La certification GIAC GNFA est une certification professionnelle attestant d'une expertise en criminalistique et analyse de réseaux. Le programme de certification GIAC Network Forensic Analyst (GNFA) est proposé par GIAC et reconnu par des organisations du monde entier.
L'obtention de la certification GIAC GNFA requiert la réussite d'un examen et la démonstration d'une excellente compréhension de la criminalistique et de l'analyse de réseaux.
La certification GIAC Network Forensic Analyst (GNFA) est l'une des certifications d'analyste forensique les plus reconnues. Elle valide la capacité d'un praticien à réaliser des analyses impliquant des artefacts de criminalistique réseau. L'obtention de la certification GNFA atteste de votre maîtrise des fondamentaux de la criminalistique réseau, des conditions normales et anormales des protocoles réseau courants, des processus et outils d'analyse des journaux système et des périphériques, ainsi que des protocoles de communication sans fil et de chiffrement.
L'examen de certification GIAC GNFA couvre l'architecture réseau, les protocoles réseau et leur rétro-ingénierie, le chiffrement et l'encodage, l'analyse NetFlow et la visualisation des attaques, la journalisation des événements et incidents de sécurité, les outils et l'utilisation de l'analyse réseau, l'analyse des réseaux sans fil et les proxys de sécurité réseau open source.
L'examen GIAC GNFA comprend 50 à 66 questions à choix multiples et doit être passé en 2 à 3 heures. Pour réussir l'examen GNFA, un score de 70 % est requis. La certification GNFA est idéale pour toute personne possédant de solides connaissances en informatique légale, en systèmes d'information et en sécurité de l'information, et intéressée par les intrusions et les enquêtes sur les réseaux informatiques.
Voici les sujets abordés lors de l'examen GNFA :
Architecture réseau, protocoles réseau et rétro-ingénierie des protocoles réseau
Chiffrement et encodage, analyse NetFlow et visualisation des attaques, journalisation des événements et incidents de sécurité
Outils et utilisation de l'analyse réseau, analyse des réseaux sans fil et proxys de sécurité réseau open source
Tout professionnel de l'analyse forensique des réseaux peut obtenir la certification GIAC GNFA. Elle est particulièrement avantageuse pour :
Les personnes possédant une solide expérience en analyse forensique informatique, en systèmes d'information et en sécurité de l'information, et intéressées par les intrusions et les enquêtes sur les réseaux informatiques, devraient participer à cet atelier.
Les membres des équipes de réponse aux incidents
Les experts en analyse forensique
Les spécialistes de la chasse aux menaces
Les agents des forces de l'ordre, les agents fédéraux et les enquêteurs
Le personnel des SOC
Les professionnels et responsables de la sécurité de l'information
Les ingénieurs et les administrateurs réseau
Les professionnels des technologies de l'information
Les candidats démontreront une compréhension approfondie des protocoles réseau courants, notamment leur fonctionnement, les risques de sécurité et les contrôles associés.
Les candidats démontreront une compréhension des techniques courantes d'encodage et de chiffrement du trafic réseau, ainsi que des attaques courantes ciblant ces techniques.
Les candidats auront acquis de l'expérience dans l'identification des attaques réseau à l'aide des données NetFlow et d'autres sources d'information.
Les candidats se familiariseront avec les outils d'analyse de paquets open source et leur rôle dans le filtrage et la reconstruction des flux de données.
Les candidats se familiariseront avec la conception et le déploiement d'un réseau utilisant plusieurs technologies de transmission et de collecte.
Les candidats maîtriseront l'analyse des différents protocoles et des données transitant sur un réseau.
Les candidats démontreront leur connaissance des proxys de sécurité réseau, des avantages et des faiblesses de leur déploiement, ainsi que des formats de journalisation courants et du flux de données dans un environnement réseau.
Les candidats se familiariseront avec les différents formats de journalisation, les protocoles et leurs implications en matière de sécurité. Ils démontreront également leur capacité à configurer et à déployer des dispositifs de collecte et des agrégateurs de journaux sur l'ensemble d'un réseau.
Les candidats se familiariseront avec le processus d'identification et de maîtrise des risques liés aux technologies, protocoles et infrastructures sans fil.
Bien que de nombreux concepts fondamentaux de l'analyse forensique réseau soient communs à toute enquête forensique numérique, le réseau présente de nombreuses nuances qui requièrent une attention particulière. Vous apprendrez aujourd'hui à appliquer vos connaissances en forensique numérique et en réponse aux incidents aux preuves issues du réseau. Vous vous familiariserez également avec les outils essentiels du métier.
