محیط اینترنت پر از ابزارهای قدرتمند هک می باشد و همیشه مهاجمان سایبری خطرناک به دنبال سواستفاده از این ابزارها می باشند. اگر سازمانی متصل به اینترنت باشد یا در سازمانی یک یا دو کارمند ناراضی وجود داشته باشد، ممکن است سیستم های کامپیوتری سازمان مورد حمله قرار گیرند. از پنج، ده و حتی صدها حملات مخربی که روزانه روی زیرساخت های اینترنت سازمان ها رخ می دهد، ویروس های مخرب می توانند به آرامی از طریق منابع اطلاعاتی حیاتی به سازمان ها نفوذ کنند و به این طریق مهاجمان سایبری می توانند به اهداف خود برسند. پس بعنوان مدافعان سایبری، ضروری است که ما از ابزارها و تکنیک های هک درک کاملی داشته باشیم.
به گفته Jonathan Carlson دوره SEC504 یک دوره عالی است که می تواند قطعات پازل حوادث امنیتی و تست نفوذ امنیتی را کنار هم بچیند.
مباحث مطرح شده در این دوره به شما کمک می کند تا شما درک کاملی از تفکرات، تاکتیک ها و استراتژی های مهاجمان سایبری داشته باشید. همچنین به شما در زمینه یافتن آسیب پذیری ها و کشف ورودی ها، و تجهیز شما به یک طرح جامع مقابله با حوادث امنیتی، کمک می کند. در حقیقت این دوره شما را به سمت برطرف کردن حملات “oldie-but- goodie” که هنوز هم شایع هستند، سوق می دهند. این دوره به جای صرف زمان برای آموزش چند ترفند ساده حملات هک، یک فرآیند گام به گام آزمایش و تست شده برای آمادگی و زمان پاسخ به حوادث سایبری و کامپیوتری را فراهم می کند و یک شرح مفصلی از نحوه ی انجام کار مهاجمین سیستم ها را ارائه می دهد، بنابراین شما را آماده مقابله و شناسایی این حملات و انجام پاسخ مناسب در مقابل این حملات، می کند. علاوه بر این، این دوره به مباحث حقوقی مرتبط با پاسخ دادن به حملات کامپیوتری نظیر نظارت بر کارکنان، کار با اجرای قانون و رسیدگی به شواهد، می پردازد. در نهایت، کارآموزان در یک کارگاه آموزشی که بر روی نحوه اسکن، بهره برداری از آسیب پذیری ها و دفاع از سیستم تمرکز دارد، شرکت خواهند کرد. این دوره به شما امکان می دهد آسیب های موجود در سیستم خود را قبل از اینکه مهاجمان سایبری کلاه سیاه از انها استفاده کنند، کشف کنید.
این دوره به ویژه برای افرادی که در تشکیل یک تیم مدیریتی حادثه قرار دارند، مناسب است. تمرین کنندگان عمومی امنیت، مدیران سیستم ها و معماران امنیتی با درک کامل از طراحی، ساخت و استفاده از سیستم های خود، به منظور نحوه جلوگیری ، شناسایی و پاسخ به حملات سود خواهند برد.
چه کسانی باید در این دوره شرکت کند:
- کارکنان تیم های حادثه ای
- رهبران تیم های حادثه ای
- مدیران سیستم که در خط مقدم دفاع از سیستم خود و پاسخ به حملات قرار دارند
- سایر پرسنل امنیتی که در هنگام حمله به سیستم، اولین پاسخ را دریافت می کنند
بعد از این دوره شما قادر خواهید بود:
- حصول اطمینان از تسلط بر فرآیندهای دفاع در عمق، شامل آماده سازی، شناسایی، جلوگیری، ریشه کنی و بازیابی برای محافظت از محیط سازمانی
- تجزیه و تحلیل ساختار و تکنیک های حملات رایج به منظور ارزیابی و گسترش حملات از طریق یک سیستم و شبکه به منظور جلوگیری از فعالیت بیشتر مهاجم
- نحوه استفاده از ابزار و شواهد برای تعیین نوع بدافزار مورد استفاده در یک حمله، از جمله rootkits، backdoors و اسب های تروجان به منظور انتخاب دفاع مناسب و تاکتیک پاسخ در برابر هر یک از این نوع حملات
- نحوه استفاده از ابزارهای ساخته شده در ویندوز از قبیل Tasklist، Wmic، Reg و همچنین در لینوکس از قبیل Netstat، Ps، و lsof به منظور تشخیص حضور مهاجم در یک سیستم
- نحوه تجزیه و تحلیل جداول روتر و ARP سیستم همراه با جداول سوئیچ CAM برای پیگیری فعالیت مهاجم از طریق یک شبکه و شناسایی یک مظنون
- نحوه استفاده از تکنیک های Memory Dumps و ابزار نوپا برای تعیین فعالیت های مهاجم بر روی یک سیستم، نحوه نصب بدافزار و سایر دستگاه هایی که مهاجم به عنوان نقاط محوری در شبکه، از آنها استفاده می کرده است.
