Se sei interessato a una carriera nella sicurezza delle informazioni, il programma di certificazione GIAC GCIA sarà il tuo corso più importante. Il corso di certificazione GCIA è considerato il corso più impegnativo ma anche il più gratificante.
Non c'è corso migliore da seguire se vuoi imparare come eseguire un'efficace caccia alle minacce per rilevare le attività zero-day sulla tua rete prima che diventino pubbliche. Le persone che desiderano comprendere gli avvisi di monitoraggio della rete generati da uno strumento predefinito non dovrebbero ottenere la certificazione GCIA.
Tuttavia, le certificazioni GCIA sono per coloro che desiderano avere una visione approfondita di ciò che sta accadendo oggi nelle loro reti e sospettano gravi problemi che i loro strumenti non stanno segnalando in questo momento.
Cos'è la certificazione GIAC Certified Intrusion Analyst (GCIA)?
La certificazione GIAC Certified Intrusion Analyst (GCIA) è una credenziale indipendente dal fornitore progettata per convalidare le conoscenze e le competenze del professionista nel rilevamento e nell'analisi delle intrusioni. Con la certificazione GIAC GCIA, sarai in grado di configurare e monitorare i sistemi di rilevamento delle intrusioni, leggere, interpretare e analizzare il traffico di rete e i file di registro e capire cosa sta succedendo sulla rete.
Per ottenere la certificazione GIAC GCIA, ti verrà richiesto di superare un esame sorvegliato che copre vari obiettivi dell'esame, come l'analisi del traffico di rete, la creazione di firme, l'analisi dei registri e la gestione degli incidenti. Ci sono 106 domande a scelta multipla nell'esame GIAC GCIA. Ci vogliono quattro ore per completare l'esame di certificazione GCIA. Per superare l'esame GCIA, è necessario un punteggio di almeno il 67%.
Ecco le aree coperte dall'esame GCIA:
- Fondamenti di analisi del traffico e protocolli applicativi
- IDS open source: Snort e Zeek
- Analisi e monitoraggio del traffico di rete
Chi può prendere la certificazione GCIA?
- Professionisti responsabili del rilevamento delle intrusioni
- Analisti di sistema
- Analisti di sicurezza
- Ingegneri di rete
- Amministratori di rete
- Responsabili della sicurezza pratici
Imparerai le seguenti abilità
- Analizzare il traffico del tuo sito per evitare di diventare un altro titolo
- Come identificare le minacce zero-day che nessuno strumento di monitoraggio della rete ha identificato
- Monitoraggio della rete: come posizionarlo, personalizzarlo e ottimizzarlo
- Come valutare gli avvisi di rete, in particolare durante un incidente
- Individuare cosa è successo, quando è successo e chi l'ha fatto ricostruendo gli eventi
- Esperienza pratica con analisi forense, rilevamento e analisi della rete
- TCP/IP e protocolli applicativi comuni per ottenere informazioni dettagliate sul traffico di rete, consentendo di distinguere il traffico normale da quello anomalo
- Monitoraggio delle reti basate su firme: vantaggi e svantaggi
- Monitoraggio delle reti comportamentali per la correlazione automatizzata a livello aziendale e come utilizzarle in modo efficace
- Esecuzione di un'efficace modellazione delle minacce per le attività di rete
- Trasformare la modellazione delle minacce in capacità di rilevamento delle minacce zero-day
- Analizzare i dati di flusso nelle reti tradizionali, ibride e cloud per migliorare il rilevamento
Sarai capace di
- Configura ed esegui Snort e Suricata
- Crea e scrivi regole efficaci ed efficienti per Snort, Suricata e FirePOWER.
- Configura ed esegui Zeek open source per fornire un framework di analisi del traffico ibrido.
- Crea script di correlazione automatizzati per la ricerca delle minacce in Zeek.
- Comprendere i livelli dei componenti TCP/IP per identificare il traffico normale e anomalo per l'identificazione delle minacce.
- Utilizzare gli strumenti di analisi del traffico per identificare i segni di una compromissione o di una minaccia attiva.
- Esegui analisi forensi della rete per indagare sul traffico per identificare i TTP e trovare le minacce attive.
- Ritaglia file e altri tipi di contenuti dal traffico di rete per ricostruire gli eventi.
