La certification GIAC GNFA est une certification professionnelle conçue pour démontrer une expertise en criminalistique et analyse de réseau. Le programme de certification GIAC Network Forensic Analyst (GNFA) est proposé par GIAC et reconnu par des organisations du monde entier.
L'obtention de la certification GIAC GNFA nécessite la réussite d'un examen et la démonstration d'une grande compréhension de la criminalistique et de l'analyse du réseau.
Qu'est-ce que l'examen de certification GIAC GNFA ?
La certification GIAC Network Forensic Analyst (GNFA) est l'une des principales certifications d'analystes médico-légaux, validant la capacité d'un praticien à effectuer des examens impliquant des artefacts médico-légaux de réseau. En obtenant la certification GNFA, vous démontrerez votre compréhension des principes fondamentaux de l'investigation des réseaux, des conditions normales et anormales des protocoles réseau courants, des processus et des outils d'examen des journaux des périphériques et du système, ainsi que des protocoles de communication et de cryptage sans fil.
L'examen de certification GIAC GNFA couvre l'architecture réseau, les protocoles réseau et l'ingénierie inverse des protocoles réseau, le chiffrement et l'encodage, l'analyse NetFlow et la visualisation des attaques, la journalisation des événements et des incidents de sécurité, les outils d'analyse et l'utilisation du réseau, l'analyse du réseau sans fil et les proxys de sécurité réseau open source. .
L'examen GIAC GNFA se compose de 50 à 66 questions à choix multiples et doit être complété en 2 à 3 heures. Pour réussir l'examen GNFA, une note de passage de 70 % est requise. La certification GNFA est idéale pour toute personne ayant une solide expérience en criminalistique informatique, en systèmes d'information et en sécurité de l'information intéressée par les intrusions et les enquêtes sur les réseaux informatiques.
Voici les sujets abordés dans l'examen GNFA :
- Architecture réseau, protocoles réseau et rétro-ingénierie des protocoles réseau
- Chiffrement et encodage, analyse NetFlow et visualisation des attaques, journalisation des événements et incidents de sécurité
- Outils d'analyse et utilisation du réseau, analyse du réseau sans fil et proxys de sécurité réseau open source
Qui peut passer la certification GIAC GNFA ?
Tout professionnel de la criminalistique réseau peut poursuivre la certification GIAC GNFA. Il est particulièrement bénéfique pour :
- Ceux qui ont une solide expérience en criminalistique informatique, en systèmes d'information et en sécurité de l'information qui s'intéressent aux intrusions et aux enquêtes sur les réseaux informatiques devraient participer à cet atelier.
- Membres de l'équipe de réponse aux incidents
- Médecins Légistes
- Chasseurs de menaces
- Officiers chargés de l'application des lois, agents fédéraux et détectives
- Personnel SOC
- Praticiens et gestionnaires de la sécurité de l'information
- Défenseurs et ingénieurs du réseau
- Professionnels de l'informatique
Les objectifs de l'examen de certification GIAC GNFA et les déclarations de résultats
Protocoles réseau courants
Les candidats démontreront une compréhension approfondie des protocoles réseau courants, y compris leur comportement, les risques de sécurité et les contrôles.
Cryptage et encodage
Les candidats démontreront une compréhension des techniques courantes de codage et de chiffrement du trafic réseau, ainsi que des attaques courantes contre ces techniques.
Analyse NetFlow et visualisation des attaques
Les candidats auront de l'expérience dans l'identification d'attaques de réseau à l'aide de données NetFlow et d'autres sources d'information.
Outil d'analyse du réseau et utilisation
Les candidats seront familiarisés avec les outils d'analyse de paquets open source et leur objectif de filtrage et de reconstruction des flux de données.
Architecture de réseau
Les candidats seront familiarisés avec la conception et le déploiement d'un réseau utilisant plusieurs technologies de transmission et de collecte.
Rétro-ingénierie de protocole réseau
Les candidats auront une compréhension approfondie de la façon d'analyser divers protocoles et données traversant un réseau.
Proxys de sécurité réseau open source
Les candidats démontreront leur connaissance des proxys de sécurité réseau, des avantages et des faiblesses de leur déploiement, ainsi que des formats de journal courants et de la manière dont les données circulent dans un environnement réseau.
Journalisation des événements et des incidents de sécurité
Les candidats seront familiarisés avec divers formats de journaux, protocoles et implications en matière de sécurité. En outre, ils démontreront une compréhension de la configuration et du déploiement des dispositifs de collecte et des agrégateurs de journalisation sur un réseau.
Analyse du réseau sans fil
Les candidats seront familiarisés avec le processus d'identification et de contrôle des risques liés à la technologie, au protocole et à l'infrastructure sans fil.
Programme d'examen de certification GIAC GNFA
FOR572.1 : hors du disque et sur le fil
Bien que de nombreux concepts fondamentaux de criminalistique de réseau s'alignent sur toute autre enquête de criminalistique numérique, le réseau présente de nombreuses nuances nécessitant une attention particulière. Aujourd'hui, vous apprendrez à appliquer ce que vous savez déjà sur la criminalistique numérique et la réponse aux incidents aux preuves basées sur le réseau. Vous vous acclimaterez également aux outils essentiels du métier.
