20TD02X_BTL1_Oversikt_001 - itnett/FTD02H-N GitHub Wiki

Se

Grunnleggende om Blue Team Level 1 (BTL1) Sertifisering

Oversikt over BTL1

BTL1 (Blue Team Level 1) er en sertifisering utviklet for å trene tekniske forsvarere som kan beskytte nettverk og reagere på cyberhendelser. Den dekker seks hovedområder:

  1. Security Fundamentals
  2. Phishing Analysis
  3. Threat Intelligence
  4. Digital Forensics
  5. SIEM
  6. Incident Response

Hvorfor Velge BTL1?

  • Anvendt læring for sikkerhetsroller som sikkerhetsanalytikere, hendelsesrespons, trusselintelligensanalytikere og rettsmedisinske analytikere.
  • Praktisk erfaring med verktøy som Autopsy, Splunk, Wireshark og mange flere.
  • Støtte for NICE Cyber Defense Analyst-rammeverket.

Kursinnhold og Verktøy

  1. Security Fundamentals

    • Grunnleggende sikkerhetsprinsipper, myke ferdigheter, nettverkskunnskap, og ledelsesprinsipper.

  2. Phishing Analysis

    • Identifisere og analysere phishing-e-poster, rapportskriving, og defensive tiltak.

  3. Threat Intelligence

    • Lære om trusselaktører, taktikker og teknikker, og hvordan dele intelligens.

  4. Digital Forensics

    • Samle og analysere digitalt bevis, undersøkelser av Windows og Linux-systemer, og bruke verktøy som Volatility og Autopsy.

  5. SIEM

    • Logganalyse og etterforskning av sikkerhetshendelser med verktøy som Splunk.

  6. Incident Response

    • Håndtering av sikkerhetshendelser fra oppdagelse til gjenoppretting, inkludert MITRE ATT&CK-rammeverket.

Praktisk Eksamen

  • 24-timers incident response eksamen.
  • Bruke forskjellige verktøy og undersøke ulike systemer.
  • 70% kreves for å bestå (sølv medalje), mens 90% på første forsøk gir gullmedalje.

Støtte og Ressurser

  • Tilgang til over 330 leksjoner, videoer, aktiviteter og quizzer.
  • 23 nettleserbaserte laboratorier med 100 timers tilgang.
  • On-demand tilgang til treningsmateriale i fire måneder.

Forberedelser

  1. Registrer deg og skaff tilgang til kurset.

    • Du kan prøve en gratis demo før du kjøper.

  2. Planlegg og sett av tid til studier.

    • Lag en tidsplan som passer din hverdag, med jevnlige studieøkter.

  3. Utfør laboratoriene og aktivitetene.

    • Disse er designet for å forberede deg på den praktiske eksamen.

  4. Delta i diskusjonsfora og nettverk med andre studenter.

    • Bli med i Discord-serveren for støtte og erfaringsutveksling.

Pris

  • £399 GBP for kurs og eksamen.
  • 10% rabatt for studenter og bedriftsrabatter for flere lisenser.

Oppsummering

BTL1 er en omfattende sertifisering som gir grunnleggende og praktisk kunnskap innen cybersikkerhet. Gjennomføring av dette kurset vil forberede deg til en rekke sikkerhetsroller og forbedre dine evner som teknisk forsvarer.

For å starte, registrer deg, få tilgang til kursmaterialet, og begynn din læringsreise i dag!

Klart, la oss starte med det grunnleggende innenfor BTL1 (Blue Team Level 1) sertifiseringen. Vi vil dekke de seks hovedområdene ett om gangen, og begynner med Security Fundamentals.

Domain 1: Security Fundamentals

Introduksjon til Sikkerhetsgrunnlag

1.1. Introduksjon til Sikkerhetsgrunnlag

Sikkerhetsgrunnlag dekker de fundamentale prinsippene innen cybersikkerhet. Dette inkluderer forståelse av trusler, sårbarheter og risikostyring.

Trusler: Enhver omstendighet eller hendelse med potensiale til å skade systemer eller data. Sårbarheter: Svakheter i systemet som kan utnyttes av trusler. Risikostyring: Prosessen med å identifisere, vurdere og prioritere risikoer etterfulgt av koordinering og økonomisk bruk av ressurser for å minimere, overvåke og kontrollere sannsynligheten eller virkningen av uheldige hendelser.

1.2. Myke Ferdigheter

Myke ferdigheter er avgjørende for effektivt sikkerhetsarbeid. Dette inkluderer kommunikasjon, samarbeid, problemløsing, og beslutningstaking.

  • Kommunikasjon: Evnen til å formidle informasjon tydelig og effektivt.
  • Samarbeid: Arbeide godt i team for å løse sikkerhetsproblemer.
  • Problemløsing: Identifisere problemer og finne effektive løsninger.
  • Beslutningstaking: Evaluere situasjoner og ta informerte beslutninger.

1.3. Sikkerhetskontroller

Sikkerhetskontroller er tiltak som er implementert for å beskytte informasjonssystemer og data.

