Cosa imparerai con il programma di certificazione GCIA: una guida completa

Se sei interessato a una carriera nella sicurezza informatica, il programma di certificazione GIAC GCIA sarà il tuo corso più importante. Il corso di certificazione GCIA è considerato il più impegnativo, ma anche il più gratificante.

Non esiste corso migliore se vuoi imparare a eseguire un threat hunting efficace per rilevare attività zero-day sulla tua rete prima che diventino pubbliche. Chi desidera comprendere gli avvisi di monitoraggio della rete generati da uno strumento pronto all'uso non dovrebbe conseguire la certificazione GCIA.

Tuttavia, le certificazioni GCIA sono rivolte a coloro che desiderano avere una visione approfondita di ciò che accade oggi nelle loro reti e sospettano problemi gravi che i loro strumenti non segnalano al momento.

Cos'è la certificazione GIAC Certified Intrusion Analyst (GCIA)?

La certificazione GIAC Certified Intrusion Analyst (GCIA) è una credenziale indipendente dal fornitore, progettata per convalidare le conoscenze e le competenze del professionista nel rilevamento e nell'analisi delle intrusioni. Con la certificazione GIAC GCIA, sarai in grado di configurare e monitorare sistemi di rilevamento delle intrusioni, leggere, interpretare e analizzare il traffico di rete e i file di log, e comprendere cosa accade sulla rete.

Per ottenere la certificazione GIAC GCIA, dovrai superare un esame supervisionato che copre diversi obiettivi, come l'analisi del traffico di rete, la creazione di firme, l'analisi dei log e la gestione degli incidenti. L'esame GIAC GCIA prevede 106 domande a risposta multipla. Il completamento dell'esame di certificazione GCIA richiede quattro ore. Per superare l'esame GCIA, è necessario ottenere un punteggio di almeno il 67%.

Ecco le aree coperte dall'esame GCIA:

• Fondamenti di analisi del traffico e protocolli applicativi
• IDS open source: Snort e Zeek
• Analisi forense e monitoraggio del traffico di rete

Chi può sostenere la certificazione GCIA?

• Professionisti responsabili del rilevamento delle intrusioni
• Analisti di sistema
• Analisti della sicurezza
• Ingegneri di rete
• Amministratori di rete
• Responsabili della sicurezza pratici

Acquisirai le seguenti competenze

• Analizzare il traffico del tuo sito per evitare di finire sulle prime pagine
• Come identificare le minacce zero-day che nessuno strumento di monitoraggio di rete ha identificato
• Monitoraggio di rete: come posizionarlo, personalizzarlo e ottimizzarlo
• Come classificare gli avvisi di rete, soprattutto durante un incidente
• Identificare cosa è successo, quando è successo e chi l'ha fatto ricostruendo gli eventi
• Esperienza pratica con analisi forense, rilevamento e analisi di rete
• TCP/IP e protocolli applicativi comuni per ottenere informazioni sul traffico di rete, consentendo di distinguere il traffico normale da quello anomalo
• Monitoraggio di reti basate su firme: vantaggi e svantaggi
• Monitoraggio di reti comportamentali per la correlazione automatizzata a livello aziendale e come utilizzarle in modo efficace
• Eseguire una modellazione efficace delle minacce per le attività di rete
• Tradurre la modellazione delle minacce in capacità di rilevamento delle minacce zero-day
• Analizzare i dati di flusso in sistemi tradizionali, Reti ibride e cloud per migliorare il rilevamento

Sarai in grado di

• Configurare ed eseguire Snort e Suricata
• Creare e scrivere regole efficaci ed efficienti per Snort, Suricata e FirePOWER.
• Configurare ed eseguire Zeek open source per fornire un framework ibrido di analisi del traffico.
• Creare script di correlazione automatizzati per la ricerca delle minacce in Zeek.
• Comprendere i livelli dei componenti TCP/IP per identificare il traffico normale e anomalo per l'identificazione delle minacce.
• Utilizzare strumenti di analisi del traffico per identificare segnali di compromissione o minaccia attiva.
• Eseguire analisi forensi di rete per analizzare il traffico, identificare i TTP e individuare minacce attive.
• Estrarre file e altri tipi di contenuti dal traffico di rete per ricostruire gli eventi.
• Creare filtri BPF per esaminare selettivamente una particolare caratteristica del traffico su larga scala.
• Creare pacchetti con Scapy.
• Utilizzare gli strumenti NetFlow/IPFIX per individuare anomalie nel comportamento della rete e potenziali minacce. - Utilizza la tua conoscenza dell'architettura di rete e dell'hardware per personalizzare il posizionamento dei sensori di monitoraggio della rete e intercettare il traffico in transito.