- نحوه دسترسی به یک سیستم هدف با استفاده از Metasploit، و سپس شناسایی و اثرات بهره برداری از طریق فرآیند، فایل، حافظه و تجزیه و تحلیل ورود به سیستم
- نحوه تجزیه و تحلیل یک سیستم به منظور مشاهده چگونگی استفاده مهاجمان از ابزار Netcat برای انتقال فایل ها و نحوه ایجاد backdoors در محیط سیستم هدف
- نحوه اجرا و استفاده از پورت اسکنر Nmap و اسکنر آسیب پذیری Nessus به منظور پیدا کردن حفره های امنیتی در سیستم های هدف و
- نحوه استفاده از ابزارهایی مانند tcpdump و netstat به منظور شناسایی و تجزیه و تحلیل اثرات فعالیت اسکن
- نحوه استفاده از ابزارnetstat و lsof به منظور تشخیص نوع خاصی از تکنیک های حملات انکار سرویس و انتخاب پاسخ و اقدام مناسب براساس تکنیک های استفاده شده توسط مهاجم
به منظور شرکت در دوره آموزشی SANS SEC504 می توانید از طریق لینک زیر اطلاعات بیشتر را دریافت نمایید
504.1 – بررسی گامبهگام حوادث و جرائم رایانهای
قسمت اول این بخش، مدل ارزشمند گام به گام مدیریت حادثه است که از طریق یک فرایند اجماع و دربرگیرنده حوادث تجربه شده از شرکت ها، سازمان های دولتی و موسسات آموزشی ایجاد شده و در صدها سازمان تأثیرگذار بوده است. این بخش به منظور ارائه معرفی کامل مراحل رسیدگی به حادثه، با استفاده از شش مرحله (آماده سازی، شناسایی، جلوگیری، ریشه کن سازی، بازیابی و یادگیری) مورد نیاز برای آماده سازی و مقابله با یک حادثه کامپیوتری، برای دانشجویان تهیه شده است. قسمت دوم این بخش، مطالعات موردی از حملات برای درک اینکه چه چیزی در شناسایی مهاجمان کامپیوتر موثر است، را بررسی می کند. این بخش اطلاعات ارزشمندی را در مورد مراحلی که یک مدیر سیستم می تواند برای بهبود شانس جلوگیری از حملات و شناسایی مهاجمان را باز یابد، فراهم می کند.
خلاصه این بخش : آماده سازی؛ شناسایی؛ مهار؛ قلع و قمع؛ بهبود؛ اقدامات ویژه برای پاسخ دادن به انواع مختلف حوادث؛ ثبت وقایع حادثه؛ پیگیری حادثه
504.2 – اکسپلویتهای کامیپوترها و شبکهها – قسمت اول
ظاهرا اطلاعات بی ضرر از شبکه شما می تواند سرنخ مورد نیاز یک مهاجم را برای ضربه زدن به سیستم های شما را فراهم کند. در این دوره، جزئیات مربوط به شناسایی و اسکن، دو مرحله اول بسیاری از حملات کامپیوتر را پوشش می دهد.