  • Forebyggende kontroller: Tiltak for å forhindre sikkerhetshendelser (f.eks. brannmurer, antivirusprogrammer).
  • Deteksjonskontroller: Tiltak for å oppdage sikkerhetshendelser (f.eks. IDS/IPS, overvåkingssystemer).
  • Korrigerende kontroller: Tiltak for å gjenopprette systemer etter sikkerhetshendelser (f.eks. sikkerhetskopiering, gjenoppretting).

1.4. Nettverk 101

Grunnleggende nettverkskunnskap er nødvendig for å forstå hvordan data beveger seg gjennom et nettverk og hvor sikkerhetstrusler kan oppstå.

  • OSI-modellen: En konseptuell modell som beskriver funksjonene til et nettverk i syv lag: fysisk, datalink, nettverk, transport, sesjon, presentasjon, og applikasjon.
  • TCP/IP-modellen: En forenklet modell med fire lag: nettverkstilgang, internett, transport, og applikasjon.
  • Protokoller: Regler for dataoverføring. Vanlige protokoller inkluderer HTTP, HTTPS, FTP, TCP, UDP, IP.

1.5. Ledelsesprinsipper

Ledelsesprinsipper hjelper til med å sikre effektiv styring av sikkerhetstiltak.

  • Policyer: Retningslinjer som definerer hvordan sikkerhetshåndtering skal utføres.
  • Prosesser: Standardiserte prosedyrer for å gjennomføre sikkerhetsoppgaver.
  • Kontroller: Tiltak for å overvåke og sikre samsvar med sikkerhetspolicyer og -prosesser.

Oppgaver og Aktiviteter

  1. Les gjennom grunnleggende sikkerhetsartikler:

    • Finn artikler om cybersikkerhetsgrunnlag, nettverk og sikkerhetskontroller. Dette vil gi deg en bredere forståelse av emnene vi har dekket.

  2. Se på OSI- og TCP/IP-modellene:

    • Finn ressurser som forklarer disse modellene i detalj og sammenlign deres lag og funksjoner.

  3. Praktisk Øvelse:

    • Utfør en enkel nettverksanalyse med Wireshark. Fang opp noen pakker og forsøk å identifisere protokollene som brukes.

Flott! Da går vi videre til Phishing Analysis.

Domain 2: Phishing Analysis

Phishing er en av de mest vanlige og skadelige cybertruslene. Å kunne identifisere og analysere phishing-e-poster er essensielt for enhver sikkerhetsprofesjonell.

2.1. Introduksjon til E-poster og Phishing

Hva er Phishing? Phishing er en metode der angripere sender bedragerske e-poster for å lure mottakere til å gi fra seg sensitiv informasjon, som passord og kredittkortnumre, eller for å infisere systemene deres med skadelig programvare.

Typer av Phishing:

  • Spear Phishing: Målrettede angrep mot spesifikke personer eller organisasjoner.
  • Whaling: Målrettede angrep mot høytstående ledere eller viktige mål i en organisasjon.
  • Clone Phishing: Dupliserte e-poster som ligner på tidligere legitime meldinger, men med ondsinnede vedlegg eller lenker.

2.2. Taktikker og Teknikker Brukt i Phishing

Vanlige teknikker:

  • Social Engineering: Manipulere personer til å utføre handlinger eller avsløre konfidensiell informasjon.
  • Spoofing: Forfalske e-postadresser, domener eller andre legitime elementer for å få e-posten til å se ekte ut.
  • Ondsinnede vedlegg: Inkludere skadelige filer som aktiveres når de åpnes.
  • Falske lenker: Inkludere URL-er som leder til falske nettsider som samler inn data eller infiserer systemer.

2.3. Analysering av Phishing E-poster

Hvordan gjenkjenne phishing-e-poster:

  • Avsender: Kontroller om e-postadressen ser legitim ut.
  • Emnefelt: Vær oppmerksom på alarmistiske eller utpressende emner.
  • Innhold: Se etter stavefeil, dårlig grammatikk, og uvanlige forespørsler.
  • Lenker: Hold musepekeren over lenker for å se destinasjonen før du klikker.
  • Vedlegg: Vær skeptisk til uventede vedlegg, spesielt hvis de ber om sensitive handlinger.

Verktøy for analyse:

  • URL2PNG: For å vise skjermbilder av mistenkelige lenker uten å besøke dem.
  • VirusTotal: For å skanne vedlegg og lenker for skadelig programvare.
  • PhishTool: For å analysere og rapportere phishing-forsøk.

2.4. Forsvarstiltak

Beskyttelsestiltak:

  • Opplæring: Sørg for at ansatte er oppmerksomme på phishing-trusler og vet hvordan de skal håndtere mistenkelige e-poster.
  • E-postfiltrering: Bruk verktøy som filtrerer ut potensielle phishing-e-poster.
  • Multi-Factor Authentication (MFA): Bruk MFA for å legge til et ekstra sikkerhetslag.
  • Sikkerhetsprotokoller: Implementer DMARC, DKIM, og SPF for å sikre e-postautentisitet.

