Lo que aprenderá con el programa de certificación GCIA: una guía completa

Si le interesa una carrera en seguridad de la información, el programa de certificación GCIA de GIAC será su curso más importante. El curso de certificación GCIA se considera el más desafiante, pero también el más gratificante.

No hay mejor curso para aprender a realizar una búsqueda eficaz de amenazas para detectar actividades de día cero en su red antes de que se hagan públicas. Quienes deseen comprender las alertas de monitoreo de red generadas por una herramienta lista para usar no deberían realizar la certificación GCIA.

Sin embargo, las certificaciones GCIA son para quienes desean comprender en profundidad lo que sucede en sus redes actualmente y sospechan problemas graves que sus herramientas no están reportando en este momento.

¿Qué es la certificación de Analista de Intrusiones Certificado por GIAC (GCIA)?

La certificación de Analista de Intrusiones Certificado por GIAC (GCIA) es una credencial independiente del proveedor, diseñada para validar los conocimientos y las habilidades del profesional en la detección y el análisis de intrusiones. Con la certificación GIAC GCIA, podrá configurar y supervisar sistemas de detección de intrusiones, leer, interpretar y analizar el tráfico de red y los archivos de registro, y comprender qué sucede en la red.

Para obtener la certificación GIAC GCIA, deberá aprobar un examen supervisado que abarca diversos objetivos, como el análisis del tráfico de red, la creación de firmas, el análisis de registros y la gestión de incidentes. El examen GIAC GCIA consta de 106 preguntas de opción múltiple. El examen de certificación GCIA tiene una duración de cuatro horas. Para aprobarlo, necesita una puntuación mínima del 67 %.

El examen GCIA cubre las siguientes áreas:

• Fundamentos del análisis de tráfico y protocolos de aplicación
• Sistemas de detección de intrusos (IDS) de código abierto: Snort y Zeek
• Análisis forense y monitorización del tráfico de red

¿Quién puede realizar la certificación GCIA?

• Profesionales responsables de la detección de intrusiones
• Analistas de sistemas
• Analistas de seguridad
• Ingenieros de red
• Administradores de red
• Gestores de seguridad prácticos

Aprenderá las siguientes habilidades:

• Analizar el tráfico de su sitio web para evitar ser noticia
• Cómo identificar amenazas de día cero que ninguna herramienta de monitorización de red ha identificado
• Monitoreo de red: cómo colocarlo, personalizarlo y ajustarlo
• Cómo clasificar las alertas de red, especialmente durante un incidente
• Identificar qué sucedió, cuándo sucedió y quién lo hizo mediante la reconstrucción de eventos
• Experiencia práctica con análisis forense de red, detección y análisis
• TCP/IP y protocolos de aplicación comunes para obtener información sobre el tráfico de su red, lo que le permitirá distinguir el tráfico normal del anormal
• Monitoreo de redes basadas en firmas: ventajas y desventajas
• Monitoreo de redes de comportamiento para la correlación automatizada en toda la empresa y cómo usarlas eficazmente
• Realizar un modelado de amenazas eficaz para las actividades de red
• Convertir el modelado de amenazas en capacidades de detección de amenazas de día cero
• Analizar los datos de flujo en redes tradicionales, híbridas y en la nube para Mejorar la detección

Podrás:

• Configurar y ejecutar Snort y Suricata
• Crear y escribir reglas efectivas y eficientes para Snort, Suricata y FirePOWER.
• Configurar y ejecutar Zeek de código abierto para proporcionar un marco híbrido de análisis de tráfico.
• Crear scripts automatizados de correlación para la búsqueda de amenazas en Zeek.
• Comprender las capas de componentes TCP/IP para identificar tráfico normal y anormal para la identificación de amenazas.
• Utilizar herramientas de análisis de tráfico para identificar indicios de una vulneración o amenaza activa.
• Realizar análisis forense de red para investigar el tráfico e identificar TTP y encontrar amenazas activas.
• Extraer archivos y otros tipos de contenido del tráfico de red para reconstruir eventos.
• Crear filtros BPF para examinar selectivamente un rasgo de tráfico específico a escala.
• Crear paquetes con Scapy.
• Utilizar herramientas NetFlow/IPFIX para detectar anomalías en el comportamiento de la red y posibles amenazas.
• Utilizar tus conocimientos de arquitectura y hardware de red para personalizar la ubicación de los sensores de monitorización de red y rastrear el tráfico directamente.

