Digital Forensics Analysis Certification Level 2 Written Exam Preparation
boanproject
Learn the content that will appear on the exam to pass the Level 2 Digital Forensics Specialist written exam.
초급
Forensic
BEST
Phân tích sự cố xâm nhập để tìm ra cốt lõi
Đây là khóa học lấy thực hành làm trung tâm, tiến hành huấn luyện phân tích sự cố bảo mật thông qua kiến thức cơ bản và thực hành cần thiết để thực hiện công việc với tư cách là nhà phân tích bảo mật. Chúng ta sẽ cùng tìm hiểu phương pháp phân tích sự cố bảo mật từ góc độ thực tế, cần thiết cho công việc ứng phó và phân tích xâm nhập trong doanh nghiệp.
Đánh giá từ những học viên đầu tiên
Dịch cái này sang tiếng Việt
Sẽ biết cách phân tích nguyên nhân sự cố an ninh.
Tìm hiểu về giải pháp bảo mật ứng phó với các mối đe dọa an ninh mạng.
Thực hành quy trình phân tích sự cố.
Đỉnh cao của hoạt động phân tích bảo mật chuyên nghiệp!
Học cách phân tích các sự cố vi phạm thông qua thực hành.
Năng lực cơ bản của một nhà phân tích bảo mật ,
Phân tích các sự cố vi phạm!
💡 Vi phạm là gì?
- Theo Điều 2, Mục 1, Tiểu mục 7 của Luật Mạng thông tin và Truyền thông, “ sự cố vi phạm ” có nghĩa là “sự cố phát sinh do tấn công vào mạng thông tin và truyền thông hoặc hệ thống thông tin liên quan đến mạng thông tin và truyền thông bằng cách hack, vi-rút máy tính, bom logic, bom thư, từ chối dịch vụ hoặc sóng điện từ công suất cao”.
- Sự cố vi phạm xảy ra trong hệ thống liên quan đến tài sản thông tin là trường hợp xảy ra hoạt động bất thường trong hệ thống hoặc ứng dụng hoặc hiện tượng (như xóa, sửa đổi hoặc rò rỉ) ngoài ý muốn của người quản trị do kẻ tấn công gây ra .
Khi xảy ra tấn công mạng, các công ty phải nhanh chóng xác định mức độ thiệt hại và giảm thiểu tác động kinh doanh thông qua việc phục hồi sau tai nạn. Nếu các hoạt động bắt buộc phải tuân thủ luật pháp hoặc quy định của ngành bị bỏ sót, các hình phạt hoặc các mục tuân thủ bổ sung có thể được áp dụng theo luật pháp hoặc quy định liên quan. Để giảm thiểu tác động kinh doanh, các công ty tập trung vào việc ứng phó với các sự cố trên toàn công ty, bao gồm nhóm an ninh, nhóm quan hệ công chúng và nhóm pháp lý. Các công ty tiến hành đào tạo hàng năm hoặc hàng quý thông qua các cuộc diễn tập giả định về các hoạt động thiết yếu cần thiết để ứng phó khi xảy ra sự cố an ninh.
Các nhà phân tích bảo mật thực hiện công việc phân tích sự cố khi xảy ra vi phạm trong công ty hoặc tổ chức hoặc phát sinh các vấn đề pháp lý. Để xác định nguyên nhân gây ra các bất thường của hệ thống do nhiều nguyên nhân khác nhau, khả năng phân biệt các tình huống có vấn đề này là cần thiết. Đặc biệt, khi vi phạm xảy ra do xâm nhập từ bên ngoài hoặc xâm nhập từ nhân viên nội bộ, vai trò của nhà phân tích bảo mật là phân tích thiệt hại đối với hệ thống và nguyên nhân vi phạm thông qua phân tích sự cố.
Để phân tích thiệt hại do tai nạn của công ty gây ra và đưa ra biện pháp đối phó để ngăn ngừa tai nạn tái diễn, điều quan trọng nhất là phải phân tích nguyên nhân chính xác của tai nạn. Tuy nhiên, rất hiếm và khó để thực sự trải nghiệm quá trình phân tích tai nạn.
