Khoá GIAC Certified Forensic Analyst – GCFA

Các chiến thuật và thủ tục săn lùng mối đe dọa và phản ứng sự cố đã phát triển nhanh chóng trong những năm gần đây. Đội của bạn không còn thể chấp nhận được việc sử dụng các kỹ thuật phản ứng sự cố và săn lùng mối đe dọa cổ điển không đủ khả năng xác định chính xác các hệ thống bị xâm nhập. Quan trọng là liên tục tìm kiếm các cuộc tấn công vượt qua hệ thống bảo mật và bắt giữ xâm nhập đang diễn ra, thay vì sau khi kẻ tấn công đã hoàn thành mục tiêu của mình và gây thiệt hại nghiêm trọng cho tổ chức. Với những người phản ứng sự cố, quá trình này được gọi là “săn lùng mối đe dọa”. Khoá học giảng dạy những kỹ năng nâng cao để săn lùng, xác định, chống lại và khôi phục từ một loạt các mối đe dọa trong mạng doanh nghiệp, bao gồm kẻ thù quốc gia APT, tổ chức tội phạm có tổ chức và nhà điều hành ransomware. 

Sau khi hoàn thành khoá học này, học viên có thể có các kiến thức và kỹ năng sau:

  • Học và thành thạo các công cụ, kỹ thuật và thủ tục cần thiết để săn lùng, phát hiện và kiểm soát nhiều mối đe dọa khác nhau và khắc phục sự cố. 
  • Phát hiện và săn lùng phần mềm độc hại không xác định, ngủ đông và tùy chỉnh trong bộ nhớ trên nhiều hệ thống Windows trong môi trường doanh nghiệp. 
  • Săn lùng và thực hiện phản ứng sự cố trên hàng trăm hệ thống duy nhất đồng thời bằng cách sử dụng PowerShell, Velociraptor và SIFT Workstation. 
  • Xác định và theo dõi phần mềm độc hại gửi ra ngoài thông qua kênh điều khiển và kiểm soát (C2) của nó thông qua phân tích bộ nhớ, phân tích registry và dấu vết kết nối mạng. 
  • Xác định cách xảy ra việc vi phạm bằng cách xác định nguyên nhân gốc, các hệ thống điểm đầu và cơ chế tấn công ban đầu. 
  • Xác định các kỹ thuật sống trong môi trường như việc sử dụng PowerShell và WMI một cách độc hại. 
  • Mục tiêu các kỹ thuật chống pháp truyền thống của kẻ tấn công như phần mềm độc hại ẩn và đã được thay đổi thời gian, cùng với các kỹ thuật sống trong môi trường được sử dụng để di chuyển trong mạng và duy trì sự hiện diện của kẻ tấn công. 
  • Sử dụng phân tích bộ nhớ, phản ứng sự cố và các công cụ săn lùng mối đe dọa trong SIFT Workstation để phát hiện các tiến trình ẩn, phần mềm độc hại, dòng lệnh của kẻ tấn công, rootkit, kết nối mạng và nhiều hơn nữa. 
  • Theo dõi hoạt động của người dùng và kẻ tấn công từng giây trên hệ thống bạn đang phân tích thông qua phân tích timeline chi tiết. 
  • Khôi phục dữ liệu đã bị xóa bằng các kỹ thuật chống pháp truyền thống thông qua phân tích Volume Shadow Copy/Restore Point. 
  • Xác định sự di chuyển bên trong doanh nghiệp và các trục chuyển tiếp trên các điểm cuối của bạn, cho thấy cách kẻ tấn công chuyển từ hệ thống này sang hệ thống khác mà không bị phát hiện. 
  • Hiểu cách kẻ tấn công có thể có được thông tin xác thực – bao gồm quyền quản trị viên miền – ngay cả trong một môi trường bị khóa chặt. 
  • Theo dõi việc di chuyển dữ liệu khi kẻ tấn công thu thập dữ liệu quan trọng và chuyển đến điểm thu thập tiêu điểm. 
  • Khôi phục dữ liệu đã bị xóa bằng các kỹ thuật chống pháp truyền thống thông qua phân tích Volume Shadow Copy/Restore Point và khắc phục các vết tích. 
  • Sử dụng dữ liệu đã thu thập để thực hiện khắc phục hiệu quả trên toàn doanh nghiệp

Khoá học phù hợp với những đối tượng sau:

  • Thành viên Nhóm Phản ứng Sự cố 
  • Những người săn lùng mối đe dọa 
  • Nhà phân tích SOC 
  • Nhà phân tích điều tra số có kinh nghiệm 
  • Kỹ sư Phát hiện 
  • Chuyên gia An ninh thông tin 
  • Các nhân viên Liên bang và Công an chức năng 
  • Thành viên Đội Đỏ, Người kiểm tra xâm nhập và Nhà phát triển lợi dụng lỗ hổng 
  • Các học viên đã tốt nghiệp FOR500 và SEC504 của SANS muốn nâng cao kỹ năng của mình lên một tầm cao mới. 

FOR508 là một khóa học phản ứng sự cố và săn lùng mối đe dọa cao cấp tập trung vào phát hiện và phản ứng với các mối đe dọa kiên trì tiên tiến và các nhóm tội phạm có tổ chức. Khóa học không bao gồm những kiến thức cơ bản về chính sách phản ứng sự cố hoặc điều tra số. 

Chúng tôi khuyến nghị bạn nên có kiến thức về FOR500:  Windows Forensics trước khi tham gia khóa học này. 

  • Module 1: Phản ứng sự cố & Săn lùng mối đe dọa tiên tiến 
  • Module 2: Phân tích xâm nhập 
  • Module 3: Pháp y bộ nhớ trong Phản ứng sự cố & Săn lùng mối đe dọa 
  • Module 4: Phân tích timeline 
  • Module 5: Phản ứng sự cố & Săn lùng trên toàn doanh nghiệp | Phát hiện kẻ tấn công tiên tiến & Chống pháp truyền thống 
  • Module 6: Thử thách Phản ứng sự cố Nhóm Mối đe dọa APT 

Bạn vui lòng liên hệ với Tư vấn viên qua mục chat trên website hoặc gọi đến số 024 3771 0668 để được tư vấn chi tiết về lộ trình học tập và chi phí! 

Top khoá học

				
					
				
			

Đánh giá của đối tác & học viên

Các chuyên gia và sinh viên công nghệ tiềm năng bước ra từ iPMAC nói gì về khóa học?

Tìm kiếm khóa học

Nhận tư vấn

(024) 3771 0668

ĐĂNG KÝ HỌC