- Crea filtri BPF per esaminare in modo selettivo un particolare tratto di traffico su larga scala.
- Crea pacchetti con Scapy.
- Utilizza gli strumenti NetFlow/IPFIX per trovare anomalie del comportamento della rete e potenziali minacce.
- Usa la tua conoscenza dell'architettura e dell'hardware di rete per personalizzare il posizionamento dei sensori di monitoraggio della rete e annusare il traffico dal cavo.
Programma dell'esame di certificazione GCIA
SEC503.1: Monitoraggio e analisi della rete: parte I
Questa sezione fornisce una copertura approfondita dello stack del protocollo TCP/IP, preparandoti a monitorare e rilevare meglio le minacce nel cloud o nell'infrastruttura tradizionale. Il primo passo è chiamato il corso "Pacchetti come seconda lingua". Per identificare le minacce e identificare i TTP, gli studenti vengono immediatamente immersi nell'analisi dei pacchetti di basso livello per raccogliere i pacchetti utilizzati negli attacchi zero-day e altri attacchi. In questa sezione, gli studenti impareranno i fondamenti della comunicazione TCP/IP, la teoria di bit, byte, binario ed esadecimale, il significato di ciascun campo e il comportamento previsto. Gli studenti imparano ad utilizzare strumenti come Wireshark e Tcpdump per l'analisi del traffico.
Concetti di TCP/IP
- Perché è necessario comprendere le intestazioni e i dati dei pacchetti?
- Il modello di comunicazione TCP/IP
- Incapsulamento/deincapsulamento dei dati
- Bit, byte, binario ed esadecimale
Introduzione a Wireshark
- Navigazione in Wireshark
- Profili Wireshark
- Esame delle opzioni statistiche di Wireshark
- Flusso di riassemblaggio
- Trovare contenuti in pacchetti
Accesso alla rete/livello di collegamento: livello 2
- Introduzione al livello di collegamento
- Protocollo di risoluzione degli indirizzi
- Attacchi e difese di livello 2
Livello IP: livello 3
-IPv4 - Esame dei campi in teoria e pratica - Checksum e loro importanza, in particolare per il monitoraggio e l'evasione della rete - Frammentazione: campi di intestazione IP coinvolti nella frammentazione, composizione dei frammenti, moderni attacchi di frammentazione
Elaborazione della riga di comando UNIX
- Elaborazione efficiente dei pacchetti
- Analisi e aggregazione di dati per rispondere a domande e ricercare una rete
- Utilizzo di espressioni regolari per un'analisi più rapida
SEC503.2: Monitoraggio e analisi della rete: parte II
Questa sezione conclude la parte del corso "I pacchetti come seconda lingua" e pone le basi per la discussione molto più approfondita che verrà. Gli studenti acquisiranno una profonda comprensione dei protocolli del livello di trasporto primario utilizzati nel modello TCP/IP, nonché di come le tendenze moderne ne influenzano l'utilizzo. In questa lezione imparerai come analizzare il tuo traffico usando Wireshark e TCPdump. Utilizzando i filtri di visualizzazione Wireshark e Berkeley Packet Filters, l'obiettivo è filtrare i dati su larga scala fino al traffico di interesse al fine di rilevare le minacce in un'infrastruttura tradizionale e basata su cloud. Questa sezione copre anche le innovazioni moderne che hanno implicazioni molto serie per il monitoraggio della rete moderna, incluso il significato e la funzione di ogni campo di intestazione.
Filtri di visualizzazione Wireshark
- Esame di alcuni dei molti modi in cui Wireshark facilita la creazione di filtri di visualizzazione
- Composizione dei filtri di visualizzazione
Scrittura di filtri BPF
- L'ubiquità del BPF e l'utilità dei filtri
- Formato dei filtri BPF
- Uso del mascheramento dei bit
TCP
- Esame dei campi in teoria e pratica
- Dissezione del pacchetto
- Checksum
- Stimolo e risposta TCP normali e anormali
- Importanza del riassemblaggio TCP per IDS/IPS
UDP
- Esame dei campi in teoria e pratica
- Stimolo e risposta UDP
ICMP
- Esame dei campi in teoria e pratica
- Quando i messaggi ICMP non devono essere inviati
- Uso nella mappatura e nella ricognizione
- ICMP normale
- ICMP dannoso
IP6
- Fondamentali
- Miglioramenti rispetto a IP6
- Protocolli multicast e come vengono sfruttati da IP6
- Minacce IP6
Applicazione nel mondo reale: ricerca di una rete
- Chi sono i migliori chiacchieroni?
