Poziom zaawansowania:
Prowadzący: Marcin Szymankiewicz
Miejsce i data:
  • Warszawa - brak miejsc: 24-25.10.2019
Cena: 1995 PLN netto (2 dni)

O szkoleniu

Szkolenie „Powłamaniowa analiza incydentów bezpieczeństwa IT” umożliwia poznanie metod analizy oraz szukania anomalii w dużych porcjach informacji związanych z infekcją złośliwym oprogramowaniem (malware).

Większość szkolenia prowadzona jest w formie „hands-on” – uczestnicy samodzielnie analizują logi oraz pliki pcap związane z realnymi incydentami bezpieczeństwa o zróżnicowanym stopniu trudności. Analiza prowadzi do ustalenia pierwotnej przyczyny infekcji, w efekcie której analizowany komputer został przejęty przez atakującego.

Część praktyczną poprzedza wprowadzenie teoretyczne przedstawiające m.in. sposoby szeregowania faz oraz możliwości analizy incydentów bezpieczeństwa. Szkolenie jest ukierunkowane na techniki analizy oraz szukania anomalii w dużych zbiorach danych, zarówno w plikach tekstowych, jak i zrzutach ruchu sieciowego, bez nastawienia na konkretne narzędzia bądź technologie.

Po szkoleniu będziesz umiał:

  • Klasyfikować fazy ataku przeprowadzonego przy pomocy złośliwego oprogramowania
  • Analizować duże porcje logów, odsiewać szum
  • Porządkować oraz przygotowywać do dalszej analizy pliki pcap
  • Generować statystyki oraz wykrywać anomalie przy pomocy logów, plików pcap czy danych netflow

#malware #apt #killchain #network_forensics #linux #incident_response #blue_team

Malware, APT, Kill Chain, Network Forensics, Linux, Incident Response, Blue Team

Ramowy program szkolenia

1. Wprowadzenie 

  • O szkoleniu
  • Wprowadzenie do KillChain
  • Omówienie KillChain oraz metod detekcji i prewencji dla każdej z faz

3. Monitoring bepieczeństwa – logi

  • Omówienie źródeł logowania
  • Przypomnienie najważniejszych poleceń Linux command line

4. Analiza ruchu sieciowego

  • Przeglądanie plików pcap w Linux command line
  • Obróbka oraz filtrowanie informacji w plikach pcap w Linux command line

5. Ćwiczenie – analiza infekcji typu ransomware

  • Identyfikacja pracowników oraz infrastruktury informatycznej przedsiębiorstwa
  • Szukanie metody dostarczenia ransomware
  • Podstawowa analiza malware
  • Próba odtworzenia zaszyfrowanego raportu
  • Analiza incydentu z rozpisaniem na fazy KillChain

6. Ćwiczenie – analiza infekcji typu stealing malware

  • Identyfikacja serwera C2 na podstawie anomalii w ruchu sieciowym
  • Identyfikacja metody dostarczenia malware
  • Dekodowanie transmisji generowanej przez malware
  • Analiza incydentu z rozpisaniem na fazy KillChain

7. Analiza hosta

  • Omówienie metod analizy pamięci oraz obrazu dysku twardego
  • Omówienie metod analizy podstawowych informacji systemowych

8. Anomalie w ruchu sieciowym

  • Analiza netflow

9. Ćwiczenie – Analiza ataku APT

  • Identyfikacja oraz analiza wykradzionych danych na podstawie anomalii w ruchu sieciowym
  • Analiza aktywności atakującego w infrastrukturze firmy
  • Szukanie metody wejścia do sieci
  • Odtworzenie scenariusza ataku
  • Analiza incydentu z rozpisaniem na fazy KillChain 

Pozostałe informacje

Laptop szkoleniowy

Szkolenie odbywa się w formule BYOL (bring your own laptop). Wymagania: Virtual Box, 20GB wolnego HDD, 2 GB wolnego RAM, przewodowa karta sieciowa.

Organizacja szkolenia w wersji zamkniętej

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1995 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.
  • Przekazane w formie PDF rozwiązania ćwiczeń.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Marcin Szymankiewicz

  • Marcin Szymankiewicz jest liderem zespołu Cyber Security w globalnej korporacji
  • Ponad 6 lat doświadczenia w monitoringu, budowaniu detekcji oraz analizie incydentów bezpieczeństwa w oparciu o różne narzędzia i technologie
  • Kilkanaście lat doświadczenia w projektowaniu i utrzymaniu sieci komputerowych oraz konfiguracji usług i serwerów systemu Linux
  • Członek polskiego zespołu The Honeynet Project, aktywny szkoleniowiec w ramach projektu na międzynarodowych warsztatach
  • Autor serii artykułów w portalu oraz zinie sekurak.pl

Uczestnicy o szkoleniu

Konkretne, techniczne podejście, jasno wyjaśnione narzędzia, komendy.
2017-08-04T12:00:42+00:00
Konkretne, techniczne podejście, jasno wyjaśnione narzędzia, komendy.
Bardzo dobrze skonfigurowane i przygotowane środowisko.
2017-08-04T12:01:39+00:00
Bardzo dobrze skonfigurowane i przygotowane środowisko.
Dużo konkretnej i praktycznej wiedzy.
2017-08-04T12:02:27+00:00
Dużo konkretnej i praktycznej wiedzy.
Dopasowanie tempa prezentacji do umiejętności uczestników w szczególności tempa prezentacji poleceń.
2017-08-04T12:03:18+00:00
Dopasowanie tempa prezentacji do umiejętności uczestników w szczególności tempa prezentacji poleceń.
Angażowało szare komórki.
2017-08-04T12:03:38+00:00
Angażowało szare komórki.
Merytorycznie dopasowane, odpowiednia ilość danych, na których pracowano.
2017-08-04T12:05:23+00:00
Merytorycznie dopasowane, odpowiednia ilość danych, na których pracowano.