دوره SANS SEC504 به شما کمک میکند مهارتهای لازم برای پاسخ به حوادث در سازمان خود را توسعه دهید. شما خواهید آموخت چگونه آسیب پذیری ها را شناسایی کنید و استراتژیهای دفاعی مؤثری را برای آن ها ایجاد کنید. همچنین با روش ها و ابزارهای حملات سایبری و هکر ها آشنا خواهید شد .در دوره SANS 504 برای تقویت مهارتهای ذکر شده , 50% از زمان کلاس به انجام تمرینات عملی اختصاص داده شده است.
در دوره SANS 504 با چه مباحثی آشنا خواهیم شد ؟
شناسایی و پاسخ به حوادث سایبری برای کمینه کردن تاثیر آسیب پذیری های شناخته شده. این مورد می تواند کلی ترین هدف دوره باشد. همچنین برای درک کامل از اقداماتی که هکر ها انجام میدهند باید با ابزارها و تکنیکهای هک آنها آشنا شویم. برای درک بهتر این موارد 50 درصد تمرکز ما در دوره SANS SEC 504 بر روی اعمال آنچه که یاد میگیرید با انجام تمرینات عملی است.
نکات کلیدی پس از گذراندن دوره SANS 504:
- نوشتن طرح واکنش سریع به حوادث یا همان Disaster Plan
- شناسایی تهدیدات با استفاده از تجزیه و تحلیل سیستم ها، شبکه و لاگ
- بهرهگیری از PowerShell برای جمعآوری داده و تجزیه و تحلیل تهدیدات سایبری
- تعیین استراتژیهای دفاعی برای حفاظت از داراییهای حیاتی
- روش های حمله به شبکه های ابری و غیر از آن
- تکنیک های به کار رفته برای گریز از دستان آنتی ویروس و EDR و XDR
- محاسبه تهدید ها و آسیب پذیری های هر داریی در سازمان
- آشنایی با ابزارها و ذهنیت هکر ها جهت مقابله با آن ها
- و…
سرفصل های دوره SANS SEC 504 :
SEC504.1: واکنش به حوادث و تحقیقات سایبری Incident Response and Cyber Investigations
بخش اول دوره SEC504 بر روی چگونگی توسعه و اجرای فرآیند مدیریت حوادث و واکنش به آن ها در سازمان شما تمرکز دارد. ما این فرآیند را با آزمایشهای عمیق و نمونههایی از نقضهای واقعی با استفاده از PowerShell و دیگر ابزارهای تحلیلی ارزشمند اجرا خواهیم کرد. همچنین یاد خواهید گرفت چگونه میتوانید فرآیند تجزیه و تحلیل حادثه را بدون از دست دادن دقت با استفاده از پلتفرمهای هوش مصنوعی تولیدی افزایش دهید.