خلاصه این بخش : شناسایی؛ اسکن کردن؛ گریز از سیستم تشخیص نفوذ؛ تمرین هایی برای لیستی از ابزارها
504.3 – اکسپلویتهای کامیپوترها و شبکهها – قسمت دوم
مهاجمان سایبری کامپیوتری، شبکه های ما و سیستم ها را از راه های مختلف به هم متصل می کنند، در حالی که به طور مداوم تکنیک های خود را بهبود می بخشند. این بخش از مرحه سوم، حملات Gaining Access را پوشش می دهد. مهاجمان سایبری از انواع استراتژی ها را برای سو استفاده از سیستم ها، از سطح شبکه تا سطح برنامه ها، استفاده می کنند. این قسمت حملات در عمق، از جزئیات حملات Buffer OverFlow و Format String Attack تا آخرین شیوه های حملات Session Hijacking را پوشش می دهد.
خلاصه این بخش: حملات سطح شبکه؛ جمع آوری و تجزیه بسته ها؛ و حملات سطح سیستم عامل و برنامه های کاربردی؛ تمرینات با لیستی از ابزارها و در انتها Netcat : بهترین دوست مهاجمان سایبری
504.4 – اکسپلویتهای کامپیوترها و شبکهها – قسمت سوم
این دوره با پوشش یکی از تکنیک های مورد علاقه مهاجمان برای برهم زدن سیستم ها شروع می شود: Worm ها. در این بخش، تحولات worm ها را طی دو سال گذشته تجزیه و تحلیل می کنیم و این روند را در آینده نیز به پیش می بریم تا درک عمیقی از نحوه ی عملکرد سوپر wormهایی که در آینده با آنها مواجه خواهیم شد، داشته باشیم. سپس این دوره به یکی دیگر از حوزه های حیاتی تبدیل می شود که اغلب توسط مهاجمان مورد سوء استفاده قرار می گیرد: برنامه های کاربردی وب. از آنحایی که اکثر برنامه های کاربردی وب سازمان ها، از امنیت تجاری بالایی برخودار نیستند، مهاجمان با استفاده از اکسپلویت ها و استفاده از حملاتی مانند SQL Injection ، XSS ، Session Cloning و انواع مکانیزم های دیگر، به اهداف حمله می کنند.
خلاصه این بخش : حملات Password Cracking ، حملات Web Applicationها، حملات DOS، و تمرین هایی با لیستی از ابزارها
504.5 – اکسپلویتهای کامپیوترها و شبکهها – قسمت چهارم
این دوره طولانی مدت مراحل چهارم و پنجم بسیاری از حملات هکر را پوشش می دهد: حفظ دسترسی و پاک کردن دسترسی ها. مهاجمان سایبری همیشه اقدام به نصب بکدورها، Rootkit ها و در گاهی اوقات اقدام به دستکاری هسته اصلی کرنل به منظور پنهان کردن اعمال خرابکارانه خود می کنند. هرکدام از این دسته ها، نیازمند ابزارهایی به منظور دفاع تخصصی برای حفاظت از سیستم ها می باشد. در این دوره، ما نمونه های مخرب را تجزیه و تحلیل خواهیم کرد، همچنین می توانیم روند های آینده در نرم افزارهای مخرب را بررسی کنیم، از جمله امکانات بدافزاری در سطح BIOS و کمبو.
خلاصه این بخش : حفظ دسترسی، پاک کردن رد پاها تمرین با لیستی از ابزارها
504.6 – کارگاه ابزارهای مهاجمان سایبری
در طول سال های گذشته، راهکارهای امنیتی به منظور جلوگیری از هکرها و مهاجمان سایبری، دقیق تر و موثرتر شده است. اما متاسفانه ابزار هکرها و مهاجمان سایبری نیز دچار هوشمندی و پیچیدگی خاصی شده است. یکی از موثر ترین روش های متوقف کردن دشمن این است که در حقیقت محیط را با همان ابزار و تاکتیک هایی که مهاجم ممکن است در برابر شما استفاده کند، آزمایش کند. این کارگاه آموزشی به شما امکان می دهد آنچه را که در طول هفته گذشته آموخته اید را تمرین کنید.
خلاصه این بخش : آنالیز و تجزیه و تحلیل