- A cosa si connettono le persone?
- Quali servizi sono in esecuzione sulla nostra rete?
- Che tipo di traffico è presente in direzione est-ovest?
SEC503.3: Rilevazione e risposta alle minacce basate sulla firma
La terza sezione del corso si basa sulle prime due esaminando i protocolli a livello di applicazione. Utilizzando questa conoscenza, imparerai come individuare le minacce nel cloud, negli endpoint, nelle reti ibride e nelle infrastrutture tradizionali. Gli studenti impareranno anche a conoscere il potente strumento di creazione di pacchetti basato su Python Scapy, che consente agli studenti di manipolare, creare, leggere e scrivere pacchetti. Puoi utilizzare Scapy per creare pacchetti per testare uno strumento di monitoraggio o la capacità di rilevamento del firewall. In particolare, questo è importante quando una vulnerabilità appena annunciata viene aggiunta a una regola di monitoraggio della rete creata da un utente.
Scapi
- Creazione e analisi dei pacchetti tramite Scapy
- Scrittura di pacchetti sulla rete o su un file Pcap
- Lettura di pacchetti dalla rete o da un file Pcap
- Usi pratici di Scapy per analisi di rete e difensori di rete
Wireshark avanzato
- Esportazione web e altri oggetti supportati
- Estrazione di contenuto dell'applicazione arbitrario
- Indagine Wireshark su un incidente
- Wireshark pratico utilizzato per analizzare l'attività del protocollo SMB
- Squalo
Introduzione a Snort/Suricata
- Configurazione degli strumenti e registrazione di base
- Scrivere semplici regole
- Utilizzo di opzioni comuni
Efficace Sbuffo/Suricata
- Contenuti più avanzati sulla scrittura di regole veramente efficienti per reti molto grandi
- Capire come scrivere regole flessibili che non possono essere facilmente aggirate o eluse
- Snort/Suricata approccio "Scegli la tua avventura" a tutte le attività pratiche
- Esame progressivo di un exploit in evoluzione, migliorando in modo incrementale una regola per rilevare tutte le forme di attacco
- Applicazione di Snort/Suricata ai protocolli del livello applicativo
DNS
- Architettura e funzione del DNS -DNSEC
- Moderni progressi nel DNS, come EDNS (Extended DNS)
- DNS dannoso, compreso il cache poisoning
- Creazione di regole per identificare le attività di minaccia DNS
Protocolli Microsoft
- PMI/CIFS
- Sfide di rilevamento
- Pratica applicazione Wireshark
HTTP moderno
- Formato del protocollo
- Perché e come si sta evolvendo questo protocollo
- Sfide di rilevamento
- Modifiche con HTTP2 e HTTP3
Come ricercare un protocollo
- Utilizzo di QUIC come caso di studio
- Confronto tra GQUIC e IETF QUIC
Applicazione nel mondo reale: identificazione del traffico di interesse
- Ricerca di dati applicativi anomali all'interno di archivi di pacchetti di grandi dimensioni
- Estrazione dei record rilevanti
- Ricerca e analisi applicative
SEC503.4: creazione di sistemi di rilevamento delle minacce zero-day
La sezione 4 esamina in modo approfondito i sistemi di rilevamento delle intrusioni moderni e futuri sulla base delle conoscenze acquisite dalle prime tre sezioni. Combinando tutto ciò che gli studenti hanno imparato finora, gli studenti possono ora progettare capacità di rilevamento delle minacce che sono di gran lunga superiori a Snort/FirePower/Suricata e ai firewall di nuova generazione attraverso il rilevamento comportamentale avanzato con Zeek (o Corelight).