تمرینات عملی در این فصل :
- بررسی ویندوز
- بررسی شبکه
- بررسی حافظه موقت و دائم
- ارزیابی لاگ وردپرس
- مقدمه Tcpdump
موضوعات آموزشی این فصل :
- واکنش به حوادث سایبری
- رویکرد پویا به واکنش به حوادث سایبری
- استفاده از منابع شواهد متعدد برای تجزیه و تحلیل حوادث سایبری
- استفاده از PowerShell برای شکار تهدیدات ویندوز
- شناسایی فرآیندهای مشکوک ویندوز
- ارزیابی تهدیدات امنیتی مخفی و بدون فایل
- استفاده از ابزارهای Sysinternals برای بررسی امنیت ویندوز
- شناسایی مشکلات امنیتی با استفاده از لاگهای سرور پروکسی
- فیلتر کردن فعالیت شبکه برای شناسایی تهدید ها
- ارزیابی ترافیک شبکه رمزنگاری شده
- جمعآوری اطلاعات داخل حافظه فرار یک سیستم
- استفاده از Volatility 3 برای بررسی تخریب های حمله
- ارزیابی تخریب حملات در یک محیط آزمایشی ایمن
- بررسی اقدامات مخرب با RegShot و Procmon
- شناسایی کد مخرب در ویندوز
- تسریع واکنش به حوادث با هوش مصنوعی
- اتوماسیون دیوبفسیکیشن داده با هوش مصنوعی
- تولید اسکریپت برای افزایش جمعآوری و تجزیه و تحلیل داده
- شناسایی و کاهش خطرات واکنش به حوادث با هوش مصنوعی
- یادگیری لینوکس با استفاده از یک محیط یادگیری تعاملی
- توسعه مهارتهای خط فرمان
- کار با سیستمها و مجوزهای فایل لینوکس
- استفاده از JQ برای تجزیه و تحلیل دادههای JSON
- استفاده از ابزارهای تجزیه و تحلیل فایل، از جمله grep، cut و awk
- راهنمای پاسخ به حوادث نفوذ به لینوکس
- یادگیری PowerShell در ویندوز با استفاده از یک محیط یادگیری تعاملی
- شروع به یادگیری مهارتهای PowerShell: cmdlets، functions، built-ins و غیره!
- یادگیری سریع یک سیستم ویندوزی برای شکار مؤثر تهدیدات
SEC504.2: حملات تجسس، اسکن و شمارش Recon, Scanning, and Enumeration Attacks
در این بخش دوره، به تکنیکهایی که مهاجمان برای حملات استفاده میکنند، میپردازیم. این تکنیکها شامل استفاده از اطلاعات و اسکن شبکه به منظور پیدا کردن نقاط ضعف امنیتی است. شما از تکنیکهای مهاجم برای ارزیابی امنیت یک شبکه هدف استفاده خواهید کرد، پروتکلها و نقاط پایانی محبوب برای هدفهای ویندوز، لینوکس، آزور و آمازون را ارزیابی خواهید کرد. پس از انجام حملات، شما به بررسی دادهها و شواهد لاگها میپردازید تا این حملات را در زمان رخ دادن شناسایی کنید.
تمرینات عملی در این فصل :
- جستجوی نام دامنه و زیر دامنه ها (DNS)
- کشف و ارزیابی میزبان با Nmap
- کشف داراییهای ابری با Masscan
- حملات جلسه Windows Server Message Block (SMB)
- تشخیص حملات رمز عبور ویندوز
- شروع کار با Dig
- استخراج متادیتا
- اسکن با SMBeagle
- دسترسی به کاربر با SMB
موضوعات آموزشی این فصل :
- معرفی چارچوب MITRE ATTACK
- استفاده از ATTACK برای راهنمایی در روش های پاسخ به حوادث سایبری
- پیگیری تکنیکهای حملات در حال تغییر
- بهرهگیری از ATTACK برای بدست آوردن اطلاعات آسیب پذیری
- شناسایی میزبان از طریق دادههای دامنه و اطلاعات گواهینامه عمومی
- شمارش دارایی با استفاده از ابزارهای Project Discovery