Thuật ngữ “Big Root” thường được sử dụng để nhấn mạnh tính phức tạp của một vấn đề hoặc tình huống. “Big Root” có nghĩa là gốc rễ của vấn đề lớn và phức tạp. Điều này chỉ ra rằng vấn đề không chỉ giới hạn ở một nguyên nhân hoặc yếu tố duy nhất, mà là sự đan xen phức tạp của nhiều yếu tố khác nhau .
Trong trường hợp vi phạm do các cuộc tấn công mạng tiên tiến, cũng rất khó để giải quyết nguyên nhân của sự cố thông qua phân tích hệ thống được tiết lộ trên bề mặt. Các cuộc tấn công tiên tiến gây ra sự cố tái diễn nhiều lần và gây thiệt hại liên tục cho hoạt động kinh doanh của công ty. Nhóm bảo mật của công ty phải kiểm tra thông tin về nhiều hệ thống và giải pháp khác nhau trong quá trình phân tích để xác định nguyên nhân gốc rễ và vectơ của sự cố bảo mật.
Thông qua các bài giảng, bạn sẽ tìm hiểu về các quy trình ứng phó sự cố bảo mật và các loại và nguyên nhân của các sự cố an ninh mạng gây ra thiệt hại nghiêm trọng cho các công ty. Bạn sẽ tìm hiểu các khả năng cần thiết để giải quyết cơ bản các lỗ hổng bảo mật gây ra các sự cố hack.
Từ khái niệm đến thực hành
Những điều cơ bản về phân tích vi phạm.
Thông qua đào tạo phân tích vi phạm tương tự như các trường hợp thực tế,
Bạn có thể phát triển kỹ năng phân tích tai nạn của mình.
- Có được kiến thức cơ bản cần thiết để thực hiện công việc của bạn với tư cách là nhà phân tích bảo mật và thực hành sử dụng các công cụ phân tích.
- Xác định nguyên nhân gây ra sự cố an ninh mạng dựa trên sự hiểu biết về truyền thông mạng và ứng dụng.
- Bằng cách phân tích nhật ký đe dọa được tạo ra từ nhiều thiết bị bảo mật khác nhau, bạn có thể xác định những kẻ tấn công đang cố gắng xâm nhập.
- Tìm hiểu các phương pháp phân tích sự cố vi phạm thực tế cần thiết để thực hiện công tác phân tích và ứng phó xâm nhập doanh nghiệp.
Trong bài giảng này, chúng ta sẽ xem xét góc nhìn thực tế về các phương pháp phân tích sự cố vi phạm cần thiết để thực hiện công việc phản hồi và phân tích xâm nhập trong các công ty . Chúng tôi sẽ cung cấp cho những người thực hành thực hiện công việc phân tích nhật ký phát hiện xâm nhập hoặc gói tin mạng dựa trên mạng kiến thức và bí quyết xử lý các công cụ phân tích mà các nhà phân tích bảo mật cần để phân tích và giải thích những kết quả nào cần tìm thấy thông qua phân tích.
Đặc biệt, khi thực hiện công việc phân tích bảo mật, bạn sẽ sử dụng nhiều bản ghi và công cụ phân tích khác nhau. Đối với những người muốn phân tích nhật ký hệ thống phát hiện xâm nhập, nhật ký máy chủ web và gói tin mạng, tôi muốn giải thích các khái niệm cơ bản và kỹ thuật thực tế của phân tích mối đe dọa. Bằng cách giải thích các khái niệm và kỹ thuật cơ bản cũng như kiến thức chuyên môn mà tác giả có được từ công trình của mình, tôi hy vọng có thể giúp sinh viên cải thiện khả năng thực hiện công việc của mình.
