CyberLAB

新一代資訊安全維運中心（SOC）最佳工具，透過資安威脅可視性，自動化資安威脅關聯分析，深切剖析資安攻擊行為並整合資安解決方案達成聯防的目的。參加這個實作性的資安威脅獵捕研討會，以培養您的技能並測試您的能力。

在這個 Hands-on Lab 中，您將發現威脅搜尋的資安最佳實踐，學習如何將資安威脅搜索納入您的日常工作流程，與同行建立聯繫以分享策略和技術，以及執行四個真實的實驗場景。

1. 獵捕和遏制（Hunt and Contain）
新的資安威脅成為頭條新聞，您的高階主管希望快速獲得完整答案。您需要知道它是否在您的組織內部以及如何控制它？
2. 抓住網路釣魚（Catch the Phish）
您有證據證明遠端用戶遭到網路釣魚。跟踪從進入到執行的釣魚攻擊。
3. 事件超載（Event Overload）
數以百計的資安事件迫切需要您的關注，但您有計劃優先處理並執行反應。
4. 截圖以保留線索（Screenshot Holds the Clue）
沒有太多可以繼續－只需一個螢幕截圖－但這就是將攻擊追溯到入口點所需的全部內容。

單位遭受網路攻擊已成不可避免的事實，國際標準研究機構 NIST 亦積極擬定新的資安戰略框架，如:資安的防禦模型也從傳統資訊安全（Cyber security）如何確保不被入侵，到假設已被入侵後單位如何能夠承受與復原，且於事件發生中能維持正常營運並迅速調查與恢復導向的資安強韌性（Cyber resilience）模型。資安事件發生時的迅速調查與應變已是單位如何因應詭譎多變的資安威脅環境基本生存技能之一；本課程以藍隊為演練情境，從資安威脅的監控、狩獵與調查技巧為訓練主軸，課程中準備多種由入侵案例精練後的演練環境，學員可實際從駭客思維與鑑識角度學習如何挖掘不同環境、階段的駭客攻擊軌跡，透過這些軌跡推導出駭客可能攻擊的時序與脈絡，並發掘駭客使用的戰術、技術與流程（Tactic, Techniques, Procedures）後進行大範圍威脅狩獵，提高單位資安能見度與感知能力。學員經由本課程的實機演練，透過不同情境的調查分析，能學習到各個階段使用的工具、防禦的思考邏輯及調查方法論，對於本課程所學，能於真實戰場上加速資安應變的時間並確保單位系統的可用性。

學員經由本課程的實機演練，透過不同情境的調查分析，能學習到各個階段使用的工具、防禦的思考邏輯及調查方法論，對於本課程所學，能於真實戰場上加速資安應變的時間並確保單位系統的可用性。

1. 資安威脅獵捕介紹
2. 案例分享
3. 上機實做練習與解說
4. 總結與討論

今日的進階威脅是專為躲避傳統資安防禦而設計，其目標是竊取企業敏感資料或將資料加密以進行勒索。
本議程將帶領您，徹底了解駭客如何在不知不覺中滲透企業防禦，自我隱藏並且在企業內進行勒贖行為，MIS 人員如何利用工具進行調查分析。這類分析需記錄系統的事件及行為，然後從這些資料當中找出蛛絲馬跡。

課程內容將讓你深入了解在駭客複雜的攻擊下，如何快速有效的找出駭客軌跡，並立即阻止進一步的攻擊，保護公司電腦或資料的安全。

透過實際操作了解駭客手法,並知道如何防範

1. 駭客常用手法操作
2. 資訊人員問題根榞尋找
3. 解決方案實作

回顧近年資安事件多由使用者發現設備異常或是閘道資安設備告警時，集合單位內資安人員、設備人員、設備廠商及外部資安專家協同事件處理，過程繁瑣複雜，也造成人力與時間上的負擔，更使得惡意程式有時間進一步造成危害。
 
企業導入建置層層防禦技術，仍無法阻止資安事件發生，多數會指向內部管控出現問題所導致，事實上，更多在於 IT 管理者每天面對排山倒海而來的大量警報疲於奔命，而讓威脅釀成災。
 