Programma dell'esame di certificazione GCIA

SEC503.1: Monitoraggio e analisi di rete: Parte I

Questa sezione fornisce una panoramica approfondita dello stack di protocolli TCP/IP, preparandoti a monitorare e rilevare al meglio le minacce nella tua infrastruttura cloud o tradizionale. Il primo passo è il corso "Pacchetti come seconda lingua". Per identificare le minacce e i TTP, gli studenti vengono immediatamente immersi nell'analisi dei pacchetti di basso livello per raccogliere i pacchetti utilizzati negli attacchi zero-day e in altri tipi di attacchi. In questa sezione, gli studenti apprenderanno i fondamenti della comunicazione TCP/IP, la teoria dei bit, dei byte, del binario e dell'esadecimale, nonché il significato e il comportamento previsto di ciascun campo. Gli studenti impareranno a utilizzare strumenti come Wireshark e Tcpdump per l'analisi del traffico.

Concetti di TCP/IP

• Perché è necessario comprendere le intestazioni dei pacchetti e i dati? - Il modello di comunicazione TCP/IP
• Incapsulamento/de-incapsulamento dei dati
• Bit, byte, binario ed esadecimale

Introduzione a Wireshark

• Esplorazione di Wireshark
• Profili di Wireshark
• Esame delle opzioni statistiche di Wireshark
• Riassemblaggio dei flussi
• Ricerca del contenuto nei pacchetti

Livello di accesso alla rete/collegamento: Livello 2

• Introduzione al livello di collegamento
• Protocollo di risoluzione degli indirizzi
• Attacchi e difese di Livello 2

Livello IP: Livello 3

• IPv4
• Esame dei campi nella teoria e nella pratica
• Checksum e la loro importanza, in particolare per il monitoraggio e l'elusione della rete
• Frammentazione: campi dell'intestazione IP coinvolti nella frammentazione, composizione dei frammenti, moderni attacchi alla frammentazione

Elaborazione da riga di comando UNIX

• Elaborazione efficiente dei pacchetti
• Analisi e aggregazione dei dati per rispondere a domande e analizzare una rete
• Utilizzo di espressioni regolari per un'analisi più rapida

SEC503.2: Monitoraggio e analisi della rete: Parte II

Questo Questa sezione conclude la parte del corso "I pacchetti come secondo linguaggio" e prepara il terreno per la discussione molto più approfondita che seguirà. Gli studenti acquisiranno una comprensione approfondita dei principali protocolli di livello di trasporto utilizzati nel modello TCP/IP, nonché di come le tendenze moderne ne stiano influenzando l'utilizzo. In questa lezione, imparerai ad analizzare il tuo traffico utilizzando Wireshark e TCPdump. Utilizzando i filtri di visualizzazione di Wireshark e i filtri di pacchetto Berkeley, l'attenzione si concentra sul filtraggio di dati su larga scala fino al traffico di interesse, al fine di rilevare minacce in un'infrastruttura tradizionale e basata su cloud. Questa sezione tratta anche le innovazioni moderne che hanno implicazioni molto serie per il monitoraggio di rete moderno, incluso il significato e la funzione di ogni campo di intestazione.

Filtri di visualizzazione di Wireshark

• Esame di alcuni dei numerosi modi in cui Wireshark facilita la creazione di filtri di visualizzazione
• Composizione dei filtri di visualizzazione

Scrittura di filtri BPF

• L'ubiquità del BPF e l'utilità dei filtri
• Formato dei filtri BPF
• Uso del mascheramento dei bit

TCP

• Esame dei campi in teoria e pratica
• Dissezione dei pacchetti
• Checksum
• Stimolo e risposta TCP normali e anomali
• Importanza del riassemblaggio TCP per IDS/IPS

UDP

• Esame dei campi in teoria e pratica
• Stimolo e risposta UDP

ICMP

• Esame dei campi in teoria e pratica
• Quando i messaggi ICMP non dovrebbero essere inviati
• Utilizzo in mappatura e ricognizione
• ICMP normale
• ICMP dannoso

IP6

• Fondamenti
• Miglioramenti rispetto a IP6
• Protocolli multicast e come vengono sfruttati da IP6
• IP6 Minacce

Applicazione pratica: Ricerca di una rete

• Chi sono i principali utenti?
• A cosa si connettono le persone?
• Quali servizi sono in esecuzione sulla nostra rete?
• Che tipo di traffico est-ovest è presente?

