Incident Response

Kursziele

Cyberangriffe wie Phishing passieren täglich, doch sie bleiben sie oftmals unbemerkt und werden nicht aufgeklärt. Damit können AngreiferInnen ihre Versuche verbessern und in das Unternehmen eindringen. Ist das Netzwerk kompromittiert? Wurde das Ziel des Angriffs bereits erreicht?

Ziel ist es, Techniken und Tools zur Aufklärung eines Cyberangriffs zu erlernen. Die Kursteilnehmenden erleben praktisch anhand eines realistischen Szenarios, wie ein Cyberangriff am System erkannt und analysiert werden kann. Die Teilnehmenden üben praktisch auf ihrem Computer die Analyse von Festplatten, Speicherabbildern und Log Files. Jeder Schritt trägt dazu bei, Advanced Persistent Threats (APT) aufzudecken und wichtige Analyseergebnisse an die IT und das Management weitergeben zu können.

Zielgruppe

Der Kurs richtet sich an Incident-Response-Teammitglieder, Systemadmins und Informationssicherheitsverantwortliche mit technischem Background.

Inhalt

Die Teilnehmenden üben als Beschäftigte eines CERT/CSIRT und beginnen mit der routinemäßigen Analyse eines Pishing-E-Mails. Schnell wird klar, dass es sich hierbei nicht um die Arbeit von Amateuren handelt, die Angreifer sind Profis! Anhand der Daten der Analyse wird im Netzwerk nach Spuren gesucht und erkannt: der Angriff ist schon länger im Gange. Es werden Live-Daten von Computern und Servern abgezogen, um festzustellen, wie viele Computer bereits betroffen sind und ob der Angriff erfolgreich war. Aber was hat der Angreifer vor?

Ein realistischer Angriff wurde vorab in einer Labor-Umgebung mit Hacking-Tools in einem professionellen Penetrationtests durchgeführt. Anschließend wurden die forensischen Artefakte von Computern, Servern und Netzwerkgeräten (Log Files, Festplattenimages, Speicherabbilder, Live-Collections) abgezogen. Die Teilnehmer bekommen die Artefakte und Analysetools und arbeiten somit auf einem stringenten Szenario.

Technische Trainingsziele:

  • Analyse von Phishing E-Mails
  • Triangulieren von Angriffen im Netzwerk anhand von Logfiles
  • Erstellen von Live-Collections
  • Auswerten von Live-Daten von kompromittierten Windows Computern und Linux Servern
  • Erstellen und Auswerten von Speicherabbildern
  • Erstellen und Auswerten von Festplattenimages
  • Erstellen einer Timeline

Organisatorische Trainingsziele:

  • Wie gelang der Angriff?
  • Welche Daten wurden entwendet?
  • Welche Systeme sind betroffen?
  • Wie kann man Angriff eindämmen und entschärfen?

Nicht im Fokus des Kurses sind Malware Reverse Engineering sowie die Forensik von mobilen Geräten.

Abschluss

Eine Teilnahmebestätigung für den Kurs für den Kurs wird ausgestellt.

Hinweise

Dauer: 3 Tage

Sprache: Deutsch (Kursmaterial in Deutsch)

Der Kurs wird als „Bring your own laptop“-Kurs geführt. Es wird erwartet, dass Kursteilnehmenden ihre eigenen PCs mitbringen, um sich auf diese Art aktiv mit dem Kursinhalt auseinanderzusetzen. Theoretisch beschriebene Themen werden so von den Kursteilnehmenden selbst in der Praxis ausprobiert.

  • Die Laptops müssen zumindest folgende Anforderungen erfüllen:
  • Aktueller Dual-Core Prozessor (z. B. Intel i3/i5)
  • 8 GB Arbeitsspeicher
  • 40GB freier Festplattenspeicher
  • Windows-Betriebssystem
    • Lokale administrative Rechte
    • Möglichkeit einen USB-Stick anzustecken
  • Installiertes Virtual Box
    • Wir werden in der Schulung mit virtuellen Maschinen arbeiten.
    • Die virtuelle Maschine wird am Anfang der Schulung auf USB-Stick verteilt.
  • Microsoft Excel

Kosten

Die Kosten für den 3-tägigen Kurs belaufen sich auf 1.960 € (exkl. UST) pro Person. In der Kursgebühr sind die Kursmaterialien sowie die volle Verpflegung enthalten.

Termine 2019

Information zu kommenden Terminen folgt zeitnahe

This Website uses Cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close