- استخراج دادههای سازمان از سرورهای DNS عمومی
- شمارش خودکار میزبان با dns-brute
- بازرسی لاگ سرور DNS برای شناسایی حملات
- پیمایش هدفهای وب و مرتبسازی دادهها
- تجزیه و تحلیل دادههای قابل تبادل تصویری (EXIF) از اسناد عمومی
- حملات ابری با AADInternals
- بهرهگیری از وبسایتهای تاریک برای جمعآوری اطلاعات تهدید
- محدود کردن افشای دادههای حساس وبسایت
- اسکن شبکه و میزبان با Nmap
- شمارش و شناسایی میزبان با Nmap
- مستند سازی شبکه داخلی و خارجی
- کمینه کردن فعالیت شبکه برای جلوگیری از شناسایی
- ارزیابی عمیق میزبان با ابزارهای موتور اسکریپت Nmap
- اسکن ابری
- شتاببخشی اسکن با Masscan
- مستند سازی با EyeWitness
- امنیت Server Message Block (SMB)
- شناسایی حملات SMB علیه ویندوز
- استفاده از ابزارهای داخلی برای حملات حدس رمز عبور SMB
- درک ویژگیهای امنیتی SMB
- شناسایی از دست رفتن دادههای حساس از سرور فایل SMB
- قوانین دفاع Hayabusa و Sigma
- شناسایی حملات با استفاده از لاگهای رویداد ویندوز و Hayabusa
- شکار تهدید با استفاده از قوانین Sigma
- ارزیابی از راه دور برای شناسایی تهدید و آغاز تجزیه و تحلیل حادثه سایبری
SEC504.3: حملات رمز عبور و دسترسی Password and Access Attacks
حملات رمز عبور بهترین وسیله برای مهاجمان به منظور دور زدن دفاعها و دستیابی به داراییهای سازمان شما میباشد. در این بخش، به بررسی حملات پیچیدهای که از ضعفهای رمز عبور و احراز هویت چند مرحلهای بهرهمند شده و با آن به سایر اهداف شبکه دست یافته میشود، میپردازیم.
تمرینات عملی در این فصل :
- حملات حدس رمز عبور با استفاده از ابزار Hydra
- حملات حدس رمز عبور در ابر به Microsoft 365 با استفاده از خدمات AWS
- شکستن رمز عبور با استفاده از ابزار Hashcat
- کشف با Bucket
- کاربردهای مختلف Netcat
- فیلترینگ لیست رمز عبور
موضوعات آموزشی این فصل :
- حملات سه گانه رمز عبور
- تکنیکهای دور زدن دفاعات در برابر حملات رمز عبور
- درک حملات احراز هویت واقعی
- حملات Microsoft 365
- ارزیابی و دور زدن احراز هویت چند مرحلهای (MFA)
- حملات به پلتفرمهای نرمافزار به عنوان سرویس در ابر (SaaS)
- بهرهمندی از خدمات AWS برای دور زدن قفلکردن حساب
- درک هشهای رمز عبور
- ضعف در فرمتهای هش رمز عبور ویندوز
- جمعآوری هشهای رمز عبور در هدفهای ویندوز و لینوکس
- کاهش تأثیر شکستن رمز عبور بر اساس GPU با استفاده از scrypt و Argon2
- شکستن رمز عبور
- بازیابی رمز عبور از هش با استفاده از Hashcat
- شتابدهنده شکستن رمز عبور با GPU و داراییهای ابر
- احراز هویت چند مرحلهای و آثار شکستن رمز عبور
- ذخیرهسازی ناامن
- افشای ذخیرهسازی Bucket
- کشف ذخیرهسازی ناامن Bucket
- Netcat چندمنظوره
- انتقال دادههای داخلی برای دور زدن کنترلهای نظارتی
- گوش دادن و دسترسی به دستگاههای بازگشتی TCP در لینوکس و ویندوز
- نگاه دقیق به تکنیکهای مهاجم
SEC504.4: حملات علنی Public-Facing and Drive-By Attacks
در این بخش دوره، نگاهی به چارچوبهای روش بهرهمندی از ضعفهای سرورها و آسیبپذیریهای آن خواهیم داشت.