SEC503.3: Rilevamento e risposta alle minacce basati sulle firme

La terza sezione del corso si basa sulle prime due, analizzando i protocolli a livello applicativo. Utilizzando queste conoscenze, imparerai a individuare le minacce nel cloud, negli endpoint, nelle reti ibride e nelle infrastrutture tradizionali. Gli studenti apprenderanno anche a conoscere il potente strumento di creazione di pacchetti Scapy, basato su Python, che consente di manipolare, creare, leggere e scrivere pacchetti. È possibile utilizzare Scapy per creare pacchetti e testare la capacità di rilevamento di uno strumento di monitoraggio o di un firewall. In particolare, questo è importante quando una vulnerabilità appena annunciata viene aggiunta a una regola di monitoraggio della rete creata da un utente.

Scapy

• Creazione e analisi di pacchetti con Scapy
• Scrittura di pacchetti sulla rete o su un file Pcap
• Lettura di pacchetti dalla rete o da un file Pcap
• Utilizzi pratici di Scapy per l'analisi di rete e per la difesa della rete

Wireshark avanzato

• Esportazione di oggetti web e altri oggetti supportati
• Estrazione di contenuti applicativi arbitrari
• Analisi di un incidente con Wireshark
• Utilizzo pratico di Wireshark per l'analisi dell'attività del protocollo SMB
• Tshark

Introduzione a Snort/Suricata

• Configurazione degli strumenti e logging di base
• Scrittura di regole semplici
• Utilizzo di opzioni comuni

Snort/Suricata efficace

• Contenuti più avanzati sulla scrittura di regole veramente efficienti per reti di grandi dimensioni
• Comprensione di come scrivere regole flessibili che non siano facilmente aggirabili o eludibili
• Approccio "Scegli la tua avventura" di Snort/Suricata a tutte le attività pratiche
• Esame progressivo di un exploit in evoluzione, migliorando gradualmente una regola per rilevare tutte le forme di attacco
• Applicazione di Da Snort/Suricata ai protocolli di livello applicativo

DNS

• Architettura e funzione DNS
• DNSSEC
• Progressi moderni nel DNS, come EDNS (DNS esteso)
• DNS dannoso, incluso il cache poisoning
• Creazione di regole per identificare le attività di minaccia DNS

Protocolli Microsoft

• SMB/CIFS
• Sfide di rilevamento
• Applicazione pratica di Wireshark

HTTP moderno

• Formato del protocollo
• Perché e come si sta evolvendo questo protocollo
• Sfide di rilevamento
• Cambiamenti con HTTP2 e HTTP3

Come ricercare un protocollo

• Utilizzo di QUIC come caso di studio
• Confronto tra GQUIC e IETF QUIC

Applicazione reale: identificazione del traffico di interesse

• Individuazione di dati applicativi anomali all'interno di grandi repository di pacchetti
• Estrazione di record rilevanti
• Ricerca e analisi delle applicazioni

SEC503.4: Creazione di sistemi di rilevamento delle minacce zero-day

La Sezione 4 esamina approfonditamente i sistemi di rilevamento delle intrusioni moderni e futuri sulla base delle conoscenze acquisite dalle prime tre sezioni. Combinando tutto ciò che gli studenti hanno appreso finora, ora possono progettare capacità di rilevamento delle minacce di gran lunga superiori a quelle di Snort/FirePower/Suricata e dei firewall di nuova generazione, grazie al rilevamento comportamentale avanzato con Zeek (o Corelight).