Thông tin được phân tích để phân tích sự cố thường bao gồm nhật ký web, nhật ký IDS/IPS và nhật ký gói tin mạng. Chúng tôi có kế hoạch tiến hành đào tạo ứng phó sự cố trong khi phân tích nhật ký từ các hệ thống nơi xảy ra sự cố bảo mật thực tế. Cuối cùng, chúng tôi sẽ chia sẻ cách đưa sự nghiệp của bạn trong tương lai theo góc nhìn quản lý sự nghiệp.
Học phân tích hiệu quả
Tôi sẽ giúp bạn.
Phản ứng/Phân tích xâm nhập
Cần thiết cho mục đích sử dụng thực tế
Chúng tôi thu thập thông tin như thế nào
Phản hồi/Phân tích vi phạm
Được sử dụng bởi các học viên
Công cụ phân tích và sử dụng
Phản hồi/Phân tích vi phạm
Bằng cách ví dụ
Kiến thức thực tế
1) Tìm hiểu các công cụ và phương pháp phân tích được các chuyên gia phân tích/ứng phó vi phạm sử dụng.
Nếu bạn không có nhiều kinh nghiệm trong việc phân tích vi phạm, bạn có thể bối rối không biết bắt đầu từ đâu khi điều tra một sự cố. Trong bài giảng này, bạn sẽ thực hành các trường hợp của từng loại sự cố để các nhà phân tích có thể nhanh chóng tìm ra nguyên nhân của sự cố và xác định đường tấn công. Thông qua thực hành, bạn sẽ học được những gì cần tập trung và cách phân tích hiệu quả để tìm ra dấu vết của vi phạm khi phân tích nhật ký bảo mật.
- ✅ Tìm hiểu về các trường hợp tiêu chí phân loại logarit bình thường
- ✅ Thực hành sử dụng chương trình phân tích nhật ký hàng loạt
- ✅ Tìm hiểu về các loại sự cố vi phạm
2) Có thể áp dụng và sử dụng trong nhiều tình huống khác nhau thông qua các phương pháp phân tích không phụ thuộc vào các kỹ thuật hack.
Kẻ tấn công cố gắng xâm nhập hệ thống theo nhiều cách khác nhau. Bằng cách hiểu các nguyên tắc khai thác lỗ hổng, bạn có thể thực hiện phân tích bằng cách áp dụng chúng vào nhiều nỗ lực tấn công bảo mật khác nhau mà không bị ràng buộc với một công cụ tấn công hoặc phương pháp tấn công cụ thể.
Thực hành phân tích bảo mật để đào tạo.
Đào tạo Phân tích Nhật ký IDS
Chúng tôi cung cấp một số nhật ký tấn công đã lọc được phát hiện bởi các sản phẩm bảo mật thương mại để thực hành. Tên sự kiện tấn công, thời gian tấn công và các thông tin khác được cấu hình giống hệt với các trường hợp sự cố thực tế.
Đào tạo Phân tích Nhật ký Web
Chúng tôi trực tiếp phân tích các kỹ thuật tấn công nhắm vào máy chủ web và nhật ký để lại trên máy chủ mục tiêu. Thông qua phân tích, chúng tôi xác định các thiết lập dễ bị tấn công trên máy chủ web và xác định nguyên nhân gây ra sự cố.
Phân tích gói tin mạng
Chúng tôi đã tái tạo một trường hợp sự cố an ninh mạng trong cùng điều kiện trong môi trường phòng thí nghiệm, tái tạo quá trình tấn công hệ thống từ góc nhìn của kẻ tấn công và ghi lại lưu lượng mạng. Chúng tôi đã phân tích các gói tin đã ghi lại để phân tích mục tiêu tấn công và phạm vi thiệt hại.
📣 Vui lòng kiểm tra trước khi tham gia lớp học!
- Trong nhật ký được sử dụng cho bài tập, IP của kẻ tấn công và IP mục tiêu đều được biên tập lại cho bài tập.
Bạn sẽ học được gì 📚
Bạn có thể học quy trình phân tích bằng cách thực hành phân tích vi phạm thông qua từng nghiên cứu tình huống thực tế. Trước khi học quy trình phân tích, trước tiên bạn sẽ tự thực hiện phân tích và so sánh quy trình bạn tự phân tích với nội dung của hướng dẫn phân tích.