Architettura di rete
- Strumentazione della rete per la raccolta del traffico
- Strategie di implementazione del monitoraggio della rete e del rilevamento delle minacce
- Hardware per catturare il traffico
Introduzione al monitoraggio della rete su larga scala
- La funzione degli strumenti di monitoraggio della rete
- Il ruolo dell'analista nella rilevazione
- Processo di flusso di analisi
Zeek
- Introduzione a Zeek
- Modalità operative Zeek
- Registri di output Zeek e come usarli
- Analisi pratica delle minacce e modellazione delle minacce
- Sceneggiatura Zeek
- Utilizzo di Zeek per monitorare e correlare i comportamenti correlati
Teoria dell'evasione IDS/IPS
- Teoria e implicazioni delle evasioni a diversi livelli di protocollo
- Campionamento delle evasioni
- Necessità di rilevamento basato su target
- Evasioni di monitoraggio zero-day
SEC503.5: rilevamento di minacce su larga scala, analisi forense e analisi
L'enfasi in questa sezione è sugli esercizi pratici piuttosto che sull'istruzione formale. In questa sezione vengono trattate tre aree principali, a partire dall'analisi e raccolta su larga scala basata sui dati utilizzando NetFlow e IPFIX. Con il background del protocollo acquisito dalla prima sezione del corso, NetFlow può essere utilizzato per eseguire la caccia alle minacce nel cloud e su infrastrutture tradizionali. Dopo aver coperto i fondamenti, gli studenti passeranno ad analisi più avanzate e al rilevamento delle minacce utilizzando e creando query NetFlow personalizzate. Una seconda area introduce l'analisi del traffico, continuando il tema dell'analisi su larga scala. Viene introdotta una varietà di strumenti e tecniche per la caccia alle minacce zero-day, dopodiché gli studenti hanno la possibilità di metterli in pratica. Il corso coprirà anche le applicazioni all'avanguardia dell'intelligenza artificiale e dell'apprendimento automatico per rilevare le anomalie. L'area finale di questa sezione riguarda la rete forense e gli incidenti ricostruiti. Ogni studente lavorerà attraverso tre incidenti pratici dettagliati utilizzando gli strumenti e le tecniche apprese durante il corso.
Utilizzo dei record di flusso di rete
- Analisi dei metadati NetFlow e IPFIX
- Utilizzo di SiLK per trovare eventi di interesse
- Identificazione del movimento laterale tramite dati NetFlow
- Creazione di query NetFlow personalizzate
Ricerca e visualizzazione delle minacce
- Vari approcci per eseguire la caccia alle minacce di rete su scala aziendale nelle reti
- Esercizi che prevedono approcci alla visualizzazione dei comportamenti della rete per identificare le anomalie
- Applicazioni della scienza dei dati per semplificare le operazioni di sicurezza ed eseguire la caccia alle minacce
- Sperimentazione con un sistema basato sull'intelligenza artificiale per identificare le anomalie del protocollo di rete su una rete difesa
Introduzione all'analisi forense di rete
- Teoria dell'analisi forense di rete
- Fasi di sfruttamento
- Analisi basata sui dati rispetto all'analisi guidata dagli avvisi
- Visualizzazione basata su ipotesi
SEC503.6: Capstone avanzato di monitoraggio della rete e rilevamento delle minacce
Questo corso culmina con un capstone pratico di monitoraggio della rete basato su server e rilevamento delle minacce che è allo stesso tempo stimolante e divertente. In questo corso, gli studenti competono individualmente o in gruppo per rispondere a varie domande utilizzando gli strumenti e le teorie apprese. Sulla base di sei sezioni di dati del mondo reale, la sfida consiste nell'indagare su un incidente urgente. Durante questo evento "ride-along", gli studenti rispondono a domande basate sulla stessa analisi dei dati condotta da un team di analisti professionisti.
La linea di fondo
Ottenendo la certificazione GIAC Intrusion Analyst, i professionisti dimostrano la loro conoscenza del monitoraggio della rete e degli host, dell'analisi del traffico e del rilevamento delle intrusioni. Con la certificazione GIAC GCIA, puoi configurare e monitorare i sistemi di rilevamento delle intrusioni e leggere, interpretare e analizzare il traffico di rete e i file di registro.
La certificazione GCIA è ora disponibile. Se stai cercando un centro d'esame per delega, sei nel posto giusto! Il team CBT Proxy è qui per aiutarti a superare l'esame al primo tentativo. Fai clic sul pulsante della chat qui sotto per parlare con uno dei nostri consulenti dell'esame.