您需要了解的有关 GNFA 认证的信息

GIAC GNFA认证是一项专业认证，旨在证明您在网络取证和分析方面的专业知识。GIAC网络取证分析师（GNFA）认证项目由GIAC提供，并获得全球众多机构的认可。

获得GIAC GNFA认证需要通过考试，并展现出对网络取证和分析的深刻理解。

什么是GIAC GNFA认证考试？

GIAC网络取证分析师（GNFA）认证是领先的取证分析师认证之一，它验证了从业人员执行涉及网络取证工件的检查的能力。通过获得GNFA认证，您将证明您理解网络取证的基础知识、常见网络协议的正常和异常情况、检查设备和系统日志的流程和工具，以及无线通信和加密协议。

GIAC GNFA认证考试涵盖网络架构、网络协议及网络协议逆向工程、加密和编码、NetFlow分析和攻击可视化、安全事件和事故日志记录、网络分析工具及使用、无线网络分析以及开源网络安全代理。

GIAC GNFA考试包含50-66道选择题，考试时间为2-3小时。GNFA考试的及格分数为70%。GNFA认证非常适合那些在计算机取证、信息系统和信息安全方面拥有扎实背景，并对计算机网络入侵和调查感兴趣的人士。

以下是GNFA考试涵盖的主题：

• 网络架构、网络协议及网络协议逆向工程

• 加密和编码、NetFlow分析和攻击可视化、安全事件和事故日志记录

• 网络分析工具及使用、无线网络分析以及开源网络安全代理

谁可以参加GIAC GNFA认证考试？

任何网络取证专业人员都可以考取 GIAC GNFA 认证。该认证尤其适合以下人员：

• 具备扎实的计算机取证、信息系统和信息安全背景，并对计算机网络入侵和调查感兴趣的人员，应参加此研讨会。

• 事件响应团队成员

• 取证人员

• 威胁猎手

• 执法人员、联邦特工和侦探

• 安全运营中心 (SOC) 人员

• 信息安全从业人员和管理人员

• 网络防御人员和工程师

• 信息技术专业人员

GIAC GNFA 认证考试目标和结果说明

常用网络协议

考生将展示对常用网络协议的透彻理解，包括其行为、安全风险和控制措施。

加密和编码

考生将展示对常用网络流量编码和加密技术以及针对这些技术的常见攻击的理解。

NetFlow 分析和攻击可视化

考生将具备使用 NetFlow 数据和其他信息源识别网络攻击的经验。

网络分析工具及使用

应聘者应熟悉开源数据包分析工具及其在过滤和重建数据流中的用途。

网络架构

应聘者应熟悉如何设计和部署利用多种传输和收集技术的网络。

网络协议逆向工程

应聘者应深入理解如何分析网络中传输的各种协议和数据。

开源网络安全代理

应聘者应展示对网络安全代理的了解，包括其部署的优势和劣势，以及常见的日志格式和数据在网络环境中的流动方式。

安全事件和事故日志记录

应聘者应熟悉各种日志格式、协议及其安全隐患。此外，他们还应展示如何在整个网络中配置和部署收集设备和日志聚合器。

无线网络分析

应聘者应熟悉识别和控制无线技术、协议和基础设施风险的过程。

GIAC GNFA 认证考试大纲

FOR572.1：从磁盘到网络

虽然许多基本的网络取证概念与其他数字取证调查类似，但网络取证存在许多细微差别，需要特别注意。今天，您将学习如何将您已有的数字取证和事件响应知识应用于基于网络的证据。您还将熟悉一些必备的工具。

• Web 代理服务器检查

• 基础网络取证工具：tcpdump 和 Wireshark

• 网络证据采集

• 网络架构的挑战与机遇

FOR572.2：核心协议与日志聚合/分析

生产网络中可以使用多种网络协议。本课程将涵盖最有可能帮助取证人员处理典型案件的主题，以及在遇到新的、未记录的或专有协议时鼓励使用分析方法的主题。了解这些协议的“典型”行为有助于识别可能暗示滥用的异常行为。通过分析直接流量和日志证据，可以对这些协议痕迹和异常情况进行分析。尽管这为调查人员提供了丰富的网络流量分析机会，但分析大量源数据需要专为规模化而设计的工具和方法。

• 超文本传输协议 (HTTP) 第 1 部分：协议

• 超文本传输协议 (HTTP) 第 2 部分：日志

• 域名系统 (DNS)：协议和日志

• 网络安全取证监控

• 日志协议和聚合

• Syslog

• Microsoft 事件

• 日志数据收集、聚合和分析

• Elastic Stack 和 SOF-ELK 平台

• Elastic Stack 的基础知识和优缺点

• SOF-ELK

FOR572.3：NetFlow 和文件访问协议

网络连接日志（通常称为 NetFlow）是网络调查中最有价值的证据来源。流数据的极低存储需求使得许多组织都建立了大量的流数据存档。 NetFlow协议不捕获传输内容，从而避免了许多与长期数据保留相关的法律问题。NetFlow协议是指导调查和识别攻击者在攻击前、攻击中和攻击后活动的绝佳工具。为了在受害者环境中移动或窃取数据，攻击者会使用不同的文件访问协议。为了快速识别攻击者的窃取行为，网络犯罪调查人员必须了解一些常见的文件访问和传输协议。

• NetFlow数据采集与分析

• 开源流量工具

• 文件传输协议 (FTP)

• Microsoft协议

FOR572.4：商业工具、无线网络和全包搜索

在网络犯罪调查人员的工具包中，商业工具至关重要。在本课程中，您将学习如何将商业工具集成到调查工作流程中，以发挥各种作用。调查人员还必须做好准备，应对无线网络因其快速普及而带来的独特挑战。无论考察何种协议或预算，执行全包捕获都至关重要，而一套能够大规模执行此类分析的工具包更是重中之重。

• 简单邮件传输协议 (SMTP)

• 使用网络挖掘工具进行对象提取

• 无线网络取证

• 自动化工具和库

• 使用 Moloch 进行全包搜索

FOR572.5：加密、协议逆向工程、操作安全和情报

由于技术的进步，恶意人员更容易实施犯罪，而调查人员追踪他们则更加困难。各种加密方法唾手可得，自定义协议也能快速开发和实施。然而，即使是最老练的攻击者的方法也存在漏洞。在了解攻击者的蓄意隐藏策略时，您必须谨慎行事——否则攻击者可能会转移目标，使您的努力付诸东流。

• 编码、加密和 SSL/TLS

• 中间人攻击 (MITM)

• 网络协议逆向工程

• 安全操作和威胁情报调查

• 情报

FOR572.6：网络取证综合挑战

在本节中，您将整合迄今为止所学的一切知识。本次活动的目标是分组分析由高级攻击者发起的真实网络入侵案例中的网络证据。每个小组将独立分析数据、提出假设并展示分析结果。

• 网络取证案例

结语

GNFA 认证项目是提升您网络取证职业生涯的绝佳途径。通过 GNFA 认证，您将获得在网络安全领域脱颖而出所需的知识和技能。

重要的是要明白，获得 GIAC GNFA 认证需要投入大量的精力、自律和终身学习的决心。如果您想获得GNFA认证，并且正在寻找可靠的代考服务中心，CBT Proxy可以帮助您一次性通过GNFA考试。

如果您想了解更多关于考试以及如何开始的信息，请点击下方的聊天按钮，我们的工作人员将很快与您联系。