GIAC GNFA 认证是一项专业认证,旨在展示网络取证和分析方面的专业知识。 GIAC 网络取证分析师 (GNFA) 认证计划由 GIAC 提供,并得到全球组织的认可。
获得 GIAC GNFA 认证需要通过考试并展示对网络取证和分析的高度理解。
什么是 GIAC GNFA 认证考试?
GIAC 网络取证分析师 (GNFA) 认证是领先的取证分析师认证之一,验证从业者执行涉及网络取证工件的检查的能力。通过获得 GNFA 认证,您将证明您对网络取证的基础知识、常见网络协议的正常和异常情况、用于检查设备和系统日志的流程和工具以及无线通信和加密协议的理解。
GIAC GNFA 认证考试涵盖网络架构、网络协议和网络协议逆向工程、加密和编码、NetFlow 分析和攻击可视化、安全事件和事故记录、网络分析工具和使用、无线网络分析和开源网络安全代理.
GIAC GNFA 考试包含 50-66 道多项选择题,必须在 2-3 小时内完成。要通过 GNFA 考试,需要达到 70% 的及格分数。 GNFA 认证非常适合在计算机取证、信息 系统和信息安全方面具有扎实背景且对计算机网络入侵和调查感兴趣的任何人。
以下是 GNFA 考试涵盖的主题:
- 网络架构、网络协议和网络协议逆向工程
- 加密和编码、NetFlow 分析和攻击可视化、安全事件和事故记录
- 网络分析工具和使用、无线网络分析和开源网络安全代理
谁可以参加 GIAC GNFA 认证?
任何网络取证专业人士都可以申请 GIAC GNFA 认证。它特别有利于:
- 那些在计算机取证、信息系统和信息安全方面有扎实背景并且对计算机网络入侵和调查感兴趣的人应该参加这个研讨会。
- 事件响应团队成员
- 法医
- 威胁猎手
- 执法人员、联邦特工和侦探
- SOC人员
- 信息安全从业者和管理者
- 网络维护者和工程师
- 信息技术专业人员
GIAC GNFA 认证考试目标和结果声明
常见的网络协议
考生将展示对常见网络协议的透彻理解,包括它们的行为、安全风险和控制。
###加密和编码 考生将展示对常见网络流量编码和加密技术的理解,以及对这些技术的常见攻击。
NetFlow分析和攻击可视化
考生将具有使用 NetFlow 数据和其他信息源识别网络攻击的经验。
网络分析工具及使用
考生将熟悉开源数据包分析工具及其过滤和重建数据流的目的。
网络架构
考生将熟悉利用多种传输和收集技术设计和部署网络。
网络协议逆向工程
考生将透彻了解如何分析网络中的各种协议和数据。
开源网络安全代理
考生将展示网络安全代理的知识、其部署的优点和缺点,以及常见的日志格式和数据在网络环境中的流动方式。
安全事件和事故记录
考生将熟悉各种日志格式、 协议和安全隐患。此外,他们还将展示对如何在整个网络中配置和部署收集设备和日志聚合器的理解。
###无线网络分析 考生将熟悉识别和控制无线技术、协议和基础设施风险的过程。
GIAC GNFA 认证考试大纲
FOR572.1:离开磁盘并连接到电线上
尽管许多基本的网络取证概念与任何其他数字取证调查一致,但网络呈现出许多需要特别注意的细微差别。今天,您将学习如何将您已经了解的数字取证和事件响应知识应用于基于网络的证据。您还将熟悉交易的基本工具。
- Web 代理服务器检查
- 基础网络取证工具:tcpdump 和 Wireshark
- 网络取证
- 网络架构的挑战和机遇
FOR572.2:核心协议和日志聚合/分析
有许多网络协议可用于生产网络。它将涵盖最有可能在典型案例工作中使法医人员受益的主题,以及在面对新的、未记录的或专有协议时鼓励使用分析方法的主题。了解这些协议的“典型”行为将帮助您识别可能暗示滥用的异常行为。这些协议工件和异常可以通过分析直接流量和日志证据来分析。尽管这为调查人员提供了大量分析网络流量的机会,但分析大量源数据需要为规模设计的工具和方法。
- 超文本传输协议 (HTTP) 第 1 部分:协议
- 超文本传输协议 (HTTP) 第 2 部分:日志
- 域相同服务 (DNS):协议和日志
- 取证网络安全监控
- 记录协议和聚合
- 系统日志
- 微软赛事
- 日志数据收集、聚合和分析
- 弹性堆栈和 SOF-ELK 平台
- 弹性堆栈的基础知识和优缺点
- 软麋鹿
FOR572.3:NetFlow 和文件访问协议
网络连接的日志记录(通常称为 NetFlow)是调查网络时最有价值的证据来源。流数据的最低存储要求导致许多组 织对流数据进行大量归档。通过不捕获传输内容,NetFlow 缓解了许多与长期保留相关的法律问题。 NetFlow 协议是一种出色的工具,可用于指导调查并识别攻击者在攻击前、攻击中和攻击后的活动。为了在受害者的环境中移动或泄露数据,攻击者使用不同的文件访问协议。为了快速识别攻击者的盗窃行为,通奸者必须了解一些更常见的文件访问和传输协议。
- NetFlow 收集和分析
- 开源流程工具
- 文件传输协议 (FTP)
- 微软协议
FOR572.4:商业工具、无线和全包搜索
在网络通奸者工具包中,商业工具是必不可少的。在本课程中,您将学习如何将商业工具集成到调查工作流程中以担任各种角色。调查人员还必须准备好应对无线网络因其快速采用而带来的独特挑战。无论正在检查什么协议或预算,执行完整数据包捕获的方法都是必不可少的,并且用于大规模执行此分析的工具包至关重要。
- 简单的邮件传输协议(smtp)
- 使用网络挖掘器提取对象
- 无线网络取证
- 自动化工具和库
- 使用 Moloch 进行全包搜索
FOR572.5:加密、协议逆向、OPSEC 和 Intel
由于技术进步,恶意人员犯罪变得更容易,调查人员更难追踪他们。有多种现成的加密方法,可以快速开发和实施自定义协议。然而,即使是最老练的对手的方法也有弱点。当您了解攻击者的蓄意隐瞒时,您必须小心操作 - 否则攻击者可以转移并抵消您的进展。
- 编码、加密和 ssl/tls
- 中间人 (MITM)
- 网络协议逆向工程
- 调查 opsec 和威胁情报
- 智力
FOR572.6:网络取证顶点挑战
在本节中,您将结合到目前为止所学的一切。此活动的目的是检查来自高级攻击者在现实世界中 入侵的网络证据。每个小组将独立分析数据、提出假设并展示调查结果。
-网络取证案例
最后的话
GNFA 认证计划是推进您的网络取证事业的绝佳方式。通过 GNFA 认证,您将获得在您的网络安全职业生涯中脱颖而出所需的知识和技能。
重要的是要了解获得 GIAC GNFA 认证需要大量的奉献精神、纪律和对终身学习的承诺。如果您想获得 GNFA 认证并正在寻找可靠的代理考试服务中心,CBT Proxy 可以帮助您一次通过 GNFA 考试。
如果您想了解有关考试的更多信息以及如何开始考试,请单击下面的聊天按钮,我们的一位指南将很快与您联系。