دوره SANS SEC504 به شما کمک می‌کند مهارت‌های لازم برای پاسخ به حوادث در سازمان خود را توسعه دهید. شما خواهید آموخت چگونه آسیب پذیری ها را شناسایی کنید و استراتژی‌های دفاعی مؤثری را برای آن ها  ایجاد کنید. همچنین با روش ها و ابزارهای حملات سایبری و هکر ها آشنا خواهید شد .در دوره SANS 504 برای تقویت مهارت‌های ذکر شده , 50% از زمان کلاس به انجام تمرینات عملی اختصاص داده شده است.

در دوره SANS 504 با چه مباحثی آشنا خواهیم شد ؟

شناسایی و پاسخ به حوادث سایبری برای کمینه کردن تاثیر آسیب پذیری های شناخته شده. این مورد می تواند کلی ترین هدف دوره باشد. همچنین برای درک کامل از اقداماتی که هکر ها انجام می‌دهند باید با ابزارها و تکنیک‌های هک آنها آشنا شویم. برای درک بهتر این موارد 50 درصد تمرکز ما در دوره  SANS SEC 504 بر روی اعمال آنچه که یاد می‌گیرید با انجام تمرینات عملی است.

نکات کلیدی پس از گذراندن دوره SANS 504:

1. نوشتن طرح واکنش سریع به حوادث یا همان Disaster Plan
2. شناسایی تهدیدات با استفاده از تجزیه و تحلیل سیستم ها، شبکه و لاگ
3. بهره‌گیری از PowerShell برای جمع‌آوری داده و تجزیه و تحلیل تهدیدات سایبری
4. تعیین استراتژی‌های دفاعی برای حفاظت از دارایی‌های حیاتی
5. روش های حمله به شبکه های ابری و غیر از آن
6. تکنیک های به کار رفته برای گریز از دستان آنتی ویروس و EDR و XDR
7. محاسبه تهدید ها و آسیب پذیری های هر داریی در سازمان
8. آشنایی با ابزارها و ذهنیت هکر ها جهت مقابله با آن ها
9. و…

سرفصل های دوره SANS SEC 504 :

SEC504.1: واکنش به حوادث و تحقیقات سایبری Incident Response and Cyber Investigations

بخش اول دوره SEC504 بر روی چگونگی توسعه و اجرای فرآیند مدیریت حوادث و واکنش به آن ها در سازمان شما تمرکز دارد. ما این فرآیند را با آزمایش‌های عمیق و نمونه‌هایی از نقض‌های واقعی با استفاده از PowerShell و دیگر ابزارهای تحلیلی ارزشمند اجرا خواهیم کرد. همچنین یاد خواهید گرفت چگونه می‌توانید فرآیند تجزیه و تحلیل حادثه را بدون از دست دادن دقت با استفاده از پلتفرم‌های هوش مصنوعی تولیدی افزایش دهید.

تمرینات عملی در این فصل :

• بررسی ویندوز
• بررسی شبکه
• بررسی حافظه موقت و دائم
•  ارزیابی لاگ وردپرس
•  مقدمه Tcpdump

موضوعات آموزشی این فصل :