Temario del examen de certificación GCIA

SEC503.1: Monitoreo y Análisis de Redes: Parte I

Esta sección ofrece una cobertura detallada de la pila de protocolos TCP/IP, preparándolo para monitorear y detectar mejor las amenazas en su infraestructura tradicional o en la nube. El primer paso se denomina "Paquetes como segundo idioma". Para identificar amenazas e identificar TTP, los estudiantes se sumergen inmediatamente en el análisis de paquetes de bajo nivel para recopilar los paquetes utilizados en ataques de día cero y otros ataques. A lo largo de esta sección, los estudiantes aprenderán los fundamentos de la comunicación TCP/IP, la teoría de bits, bytes, binarios y hexadecimales, y el significado y comportamiento esperado de cada campo. Los estudiantes aprenderán a usar herramientas como Wireshark y TCPdump para analizar el tráfico.

Conceptos de TCP/IP

• ¿Por qué es necesario comprender los encabezados y datos de los paquetes? - El modelo de comunicaciones TCP/IP
• Encapsulación/desencapsulación de datos
• Bits, bytes, binario y hexadecimal

Introducción a Wireshark

• Navegación por Wireshark
• Perfiles de Wireshark
• Análisis de las opciones estadísticas de Wireshark
• Reensamblado de flujos
• Búsqueda de contenido en paquetes

Capa de acceso a la red/enlace: Capa 2

• Introducción a la capa de enlace
• Protocolo de resolución de direccionamiento
• Ataques y defensas de capa 2

Capa IP: Capa 3

• IPv4
• Análisis de campos en teoría y práctica
• Sumas de comprobación y su importancia, especialmente para la monitorización y evasión de redes
• Fragmentación: Campos de encabezado IP involucrados en la fragmentación, composición de los fragmentos, ataques de fragmentación modernos

Procesamiento de línea de comandos UNIX

• Procesamiento eficiente de paquetes
• Análisis y agregación de datos para responder preguntas e investigar una red
• Uso de expresiones regulares para un análisis más rápido

SEC503.2: Monitorización y análisis de redes: Parte II

Esta sección concluye la sección "Paquetes como segundo lenguaje" del curso y sienta las bases para un análisis más profundo. Los estudiantes adquirirán un conocimiento profundo de los principales protocolos de la capa de transporte utilizados en el modelo TCP/IP, así como de cómo las tendencias modernas afectan su uso. En esta lección, aprenderá a analizar su propio tráfico con Wireshark y TCPdump. Mediante el uso de filtros de visualización de Wireshark y filtros de paquetes Berkeley, el enfoque se centra en filtrar datos a gran escala hasta el tráfico de interés para detectar amenazas en infraestructuras tradicionales y basadas en la nube. Esta sección también abarca innovaciones modernas con importantes implicaciones para la monitorización de redes, incluyendo el significado y la función de cada campo de encabezado.

Filtros de visualización de Wireshark

• Análisis de algunas de las muchas maneras en que Wireshark facilita la creación de filtros de visualización
• Composición de filtros de visualización

Escritura de filtros BPF

• La ubicuidad del BPF y la utilidad de los filtros
• Formato de los filtros BPF
• Uso del enmascaramiento de bits

TCP

• Análisis de campos en teoría y práctica
• Disección de paquetes
• Sumas de comprobación
• Estímulo y respuesta TCP normales y anormales
• Importancia del reensamblado TCP para IDS/IPS

UDP

• Análisis de campos en teoría y práctica
• Estímulo y respuesta UDP

ICMP

• Análisis de campos en teoría y práctica
• Cuándo no se deben enviar mensajes ICMP
• Uso en mapeo y reconocimiento
• ICMP normal
• ICMP malicioso

IP6

• Fundamentos
• Mejoras con respecto a IP6
• Protocolos de multidifusión y cómo los aprovecha IP6
• Amenazas de IP6

Aplicación en el mundo real: Investigación de una red

• ¿Quiénes son? ¿Quiénes son los principales conversadores?
• ¿A qué se conecta la gente?
• ¿Qué servicios se ejecutan en nuestra red?
• ¿Qué tipo de tráfico este-oeste hay?

