Resumen
Todo
en Internet está siendo atacado continuamente. Cada persona posee entre tres y
cuatros dispositivos. No es sorpresa entonces que sólo en el 2018 se hayan
reportado más de 23 billones de dispositivos conectados a internet. ¿Cuán
seguros son estos dispositivos? ¿Es posible identificar un ataque analizando
tráfico de red?
Este training está diseñado para entrenarte a identificar
ataques en tráfico de red. En estos dos días vas a aprender a ejecutar tu
malware, capturar y analizar el tráfico, identificar ataques y hacer threat
hunting de ataques en un sistema de monitoreo estándar.
El curso se enfoca en
vos, y en cómo transmitirte la experiencia para detectar ataques reales en la
red.
Descripción
El
problema más grande que tenemos a la hora de analizar ataques en la red es la
sobrecarga de información. Tenemos sensores, visibilidad, detección básica y
logs. Pero carecemos de la experiencia avanzada para independizarnos de las
herramientas e identificar rápidamente ataques, infecciones, malware y servers
comprometidos. Este curso no es sobre herramientas, es sobre metodologías y
conocimiento para separar el tráfico normal de los ataques e infecciones. Las
herramientas complementan pero no toman decisiones.
Este curso es sobre la toma
de decisiones, sobre qué mirar, cómo mirar, cómo comparar, cómo verificar, cómo
descartar y cómo automatizar. El objetivo de este curso intensivo estilo
hands-on es transmitir a los participantes la experiencia y el conocimiento de
un analista avanzado de malware y ataques.
El
training usa capturas reales de tráfico de malware y capturas reales de tráfico
normal. Los participantes aprenderán cómo encarar su análisis de tráfico, como
reconocer conexiones maliciosas, como separar comportamientos normales de
comportamientos maliciosos, como reconocer patrones anómalos y que hacer cuando
las capturas de tráfico son demasiado grandes para manipular. Analizar trafico
de red y poder separar lo normal del malware es una de las habilidades más
importantes para proteger tu organización.
Agenda
Día I:
-
Introducción: quienes somos, ronda introductoria de los participantes,
objetivos del training.
-
Module 1 - Networking and Security: Revisión rápida de conceptos claves acerca
de protocolos, como funcionan, protocolos comunes y complejos. ¿Qué es un
ataque? ¿Cual es la diferencia con el tráfico normal? ¿Qué es malware? ¿Qué es
una botnet? ¿Qué otros tipos de amenazas hay?
-
Module 2 - Fundamentals on Tools and Analysis Methodology: Visión general de
las herramientas disponibles para captura de tráfico. ¿Cuales son las
diferencias? ¿Cómo elegir la mejor herramienta?
- Module 4 - Threat
Hunting on a SIEM: Introducción a Netflows y Bro/Zeek logs. Brindar a los participantes una experiencia práctica real sobre cómo
encontrar malware real en un SIEM. Aprender a pensar como el atacante y
comenzar a buscar comportamientos más complejos en una red.
Día II:
-
Module 5 - Application of the Methodology and the Tools to Complex Cases:
Aplicar la metodología y los conocimientos de los módulos anteriores a casos
más complejos, utilizando características más avanzadas de las herramientas de
red. Entender cómo el malware se vuelve complejo y las decisiones son más
difíciles.
-
Module 6 - Experiments of Real Malware Capture: Aprender una metodología de
cómo ejecutar malware real, cómo capturar su tráfico y cómo usar la
inteligencia que genera dicha actividad para comprender mejor el malware y
pensar en mejores defensas.
-
Module 7 - Real Time Attacks on the Network: Aprender cómo se ve un ataque real
en la
red a través de ataques reales entre participantes. Entender lo complejo
y difícil que puede ser separar lo normal del ataque en un escenario de la vida
real de una computadora local atacando a otros. Poder detectar cuándo una
conexión fue parte de un ataque de fuerza bruta y cuándo una conexión es
exitosa mirando solo tcpdump y wireshark.
Que cosas te llevas
●
Todas las diapositivas usadas en el curso
●
El detalle del curso en un libro con los comandos paso a paso y herramientas
usadas.
●
Un compilado de todos los datasets grandes de capturas de malware usados
●
Un compilado de todos los datasets grandes de capturas normales usadas
●
Un compilado de miles de binarios de malware reales para probar y analizar
¿Quién debería asistir a este
training?
Si
estás a cargo de la seguridad de una red y necesitas saber cómo, cuándo y quien
te esta atacando, este curso es para vos. Si todavía no podes detectar las
computadoras infectadas en tu red, este curso es para vos. Si no podes decirle
a tu jefe si su celular fue comprometido y cuando, este curso es para vos. El
curso está preparado para administradores de grandes redes, bancos,
instituciones financieras, empresas de tecnología, empresas de ICS (Industrial
Control Systems), organismos de gobiernos y proveedores de servicios de red e
Internet. Si la seguridad de tu red es una preocupación, este curso es para
vos.
Pre-requisitos de los participantes
Se
requiere que los participantes tengan un conocimiento de redes, TCP/IP,
protocolos comunes, y que cuenten con los siguientes recursos:
●
Laptop
●
Herramientas instaladas: wireshark, tcpdump, CapTipper, Bro y Argus.
●
Opcional: podés usar tu propio sistema Linux, pero te recomendamos traer
instalado Kali
Linux
(real or virtual) que ya cuenta con la mayoría de las herramientas instaladas
que se
usarán
en el training.
Instructores:
Veronica Valeros
Veronica is a
researcher and intelligence analyst from Argentina. Her research has a strong
focus on helping people and involves different areas from wireless and
bluetooth privacy issues to malware, botnets and intrusion analysis. She has
presented her research on international conferences such as BlackHat, EkoParty,
Botconf and others. She is the co-founder of the MatesLab hackerspace based in
Argentina, and co-founder of the Independent Fund for Women in Tech. She is
currently the director of the CivilSphere project at the Czech Technical
University, dedicated to protect civil organizations and individuals from
targeted attacks.
@verovaleros
https://www.civilsphereproject.org/
http://stratosphereips.org
https://womenintechfund.org/
Sebastian Garcia
Is a malware
researcher and security teacher that has extensive experience in machine
learning applied on network traffic. He founded the Stratosphere Lab, home of
the first machine learning-based, free software IPS. The Stratosphere Lab has
~15 researchers working in security topics and executing malware to create
large datasets. He likes to
analyze network
patterns and attacks with machine learning. As a researcher in the Czech
Technical University in Prague, he believes that free software and machine learning
tools can help better protect users from abuse of their digital rights. He has
been teaching in several countries and Universities and working on penetration
testing for both corporations and governments. He was lucky enough to talk in
several conferences such as Ekoparty, DeepSec, Hackitivy, Botconf, Hacklu,
InBot, Security Sessions, ECAI, CitizenLab, ArgenCon, Free Software Foundation
Europe, VirusBulletin, BSides Vienna, HITB Singapore, CACIC, AAMAS, etc. He
co-founded the MatesLab hackspace in Argentina and also co-founded the
Independent Fund for Women in Tech. He researches on honeypots, malware traffic
detection, social networks troll detection, distributed scanning (dnmap)
keystroke dynamics, bluetooth analysis, privacy protection, intruder detection,
robotics, microphone detection with SDR (Salamandra) and biohacking.
@eldracote
https://www.researchgate.net/profile/Sebastian_Garcia6
http://stratosphereips.org
https://womenintechfund.org/
No hay comentarios:
Publicar un comentario