• واکنش به حوادث سایبری
• رویکرد پویا به واکنش به حوادث سایبری
• استفاده از منابع شواهد متعدد برای تجزیه و تحلیل حوادث سایبری
• استفاده از PowerShell برای شکار تهدیدات ویندوز
• شناسایی فرآیندهای مشکوک ویندوز
• ارزیابی تهدیدات امنیتی مخفی و بدون فایل
• استفاده از ابزارهای Sysinternals برای بررسی امنیت ویندوز
• شناسایی مشکلات امنیتی با استفاده از لاگ‌های سرور پروکسی
• فیلتر کردن فعالیت شبکه برای شناسایی تهدید ها
• ارزیابی ترافیک شبکه رمزنگاری شده
• جمع‌آوری اطلاعات داخل حافظه فرار یک سیستم 
• استفاده از Volatility 3 برای بررسی تخریب های حمله
• ارزیابی تخریب حملات در یک محیط آزمایشی ایمن
• بررسی اقدامات مخرب با RegShot و Procmon
• شناسایی کد مخرب در ویندوز
• تسریع واکنش به حوادث با هوش مصنوعی
• اتوماسیون دیوبفسیکیشن داده با هوش مصنوعی
• تولید اسکریپت برای افزایش جمع‌آوری و تجزیه و تحلیل داده
• شناسایی و کاهش خطرات واکنش به حوادث با هوش مصنوعی
• یادگیری لینوکس با استفاده از یک محیط یادگیری تعاملی
• توسعه مهارت‌های خط فرمان
• کار با سیستم‌ها و مجوزهای فایل لینوکس
• استفاده از JQ برای تجزیه و تحلیل داده‌های JSON
• استفاده از ابزارهای تجزیه و تحلیل فایل، از جمله grep، cut و awk
• راهنمای پاسخ به حوادث نفوذ به لینوکس
• یادگیری PowerShell در ویندوز با استفاده از یک محیط یادگیری تعاملی
• شروع به یادگیری مهارت‌های PowerShell: cmdlets، functions، built-ins و غیره!
• یادگیری سریع  یک سیستم ویندوزی برای شکار مؤثر تهدیدات

SEC504.2: حملات تجسس، اسکن و شمارش Recon, Scanning, and Enumeration Attacks

در این بخش دوره، به تکنیک‌هایی که مهاجمان برای حملات استفاده می‌کنند، می‌پردازیم. این تکنیک‌ها شامل استفاده از اطلاعات و اسکن شبکه به منظور پیدا کردن نقاط ضعف امنیتی است. شما از تکنیک‌های مهاجم برای ارزیابی امنیت یک شبکه هدف استفاده خواهید کرد، پروتکل‌ها و نقاط پایانی محبوب برای هدف‌های ویندوز، لینوکس، آزور و آمازون را ارزیابی خواهید کرد. پس از انجام حملات، شما به بررسی داده‌ها و شواهد لاگ‌ها می‌پردازید تا این حملات را در زمان رخ دادن شناسایی کنید.

تمرینات عملی در این فصل :

• جستجوی نام دامنه و زیر دامنه ها (DNS)
• کشف و ارزیابی میزبان با Nmap
• کشف دارایی‌های ابری با Masscan
• حملات جلسه Windows Server Message Block (SMB)
• تشخیص حملات رمز عبور ویندوز
• شروع کار با Dig
• استخراج متادیتا
• اسکن با SMBeagle
• دسترسی به کاربر با SMB

موضوعات آموزشی این فصل :

• معرفی چارچوب MITRE ATTACK
• استفاده از ATTACK برای راهنمایی در روش های پاسخ به حوادث سایبری
• پیگیری تکنیک‌های حملات در حال تغییر
• بهره‌گیری از ATTACK برای بدست آوردن اطلاعات آسیب پذیری
• شناسایی میزبان از طریق داده‌های دامنه و اطلاعات گواهینامه عمومی
• شمارش دارایی با استفاده از ابزارهای Project Discovery
• استخراج داده‌های سازمان از سرورهای DNS عمومی
• شمارش خودکار میزبان با dns-brute
• بازرسی لاگ سرور DNS برای شناسایی حملات
• پیمایش هدف‌های وب و مرتب‌سازی داده‌ها
• تجزیه و تحلیل داده‌های قابل تبادل تصویری (EXIF) از اسناد عمومی
• حملات ابری با AADInternals
• بهره‌گیری از وب‌سایت‌های تاریک برای جمع‌آوری اطلاعات تهدید
• محدود کردن افشای داده‌های حساس وب‌سایت
• اسکن شبکه و میزبان با Nmap
• شمارش و شناسایی میزبان با Nmap
• مستند سازی شبکه داخلی و خارجی
• کمینه کردن فعالیت شبکه برای جلوگیری از شناسایی
• ارزیابی عمیق میزبان با ابزارهای موتور اسکریپت Nmap
• اسکن ابری
• شتاب‌بخشی اسکن با Masscan
• مستند سازی با EyeWitness
• امنیت Server Message Block (SMB)
• شناسایی حملات SMB علیه ویندوز
• استفاده از ابزارهای داخلی برای حملات حدس رمز عبور SMB
• درک ویژگی‌های امنیتی SMB
• شناسایی از دست رفتن داده‌های حساس از سرور فایل SMB
• قوانین دفاع  Hayabusa و Sigma
• شناسایی حملات با استفاده از لاگ‌های رویداد ویندوز و Hayabusa
• شکار تهدید با استفاده از قوانین Sigma
• ارزیابی از راه دور برای شناسایی تهدید و آغاز تجزیه و تحلیل حادثه سایبری

