Respuesta a incidentes combinados de Windows y Linux Enterprise

Este curso intensivo está diseñado para enseñar las técnicas de investigación fundamentales que ayudan a responder al panorama actual de amenazas e intrusiones.

El curso se basa en una serie de experimentos prácticos que destacan las fases de un ataque selectivo, las fuentes fundamentales de su evidencia y conocimientos sobre análisis forenses para analizarlos- Los alumnos aprenderán a examinar rápidamente un sistema para determinar si ha sido atacado, descubrir pruebas de los vectores de ataque iniciales, reconocer los mecanismos de persistencia, desarrollar indicadores de riesgo para delimitar más a fondo un incidente, etc.

Después de completar este curso, los alumnos deberían ser capaces de hacer lo siguiente:

• Describir el proceso de respuesta a incidentes, incluido el panorama de las amenazas, el ciclo de vida de los ataques selectivos, los vectores de ataque iniciales que utilizan los distintos autores de las amenazas y las fases de un proceso de respuesta a incidentes
• Clasificar los sistemas para responder a preguntas clave sobre lo que ha ocurrido en la empresa durante un incidente
• Aplicar las lecciones aprendidas para investigar proactivamente un entorno de Windows (incluidos los metadatos, los registros, los registros de eventos, los servicios, los mecanismos de persistencia y los artefactos de ejecución) en busca de signos de riesgo
• Identificar y usar fuentes de evidencia críticas para investigar y analizar un sistema Linux vulnerado, incluidos sistemas de archivos EXT3/EXT4, syslog, registros de auditoría, memoria, VPN y shells web
• Realizar auditorías de aplicaciones de Linux habituales para bases de datos y servidores web, como Oracle, MySQL, PostgreSQL, Apache y nginx
• Descubrir cómo pueden pasar los atacantes de un sistema a otro en un entorno de Linux vulnerado mediante el uso de datos (como las credenciales, los registros, la ejecución de comandos remotos y los artefactos de shell)
• Analizar los registros web para reconocer e interpretar las técnicas más habituales de los atacantes, incluidos los métodos de ofuscación y codificación
• Gestionar y registrar eficazmente la información relacionada con incidentes e investigaciones en curso
• Comprender la función de la fase de solución en una investigación empresarial
• Mejorar la visibilidad de los registros, evitar la manipulación de pruebas y reducir la superficie de ataque identificando parámetros de configuración comunes y eventos registrados que contribuyen a realizar investigaciones eficaces
• Comprender cómo buscar amenazas mediante la inteligencia sobre amenazas, la detección de anomalías y las tácticas, técnicas y procedimientos de los autores de las amenazas conocidas (TTPs)

Este curso está dirigido a alumnos con algo de experiencia en la realización de operaciones de seguridad, respuesta a incidentes, análisis forense, análisis del tráfico de red, análisis de registros, evaluaciones de seguridad y pruebas de penetración, o tareas de administración de sistemas y arquitectura de seguridad. También puede resultarles útil a los equipos de CIRT o de respuesta a incidentes, o a quienes requieran la supervisión de los análisis forenses y otras tareas de investigación.

Presencial

5 días (formato presencial)

Los alumnos deben llevar un portátil que cumpla las siguientes especificaciones:

• Portátil con VMware instalado (el reproductor VMware cumple el requisito)
• Especificaciones: Windows 7 y macOS 10.11 o versiones posteriores
• 16 GB de memoria, como mínimo
• CPU Core i7 o superior
• 25 GB de espacio libre en HDD, como mínimo