信息安全行业认证-应急响应

GIAC 认证

GIAC官网

GIAC(全球信息保障认证)是由SANS Institute创建的一个组织,专门用于管理与SANS课程相关的认证,但您无需参加SANS培训即可参加考试以获得证书。

GIAC 认证-应急响应

GIAC Certified Incident Handler (GCIH) 价格979美元(2024年1月更新)认证维护费469 美元

GIAC 认证涵盖信息安全领域
GIAC 认证适用于跨行业重点领域的以工作为中心的专门任务,包括进攻性作战、网络防御、云安全、DFIR、管理和 ICS。

GIAC 认证需要每四年更新一次。 注册可在您的认证到期日期之前的 2 年标记处启用。

我们提供多种选项来展示信息保障领域的持续能力并维持您的 GIAC 认证。 每项活动都有自己的 CPE 值,可用于 1 到 5 次认证续订,具体取决于活动。 请点击下面的各个链接了解更多信息。

认证维护费为 469 美元,不可退还,在注册时每四年缴纳一次。

您有责任在认证到期日期之前提交 CPE 信息和文件。 为确保您的申请得到及时处理,请等待从完成提交之日起 30 天的处理时间。

38个CPE

“38个CPE”,与继续教育有关,尤其是在某些专业领域。CPE代表“继续专业教育学分”(Continuing Professional Education credits)。很多专业领域,如会计、法律、医疗和工程等,要求其成员定期完成一定数量的CPE学分来保持他们的专业执照有效。这些学分通过参加研讨会、网络课程、研究、教学或出版等方式获得,以确保专业人员的知识和技能保持最新。因此,38个CPE可能是指某人在一定时间内需要获得的继续教育学分总数。

SEC504

key point:
应用动态方法进行事件响应
使用主机、网络和日志分析识别威胁
有效云事件响应的最佳实践
利用 PowerShell 进行数据收集和网络威胁分析
使用实时分析、网络洞察、内存取证和恶意软件逆向工程的网络调查流程
如何使用生成式人工智能系统加速事件响应
国防重点保护关键资产的战略
攻击者如何利用云系统攻击组织
攻击者规避端点检测工具(包括 EDR 和 XDR 平台)的技术
攻击者在初步妥协后进行内部发现和横向移动
攻击者如何利用可公开访问的系统(包括 Microsoft 365)

完成 SEC504 后,您将能够:

有效响应组织中的事件以限制损失
评估泄露中的证据以确定泄露的程度
识别影子云系统和其他可能暴露您的组织的威胁
使用针对云和本地系统的攻击工具来评估您的暴露情况
应用有效的防御措施,显着提高安全性并阻止攻击
测试安全防御工具以评估其有效性
通过评估攻击者工具和技术来开发威胁情报

无限制地访问所有永不过期的实践练习
印刷版和电子版课程书籍以及实践练习册
整个课程的MP3音频文件
永久访问所有实验室实践练习
所有实验室练习的详细视频演练
视觉关联图可分解复杂的材料
用于快速参考所有材料的数字索引
奖励内容和实践练习可培养您的课程之外的技能
工具和复杂分析任务的基本备忘单

考试形式

1 次监考考试
106 个问题
4个小时
最低及格分数为 70%

所有 GIAC 认证考试都是基于网络的,并且需要有人监考。有两种监考选项:通过 ProctorU 进行远程监考,以及通过 PearsonVUE 进行现场监考。点击这里查看更多信息。

您的申请获得批准后,根据您的购买条款,GIAC 认证尝试将在您的 GIAC 帐户中激活。付款后,我们将与您的注册确认一起提供送货详情。当您的帐户中的认证尝试被激活时,您将收到一封电子邮件通知。自激活之日起,您将有 120 天的时间来完成您的认证尝试。