SEC503.3: Detección y respuesta ante amenazas basadas en firmas

La tercera sección del curso se basa en las dos primeras, analizando los protocolos de la capa de aplicación. Con este conocimiento, aprenderá a detectar amenazas en la nube, endpoints, redes híbridas e infraestructuras tradicionales. Los estudiantes también aprenderán sobre Scapy, la potente herramienta de creación de paquetes basada en Python, que permite manipular, crear, leer y escribir paquetes. Puede usar Scapy para crear paquetes y probar la capacidad de detección de una herramienta de monitoreo o un firewall. En particular, esto es importante cuando se agrega una vulnerabilidad recién anunciada a una regla de monitoreo de red creada por un usuario.

Scapy

• Creación y análisis de paquetes con Scapy
• Escritura de paquetes en la red o en un archivo Pcap
• Lectura de paquetes desde la red o desde un archivo Pcap
• Usos prácticos de Scapy para el análisis de red y la defensa de la red

Wireshark avanzado

• Exportación de objetos web y otros objetos compatibles
• Extracción de contenido arbitrario de aplicaciones
• Investigación de un incidente con Wireshark
• Wireshark práctico para analizar la actividad del protocolo SMB
• Tshark

Introducción a Snort/Suricata

• Configuración de las herramientas y registro básico
• Escritura de reglas sencillas
• Uso de opciones comunes

Snort/Suricata eficaz

• Contenido más avanzado sobre la escritura de reglas realmente eficientes para redes muy grandes
• Comprensión de cómo escribir reglas flexibles que no se puedan eludir ni evadir fácilmente
• Enfoque "Elige tu propia aventura" de Snort/Suricata para todas las actividades prácticas
• Examen progresivo de un exploit en evolución, mejorando gradualmente una regla para detectar todas las formas del ataque
• Aplicación de Protocolos de capa de aplicación: Snort/Suricata

DNS

• Arquitectura y función de DNS
• DNSSEC
• Avances modernos en DNS, como EDNS (DNS extendido)
• DNS malicioso, incluyendo envenenamiento de caché
• Creación de reglas para identificar actividades de amenazas de DNS

Protocolos de Microsoft

• SMB/CIFS
• Desafíos de detección
• Aplicación práctica de Wireshark

HTTP moderno

• Formato de protocolo
• Por qué y cómo está evolucionando este protocolo
• Desafíos de detección
• Cambios con HTTP2 y HTTP3

Cómo investigar un protocolo

• Uso de QUIC como caso práctico
• Comparación de GQUIC vs. QUIC del IETF

Aplicación en el mundo real: Identificación del tráfico de interés

• Detección de datos de aplicaciones anómalos en grandes repositorios de paquetes
• Extracción de registros relevantes
• Investigación y análisis de aplicaciones

SEC503.4: Construcción de sistemas de detección de amenazas de día cero

La sección 4 examina en profundidad los sistemas de detección de intrusiones modernos y futuros basados en el conocimiento adquirido en Primeras tres secciones. Al combinar todo lo aprendido hasta ahora, los estudiantes pueden diseñar capacidades de detección de amenazas muy superiores a las de Snort/FirePower/Suricata y a los firewalls de nueva generación mediante la detección avanzada del comportamiento con Zeek (o Corelight).

