Les professionnels qui travaillent dans la sécurité de l'information, l'informatique judiciaire ou la réponse aux incidents sont des candidats idéaux pour obtenir la certification GIAC GCFA. Afin d'obtenir cette certification, vous devez connaître les compétences de base requises pour collecter et analyser des données à partir d'ordinateurs Windows et Linux.
Avec la certification GIAC GCFA, vous pouvez démontrer vos connaissances et vos compétences dans la conduite d'enquêtes formelles sur les incidents et la gestion de scénarios d'incidents avancés, y compris les intrusions de l'intérieur et de l'extérieur de l'environnement de données, les menaces persistantes avancées, les techniques anti-criminalité utilisées par les attaquants et les analyses médico-légales numériques complexes. enquêtes.
Certification GIAC Certified Forensic Analyst (GCFA)
Le GIAC Certified Forensic Analyst (GCFA), proposé par GIAC, est une certification indépendante du fournisseur qui valide les connaissances et les compétences d'un individu en criminalistique numérique et en réponse aux incidents. Il démontre la capacité à mener des enquêtes médico-légales, à analyser des preuves numériques et à développer et mettre en œuvre des stratégies efficaces de réponse aux incidents.
Pour obtenir la certification GIAC GCFA, les candidats doivent réussir un examen surveillé couvrant la criminalistique numérique et la réponse aux incidents. Cela comprend l'acquisition et l'analyse de preuves, l'investigation du système de fichiers, l'investigation de la mémoire et l'investigation du réseau.
L'examen de certification GIAC GCFA se compose de 82 questions à choix multiples. La durée de l'examen est de trois heures. Pour obtenir la certification GCFA, vous devez obtenir au moins 71 % ou plus. La certification GCFA est idéale pour les membres de l'équipe de réponse aux incidents, les chasseurs de menaces, les analystes SOC, les analystes judiciaires numériques expérimentés, les professionnels de la sécurité de l'information, les testeurs d'intrusion et les développeurs d'exploits.
Voici les domaines couverts par l'examen de certification GCFA :
- Réponse avancée aux incidents et criminalistique numérique
- Analyse médico-légale de la mémoire, analyse de la chronologie et détection anti-criminalistique
Qui peut passer l'examen de certification GIAC GCFA ?
- Membres de l'équipe de réponse aux incidents
- Chasseurs de menaces
- Analystes SOC
- Analystes judiciaires numériques expérimentés
- Professionnels de la sécurité de l'information
- Agents fédéraux et professionnels de l'application de la loi
- Membres de l'équipe rouge, testeurs d'intrusion et développeurs d'exploits
- Titulaires des certifications GCFE et GCIH
Objectifs de l'examen de certification GCFA et déclarations de résultats
Analyse des artefacts d'événements malveillants volatils
Les candidats démontreront une compréhension de l'activité anormale dans la structure de la mémoire Windows et seront en mesure d'identifier les techniques de logiciels malveillants telles que l'injection de code et les rootkits, ainsi que les processus malveillants et les pilotes suspects.
Analyse des artefacts d'événements Windows volatils
Les candidats démontreront une compréhension du fonctionnement de la mémoire Windows et seront capables d'identifier les artefacts tels que les connexions réseau, les artefacts de ligne de commande résidant en mémoire, les poignées et les threads.
Réponse aux incidents de l'environnement d'entreprise
Les candidats évalueront et analyseront rapidement les systèmes dans un environnement d'entreprise mettant à l'échelle les outils pour répondre aux exigences des enquêtes de grande envergure et démontrant une compréhension des étapes du processus de réponse aux incidents, de la progression de l'attaque et des principes fondamentaux de l'adversaire.
Analyse des artefacts de la chronologie du système de fichiers
Les candidats démontreront une compréhension de la façon dont l'activité du système et de l'utilisateur modifie la structure temporelle du système de fichiers Windows.
Identification du système malveillant et de l'activité de l'utilisateur
Les candidats démontreront une compréhension des techniques d'identification et de documentation des indicateurs de compromission, de détection des logiciels malveillants et des outils d'attaque, de marquage de l'activité aux événements et aux comptes, et d'identification et de compensation des actions anti-forensiques basées sur les artefacts de mémoire et de disque.
Identification de l'activité normale du système et de l'utilisateur
Les candidats démontreront leur expertise dans l'identification, la documentation et la différenciation des activités normales et anormales des systèmes et des utilisateurs.
Introduction à la chronologie du système de fichiers
Les candidats démontreront une compréhension de la méthodologie requise pour collecter, traiter et analyser les données chronologiques recueillies à partir d'ordinateurs Windows.
Introduction à la criminalistique de la mémoire
Les candidats démontreront une compréhension de comment et quand les données volatiles doivent être collectées à partir d'un système et comment documenter et préserver l'intégrité des preuves volatiles.
Analyse d'artefacts NTFS
Les candidats démontreront une compréhension des structures de base du système de fichiers et leur capacité à identifier, récupérer et analyser les preuves à n'importe quelle couche du système de fichiers, comme la couche de stockage de données, la couche de métadonnées et la couche de nom de fichier.
Analyse des artefacts Windows
Le candidat démontrera sa connaissance des artefacts Windows, y compris les sauvegardes et restaurations du système, et la preuve de l'exécution de l'application.