為此，讓我們仔細反思，當內部可能已經遭到入侵時，如何處理及快速的找出可能的潛在後門。Gartner 早在 2017 年提到 MDR（Managed Detection and Response），強調持續性的威脅偵測與監控機制，必須同時提供客戶完善的資安事件處理能力。
 
本課程讓聽眾體驗從偵測、分析、及後續事件處理的 MDR 處理過程，透過即時進行端點事件分析，由 Log 確認端點上是否有惡意程式執行，內網擴散範圍、惡意中繼站等行為，並分析出事件的來龍去脈。當發現有惡意程式後，可以進一步對端點處理，如：停止／除惡意程式、隔離端點網路環境等，透過以上事件回應，可以快速阻絕惡意程式進一步的攻擊行為。

透過實務讓聽眾學會基礎資安事件分析與處理，實際體會雲端調查、處理的便利性

1. 簡報：ＭDR 資安事件分析及處理 
2. 影片：透過威脅分析平台調查／分析攻擊手法
3. 動手實作找出惡意程式與相關行為紀錄：
　a. 說明惡意程式運行之情境
　b. 提供聽眾雲端威脅分析平台之環境
　c. 透過雲端威脅分析平台查詢惡意程式功能、行為與紀錄
　d. 透過雲端威脅分析平台進行資安事件處理

現代企業遭遇資安事件層出不窮，卻普遍面臨資安人員短缺、全球性隱私權相關法規更趨嚴謹、資安技術工具過多控管不易等複雜狀況。較易成為攻擊標的的大型企業或組織應盡快制定緊急事件應變策略，包含對外溝通的公關部門，以及內部法務、IT 等相關人員的處理程序，皆應基於標準工作流程來執行，以確保符合法規規範與降低資安事件對業務、品牌形象損害程度。

本課程將帶你了解 SOAR 平台的設計以及實際運作的方法。包含 Playbook 的設計，藉由資安工具已內建的 19 種針對資安的劇本（Playbook），及納入全球隱私外洩法規例如 GDPR 的 Playbook，可輔助配置不同角色所需執行的工作與流程，其具備的事件模擬功能，得以確認是否達到預期的目標。實際執行自動化事件回應計畫時，則可運用自動化事件回應平台上的介面整合 SIEM、端點防護、威脅情資、郵件等各種IT與資安建置來一同快速回應，讓你在黃金時間內搶救完成。

1. 了解 SOAR 概念。
2. 體驗 SOAR 程序。
3. 設計腳本以及執行 SOAR 模擬。

了解 SOAR (Security Orchestration, Automation and Response) 以及事件回應實作。

1. Incidents
 What are they
 How to create

2. Managing Incidents
 Tasks
 Notes
 Attachments
 Members
 Artifacts

3. Reporting, Metrics and Notifications
 Incident Reports
 Analytic Dashboard
 Notifications

4. Building the playbooks
 Building blocks

5. App Framework

藉由資安事件調查演練，了解 APT 攻擊多樣手法，學習如何還原攻擊者混淆的內容、找出持續控制、內網擴散方式以及惡意程式如何載入等。課程中透過分組競賽的方式，應用各類調查工具，從蛛絲馬跡拼湊出整體事件的原貌。

如何從一個 Alert / 資安通報，串聯整起事件，拼湊出事件的原貌

1. 資安事件調查工具
2. 實戰資安事件調查
3. 樣本分析
4. Powershell 分析
5. 調查結果報告與檢討

無論正義或邪惡，走過必留下痕跡。多變的駭客手段雖然增加了分析難度，但凡事有跡可循，由中華資安國際具多年實戰經驗之資安顧問現身主講，分享最新攻擊手法及對應的鑑識技巧，同時也帶領各位認識強大的網路鑑識工具，讓您快速在茫茫網海中鎖定惡意活動之蛛絲馬跡，快速找出根因並阻絕駭客於防禦網之外。

新興的資安威脅，組織型的駭客攻擊後會將所有入侵軌跡擦除或加密，唯一能夠無法抹去的紀錄，就是攻擊入侵的所有網路紀錄，透過本課程，學員可學習到基本網路攻防技巧以及如何從網路流量找出可疑之惡意活動。

本課程包含駭客手法簡介、數位鑑識心法、數位鑑識工具介紹、攻防實戰與網路鑑識實作與競賽。