检测秘密通信
考生将展示出对如何识别、防御和缓解 Netcat 等隐蔽工具的使用的理解。
检测规避技术
候选人将展示出对如何识别、防御和缓解攻击者用来消除妥协证据和隐藏其存在的方法的理解。
检测漏洞利用工具
考生将展示出对如何识别、防御和缓解 Metasploit 的使用的理解。
路过式攻击
考生将展示对如何识别、防御和减轻现代环境中的路过式攻击的理解。
端点攻击和旋转
考生将展示对如何识别、防御和减轻针对端点和攻击旋转的攻击的理解。
事件响应和网络调查
考生将展示对事件处理是什么、为什么它很重要、对 PICERL 事件处理流程以及事件响应和网络调查方面的行业最佳实践的理解。
内存和恶意软件调查
考生将展示对执行基本内存取证所需步骤的理解,包括进程和网络连接的收集和分析以及基本恶意软件分析。
网络调查
候选人将展示对对网络数据进行有效数字调查所需的步骤的理解。
网络环境攻击
考生将展示对如何识别、防御和减轻共享使用环境(包括 Windows Active Directory 和云环境)中的攻击的理解。
密码攻击
考生将展示对密码破解攻击、常见密码弱点和密码防御的详细了解。
后利用攻击
考生将展示对攻击者如何保持持久性和收集数据,以及如何识别和防御传统网络或云环境中的攻击者的理解。
侦察和开源情报
候选人将展示出对如何识别、防御和缓解公共和开源侦察技术的理解。
扫描和测绘
考生将展示出对如何识别、防御和缓解扫描的基本原理的理解;发现和映射网络和主机,并揭示服务和漏洞。
中小企业扫描
考生将展示对如何识别、防御和缓解中小企业服务侦察和扫描的理解。
Web 应用程序攻击
考生将展示对如何识别、防御和减轻 Web 应用程序攻击的理解。

如何准备GIAC认证

作者:Jonathan Ham
译者:whale3070

摘要:在SANS,我们教授关于渗透的一切。
GIAC认证就是你面临的一项黑客思维的考验。
现在,我就要告诉你如何准备这个考试。

大纲:

  1. 准备胜利
  2. 理解主要的难题
  3. 过程
  • 时间与计划
  • 准备和分析
  • 学习
  • 评估
  • 进一步学习
  • 开始考试并胜利

第一步:什么是胜利

  • 通过的分数为67-73%的正确率
  • 如果你获得85%以上,你有机会加入SANS
    SANS在招聘
  • 如果你获得90%以上的正确率
    可以加入GIAC咨询委员会

主要的问题:主题知识

只学习这里提到的知识
大多数人担心准备的太少,但准备得太多同样不好!

主要的问题2:压力
有压力很正常
尝试每日冥想
多多练习

主要的问题3:心理疲劳
75分钟后,专注力就会急剧下降
因此应该休息10-15分钟

时间与计划

不要拖延
学习75分钟,休息15分钟

不要临时抱佛脚

“Ad hoc”这个短语来源于拉丁语,意思是为了特定的目的、任务或情况而特别设立或进行的。当某事被描述为”ad hoc”时,它通常指的是为应对特定问题而形成的临时性安排或解决方案,而不是根据已有的规则、流程或系统进行的。

因此,当说某事是”not ad hoc”时,意味着它不是临时性或特定情况下的安排。这可能指某个过程、决定或方案是基于固定的原则、长期计划或标准操作程序(SOP)制定的。换句话说,它是预先计划好的、系统性的,而不是即兴或特定情况下的反应。这通常意味着该事项具有更广泛的适用性,或者是基于更长远的考虑而非仅仅针对一次性事件或特定问题。

差距分析

Gap analysis 是一种评估和确定当前状态与期望目标之间差距的方法。它是一种策略工具,用于帮助组织、项目团队或个人识别他们当前的状况与他们希望达到的未来状况之间的差异。通过这种分析,可以清楚地识别出需要采取哪些步骤或改进措施,以从现状移向目标状况。

Gap analysis 通常涉及以下几个步骤:

  1. 确定当前状态:首先要了解组织、项目或个人当前的情况。这可能涉及到收集数据、进行评估和分析现有的流程、资源、能力等。

  2. 定义目标状态:明确你希望达到的目标或期望的情况。这些目标应该是具体的、可测量的,并与组织的总体战略目标相一致。

  3. 识别差距:对比当前状态和目标状态,识别两者之间的差距。这个差距可以是知识、技能、流程、技术或资源上的。

  4. 制定行动计划:一旦识别出差距,下一步是制定行动计划来弥补这些差距。这可能包括培训、引入新技术、调整流程或增加资源等。

  5. 实施和评估:执行行动计划,并定期评估进度,必要时对策略进行调整,确保目标的实现。

Gap analysis 是一种有力的工具,可以帮助组织集中注意力于关键改进领域,确保资源得到有效利用,最终实现组织目标。

阶段0 - What

你需要准备的材料
书籍
便签
笔记本

荧光笔

阶段0 - Where

不要有干扰
没有噪音
良好的光线
舒适

阶段0 - 做什么

执行差距分析

  • 速读
  • 找出你知道的
  • 如果你知道,就翻页,如果不知道,就做笔记。
    把不知道的知识点的页数添加到todo list中

“Turn the page”字面上的意思是翻页,即将书或任何可翻阅的文档的一页翻到下一页。然而,这个短语也经常被用作比喻,意指超越过去,开始新的章节或阶段。在比喻意义上,当人们说“turn the page”时,他们指的是放下过去的经历、失败或不幸,以开启生活或工作中的新起点或新阶段。这个表达鼓励个人或组织向前看,不被过去限制,迈向新的目标和可能性。