Phần 1 - Nghiên cứu trước
Trước khi thực hành, chúng ta sẽ xem xét phương pháp luận cần thiết để phân tích. Chúng ta sẽ học cách phân tích bằng cách chia thành phương pháp xác định hành vi tấn công dựa trên các mẫu cụ thể và phương pháp thiết lập ngưỡng và xác định mối đe dọa dựa trên hành vi. Sau đó, chúng ta sẽ xem xét cách áp dụng nó vào các trường hợp sự cố bảo mật thông qua ví dụ về việc xác định hành vi bất thường trong phim.
Phần 2 - Bài tập phân tích phản hồi sự cố 1: Phân tích sự kiện IDS
Phân tích nguyên nhân gây ra lỗi mạng quy mô lớn bằng cách phân tích các sự kiện giải pháp phát hiện xâm nhập được phát hiện trong một khoảng thời gian cụ thể. Bảng sau đây hiển thị các sự kiện phát hiện xâm nhập được trích xuất từ hệ thống phát hiện xâm nhập.
Các mục phát hiện | Thông tin phát hiện |
Thời gian thu thập sự kiện | 3 tháng |
Tên chữ ký phát hiện | TCP_SACK không hợp lệ |
IP gốc | 10.0.0.1 |
Cảng khởi hành | Ngẫu nhiên |
Địa chỉ IP đích | Ngẫu nhiên |
Cảng đích | Ngẫu nhiên |
Tổng cộng | 1441 trường hợp |
Chữ ký hệ thống phát hiện xâm nhập có tên TCP_Invalid_SACK là do các gói SYN và gói ACK bất thường gây ra. Thông thường, giao tiếp TCP gửi và nhận các gói giao tiếp cần thiết theo phương pháp do giao thức chỉ định. Tuy nhiên, tùy thuộc vào chương trình hoặc đặc điểm mạng được sử dụng để giao tiếp, sẽ xảy ra hiện tượng giao tiếp được thực hiện theo cách khác với giao thức đã chỉ định. Chữ ký TCP_Invalid_SACK ghi lại hiện tượng này.
Vì lý do này, ngay cả khi kẻ tấn công sử dụng chương trình không chuẩn, lịch sử giao tiếp vẫn bị phát hiện. Tất nhiên, thông tin được phát hiện không chỉ ghi lại giao tiếp của kẻ tấn công. Số lần kẻ tấn công giao tiếp trong 1441 sự kiện được phát hiện có thể là một con số nhỏ. Các nhà phân tích bảo mật nên tìm một số lượng nhỏ các phát hiện tấn công thông qua phân tích sự kiện.
Nguyên nhân của tai nạn được truy tìm thông qua quá trình phân tích trực tiếp tệp nhật ký thực hành. Kết quả phân tích nguyên nhân của tai nạn được giải thích trong phần hướng dẫn phân tích. Như đã nhấn mạnh ở trên, trước tiên bạn sẽ tự phân tích quy trình phân tích tai nạn và so sánh với nội dung của phần hướng dẫn phân tích và thực hiện đào tạo phân tích tai nạn.
Phần 3 - Thực hành phân tích phản hồi sự cố 2: Phân tích nhật ký ứng dụng
Chúng tôi phân tích các tình huống ngẫu nhiên của hệ thống nơi xảy ra xâm nhập thông qua phân tích nhật ký web. Công việc xử lý nhật ký là loại bỏ thông tin chưa phân tích hoặc không cần thiết để phân tích sự kiện hiệu quả hơn. Tuy nhiên, lưu lượng truy cập như vậy vô số như một đống cỏ khô. Việc tìm ra lưu lượng truy cập tấn công như một cây kim ẩn trong đống cỏ khô không bao giờ là dễ dàng.
Trong phòng thí nghiệm thứ hai, chúng ta sẽ xem cách xóa rơm bằng nhật ký web. Hãy cài đặt Splunk, Log Parser và Elasticsearch và thực hành quy trình phân tích nhật ký máy chủ web Windows.