Examen d'un serveur proxy web
Outils fondamentaux d'analyse forensique réseau : tcpdump et Wireshark
Acquisition de preuves réseau
Défis et opportunités liés à l'architecture réseau
De nombreux protocoles réseau peuvent être utilisés dans un réseau de production. Ce module abordera les sujets les plus susceptibles d'être utiles aux experts en forensique dans leurs enquêtes habituelles, ainsi que ceux qui encouragent l'utilisation de méthodes d'analyse face à des protocoles nouveaux, non documentés ou propriétaires. La connaissance des comportements « typiques » de ces protocoles vous aidera à identifier les comportements anormaux pouvant indiquer une utilisation abusive. Ces artefacts et anomalies de protocole peuvent être profilés par l'analyse du trafic direct et des journaux d'activité. Bien que cela offre aux enquêteurs de nombreuses possibilités d'analyse du trafic réseau, l'analyse de grandes quantités de données sources nécessite des outils et des méthodes adaptés à la mise à l'échelle.
Protocole de transfert hypertexte (HTTP) partie 1 : protocole
Protocole de transfert hypertexte (HTTP) partie 2 : journaux d'activité
Service DNS (Domain Same Service) : protocole et journaux d'activité
Surveillance de la sécurité des réseaux à des fins d'investigation numérique
Protocole et agrégation des journaux d'activité
Syslog
Gestion des événements Microsoft
Collecte, agrégation et analyse des données de journalisation
Elastic Stack et plateforme SOF-ELK
Principes de base et avantages/inconvénients d'Elastic Stack
SOF-ELK
L'enregistrement des connexions réseau, communément appelé NetFlow, est la source de preuves la plus précieuse lors des investigations de réseaux. Les exigences minimales de stockage des données de flux ont conduit à la constitution d'archives volumineuses dans de nombreuses organisations. En ne capturant pas le contenu des transmissions, NetFlow atténue de nombreux problèmes juridiques liés à la conservation à long terme. Le protocole NetFlow est un excellent outil pour orienter une enquête et identifier les activités des attaquants avant, pendant et après une attaque. Pour se déplacer au sein de l'environnement d'une victime ou exfiltrer des données, les attaquants utilisent différents protocoles d'accès aux fichiers. Afin d'identifier rapidement les actions de vol d'un attaquant, un enquêteur doit connaître certains des protocoles d'accès et de transfert de fichiers les plus courants.
Collecte et analyse NetFlow
Outils de flux open source
Protocole de transfert de fichiers (FTP)
Protocoles Microsoft
Dans la boîte à outils d'un enquêteur réseau, les outils commerciaux sont essentiels. Dans ce cours, vous apprendrez comment intégrer les outils commerciaux dans un flux de travail d'enquête pour remplir différents rôles. Les enquêteurs doivent également être préparés à faire face aux défis uniques que pose le réseau sans fil en raison de son adoption rapide. Quel que soit le protocole ou le budget examiné, la capture complète des paquets est essentielle, et une boîte à outils permettant une analyse à grande échelle est cruciale.
Protocole de transfert de courrier simple (SMTP)
Extraction d'objets avec Network Miner
Analyse forensique des réseaux sans fil
Outils et bibliothèques automatisés
Recherche complète de paquets avec Moloch
Grâce aux progrès technologiques, il est devenu plus facile pour les personnes malveillantes de commettre des crimes et plus difficile pour les enquêteurs de les traquer. De nombreuses méthodes de chiffrement sont facilement accessibles, et des protocoles personnalisés peuvent être rapidement développés et mis en œuvre. Cependant, même les méthodes des adversaires les plus sophistiqués présentent des failles. Il est impératif d'agir avec prudence lorsqu'on découvre les stratégies de dissimulation délibérées de l'attaquant, car celui-ci peut alors retourner la situation et anéantir vos efforts.
Encodage, chiffrement et SSL/TLS
Attaque du milieu (MITM)
Rétro-ingénierie des protocoles réseau
Enquêtes en sécurité opérationnelle et renseignement sur les menaces
Renseignement
Dans cette section, vous mettrez en pratique l’ensemble des connaissances acquises. L’objectif de cette activité est d’examiner, en groupe, les preuves réseau issues d’une intrusion réelle commise par un attaquant sophistiqué. Chaque groupe analysera les données indépendamment, formulera des hypothèses et présentera ses conclusions.
Le programme de certification GNFA est un excellent moyen de faire progresser votre carrière en criminalistique réseau. Grâce à la certification GNFA, vous acquerrez les connaissances et les compétences nécessaires pour exceller dans le domaine de la sécurité réseau.
Il est important de comprendre que l’obtention de la certification GIAC GNFA exige beaucoup de dévouement, de discipline et un engagement envers la formation continue. Si vous souhaitez obtenir la certification GNFA et recherchez un centre d'examen par procuration fiable, CBT Proxy peut vous aider à réussir l'examen GNFA dès votre première tentative.
Pour en savoir plus sur l'examen et la procédure à suivre, cliquez sur le bouton de chat ci-dessous ; un de nos conseillers vous contactera rapidement.
Copyright © 2024 - Tous droits réservés.