2.5. Rapportskriving og Lærdommer

Rapportskriving: Når du har analysert en phishing-e-post, er det viktig å dokumentere funnene dine og rapportere dem til relevante interessenter. En god rapport bør inkludere:

  • En beskrivelse av e-posten.
  • Identifiserte trusler og teknikker.
  • Anbefalte tiltak for å forhindre lignende angrep.

Lærdommer: Etter en phishing-hendelse bør organisasjonen gjennomgå hva som skjedde og hvilke tiltak som kan forbedres for å forhindre fremtidige angrep.

Praktisk Øvelse

  1. Identifisere Phishing:

    • Gå gjennom eksempler på phishing-e-poster og prøv å identifisere de forskjellige tegnene som tyder på at de er phishing.

  2. Bruke Analyseverktøy:

    • Bruk VirusTotal til å skanne en mistenkelig fil eller URL.
    • Bruk URL2PNG til å vise et skjermbilde av en mistenkelig lenke.

  3. Rapportskriving:

    • Skriv en kort rapport om en phishing-e-post, inkludert dine funn og anbefalte tiltak.

Når du føler deg komfortabel med disse konseptene og har fullført øvelsene, kan vi gå videre til Threat Intelligence. Gi meg beskjed når du er klar, eller hvis du har noen spørsmål!

Flott! La oss gå videre til Threat Intelligence.

Domain 3: Threat Intelligence

Threat Intelligence (trusselinformasjon) innebærer å samle inn, analysere og bruke informasjon om trusler for å beskytte organisasjoner mot cyberangrep.

3.1. Introduksjon til Threat Intelligence

Hva er Threat Intelligence? Threat Intelligence er prosessen med å samle inn og analysere informasjon om aktuelle og potensielle cybertrusler for å forstå motstandernes hensikter, kapabiliteter, og taktikker.

Nivåer av Threat Intelligence:

  • Taktisk: Fokuserer på spesifikke teknikker, taktikker og prosedyrer (TTPs) brukt av angripere.
  • Operasjonell: Inkluderer detaljert informasjon om trusler og kampanjer, som gir innsikt i hvordan angrepene utføres.
  • Strategisk: Fokuserer på langsiktige trender og motiver bak trusselaktørers handlinger.

3.2. Trusselaktører og APTs

Trusselaktører: Trusselaktører kan være individer eller grupper som utfører cyberangrep. De kan klassifiseres som:

  • Script kiddies: Uerfarne angripere som bruker eksisterende verktøy uten dyp forståelse.
  • Hacktivister: Angripere med politiske eller sosiale mål.
  • Cyberkriminelle: Angripere som er motivert av økonomisk gevinst.
  • Insider-trusler: Ansatte eller tilknyttede personer som har tilgang til sensitiv informasjon og misbruker den.
  • Advanced Persistent Threats (APTs): Statssponsede eller svært sofistikerte grupper som utfører målrettede og langsiktige angrep.

APT Eksempler:

  • APT28: Kjent for å være knyttet til den russiske militære etterretningstjenesten.
  • APT29: Assosiert med russiske statlige aktører og involvert i sofistikerte spionasjeoperasjoner.

3.3. Pyramid of Pain og MITRE ATT&CK

Pyramid of Pain: Pyramid of Pain er et konsept utviklet av David Bianco som viser hvordan forskjellige typer indikatorer påvirker angripere når de blir oppdaget og blokkert.

  • Hash Values: Laveste nivå, enkelt å endre.
  • IP Addresses: Enkelt å endre for angripere.
  • Domain Names: Krever mer innsats å endre.
  • Network/Host Artifacts: Vanskeligere å endre, påvirker operasjoner.
  • Tools: Angripernes verktøy, vanskelig å erstatte.
  • Tactics, Techniques, and Procedures (TTPs): Høyeste nivå, svært vanskelig å endre uten å endre hele operasjonsmodellen.

MITRE ATT&CK Framework: MITRE ATT&CK er en kunnskapsbase som dokumenterer taktikker og teknikker brukt av trusselaktører gjennom hele livssyklusen til et angrep.

  • Taktikker: Overordnede mål trusselaktører prøver å oppnå (f.eks. Initial Access, Execution).
  • Teknikker: Spesifikke metoder som brukes for å oppnå taktikker (f.eks. Phishing, PowerShell).

3.4. Deling av Trusselinformasjon

Intelligence Sharing: Å dele trusselinformasjon med andre organisasjoner og interessenter er avgjørende for å styrke kollektiv cybersikkerhet.

  • ISACs (Information Sharing and Analysis Centers): Bransjespesifikke organisasjoner for deling av informasjon.
  • MISP (Malware Information Sharing Platform): Et åpent verktøy for deling og samarbeid om trusselinformasjon.
  • STIX/TAXII: Standardiserte formater for å utveksle trusselinformasjon.

3.5. Malware og Globale Kampanjer

Malware: Ondsinnet programvare som er designet for å skade, forstyrre, stjele eller forårsake andre dårlige eller ondsinnede handlinger.