Phần 4 - Thực hành phân tích phản hồi sự cố 3: Phân tích gói tin mạng
Những kẻ tấn công vượt qua các hạn chế về phần mở rộng tệp sẽ tải các tệp thực thi ứng dụng (tệp mở rộng ASP) lên bảng thông báo và kiểm soát hệ thống. Chúng ta hãy phân tích một cuộc tấn công web shell được thực hiện thông qua giao tiếp mạng. Quy trình phân tích gói tin cho phép phân tích xâm nhập khá hiệu quả bằng cách chỉ cần chọn phạm vi phân tích của giao tiếp mục tiêu hoặc máy chủ cần phân tích. Để phân tích các gói giao tiếp web shell, chúng ta sẽ phân tích các gói tin một cách hiệu quả bằng cách sử dụng các câu lệnh lọc được sử dụng trong quá trình phân tích.
Trong quá trình phân tích, chúng ta hãy trích xuất tệp cửa hậu được thực thi thông qua giao tiếp mạng thực tế và theo dõi thông qua việc tái tạo giao tiếp nào đã diễn ra và thiệt hại nào đã gây ra cho máy chủ.
Hỏi & Đáp 💬
H. Cần có kiến thức tiên quyết nào để học?
Khóa học này chủ yếu bao gồm các bài tập thực hành. Khóa học không bao gồm các khái niệm hoặc lý thuyết cơ bản về an ninh mạng. Để thực hiện các bài tập trong khóa học này, bạn cần hiểu về IDS, cài đặt ứng dụng web và mã phản hồi của máy chủ web. Mặc dù cần có kiến thức trước, bạn vẫn có thể phân tích các sự cố vi phạm ngay cả khi bạn chưa từng bị hack trước đây.
H. Nó khác với các bài giảng về an ninh khác như thế nào?
Nội dung bài giảng được tổ chức xung quanh kinh nghiệm thực tế về kỹ thuật phân tích sự cố bảo mật và bí quyết. Cả ba trường hợp phân tích sự cố vi phạm đều dựa trên các trường hợp sự cố thực tế, do đó chúng có thể cải thiện trải nghiệm phân tích sự cố bảo mật của bạn. Tuy nhiên, ý nghĩa pháp lý của việc thu thập hình ảnh đĩa sẽ không được đề cập trong quá trình điều tra pháp y.
H. Có lưu ý nào liên quan đến việc đăng ký khóa học không?
Khóa đào tạo sử dụng các công cụ công cộng (MS Log Parser Studio, Wireshark), các sản phẩm bảo mật dùng thử miễn phí và Microsoft EXCEL. Nội dung đào tạo không đề cập đến quá trình cài đặt sản phẩm phân tích. Học viên phải tự cài đặt sản phẩm bằng cách tham khảo liên kết hướng dẫn cài đặt của từng nhà sản xuất sản phẩm.
Người chia sẻ kiến thức cho khóa học này là ✒️
Bảo mật Bigroot
Tôi đã làm việc với tư cách là chuyên gia ứng phó vi phạm của nhóm CERT và là kỹ sư giải pháp cho một công ty an ninh nước ngoài trong 18 năm. Tôi phụ trách dự án xây dựng SOC và PM dự án vận hành tại IBM Hàn Quốc. Tôi đã thực hiện công việc thiết kế cơ sở hạ tầng an ninh và phát triển quy trình xây dựng/vận hành. Tôi đã thực hiện công việc phân tích và ứng phó vi phạm an ninh cho các công ty tư nhân và các tổ chức công tại nhóm AhnLab CERT. Khi chiến dịch DarkSeoul 3.20 xảy ra, tôi đã thực hiện kiểm tra các hệ thống của công ty phát sóng trong nước và hỗ trợ kiểm tra hệ thống bị rò rỉ tại thời điểm xảy ra sự cố rò rỉ thông tin cá nhân của Nate.