- Examen du serveur proxy Web
- Outils d'investigation réseau fondamentaux : tcpdump et Wireshark
- Acquisition de preuves réseau
- Défis et opportunités d'architecture réseau
FOR572.2 : Protocoles de base et agrégation/analyse de journaux
Il existe de nombreux protocoles réseau qui peuvent être utilisés dans un réseau de production. Il couvrira à la fois les sujets les plus susceptibles de bénéficier aux médecins légistes dans leur travail de cas typique et ceux qui encouragent l'utilisation de méthodes d'analyse lorsqu'ils sont confrontés à des protocoles nouveaux, non documentés ou propriétaires. Connaître les comportements "typiques" de ces protocoles vous aidera à identifier les comportements anormaux pouvant suggérer une mauvaise utilisation. Ces artefacts et anomalies de protocole peuvent être profilés en analysant le trafic direct et en journalisant les preuves. Même si cela offre aux enquêteurs une multitude d'opportunités pour analyser le trafic réseau, l'analyse de grandes quantités de données source nécessite des outils et des méthodes conçus pour l'échelle.
- Protocole de transfert hypertexte (HTTP) partie 1 : protocole
- Protocole de transfert hypertexte (HTTP) partie 2 : journaux
- Domain same service (DNS) : protocole et logs
- Surveillance médico-légale de la sécurité du réseau
- Protocole de journalisation et agrégation
- Syslog
- Microsoft événementiel
- Collecte, agrégation et analyse des données de journal
- Elastic stack et la plateforme SOF-ELK
- Bases et avantages/inconvénients de la pile élastique
- SOF-ELK
FOR572.3 : NetFlow et protocoles d'accès aux fichiers
La journalisation des connexions réseau, communément appelée NetFlow, est la source de preuves la plus précieuse lors de l'enquête sur les réseaux. Les exigences de stockage minimales des données de flux ont conduit à de vastes archives de données de flux dans de nombreuses organisations. En ne capturant pas le contenu de transmission, NetFlow atténue de nombreux problèmes juridiques associés à la conservation à long terme. Le protocole NetFlow est un excellent outil pour guider une enquête et identifier les activités des adversaires avant, pendant et après une attaque. Afin de se déplacer dans l'environnement d'une victime ou d'exfiltrer des données, les adversaires utilisent différents protocoles d'accès aux fichiers. Afin d'identifier rapidement les actions de vol d'un attaquant, un fornicateur doit connaître certains des protocoles d'accès et de transfert de fichiers les plus courants.
- Collecte et analyse NetFlow
- Outils de flux open-source
- Protocole de transfert de fichiers (FTP)
- Protocoles Microsoft
FOR572.4 : outils commerciaux, sans fil et recherche de paquets complets
Dans une boîte à outils de fornicateurs de réseau, les outils commerciaux sont essentiels. Dans ce cours, vous apprendrez comment les outils commerciaux peuvent être intégrés dans un flux de travail d'enquête pour remplir divers rôles. Les enquêteurs doivent également être prêts à faire face aux défis uniques posés par les réseaux sans fil en raison de leur adoption rapide. Quel que soit le protocole ou le budget examiné, un moyen d'effectuer une capture complète des paquets est essentiel, et une boîte à outils pour effectuer cette analyse à grande échelle est cruciale.
- Protocole de transfert de courrier simple (smtp)
- Extraction d'objets avec un mineur de réseau
- Enquête sur les réseaux sans fil
- Outils et bibliothèques automatisés
- Chasse au paquet complet avec Moloch
FOR572.5 : chiffrement, inversion de protocole, OPSEC et Intel
En raison des progrès technologiques, il est devenu plus facile pour les personnes malveillantes de commettre des crimes et plus difficile pour les enquêteurs de les suivre. Il existe une variété de méthodes de cryptage facilement disponibles et des protocoles personnalisés peuvent être rapidement développés et mis en œuvre. Cependant, même les méthodes des adversaires les plus sophistiqués ont des faiblesses. Vous devez agir avec prudence lorsque vous apprenez la dissimulation délibérée de l'attaquant - ou l'attaquant peut pivoter et annuler votre progression.
- Encodage, cryptage et ssl/tls
- Intervenant au milieu (MITM)
- Ingénierie inverse des protocoles réseau
- Enquête opsec et renseignements sur les menaces
- Intelligence
FOR572.6 : Défi de synthèse de l'investigation du réseau
Dans cette section, vous combinerez tout ce que vous avez appris jusqu'à présent. L'objectif de cette activité est d'examiner les preuves du réseau d'une violation du monde réel par un attaquant avancé en groupes. Chaque groupe analysera les données de manière indépendante, développera des hypothèses et présentera les résultats.
-Cas médico-légal de réseau
Les derniers mots
Le programme de certification GNFA est un excellent moyen de faire progresser votre carrière en criminalistique réseau. Avec la certification GNFA, vous acquerrez les connaissances et les compétences dont vous avez besoin pour exceller dans votre carrière en sécurité réseau.
Il est important de comprendre que l'obtention de la certification GIAC GNFA nécessite beaucoup de dévouement, de discipline et un engagement envers l'apprentissage tout au long de la vie. Si vous souhaitez obtenir la certification GNFA et recherchez un centre de service d'examen proxy fiable, CBT Proxy peut vous aider à réussir l'examen GNFA dès votre première tentative.
Si vous souhaitez en savoir plus sur l'examen et comment commencer, cliquez sur le bouton de chat ci-dessous, et l'un de nos guides vous contactera sous peu.