  • Typer av Malware: Virus, ormer, trojanere, ransomware, spyware, adware, og mer.
  • Eksempler: WannaCry, NotPetya, Zeus.

Globale Kampanjer: Koordinerte angrep utført av trusselaktører over hele verden, ofte rettet mot flere organisasjoner og sektorer.

Praktisk Øvelse

  1. Undersøke Trusselaktører:

    • Velg en kjent APT-gruppe, som APT28 eller APT29, og gjør et dypt dykk i deres taktikker, teknikker og prosedyrer (TTPs).

  2. Bruke MITRE ATT&CK:

    • Utforsk MITRE ATT&CK-rammeverket og finn teknikker relatert til en spesifikk taktikk, som Initial Access eller Execution.

  3. Bruke MISP:

    • Opprett en konto på en offentlig MISP-server og del/undersøk trusselinformasjon.

  4. Analyse av Malware:

    • Bruk verktøy som VirusTotal for å analysere en mistenkelig fil eller URL, og forstå dens oppførsel og skadepotensial.

Når du føler deg komfortabel med disse konseptene og har fullført øvelsene, kan vi gå videre til Digital Forensics. Gi meg beskjed når du er klar, eller hvis du har noen spørsmål!

Flott! La oss gå videre til Digital Forensics.

Domain 4: Digital Forensics

Digital forensics innebærer å samle inn, analysere og bevare digitalt bevis fra ulike typer elektroniske enheter. Målet er å forstå hendelser, avdekke kriminell aktivitet, og gjenopprette data.

4.1. Introduksjon til Digital Forensics

Hva er Digital Forensics? Digital forensics er en disiplin som fokuserer på identifisering, bevaring, analyse og presentasjon av digitalt bevis. Det brukes i juridiske sammenhenger, etterforskning av sikkerhetshendelser, og gjenoppretting av tapt informasjon.

Forensics Prinsipper:

  • Integritet: Sikre at bevisene ikke endres under etterforskning.
  • Sporbarhet: Bevis må kunne spores fra innsamlingspunktet til presentasjon i retten.
  • Gjennomsiktighet: Etterforskningsprosessen må være transparent og repeterbar.

4.2. Forensics Grunnleggende

Digital Evidence Collection: Innsamling av digitalt bevis må gjøres forsiktig for å unngå forurensning. Verktøy som brukes inkluderer FTK Imager, KAPE, og dd (Linux kommando).

Typer av Digitalt Bevis:

  • Fysiske Bevis: Harddisker, USB-enheter, minnekort.
  • Logiske Bevis: Filer, e-poster, loggfiler, nettleserhistorikk.
  • Volatile Bevis: RAM-innhold, nettverkstilkoblinger, aktive prosesser.

4.3. Windows Investigations

Windows Undersøkelser: Windows-operativsystemer inneholder mye verdifull informasjon for forensiske undersøkelser.

Nøkkelområder:

  • Registeret: Inneholder konfigurasjonsinnstillinger og informasjon om brukere, programvare og maskinvare.
  • Loggfiler: Hendelseslogger som kan avsløre aktiviteter og sikkerhetshendelser.
  • Prefetch-filer: Hjelper med å forstå hvilke programmer som har blitt kjørt og når.
  • Recycle Bin: Inneholder slettede filer som kan gi viktige ledetråder.

Verktøy:

  • FTK Imager: Brukes til å lage eksakte kopier av lagringsenheter.
  • Volatility: For analyse av RAM-innhold.
  • Autopsy: For analyse av harddisker og andre lagringsenheter.
  • Windows Event Viewer: For å lese og analysere Windows-hendelseslogger.

4.4. Linux Investigations

Linux Undersøkelser: Linux-systemer har også viktige kilder til bevis, men filsystemet og loggstrukturen er annerledes enn Windows.

Nøkkelområder:

  • /var/log: Inneholder systemlogger, som auth.log for autentiseringshendelser.
  • /etc: Konfigurasjonsfiler for systemet og installerte tjenester.
  • Home Directories: Brukerfiler og konfigurasjoner.

Verktøy:

  • dd: Kommando for å lage bit-for-bit kopier av lagringsenheter.
  • Scalpel: For filgjenoppretting basert på filsignaturer.
  • Wireshark: For nettverksanalyse.
  • Autopsy: For Linux-diskanalyse.

4.5. Volatility og Autopsy

Volatility: Et kraftig verktøy for minneanalyse som kan brukes til å avdekke skadelig aktivitet og gjenopprette informasjon fra RAM.

Autopsy: En brukervennlig plattform for digital forensisk analyse av harddisker og andre lagringsenheter. Brukes for å gjenopprette slettede filer, analysere filsystemer, og undersøke brukeratferd.

Praktisk Øvelse

  1. Windows Forensics:

    • Bruk FTK Imager til å lage en bit-for-bit kopi av en Windows-harddisk.
    • Analyser Registeret og Prefetch-filer for å identifisere nylig kjørte programmer.

  2. Linux Forensics:

    • Bruk dd til å lage en bit-for-bit kopi av en Linux-partisjon.
    • Analyser /var/log/auth.log for å identifisere mistenkelige innloggingsforsøk.