Ce que vous apprendrez
Au cours des dernières années, les tactiques et procédures de chasse aux menaces et de réponse aux incidents se sont développées rapidement. L'utilisation de techniques obsolètes de réponse aux incidents et de chasse aux menaces n'a plus de sens, car elles ne permettent pas d'identifier les systèmes compromis, de contenir les failles de manière inefficace et, finalement, de résoudre rapidement un incident ou d'empêcher la propagation des ransomwares. Afin de générer des informations précises sur les menaces, les équipes de réponse aux incidents et de recherche des menaces doivent identifier et observer les indicateurs de malware et les modèles d'activité.
La certification GCFA de GIAC prépare les chasseurs de menaces et les intervenants au suivi, à l'identification, à la lutte et à la récupération d'un large éventail de menaces au sein des réseaux d'entreprise. Ces menaces incluent les adversaires des États-nations APT, les syndicats du crime organisé et les syndicats de rançongiciels.
Le programme de certification GIAC GCFA vous aidera dans les domaines suivants :
- Comprendre le métier de l'attaquant pour évaluer les compromis
- Déterminer quand et comment une violation s'est produite
- Détecter rapidement les systèmes compromis ou infectés
- Effectuer des évaluations des dommages et déterminer ce qui a été volé, modifié ou lu
- Gérer les incidents de tous types et y remédier
- Évaluer le paysage des menaces d'un réseau et suivre les adversaires
- Enquêter sur les violations supplémentaires en fonction des connaissances de l'adversaire
- Développer des compétences avancées en criminalistique pour contrer les antiforensiques et la dissimulation de données
Vous pourrez:
- Maîtriser les outils, techniques et procédures pour chasser, détecter et contenir une variété d'adversaires et résoudre des incidents.
- Trouvez des logiciels malveillants inconnus en mémoire sur plusieurs systèmes Windows dans un environnement d'entreprise, qu'ils soient actifs, inactifs ou personnalisés.
- Avec PowerShell ou F-Response Enterprise et SIFT Workstation, recherchez et répondez simultanément à des centaines de systèmes uniques.
- Suivre les balises de logiciels malveillants échangeant des données avec ses canaux de commande et de contrôle (C2) en analysant l'investigation de la mémoire, l'analyse du registre et les résidus de connexion réseau.
- Identifiez la cause profonde, les systèmes tête de pont et les mécanismes d'attaque initiaux pour déterminer comment la violation s'est produite.
- Détectez les techniques de vie hors du terrain, y compris l'utilisation abusive de PowerShell et de WMI.
- Enquêtez sur les techniques anti-forensiques avancées de l'adversaire, y compris les logiciels malveillants cachés et horodatés, ainsi que sur le déplacement dans le réseau et le maintien de la présence d'un attaquant.
- Utilisez les outils SIFT Workstation pour détecter les processus cachés, les logiciels malveillants, les commandes des attaquants, les rootkits et les connexions réseau à l'aide de l'analyse de la mémoire, de la réponse aux incidents et de la chasse aux menaces.
- Analysez le système que vous analysez seconde par seconde grâce à une analyse approfondie de la chronologie et de la super-chronologie.
- Récupérez les données supprimées via Volume Shadow Copy et l'analyse du point de restauration après qu'elles ont été effacées à l'aide de techniques anti-forensiques.
- Identifiez comment les attaquants se déplacent d'un système à l'autre sans être détectés au sein de votre entreprise.
- Découvrez comment les attaquants peuvent obtenir des informations d'identification légitimes, y compris des droits d'administrateur de domaine, même dans des environnements sécurisés.
- Analysez comment les attaquants collectent les données critiques et les déplacent vers des points d'exfiltration.
- Analysez les points de cliché instantané de volume et de restauration pour récupérer les données supprimées à l'aide de techniques anti-forensics.
- Mettre en œuvre une correction efficace dans toute l'entreprise à l'aide des données collectées.
Quels sont les avantages de devenir un professionnel GIAC Certified Forensic Analyst (GCFA) ?
La certification GIAC GCFA démontre la capacité d'identifier et d'analyser des preuves numériques, de répondre aux incidents et d'enquêter sur les délits informatiques. Avec la certification GCFA, vous pouvez élargir vos perspectives d'emploi et augmenter votre potentiel de revenus. La certification GIAC GCFA peut déboucher sur des opportunités de carrière telles que la sécurité des affaires électroniques, les administrateurs de systèmes informatiques, les professionnels du droit ou les responsables informatiques.
Pour prévenir et protéger leur infrastructure numérique, les failles de sécurité et d'autres crimes informatiques, les entreprises et les agences gouvernementales recherchent des candidats ayant des compétences d'enquêteur médico-légal en matière de piratage informatique. C'est donc le moment idéal pour passer l'examen de certification GIAC GCFA.
L'essentiel
La certification GIAC Certified Forensic Analyst (GCFA) est la certification en criminalistique informatique la plus reconnue de l'organisation Global Information Assurance Certification. Il existe une forte demande d'analystes en criminalistique numérique dans l'industrie, attendant que des professionnels certifiés GCFA occupent les postes. Sur cette note, il existe trois grands secteurs qui ont constamment besoin d'une expertise qualifiée en criminalistique numérique : la sécurité de l'information, le droit et l'application de la loi.
Si vous souhaitez passer l'examen de certification GIAC GCFA et recherchez un centre d'examen proxy fiable pour vous aider à réussir l'examen. Cherchez pas plus loin! CBT Proxy peut vous aider à chaque étape de votre voyage. Pour en savoir plus sur l'examen GCFA et comment vous pouvez commencer avec nous, cliquez sur le bouton de chat ci-dessous, et l'un de nos consultants vous contactera et vous aidera en conséquence.