Contenido Programático
Investigación Forense Digital
Prepararse para enfrentar delitos cibernéticos que afectan directamente las redes y sistemas en las organizaciones es un reto. Conozca cómo formar profesionales en el área digital forense, capaces de unir las piezas de los acontecimientos segundo a segundo ante una intrusión informática y con la experticia necesaria para la resolución de estos incidentes.
 
Inicio > Servicios > Formación en Seguridad IT > Investigación Forense
 


Descripción : Los delitos informáticos cada día son más complejos, especializados y dañinos. En infinidad de ocasiones usando una computadora personal como arma, hackers, empleados descontentos y criminales (incluso jóvenes menores de edad) generan ataques a terceros, empresas, agencias de gobierno, pequeños negocios, internet o individuos cuyos números de tarjetas de crédito o información confidencial son empleados con fines perjudiciales. En este entorno, el reto de un investigador forense es obtener del mundo digital las evidencias necesarias para detectar al intruso, descubrir el daño causado y detener al culpable, preservando siempre la integridad de las evidencias colectadas.

Objetivo: Este entrenamiento está diseñado para proporcionar los fundamentos esenciales para iniciarse en la investigación forense, así como reforzar conocimientos o complementar la formación de investigadores forenses con más experiencia en seguridad informática.

Se cubrirá desde conceptos básicos y metodología, pasando por actividad forense aplicada a la red o sistemas operativos como Windows y Linux, hasta ejercicios prácticos que permitan afianzar los conocimientos adquiridos.

Nivel: Básico-intermedio.

Duración: 32 horas.

¿Quiénes deben asistir?

Líderes de equipos de respuesta a incidentes, y quienes deben enfrentar regularmente complejas eventualidades en seguridad (intrusiones de grupos APT, adversarios avanzados) y necesitan saber cómo detectar, investigar, remediar y recuperar las áreas comprometidas dentro de los sistemas empresariales.
Personal de centros de operaciones de seguridad y profesionales en el área de seguridad de la información, que apoyan las estrategias de seguimiento, búsqueda e identificación de los atacantes en sus entornos de red.
Analistas forenses digitales experimentados, que quieren consolidar y ampliar su comprensión de la ciencia forense en archivos de los sistemas, en la investigación individual técnicamente avanzada, tácticas de respuesta a incidentes, e investigaciones de intrusión avanzadas.
Administradores de sistemas que están en la primera línea de defensa y respuesta a los ataques.
Especialistas de los diferentes sectores económicos (público y privado) que deseen dominar técnicas avanzadas de investigación de intrusiones y respuesta a incidentes, además de ampliar sus habilidades más allá de los enfoques de la ciencia forense digital tradicional, basados en el host.
Miembros de equipos rojos (hackeo ético), encargados de tests de penetración, y desarrolladores de exploits que desean aprender como sus oponentes pueden identificar sus acciones. Descubre errores comunes que podrían comprometer las operaciones en sistemas remotos y la forma de evitarlos. Este curso cubre los sistemas forenses remotos y las técnicas de recolección de datos que se pueden integrar fácilmente en procedimientos operativos post-exploits, y baterías de pruebas de penetración.