  3. Minneanalyse:

    • Bruk Volatility til å analysere et RAM-dump. Identifiser aktive prosesser og nettverkstilkoblinger.
    • Analyser minne for skadelig programvare og gjenopprett viktig informasjon.

  4. Diskanalyse:

    • Bruk Autopsy til å analysere en harddisk. Identifiser slettede filer, e-poster, og nettleserhistorikk.
    • Lag en rapport basert på funnene dine.

Når du føler deg komfortabel med disse konseptene og har fullført øvelsene, kan vi gå videre til SIEM (Security Information and Event Management). Gi meg beskjed når du er klar, eller hvis du har noen spørsmål!

Flott! La oss gå videre til SIEM (Security Information and Event Management).

Domain 5: SIEM

SIEM er et sentralt verktøy i sikkerhetsoperasjoner, og det gir muligheten til å samle inn, analysere og respondere på sikkerhetshendelser i sanntid.

5.1. Introduksjon til SIEM

Hva er SIEM? SIEM står for Security Information and Event Management. Det er en løsning som gir organisasjoner innsikt i deres IT-miljø ved å samle inn og analysere logger og hendelser fra forskjellige kilder.

Hovedfunksjoner av SIEM:

  • Logginnsamling: Samler inn loggfiler fra nettverksenheter, servere, applikasjoner og andre systemer.
  • Korrelation: Analyserer og kobler sammen data fra ulike kilder for å identifisere mistenkelig aktivitet.
  • Varsling: Sender varsler når mistenkelige hendelser oppdages.
  • Rapportering: Genererer rapporter for overholdelse og analyse.

5.2. Logging

Hva er logging? Logging er prosessen med å registrere hendelser, som brukeraktiviteter og systemendringer, i loggfiler.

Viktige Loggtyper:

  • Systemlogger: Informasjon om operativsystemets drift.
  • Applikasjonslogger: Informasjon om spesifikke applikasjoner.
  • Sikkerhetslogger: Informasjon om sikkerhetshendelser og brukeraktiviteter.
  • Nettverkslogger: Informasjon om nettverkstrafikk og tilkoblinger.

Verktøy for logging:

  • Syslog: Standard for melding-logging i nettverksenheter og Unix-lignende systemer.
  • Event Viewer: Windows-verktøy for å se system- og sikkerhetslogger.

5.3. Aggregasjon

Hva er aggregasjon? Aggregasjon er prosessen med å samle inn loggdata fra forskjellige kilder og sentralisere dem i SIEM-systemet.

Fordeler med Aggregasjon:

  • Sentralt kontrollpunkt: Gir en sentralisert oversikt over all loggdata.
  • Effektivitet: Gjør det enklere å analysere og korrelere data.
  • Datareduksjon: Reduserer mengden data som må behandles ved å fjerne duplikater og irrelevante data.

5.4. Korrelation

Hva er korrelation? Korrelation innebærer å analysere loggdata for å identifisere mønstre og sammenhenger som kan indikere sikkerhetshendelser.

Eksempler på Korrelation:

  • Tidsbasert korrelation: Identifisere hendelser som skjer innenfor et bestemt tidsrom.
  • Kildebasert korrelation: Koble sammen hendelser fra samme kilde eller IP-adresse.
  • Signaturbasert korrelation: Bruke kjente mønstre for å identifisere skadelig aktivitet.

5.5. Bruk av Splunk SIEM

Hva er Splunk? Splunk er et populært SIEM-verktøy som brukes til å søke, overvåke og analysere maskindata.

Splunk Grunnleggende:

  • Søkespråk: Splunk bruker sitt eget søkespråk (SPL) for å filtrere og analysere data.
  • Dashboards: Visuelle representasjoner av data for overvåkning i sanntid.
  • Varsler: Automatisk generering av varsler basert på spesifikke hendelser eller terskler.

Slik bruker du Splunk:

  1. Data Input: Legg til datakilder som systemlogger, applikasjonslogger, og nettverkslogger.
  2. Søk: Bruk SPL for å søke etter spesifikke hendelser eller mønstre.
    • Eksempel: index=main sourcetype=access_combined status=200 | stats count by clientip
  3. Dashboards: Opprett tilpassede dashboards for å overvåke viktige indikatorer.
  4. Varsler: Konfigurer varsler for å bli informert om mistenkelige hendelser.

Praktisk Øvelse

  1. Konfigurer en SIEM-løsning:

    • Sett opp en prøvekonto i Splunk og legg til enkle datakilder som system- og applikasjonslogger.

  2. Opprett Søk og Dashboards:

    • Bruk SPL for å søke etter spesifikke hendelser i loggdataene dine.
    • Opprett et dashboard som viser viktige sikkerhetsindikatorer, som antall mislykkede innloggingsforsøk.

  3. Konfigurer Varsler:

    • Lag varsler for hendelser som kan indikere sikkerhetsproblemer, som flere mislykkede innloggingsforsøk fra samme IP-adresse.