阶段1 - 学习并缩小差距

  • 查看你的todo list
  • 使用google, wikipedia
  • 听任何章节中的MP3文件
  • 和你的课程指导员联系,如果你还是不懂的话
  • 确保你的todo list都做完了

阶段2 - 练习

最好的推荐:公共图书馆

  • 不熟悉的环境
  • 不熟悉的电脑,互联网
  • 安静

带着你的学习卡片

  • 书籍和索引
  • 笔记本和笔

阶段2 - 官网练习

  • 登录你的网站,直接开始练习

“Middle path”或”Middle way”是佛教中的一个核心概念,最初由佛陀提出,用来描述达到解脱和觉悟的道路。它既非过度苛刻的苦行,也非放纵的享乐生活,而是一种避免这两种极端的平衡之道。中道强调的是一种适度、和谐以及平衡的生活方式,旨在通过正确的理解、思维和行为来结束痛苦和苦难。

在佛教八正道中,中道被具体化为一系列实践和原则,指导人们如何通过正确的见解、思维、语言、行动、生计、努力、正念和正定来培养他们的身心,最终达到涅槃的境界。八正道本身就是一种中道实践,旨在帮助人们避免极端,走向内心的平静和解放。

  • 内容
    大多数都是多选题,4个选项
    有一些是互动问题
    “Interactive question” 指的是一种设计用来与接收者进行互动的问题形式,通常出现在教育软件、在线课程、电子学习(e-learning)平台、或者任何需要用户主动参与和响应的场合中。与传统的静态问题(用户仅阅读并思考答案)不同,互动性问题要求用户通过点击、拖拽、选择、输入等方式直接参与答题过程。

这种问题形式的目的是增加用户的参与度和兴趣,通过实际操作来加深理解和记忆,同时也能立即提供反馈,帮助用户识别并改正错误。互动性问题适用于多种学习风格,特别是那些偏好”学以致用”的学习者,它们可以被用于各种主题和领域,从语言学习到科学教育,都有广泛的应用。

阶段2 - 如何考试

先看答案,然后阅读问题

  • 答案会比较短
  • 先看答案会帮助你理解问题
  • 哪怕不看问题,你也能排除一些错误答案
  • 在任何情况下你都不得跳过问题
  • 在GIAC考试中,后续的题目不可能会给你提示
  • one by one一个接一个地回答问题,然后继续

如果你被难住了,该怎么办

  • 先看看你做了笔记的书

  • 排除掉两个错误答案

  • 用你的直觉选一个

  • 正确率是50%
    所以正确60%的题目,剩下的40%的题目猜测的答案正确率有50%,那么正确率就是80%
    足够通过考试了!

  • 尽可能快地做题

  • 疲劳会影响准确率

  • 对于时间不够的压力会导致失败

  • 75分钟休息一次

  • 如果你有问题做错了,停下来,做笔记

阶段3- 进一步学习

  • 如果你达到了目标,就跳过这一步
  • 如果你需要进一步学习,就返回阶段1和2
  • 可以购买额外的测试,没有使用的测试可以送给你的朋友

如果你准备好了,就开始真实的测试吧!

阶段4 - 考试日

  • 考试之前的晚上,好好睡一觉
  • 如果你睡不着,那就临时抱佛脚
    “Cramming” 翻译成中文是“填鸭式学习”或“临时抱佛脚”。这个词描述的是一种学习方法,通常指在考试或重要测试前的短时间内,迅速且大量地吸收和记忆信息。这种方法更侧重于短期记忆,目的是为了应对即将到来的考试,而不是长期理解和掌握知识。
  • 当你考完以后,你会在屏幕中看到你的分数
  • 转发推特告诉别人

new word

hurdles难题;障碍
recruiting招聘
lurk潜伏,埋伏; 潜藏,潜在; 偷偷地行动
advisory顾问的; 咨询的
overtly公然地
fatigue疲劳

progress bar进度条
“Down cold” 翻译成中文是“烂熟于心”或“完全掌握”。这个短语用来形容某人对某事物有着非常深入和彻底的了解,到了几乎可以自动反应的程度。常用于描述对知识、技能或表演的完美掌握。

conference