進階企業事件應變

這個為期五天的課程將教授第一線事件應變人員進階調查技巧，協助辨識政府、金融及政治威脅組織的入侵活動，並掌握活動範圍。

本課程包含一系列實作練習，讓學員探索所學的基礎知識並進一步應用，直接在真實情境中運用各種技巧。學員將瞭解如何辨識、偵測和搜索進階攻擊手法、破解惡意軟體模糊處理，以及在傳統端點和雲端式基礎設施中大規模應用搜索技巧。

課程會探討歷來攻擊者和正在採取行動的攻擊者案例，以及防禦者在事件發生期間可使用的技巧，藉此降低公司可能遭受的損失。

必備條件：學生應具備充分的電腦和作業系統基礎知識。強烈建議學員應具備電腦程式設計基礎知識和 Windows Internals 經驗。此外也建議學員完成 Mandiant 的「Windows 企業事件應變」和/或「Linux 企業事件應變」課程。

• 使用 ATT&CK 架構協助機構完成策略性資安決策
• 彙整事件應變程序步驟
• 確定向主管階層和其他人員有效傳達事件資訊的方式
• 展示對威脅發動者常用進階技巧的瞭解
• 探討為進階 APT 威脅發動者所採用，但較精簡組織鮮少使用的非傳統植入式部署技巧
• 判斷威脅是否使用模糊處理
• 摘要介紹 YARA，以及如何制定 YARA 規則
• 探索常見記憶體結構和常見記憶體攻擊方法的佈局
• 說明各項分析工具的優缺點
• 概略介紹可用證據來源、如何收集證據、常見調查情境，以及可用於資料分析和調查的工具
• 點出面對「行動中攻擊者」時所需的應對步調差異，並說明這對事件應變團隊的組織與協調工作有何影響

這是一個內容緊湊的技術課程，旨在提供調查針對性攻擊的實作體驗，以及鑑別遭入侵系統所需的分析步驟。本課程的內容和講解速度適合具備資安營運、事件應變、鑑識分析、網路流量分析、記錄檔分析、資安評估和滲透測試等方面的背景，以及擔任安全架構和系統管理職務的學員。這個課程也非常適合 CIRT 管理/事件應變團隊，或職務上需要監督鑑識分析和其他調查工作的人員。

由講師講解的現場訓練課程

5 天 (現場授課)

一部具備網際網路連線和新式瀏覽器 (例如 Google Chrome) 的電腦。