Architettura di rete

• Strumentazione della rete per la raccolta del traffico
• Strategie di implementazione per il monitoraggio della rete e il rilevamento delle minacce
• Hardware per l'acquisizione del traffico

Introduzione al monitoraggio di rete su larga scala

• La funzione degli strumenti di monitoraggio di rete
• Il ruolo dell'analista nel rilevamento
• Processo del flusso di analisi

Zeek

• Introduzione a Zeek
• Modalità operative di Zeek
• Log di output di Zeek e come utilizzarli
• Analisi pratica delle minacce e modellazione delle minacce
• Scripting di Zeek
• Utilizzo di Zeek per monitorare e correlare i comportamenti correlati

Teoria dell'elusione IDS/IPS

• Teoria e implicazioni delle elusioni a diversi livelli di protocollo
• Campionamento delle elusioni
• Necessità di un rilevamento basato sugli obiettivi
• Elusioni del monitoraggio zero-day

SEC503.5: Rilevamento, analisi forense e analisi delle minacce su larga scala

In questa sezione l'enfasi è posta su esercitazioni pratiche piuttosto che su istruzioni formali. Questa sezione affronta tre aree principali, a partire dall'analisi e dalla raccolta dati su larga scala utilizzando NetFlow e IPFIX. Grazie alle conoscenze di base sul protocollo acquisite nella prima sezione del corso, NetFlow può essere utilizzato per eseguire il threat hunting nel cloud e su infrastrutture tradizionali. Dopo aver trattato i fondamenti, gli studenti passeranno ad analisi e rilevamento delle minacce più avanzate, utilizzando e creando query NetFlow personalizzate. Una seconda sezione introduce l'analisi del traffico, proseguendo con il tema dell'analisi su larga scala. Vengono introdotti diversi strumenti e tecniche per il threat hunting zero-day, che gli studenti avranno poi la possibilità di mettere in pratica. Il corso tratterà anche applicazioni all'avanguardia dell'intelligenza artificiale e del machine learning per il rilevamento di anomalie. L'ultima sezione di questa sezione riguarda l'analisi forense di rete e la ricostruzione degli incidenti. Ogni studente lavorerà su tre incidenti pratici dettagliati utilizzando gli strumenti e le tecniche appresi durante il corso.

Utilizzo dei record di flusso di rete

• Analisi dei metadati NetFlow e IPFIX
• Utilizzo di SiLK per individuare eventi di interesse
• Identificazione di movimenti laterali tramite dati NetFlow
• Creazione di query NetFlow personalizzate

Threat Hunting e visualizzazione

• Diversi approcci per eseguire il threat hunting su scala aziendale nelle reti
• Esercizi che coinvolgono approcci per visualizzare i comportamenti di rete per identificare anomalie
• Applicazioni della scienza dei dati per semplificare le operazioni di sicurezza ed eseguire il threat hunting
• Sperimentazione con un sistema basato sull'intelligenza artificiale per identificare anomalie del protocollo di rete su una rete protetta

Introduzione all'analisi forense di rete

• Teoria dell'analisi forense di rete
• Fasi di exploit
• Analisi basata sui dati versus analisi basata sugli avvisi
• Visualizzazione basata su ipotesi

SEC503.6: Capstone avanzato di monitoraggio di rete e rilevamento delle minacce

Questo corso si conclude con un capstone pratico di monitoraggio di rete e rilevamento delle minacce basato su server, stimolante e divertente. In questo corso, gli studenti competono individualmente o in team per rispondere a diverse domande utilizzando gli strumenti e le teorie apprese. Basata su sei sezioni di dati reali, la sfida consiste nell'indagare su un incidente urgente. Durante questo evento di "guida", gli studenti rispondono a domande basate sulla stessa analisi dei dati condotta da un team di analisti professionisti.

In conclusione

Ottenendo la certificazione GIAC Intrusion Analyst, i professionisti dimostrano le proprie competenze in monitoraggio di reti e host, analisi del traffico e rilevamento delle intrusioni. Con la certificazione GIAC GCIA, è possibile configurare e monitorare sistemi di rilevamento delle intrusioni e leggere, interpretare e analizzare il traffico di rete e i file di log.

La certificazione GCIA è ora disponibile. Se stai cercando un centro d'esame proxy, sei nel posto giusto! Il team CBT Proxy è qui per aiutarti a superare l'esame al primo tentativo. Clicca sul pulsante chat qui sotto per parlare con uno dei nostri consulenti in merito all'esame.