Les attaques complexes, telles que les APT (Advanced Persistent Threats), deviennent de plus en plus courantes, en particulier dans les entreprises visant l’espionnage économique. Cette formation en Inforensique Avancée vous prépare à réagir face à ces attaques sophistiquées en vous fournissant des techniques avancées pour l’analyse post-mortem et la corrélation des événements.
Objectifs de la formation
Objectif opérationnel :
- Savoir réagir efficacement aux attaques avancées et utiliser des techniques d’investigation avancées.
Objectifs pédagogiques :
À la fin de cette formation, vous serez capable de :
- Analyser et corréler les événements de sécurité provenant de différentes sources
- Retro-concevoir des protocoles de communication et de transfert de données
- Analyser des systèmes de fichiers corrompus et restaurer des données importantes
- Comprendre et analyser la mémoire volatile des systèmes d’exploitation afin de détecter des activités malveillantes.
À qui s’adresse cette formation ?
Public cible
Cette formation s’adresse à :
- Professionnels de la cybersécurité et experts en sécurité informatique
- Responsables en sécurité dans des entreprises exposées aux risques de cyberattaques
- Détectives numériques ou membres d’agences gouvernementales impliquées dans l’analyse d’incidents de sécurité complexes
Prérequis
Pour suivre cette formation, il est nécessaire de :
- Avoir des connaissances avancées en analyse post-mortem ou avoir suivi la formation “Inforensique : Les Bases” (SFIB)
- Connaître les principaux artefacts Windows et leur analyse approfondie
Programme détaillé
Intrusion en entreprise
- Étapes d’une intrusion : Identifier le parcours d’un attaquant et les impacts d’une compromission sur les systèmes d’entreprise.
- Indices de compromission (IOC) : Création et déploiement de mécanismes pour détecter des menaces en temps réel, y compris l’utilisation de PowerShell et des agents GRR.
- Acquisition d’informations à distance : Techniques pour récupérer les informations compromettantes à distance sans alerter l’attaquant.
Analyse des systèmes de fichiers
- Analyse des systèmes de fichiers : Étude approfondie des systèmes NTFS, EXTx et HFS+ avec une attention particulière à la structure interne des fichiers et la gestion des métadonnées.
- Recouvrement d’informations supprimées : Techniques avancées pour récupérer des documents supprimés et rechercher par motifs dans des systèmes compromis.
- Reconstruction d’un système de fichiers : Travail avec le Master Boot Record (MBR) et la table des partitions (DOS, GPT).
Analyse de la mémoire
- Pourquoi analyser la mémoire ? : Comprendre l’importance de la mémoire volatile pour détecter des traces d’attaques, y compris des processus cachés et des injections de code.
- Outils d’acquisition et d’analyse de mémoire : Utilisation d’outils comme Rekall, Volatility, et Windbg pour analyser la mémoire Windows, Linux et MacOS.
- Détection d’injection de code et de Shellcode : Analyser les traces d’injection et les attaques basées sur la manipulation de la mémoire système.
Automatisation des opérations d’inforensic
- Création d’une timeline : Construire et analyser une frise chronologique des événements système et mémoire, en corrélant les données provenant de différentes sources.
- Validation des acquis : Passage d’un QCM de certification pour valider les compétences acquises et tester votre capacité à mener des investigations inforensiques avancées.
Cette formation vous donnera des compétences avancées en analyse forensique, cruciales pour faire face à des incidents de sécurité sophistiqués et mener des enquêtes sur des attaques persistantes avancées en Tunisie.