SEC504.3: حملات رمز عبور و دسترسی Password and Access Attacks

حملات رمز عبور بهترین وسیله برای مهاجمان به منظور دور زدن دفاع‌ها و دستیابی به دارایی‌های سازمان شما می‌باشد. در این بخش، به بررسی حملات پیچیده‌ای که از ضعف‌های رمز عبور و احراز هویت چند مرحله‌ای بهره‌مند شده و با آن به سایر اهداف شبکه دست یافته می‌شود، می‌پردازیم.

تمرینات عملی در این فصل :

• حملات حدس رمز عبور با استفاده از ابزار Hydra
• حملات حدس رمز عبور در ابر به Microsoft 365 با استفاده از خدمات AWS
• شکستن رمز عبور با استفاده از ابزار Hashcat
• کشف با Bucket
• کاربردهای مختلف Netcat
• فیلترینگ لیست رمز عبور

موضوعات آموزشی این فصل :

• حملات سه گانه رمز عبور
• تکنیک‌های دور زدن دفاعات در برابر حملات رمز عبور
• درک حملات احراز هویت واقعی
• حملات Microsoft 365
• ارزیابی و دور زدن احراز هویت چند مرحله‌ای (MFA)
• حملات به پلتفرم‌های نرم‌افزار به عنوان سرویس در ابر (SaaS)
• بهره‌مندی از خدمات AWS برای دور زدن قفل‌کردن حساب
• درک هش‌های رمز عبور
• ضعف‌ در فرمت‌های هش رمز عبور ویندوز
• جمع‌آوری هش‌های رمز عبور در هدف‌های ویندوز و لینوکس
• کاهش تأثیر شکستن رمز عبور بر اساس GPU با استفاده از scrypt و Argon2
• شکستن رمز عبور
• بازیابی رمز عبور از هش با استفاده از Hashcat
• شتاب‌دهنده شکستن رمز عبور با GPU و دارایی‌های ابر
• احراز هویت چند مرحله‌ای و آثار شکستن رمز عبور
• ذخیره‌سازی ناامن
• افشای ذخیره‌سازی Bucket 
• کشف ذخیره‌سازی ناامن Bucket
• Netcat چندمنظوره
• انتقال داده‌های داخلی برای دور زدن کنترل‌های نظارتی
• گوش دادن و دسترسی به دستگاه‌های بازگشتی TCP در لینوکس و ویندوز
• نگاه دقیق به تکنیک‌های مهاجم

SEC504.4: حملات علنی Public-Facing and Drive-By Attacks

در این بخش دوره، نگاهی به چارچوب‌های روش بهره‌مندی از ضعف‌های سرورها و آسیب‌پذیری‌های آن خواهیم داشت.

تمرینات عملی در این فصل :

• حمله و تجزیه و تحلیل با Metasploit
• جمع آوری دیتا از مرورگر (BeEF)
• حمله با تزریق دستور
• حمله Cross-Site Scripting
• حمله تزریق کد SQL Injection
• حمله Server Side Request Forgery (SSRF) و Instance Metadata Service (IMDS)
• آموزش MsfVenom

موضوعات آموزشی این فصل :