Những điểm nổi bật trong sự nghiệp
- Tư vấn an ninh: Thiết kế/xây dựng/vận hành các chiến lược tăng cường an ninh thông qua tư vấn cơ sở hạ tầng an ninh
- Tư vấn kiểm soát an ninh: Tư vấn xây dựng và vận hành SOC
- Phát triển sản phẩm dịch vụ an ninh: Phát triển các giải pháp và dịch vụ kiểm soát an ninh thế hệ tiếp theo
- Phản ứng với các sự cố vi phạm: Quân đội/công ty công/tư, v.v.
- Giảng viên hoàn thành khóa học KISA K-Shield Security năm 2014 (Giảng viên đào tạo về pháp y mạng của AhnLab)
- Hội chợ Bảo mật thông tin cá nhân (PIS) 2016 / Chủ đề trình bày 'Tình báo bảo mật'
(Sách học thuật xuất sắc năm 2009 của Bộ Văn hóa, Thể thao và Du lịch)
Khuyến nghị cho
những người này
Khóa học này dành cho ai?
Chuyên viên SOC
Chuyên viên bảo mật IT doanh nghiệp
Đội phân tích sự cố an ninh (Blue team)
Nhân lực giám sát an ninh
Tư vấn bảo mật
Cán bộ phân tích ứng phó sự cố khác
Cần biết trước khi bắt đầu?
Hiểu biết cơ bản về an ninh mạng
Cấu hình IDS và ứng dụng web, hiểu biết về mã phản hồi máy chủ web
458
Học viên
40
Đánh giá
4.7
Xếp hạng
1
Khóa học
CERT팀 침해사고대응전문가와 외국계 보안 기업의 솔루션 엔지니어로 18년째 활동 하고 있습니다.
한국 IBM 에서 SOC 구축 프로젝트와 운영 프로젝트 PM을 담당 했습니다. 보안 인프라에 대한 설계와 구축/운영 프로세스 개발 업무를 수행했습니다.
시스코(CISCO) 코리아에서 보안 솔루션에 대한 기술 전문가로서 보안 아키텍처 구성 및 위협 대응 사례에 대한 지식을 갖춘 전문가로 고객 현황 진단 및 개선을 조언 하였습니다.
안랩 CERT팀에서 민간기업과 공공기관의 보안 침해사고 분석&대응 업무를 수행 했습니다. 3.20 다크서울(DarkSeoul) 캠페인 발생 당시 국내 방송사 시스템 점검을 수행했으며, 네이트 개인정보 유출사건 당시 사고 유출 시스템에 대한 점검을 지원 하였습니다. 민간 기업 및 공공 기업을 대상으로 발생한 다양한 침해사고 조사 업무를 수행했습니다.
<주요 경력사항>
• 보안컨설턴트: 보안 인프라 컨설팅을 통해 보안 강화 전략 설계/구축/운영
• 보안관제컨설팅: SOC 구축 컨설팅 및 운영 업무 수행
• 보안서비스상품개발: 차세대보안관제 솔루션&서비스 개발
• 침해사고 대응: 군/공공/민간 기업 등 다수
Chương trình giảng dạy
Tất cả
68 bài giảng ∙ (7giờ 9phút)
Tài liệu khóa học:
Tài liệu bài giảng
Ngày đăng:
Cập nhật lần cuối:
Đánh giá
Tất cả
40 đánh giá
4.7
40 đánh giá
uhbyeonĐánh giá 4
∙
Đánh giá trung bình 5.0
- jykim1067726
Đánh giá 4
∙
Đánh giá trung bình 5.0
- kjlee5117
Đánh giá 3
∙
Đánh giá trung bình 5.0
- cleanhit27477
Đánh giá 7
∙
Đánh giá trung bình 5.0
5
100% đã tham giaIt was great to be able to study everything from learning the basics of security incidents to advanced analysis skills.
- bigrootsecurityGiảng viên
Thank you for the course review.
- cp96171938
Đánh giá 3
∙
Đánh giá trung bình 5.0
1.616.857 ₫
Khóa học tương tự
Khám phá các khóa học khác trong cùng lĩnh vực!