Når du føler deg komfortabel med disse konseptene og har fullført øvelsene, kan vi gå videre til Incident Response. Gi meg beskjed når du er klar, eller hvis du har noen spørsmål!

Flott! La oss gå videre til Incident Response.

Domain 6: Incident Response

Incident Response (IR) handler om å håndtere og reagere på sikkerhetshendelser på en effektiv måte for å minimere skader og gjenopprette normal drift så raskt som mulig.

6.1. Introduksjon til Incident Response

Hva er Incident Response? Incident Response er prosessen med å håndtere og reagere på sikkerhetshendelser. Målet er å identifisere, begrense, eliminere og gjenopprette fra sikkerhetshendelser som påvirker en organisasjon.

IR-livssyklusen:

  1. Forberedelse
  2. Identifikasjon
  3. Inneslutning
  4. Eliminering
  5. Gjenoppretting
  6. Læring

6.2. Forberedelse

Forberedelse:

  • Policyer og prosedyrer: Utvikle og vedlikeholde IR-policyer og prosedyrer.
  • Verktøy og teknologi: Implementere nødvendige verktøy og teknologi for å oppdage og respondere på hendelser.
  • Trening: Trene teammedlemmer i IR-prosesser og -verktøy.
  • Kommunikasjonsplan: Utvikle en kommunikasjonsplan for å sikre effektiv kommunikasjon under hendelser.

6.3. Identifikasjon

Identifikasjon:

  • Overvåkning: Kontinuerlig overvåkning av systemer og nettverk for å oppdage mistenkelig aktivitet.
  • Varsler: Bruk SIEM og andre overvåkningsverktøy til å generere varsler for mistenkelige hendelser.
  • Undersøkelse: Når en hendelse identifiseres, start en undersøkelse for å bekrefte om det er en sikkerhetshendelse.

6.4. Inneslutning

Inneslutning:

  • Kortsiktig inneslutning: Umiddelbare tiltak for å begrense skadeomfanget (f.eks. isolere infiserte systemer).
  • Langsiktig inneslutning: Mer varige tiltak for å sikre at hendelsen er fullt ut kontrollert (f.eks. midlertidige brannmurer og segmentering av nettverk).

6.5. Eliminering

Eliminering:

  • Fjerne trusler: Identifisere og fjerne alle komponenter relatert til hendelsen, inkludert skadelig programvare, kompromitterte kontoer, og bakdører.
  • Patching: Oppdatere og patche sårbare systemer for å forhindre gjentakelse.

6.6. Gjenoppretting

Gjenoppretting:

  • Systemgjenoppretting: Gjenopprette systemer til normal drift ved hjelp av sikkerhetskopier og gjenopprettingsplaner.
  • Overvåkning: Overvåke systemer nøye for å sikre at hendelsen ikke oppstår på nytt.

6.7. Læring

Læring:

  • Etterhendelsesanalyse: Gjennomgå hendelsen for å forstå hva som skjedde og hvorfor.
  • Rapportskriving: Dokumentere hendelsesforløpet, tiltak som ble iverksatt, og lærdommer som ble lært.
  • Forbedring: Implementere forbedringer basert på lærdommene for å styrke fremtidig respons.

Praktisk Øvelse

  1. Utvikle en IR-plan:

    • Lag en enkel IR-plan som beskriver trinnene for forberedelse, identifikasjon, inneslutning, eliminering, gjenoppretting, og læring.

  2. Simuler en hendelse:

    • Utfør en hendelsesimulering ved å bruke et scenario (f.eks. phishing-angrep som resulterer i skadelig programvareinfeksjon). Følg IR-planen din for å håndtere hendelsen.

  3. Analyser hendelsen:

    • Etter simuleringsøvelsen, gjennomgå hva som skjedde, hvilke tiltak som ble iverksatt, og hva som kunne blitt gjort annerledes. Skriv en rapport basert på denne analysen.

  4. Implementer forbedringer:

    • Bruk lærdommene fra hendelsesimuleringen til å forbedre IR-planen din og styrke dine IR-prosedyrer.

Når du føler deg komfortabel med disse konseptene og har fullført øvelsene, kan vi oppsummere de seks hovedområdene og diskutere neste steg for sertifisering. Gi meg beskjed når du er klar, eller hvis du har noen spørsmål!

Flott! Nå har vi dekket de seks hovedområdene i BTL1-sertifiseringen:

  1. Security Fundamentals
  2. Phishing Analysis
  3. Threat Intelligence
  4. Digital Forensics
  5. SIEM
  6. Incident Response

Oppsummering

Security Fundamentals

  • Grunnleggende sikkerhetsprinsipper: Forstå trusler, sårbarheter og risikostyring.
  • Myke ferdigheter: Kommunikasjon, samarbeid, problemløsing og beslutningstaking.
  • Sikkerhetskontroller: Forebyggende, deteksjons- og korrigerende kontroller.
  • Nettverk 101: OSI- og TCP/IP-modellen, vanlige nettverksprotokoller.
  • Ledelsesprinsipper: Policyer, prosesser og kontroller.