تمرینات عملی در این فصل :
- حمله و تجزیه و تحلیل با Metasploit
- جمع آوری دیتا از مرورگر (BeEF)
- حمله با تزریق دستور
- حمله Cross-Site Scripting
- حمله تزریق کد SQL Injection
- حمله Server Side Request Forgery (SSRF) و Instance Metadata Service (IMDS)
- آموزش MsfVenom
موضوعات آموزشی این فصل :
- استفاده از Metasploit
- برقراری و استفاده از دسترسی قربانی Command & Control (C2)
- شناسایی نشانههای Metasploit و Meterpreter برای پاسخ به حوادث
- فیشینگ و فایلهای مخرب
- حمله به مرورگرهای وب قربانی
- حمله به سیستم کنترل
- توسعه حملات مؤثر
- دور زدن دفاعهای سایبری
- بهرهبرداری از ابزارهای تشخیصی ویندوز برای پاسخ به حوادث سایبری
- سرقت اطلاعات و تحلیل سیستم کارمندی که اخراج شده است
- تخریب وبسایتها با تزریق دستور و کد
- اعمال تزریق (کد) دستور در اهداف غیر وبسایتی
- ارزیابی برنامههای وب برای نقاط ضعف تزریق کد
- Cross-Site Scripting (XSS)
- بهرهبرداری از مرورگرهای قربانی از طریق ضعفهای سرور
- دستهبندی انواع XSS برای حملات هدفمند
- دزدی کوکی، جمعآوری رمزعبور و حملات ضبط دوربین/میکروفون
- استفاده از سیاستهای امنیتی محتوا (CSP) برای متوقف کردن XSS
- تزریق SQL
- درک ساختارها و خطاهای توسعهدهندگان SQL
- استخراج داده از طریق تزریق SQL
- استفاده از Sqlmap برای اتوماسیون کشف آسیبپذیری
- تزریق SQL به دیتابیسهای ابری: Relational Database Service (RDS)، Spanner، Azure SQL
- حملات SSRF و IMDS
- شناسایی آسیبپذیریهای Server Side Request Forgery
- حمله به سیستم تشخیصی Falsimentis
- به دست آوردن کلیدهای ابری از طریق حملات IMDS
SEC504.5: حملات دورزنی و اکسپلویت Evasion and Post-Exploitation Attacks
این فصل با حملات رمز عبور و حملات بر اساس آسیبپذیریهاآغاز می شود و خواهید دید چگونه حملهکنندگان از سیستمهای محافظتی عبور میکنند و از اهداف شبکه داخلی استفاده میکنند. سپس تکنیکهای یادگرفتهشده را با حملات داخلی به شبکه محلی (LAN) ترکیب می کنیم.
چگونه حملهکنندگان به یک سازمان , اطلاعات را جمعآوری میکنند؟ در این فصل این مهارت را خواهید آموخت
تمرینات عملی در این فصل :
- عبور از لیستهای مجاز برنامهها
- چرخش و حرکت جانبی با Metasploit
- حمله Responder
- استقرار پایداری با Metasploit
- شکار تهدید شبکه با تحلیل هوش تهدید واقعی (RITA)
- ارزیابی پیکربندی ابر با ScoutSuite
- ساخت کارت مرور با Anki
- ارتقاء سطح دسترسی Linux با Sudo
- تولید لاگهای Zeek
موضوعات آموزشی این فصل :
- عبور از امنیت Endpoint
- استفاده از ابزارهای امضاشده توسط Microsoft برای حمله به سیستمها: (LOL)
- بهرهمندی حداکثری از پلتفرمهای تشخیص و پاسخ امنیتی انتها (EDR/XDR)
- استفاده از ویژگیهای Metasploit
- اجتناب از شناسایی حملهکننده
- حملات دزدی
- استفاده از دسترسی امتیازی به LAN
- حمله به پروتکلهای آسیبپذیر ویندوز
- جمعآوری رمزها در LAN
- استفاده از حملات Active Directory ویندوز
- دسترسی به شاخه وبشل
- تحلیل هوش تهدید واقعی
- شکار تهدید از طریق تحلیل شبکه
- گرفتن دامنهی DNS و حملات دسترسی
- شناسایی دروازههای پنهانی در Azure
- استفاده از Pacu بهعنوان چارچوب حمله ابری
- دسترسی به دیتابیس در Google Compute
- ارزیابی ساختار ابری به منظور آسیبپذیری
- اعمال نظریه تکرار فضایی با استفاده از Anki