Usted será capaz de…

Aplicar procesos de respuesta a incidentes, inteligencia de amenazas y análisis forense digital, para investigar los entornos empresariales con brechas de protección contra amenazas persistentes avanzadas (APT), sindicatos del crimen organizado o hacktivistas.
Descubrir cómo están compuestos todos los sistemas de su empresa, utilizando herramientas de respuesta a incidentes, además de ser capaz de realizar análisis forenses digitales, para identificar la “cabeza de playa” de los APTs y los mecanismos de ataques spearphishing, el movimiento lateral y técnicas de data exfiltration.
Realizar análisis forenses y respuesta a incidentes en cualquier disco duro de la empresa a distancia, o en la memoria del sistema, lo que permite una respuesta inmediata y un análisis de toda la organización.
Usar la memoria del sistema y el conjunto de herramientas de Volatility, para descubrir el malware activo en un sistema, determinar cómo fue colocado el malware allí, y recuperarlo para ayudar a desarrollar inteligencia de amenazas, a fin de ejecutar las acciones apropiadas durante la respuesta a incidentes.
Detectar capacidades avanzadas de amenazas informáticas como Stuxnet, TDSS, o APT, tomando el “Comando y Control” del malware de inmediato, para determinar rápidamente la amenaza que afecta a la organización, además del alcance y la verdadera magnitud de la violación de los datos.
Seguir las huellas exactas de un atacante que cruza múltiples sistemas, observar los datos que han recogido durante la intrusión, además de realizar un seguimiento de los movimientos de su adversario en la red de la empresa, mediante un análisis de línea de tiempo, realizado con el conjunto de herramientas log2timeline.
Iniciar la recuperación y remediación de las áreas afectadas, a través de la utilización de indicadores de Compromiso (COI), Inteligencia de Amenazas, y técnicas clave de investigación y exploración forense digital, a fin de identificar malwares activos y todos los sistemas empresariales afectados por la intrusión.
Realizar la cirugía del sistema de archivos.
Descubrir mecanismos de persistencia de un adversario para que el malware siga funcionando en un sistema después de un reinicio, mediante la utilización de herramientas para la interfaz de línea de comandos como Autorunsc, psexec, analizador de trabajo y políticas de grupo.


MÓDULO 1. CONCEPTOS Y PRINCIPIOS.

¿QUÉ ES INVESTIGACIÓN FORENSE? DEFINICIONES EN ACTIVIDAD FORENSE
Evidencia
Tipos de evidencia
...... Volátil
...... No volátil
Cadena de custodia
...... Mejor evidencia:
..........- Integridad de la evidencia
..........- Imágenes
..........- Lista de palabras de búsqueda
..........- Respuesta a incidentes
..........- Análisis de media
...... Principios forenses



MÓDULO 2. METODOLOGÍA DE INVESTIGACIÓN FORENSE.

METODOLOGÍA DE INVESTIGACIÓN FORENSE
Verificación
...... A nivel de Red
...... A nivel de host
Descripción del sistema
Colección de evidencia
...... Logs
...... Archivos
...... Imágenes
Creación y análisis de línea de tiempo (TimeLine)
Análisis de medios específicos del sistema operativo
...... Análisis en Linux
...... Análisis en Windows
Recuperación de data
Búsqueda de string
Reportes

ASPECTOS ESENCIALES DE FILE SYSTEMS
Base y estructura de File Systems
...... 5 Capas
..........- Física
..........- File System
..........- Data
..........- Metadata
..........- File name
...... File System en Windows
..........- File System en Linux

ANÁLISIS DE LÍNEA DE TIEMPO (TIMELINES)
Forensics MACtimes
Timelines



MÓDULO 3. ACTIVIDAD FORENSE DIGITAL.

ACTIVIDAD FORENSE DE RED
Uso de Sniffers
Wiretap
Tools y comandos útiles
Integridad de la evidencia (md5, md5sum, md5deep)

ACTIVIDAD FORENSE PARA LINUX
Herramientas utilizadas
...... lsof, netstat
...... dd, netcat
...... pcat
...... md5sum
...... uptime
...... date
...... cat
...... fdisk
...... mac_daddy.pl
...... memdump
...... dd
...... dcfldd
...... mmls
Verificando los File Systems
...... /etc/passwd, /dev
...... log files, history files
..........- Directorios con “.”
..........- SUID/SGID files
..........- Binarios, archivos creados
Análisis de imágenes
...... Helix
...... Grab
...... Hex Editor
...... File, strings, Grez
...... Sleuth kit
...... Lazarus
...... Autopsy

ACTIVIDAD FORENSE PARA WINDOWS
Herramientas utilizadas:
...... Ethereal
...... Winhex
...... Netcat, date, time, uptime,
...... Psinfo, pslist, sport, mac
...... Windows forensics toolchest
Volume_dump
...... dd.exe
Análisis de imágenes
...... strings
...... email, word
...... recycle bin
...... registry (search history, typed urls, last commands executed, last files saved)
...... sid2user
...... winhex, hexedit
 
 
 
Inicio..|..Servicios..|..Soluciones..|..Productos..|..Empresa..|..Soporte..|..Privacidad..|..Webmail..|..Contacto
© - C.G.S.I, C.A. - Rif: J-30881982-4