Phishing Analysis

  • Phishing e-poster: Identifisere og analysere phishing-angrep.
  • Taktikker og teknikker: Spoofing, ondsinnede vedlegg, falske lenker.
  • Analyseverktøy: VirusTotal, URL2PNG, PhishTool.
  • Forsvarstiltak: Opplæring, e-postfiltrering, MFA, sikkerhetsprotokoller.
  • Rapportskriving: Dokumentasjon og anbefalte tiltak etter phishing-angrep.

Threat Intelligence

  • Trusselaktører: Skriptbarn, hacktivister, cyberkriminelle, insider-trusler, APTs.
  • Pyramid of Pain: Ulike indikatorers påvirkning på angripere.
  • MITRE ATT&CK: Taktikker og teknikker brukt av trusselaktører.
  • Intelligence Sharing: ISACs, MISP, STIX/TAXII.
  • Malware og globale kampanjer: Analysering av malware og koordinert respons.

Digital Forensics

  • Digital Evidence Collection: Samle inn og bevare digitalt bevis.
  • Windows Investigations: Register, loggfiler, prefetch-filer, Recycle Bin.
  • Linux Investigations: /var/log, /etc, home directories.
  • Verktøy: FTK Imager, Volatility, Autopsy.
  • Minneanalyse og diskanalyse: Analysering av RAM-innhold og harddisker.

SIEM

  • Logging: System-, applikasjons-, sikkerhets- og nettverkslogger.
  • Aggregasjon: Sentralt kontrollpunkt og datareduksjon.
  • Korrelation: Tidsbasert, kildebasert, signaturbasert korrelation.
  • Splunk: Datainput, søk, dashboards, varsler.

Incident Response

  • Forberedelse: Policyer, prosedyrer, verktøy, trening, kommunikasjonsplan.
  • Identifikasjon: Overvåkning, varsler, undersøkelse.
  • Inneslutning: Kortsiktig og langsiktig inneslutning.
  • Eliminering: Fjerne trusler og patching.
  • Gjenoppretting: Systemgjenoppretting og overvåkning.
  • Læring: Etterhendelsesanalyse, rapportskriving, implementering av forbedringer.

Neste Steg

1. Fullfør kurset:

  • Hvis du ikke har gjort det allerede, fullfør alle leksjoner, videoer, aktiviteter og quizzer i BTL1-kurset.

2. Gjennomfør praktiske øvelser:

  • Sørg for at du har gjennomført alle praktiske laboratorier og øvelser, og at du føler deg komfortabel med verktøyene og teknikkene.

3. Ta en praksiseksamen:

  • Bruk tilgjengelige ressurser til å ta en praksiseksamen for å vurdere din forståelse og forberedelse.

4. Planlegg eksamen:

  • Når du føler deg klar, planlegg den 24-timers praktiske eksamenen. Husk at du må svare på 20 oppgavebaserte spørsmål og at 70% kreves for å bestå.

5. Forbered deg mentalt:

  • Eksamenen kan være intensiv, så sørg for at du har nok tid og er i et godt miljø for å fokusere uten forstyrrelser.

Ressurser og Støtte

  • Gratis Demo: Hvis du ikke allerede har gjort det, kan du prøve den gratis BTL1-demoen for å få en følelse av kursleveransen.
  • Diskusjonsfora: Delta i Security Blue Team sitt Discord-forum for støtte og nettverksbygging.
  • Ekstra Lesing: Les artikler, blogginnlegg, og se videoer om cybersikkerhet for å utvide din kunnskap.

Hvis du har noen spørsmål eller trenger videre hjelp, er jeg her for å støtte deg. Lykke til med din reise mot å bli BTL1-sertifisert!

Selvfølgelig! Her er en omfattende lenkesamling med ressurser, blogger, verktøy, videoer og kilder som dekker alle de ulike temaene og ferdighetene vi har snakket om i BTL1-sertifiseringen.

Ressurser og Verktøy

Security Fundamentals

Phishing Analysis

Threat Intelligence

Digital Forensics

SIEM

Incident Response

Blogger og Artikler

Videoer og Online Kurs

Andre Kilder

Disse ressursene bør gi deg en omfattende forståelse og ferdigheter innenfor alle de seks hovedområdene av BTL1-sertifiseringen. Lykke til med din læring og forberedelser til sertifiseringen! Hvis du har flere spørsmål eller trenger ytterligere hjelp, er jeg her for å hjelpe deg.

Her er en omfattende samling av kunnskap, ressurser og kilder for å dekke alle de nødvendige temaene innen cybersikkerhet, monitorering og digital etterforskning, samt læringsutbytte for kunnskap, ferdigheter og generell kompetanse.