Arquitectura de red

• Instrumentación de la red para la recopilación de tráfico
• Estrategias de implementación para la monitorización de red y detección de amenazas
• Hardware para la captura de tráfico

Introducción a la monitorización de red a escala

• Función de las herramientas de monitorización de red
• Rol del analista en la detección
• Proceso de flujo de análisis

Zeek

• Introducción a Zeek
• Modos de funcionamiento de Zeek
• Registros de salida de Zeek y su uso
• Análisis práctico y modelado de amenazas
• Scripting de Zeek
• Uso de Zeek para monitorizar y correlacionar comportamientos relacionados

Teoría de la evasión de IDS/IPS

• Teoría e implicaciones de las evasiones en diferentes capas del protocolo
• Muestreo de evasiones
• Necesidad de la detección basada en objetivos
• Evasiones de monitorización de día cero

SEC503.5: Detección de amenazas a gran escala, análisis forense y análisis

Esta sección se centra en ejercicios prácticos, no en la formación formal. En esta sección se cubren tres áreas principales, comenzando con el análisis y la recopilación de datos a gran escala mediante NetFlow e IPFIX. Con los conocimientos de protocolo adquiridos en la primera sección del curso, NetFlow puede utilizarse para la búsqueda de amenazas en la nube y en infraestructuras tradicionales. Tras cubrir los fundamentos, los estudiantes avanzarán hacia el análisis y la detección de amenazas más avanzados mediante la creación de consultas NetFlow personalizadas. Una segunda área introduce el análisis de tráfico, continuando con el tema del análisis a gran escala. Se presentan diversas herramientas y técnicas para la búsqueda de amenazas de día cero, tras lo cual los estudiantes tienen la oportunidad de ponerlas en práctica. El curso también cubrirá aplicaciones innovadoras de inteligencia artificial y aprendizaje automático para detectar anomalías. El área final de esta sección se centra en el análisis forense de redes y la reconstrucción de incidentes. Cada estudiante trabajará en tres incidentes prácticos detallados utilizando las herramientas y técnicas aprendidas a lo largo del curso.

Uso de registros de flujo de red

• Análisis de metadatos de NetFlow e IPFIX
• Uso de SiLK para encontrar eventos de interés
• Identificación de movimiento lateral mediante datos de NetFlow
• Creación de consultas NetFlow personalizadas

Búsqueda y visualización de amenazas

• Diversos enfoques para la búsqueda de amenazas de red a escala empresarial
• Ejercicios que incluyen enfoques para visualizar el comportamiento de la red e identificar anomalías
• Aplicaciones de la ciencia de datos para optimizar las operaciones de seguridad y la búsqueda de amenazas
• Experimentación con un sistema basado en IA para identificar anomalías en el protocolo de red en una red protegida

Introducción al análisis forense de redes

• Teoría del análisis forense de redes
• Fases de la explotación
• Análisis basado en datos versus análisis basado en alertas
• Visualización basada en hipótesis

SEC503.6: Proyecto final de monitorización avanzada de red y detección de amenazas

Este curso culmina con un proyecto final práctico de monitorización de red y detección de amenazas basado en servidor, que es a la vez desafiante y entretenido. En este curso, los estudiantes compiten individualmente o en equipos para responder diversas preguntas utilizando las herramientas y teorías que aprenden. Basado en seis secciones de datos reales, el desafío consiste en investigar un incidente urgente. Durante este evento de acompañamiento, los estudiantes responden preguntas basadas en el mismo análisis de datos realizado por un equipo de analistas profesionales.

En resumen

Al obtener la certificación de Analista de Intrusiones GIAC, los profesionales demuestran sus conocimientos en monitoreo de redes y hosts, análisis de tráfico y detección de intrusiones. Con la certificación GIAC GCIA, puede configurar y monitorear sistemas de detección de intrusiones, así como leer, interpretar y analizar el tráfico de red y los archivos de registro.

La certificación GCIA ya está disponible. Si busca un centro de exámenes proxy, ¡ha llegado al lugar indicado! El equipo de CBT Proxy está aquí para ayudarle a aprobar su examen a la primera. Haga clic en el botón de chat a continuación para hablar con uno de nuestros consultores sobre el examen.