• استفاده از Metasploit 
• برقراری و استفاده از دسترسی قربانی  Command & Control (C2)
• شناسایی نشانه‌های Metasploit و Meterpreter برای پاسخ به حوادث
• فیشینگ و فایل‌های مخرب 
• حمله به مرورگرهای وب قربانی
• حمله به سیستم کنترل
• توسعه حملات مؤثر
• دور زدن دفاع‌های سایبری
• بهره‌برداری از ابزارهای تشخیصی ویندوز برای پاسخ به حوادث سایبری
• سرقت اطلاعات و تحلیل سیستم کارمندی که اخراج شده است
• تخریب وب‌سایت‌ها با تزریق دستور و کد
• اعمال تزریق (کد) دستور در اهداف غیر وب‌سایتی
• ارزیابی برنامه‌های وب برای نقاط ضعف تزریق کد
• Cross-Site Scripting (XSS)
• بهره‌برداری از مرورگرهای قربانی از طریق ضعف‌های سرور
• دسته‌بندی انواع XSS برای حملات هدفمند
• دزدی کوکی، جمع‌آوری رمزعبور و حملات ضبط دوربین/میکروفون
• استفاده از سیاست‌های امنیتی محتوا (CSP) برای متوقف کردن XSS
• تزریق SQL
• درک ساختارها و خطاهای توسعه‌دهندگان SQL
• استخراج داده از طریق تزریق SQL
• استفاده از Sqlmap برای اتوماسیون کشف آسیب‌پذیری
• تزریق SQL به دیتابیس‌های ابری: Relational Database Service (RDS)، Spanner، Azure SQL
• حملات SSRF و IMDS
• شناسایی آسیب‌پذیری‌های Server Side Request Forgery
• حمله به سیستم تشخیصی Falsimentis
• به دست آوردن کلیدهای ابری از طریق حملات IMDS

SEC504.5: حملات دورزنی و اکسپلویت Evasion and Post-Exploitation Attacks

این فصل با حملات رمز عبور و حملات بر اساس آسیب‌پذیری‌هاآغاز می شود و خواهید دید چگونه حمله‌کنندگان از سیستم‌های محافظتی عبور می‌کنند و از اهداف شبکه داخلی استفاده می‌کنند. سپس تکنیک‌های یادگرفته‌شده را با حملات داخلی به شبکه محلی (LAN) ترکیب می کنیم.

چگونه حمله‌کنندگان به یک سازمان , اطلاعات را جمع‌آوری می‌کنند؟ در این فصل این مهارت را خواهید آموخت

تمرینات عملی در این فصل :

• عبور از لیست‌های مجاز برنامه‌ها
• چرخش و حرکت جانبی با Metasploit
• حمله Responder
• استقرار پایداری با Metasploit
• شکار تهدید شبکه با تحلیل هوش تهدید واقعی (RITA)
• ارزیابی پیکربندی ابر با ScoutSuite
• ساخت کارت‌ مرور با Anki
• ارتقاء سطح دسترسی Linux با Sudo
• تولید لاگ‌های Zeek

موضوعات آموزشی این فصل :

• عبور از امنیت Endpoint
• استفاده از ابزارهای امضاشده توسط Microsoft برای حمله به سیستم‌ها:  (LOL)
• بهره‌مندی حداکثری از پلتفرم‌های تشخیص و پاسخ امنیتی انتها (EDR/XDR)
• استفاده از ویژگی‌های Metasploit
• اجتناب از شناسایی حمله‌کننده
• حملات دزدی
• استفاده از دسترسی امتیازی به LAN
• حمله به پروتکل‌های آسیب‌پذیر ویندوز
• جمع‌آوری رمزها در LAN
• استفاده از حملات  Active Directory ویندوز
• دسترسی به شاخه  وب‌شل
• تحلیل هوش تهدید واقعی
• شکار تهدید از طریق تحلیل شبکه
• گرفتن دامنه‌ی DNS و حملات دسترسی
• شناسایی دروازه‌های پنهانی در Azure
• استفاده از Pacu به‌عنوان چارچوب حمله ابری
• دسترسی به دیتابیس در Google Compute
• ارزیابی ساختار ابری‌ به منظور آسیب‌پذیری
• اعمال نظریه تکرار فضایی با استفاده از Anki