Risposta combinata agli incidenti aziendali Windows-Linux

Questo corso intensivo è stato progettato per insegnare le tecniche investigative fondamentali per rispondere al panorama odierno di soggetti malintenzionati e agli scenari di intrusione.

Il corso si basa su una serie di lab pratici che evidenziano le fasi di un attacco mirato, le fonti chiave di prova e il know-how di analisi forense per analizzarle. Gli studenti impareranno a eseguire un rapido controllo di un sistema per determinare se è compromesso, scoprire prove dei vettori d'attacco iniziali, riconoscere i meccanismi di persistenza, sviluppare indicatori di compromissione per determinare ulteriormente la portata di un incidente e altro ancora.

Al termine del corso, gli studenti dovrebbero essere in grado di:

• Descrivere il processo di risposta agli incidenti, compresi il panorama delle minacce, il ciclo di vita di un attacco mirato, i vettori di attacco iniziali utilizzati da vari soggetti malintenzionati e le fasi di un processo di risposta agli incidenti
• Eseguire una valutazione del sistema per rispondere a domande chiave su ciò che è accaduto all’interno dell’azienda durante un incidente
• Applicare quanto appreso per eseguire proattivamente un'indagine in un ambiente (inclusi metadati, registro, log eventi, servizi, meccanismi di persistenza e artefatti di esecuzione) per individuare segnali di compromissione
• Identificare e utilizzare le fonti di prove critiche per indagare e analizzare un sistema Linux compromesso, compresi file system EXT3/EXT4, syslog, audit log, memoria, VPN e shell web
• Controllare le applicazioni Linux comuni per database e server web, tra cui Oracle, MySQL, PostgreSQL, Apache e nginx
• Scoprire come gli aggressori possono passare da un sistema all’altro in un ambiente Linux compromesso attraverso l’utilizzo di dati, tra cui credenziali, accessi, esecuzione di comandi da remoto e artefatti della shell
• Analizzare i log web per riconoscere e interpretare le tecniche dei malintenzionati, inclusi l’offuscamento e i metodi di codifica
• Gestire e registrare in modo efficace le informazioni relative agli incidenti e alle indagini in corso
• Comprendere il ruolo della fase di correzione in un’indagine aziendale
• Migliorare la visibilità dei log, prevenire la manomissione delle prove e ridurre la superficie di attacco identificando parametri di configurazione comuni ed eventi registrati che favoriscono indagini efficaci
• Capire come ricercare le minacce utilizzando l’intelligence sulle minacce, il rilevamento di anomalie e le tattiche, tecniche e procedure (TTP) note dei soggetti malintenzionati

Questo corso è rivolto agli studenti che hanno una certa formazione in operazioni di sicurezza, risposta agli incidenti, analisi forense, analisi del traffico di rete, analisi dei log, valutazioni e test di penetrazione della sicurezza o attività di amministrazione dell'architettura di sicurezza e di sistemi. Può anche aiutare chi gestisce i team CIRT/di risposta agli incidenti o in ruoli che richiedono la supervisione dell’analisi forense e di altre attività investigative.

In Classroom

5 giorni (consegna di persona)

Gli studenti devono portare con sé un laptop che soddisfi le seguenti specifiche:

• Laptop con VMware installato (il lettore VMware soddisfa il requisito)
• Specifiche: Windows 7 e versioni successive o MacOS 10.11 o versioni successive
• Oltre 16 GB di memoria
• CPU Core i7 e versioni successive
• Oltre 25 GB di spazio libero su HDD