Cybersikkerhet

Emnets innhold

Grunnleggende sikkerhetsprinsipper

Grunnleggende sikkerhet

Trusselbilde innen IT-sikkerhet

Angreps- og forsvarsmetoder

Risikostyring

Rammeverk for IT-sikkerhet

Lover og regler

Læringsutbytte

Kunnskap

Ferdigheter

Generell kompetanse

Monitorering og Digital Etterforskning

Emnets innhold

Monitorering

Digital etterforskning

Læringsutbytte

Kunnskap

Ferdigheter

  • Kan bruke og instruere andre i relevante verktøy for overvåking
  • Kan kartlegge en situasjon og identifisere faglige problemstillinger og behov for iverksetting av tiltak
  • Kan reflektere over egen faglig utførelse av sporsikring og etterforskning av sikkerhetshendelser og justere denne basert på tilbakemelding
  • Kan finne og henvise til informasjon om sporsikring og etterforskning

Generell kompetanse

Denne samlingen av ressurser, verktøy, blogger, videoer og artikler vil hjelpe deg å dekke alle de nødvendige temaene og ferdighetene innen cybersikkerhet, monitorering og digital etterforskning. Lykke til med læringen din! Hvis du har flere spørsmål eller trenger ytterligere hjelp, er jeg her for å hjelpe deg.

Her er en omfattende samling av kunnskap, ressurser og kilder for å dekke alle temaene du nevnte, inkludert IoT, maskinvare og bruk av ITD-lab, programmering, nettverk, database og nettverkssikkerhet.

IoT (Internet of Things)

Emnets innhold

IoT:

Maskinvare og bruk av ITD-lab:

Læringsutbytte

Kunnskap

  • Har kunnskap om begrepet tingenes internett, anvendelser og infrastruktur
  • Har kunnskap om begreper, oppbygging og virkemåte til ulike typer nettverk, nettverkskomponenter og maskinvare, og innsikt i relevante standarder
  • Har kunnskap om begreper og teknikker for å sikre infrastruktur

Ferdigheter

Generell kompetanse

Programmering

Emnets innhold

Programstrukturer

Datastrukturer

Bibliotek

Funksjoner og metoder

Objektorientert programmering

Debugging, testing og unntaksbehandling

API

GUI

UML

Filbehandling

Datasikkerhet

Læringsutbytte

Kunnskap

application-security-verification-standard/)

Ferdigheter

Generell kompetanse

Nettverk 1

Emnets innhold

LAN/WAN teknologi

Nettverkstopologier

OSI-modellen

Nettverkskomponenter

IPv4 og IPv6

Nettverksprotokoller

Nettverkstjenester

Trådløs teknologi

Simuleringsverktøy

Læringsutbytte

Kunnskap

Ferdigheter

Generell kompetanse

Database

Emnets innhold

Databasesystem

SQL

Normalisering

ER-diagram

Brukeradministrasjon

Indeksering

Logging

Backup og Restore

Kryptering

Datavisualisering

Sikkerhet

Læringsutbytte

Kunnskap

  • Har kunnskap om grunnleggende databaseteori
  • Har kunnskap om oppbygging, virkemåte og bruk av databaser i forskjellige driftsmiljøer
  • Har kunnskap om begreper, teorier, modeller, prosesser og verktøy som anvendes innenfor databaser
  • Kan tilegne seg ny kunnskap innen databaser/SQL gjennom å benytte relevant faglitteratur og andre ressurser
  • Har kunnskap om grunnleggende sikkerhet relatert til MySQL

Ferdigheter

Generell kompetanse

  • Kan utføre arbeid etter oppdragsgivers behov, etablere fagnettverk og samarbeide med mennesker på kryss av fagfelt
  • Kan utveksle bransjerelaterte synspunkter og informasjon
  • Kan bidra til å bygge relasjoner, både internt, eksternt og på tvers av fagfelt
  • Kan utveksle synspunkter med andre med bakgrunn innenfor bransjen/yrket og delta

i diskusjoner om utvikling av god praksis

Nettverk 2: Nettverkssikkerhet

Emnets innhold

Nettverk 2:

Nettverkssikkerhet:

Læringsutbytte

Kunnskap

Ferdigheter

  • Kan designe, installere, drifte og feilsøke IKT-nettverk. Studenten kan gi råd og anbefaling om nødvendig skalering og riktige anskaffelser og gjøre rede for sine faglige valg
  • Kan finne og henvise til informasjon og fagstoff samt kommunisere og formidle kunnskap om administrasjon av IKT-teknologi på en forståelig og relevant måte
  • Skal kunne delta i, lede og vurdere løsninger i arbeidet med et IKT-prosjekt og basere dette på vanlige prosjektmetoder
  • Kan samarbeide med andre medarbeidere og kunne ta hensyn til andre fagområders spesielle behov
  • Kan gjenkjenne trusler og konfigurere tiltak mot disse
  • Skal kunne inngå formelle avtaler og samordne alle grupper av leverandører og spesialister som er relevant for IKT-prosjekter/løsninger

Denne omfattende samlingen av ressurser, verktøy, blogger, videoer og artikler vil hjelpe deg å dekke alle de nødvendige temaene og ferdighetene innen IoT, maskinvare og bruk av ITD-lab, programmering, nettverk, database og nettverkssikkerhet. Lykke til med læringen din! Hvis du har flere spørsmål eller trenger ytterligere hjelp, er jeg her for å hjelpe deg.