nell'infrastruttura basata su cloud. 

Il corso tratta scenari e tecniche di malintenzionati storiche e in tempo reale che il difensore può utilizzare durante un attacco attivo per mitigare le potenziali perdite per l’organizzazione.

Prerequisiti: gli studenti devono possedere un'ottima conoscenza delle nozioni di base su computer e sistema operativo. Ti consigliamo vivamente di avere basi di programmazione informatica e di avere esperienza con i componenti interni di Windows. È inoltre consigliato il completamento dei corsi Mandiant Risposta agli incidenti di Windows Enterprise e/o Risposta agli incidenti di Linux Enterprise.

• Utilizzare il framework ATT&CK per prendere decisioni di sicurezza strategiche per l’organizzazione
• Riepilogare i passaggi del processo di risposta agli incidenti
• Determinare come comunicare in modo efficace le informazioni sugli incidenti ai dirigenti e agli altri all'interno della tua organizzazione
• Dimostrare la comprensione delle tecniche avanzate utilizzate dai soggetti malintenzionati
• Discutere di tecniche non convenzionali di deployment degli impianti che rileviamo quando abbiamo a che fare con malintenzionati APT avanzati, ma che raramente vengono usate da gruppi meno sofisticati
• Riconoscere quando è in uso l'offuscamento
• Riepilogare cos'è lo strumento YARA e come sviluppare una regola YARA
• Scoprire il layout di una struttura di memoria comune e dei metodi comuni di attacco alla memoria
• Spiegare i pro e i contro dei diversi strumenti di analisi
• Fornire una panoramica delle fonti di prove disponibili, le modalità di raccolta delle prove, gli scenari investigativi comuni e gli strumenti disponibili per l’analisi dei dati e l’indagine
• Evidenziare la differenza di ritmo richiesta quando si affrontano i malintenzionati in tempo reale e le implicazioni per l’organizzazione e il coordinamento del team IR

Si tratta di un corso tecnico dal ritmo incalzante, concepito per fornire un’esperienza pratica dell'indagine degli attacchi mirati e delle procedure di analisi necessarie per individuare i sistemi compromessi. I contenuti e il ritmo sono destinati a studenti con una certa formazione in operazioni di sicurezza, risposta agli incidenti, analisi forense, analisi del traffico di rete, analisi dei log, valutazioni di sicurezza e test di penetrazione o anche responsabilità di architettura della sicurezza e amministrazione di sistema. Inoltre, è adatto a chi gestisce team CIRT/di risposta agli incidenti o a ruoli che richiedono la supervisione dell’analisi forense e di altre attività investigative.

Formazione di persona con istruttore

5 giorni (consegna di persona)

Un computer con una connessione a internet e un browser moderno (ad esempio Google Chrome).