Lernziel

Das Ziel dieses Seminars ist es, ein besseres Verständnis für Advanced Persistent Threats (APTs) zu erhalten und mögliche Gegenmassnahmen kennenzulernen. Mittels praktischer Übungen sowie eines Workshops wird gelernt wie Command and Control (C&C) Traffic im Netzwerk mittels Splunk erkannt werden kann.

Während des Workshops wenden die Teilnehmer das erlangte APT-Wissen an, indem sie eine Angriffsmethode erarbeiten und diese im Hacking-Lab selbstständig umsetzen. Die Kursteilnehmer erhalten damit die wohl einmalige Gelegenheit sich auf die Seite der Angreifenden zu begeben, deren Sichtweise aktiv kennenzulernen und damit besser verstehen zu lernen. In einem zweiten Schritt versuchen die restlichen Teilnehmer den Angriff mittels Splunk zu erkennen und falls nötig, die angewandte APT-Erkennung zu optimieren. Auch sollen die Grenzen der eingesetzten Technologie aufgezeigt werden.

Abgrenzung: Das Seminar geht davon aus, dass Rechner im Netzwerk bereits mit Schadsoftware infiziert worden sind. Es wird nicht weiter darauf eingegangen, wie es zur Infizierung kam oder wie die Schadsoftware installiert wurde. Dieses Thema ist Bestandteil des Seminars Penetration Testing.
Auch wird im Seminar nicht auf die forensische Untersuchung von Schadprogrammen oder das Sammeln von Beweismitteln eingegangen. Diese Themen sind Bestandteil des Seminars Forensik Investigation.

Inhalt

Bis vor kurzem ging die Mehrzahl an Organisationen davon aus, dass sie in Bezug auf zielgerichtete Angriffe unter dem Radar verschwinden und dass solche, wenn überhaupt, eine Sorge von Regierungsinstitutionen, grösseren Finanzdienstleistern sowie Energie- oder Versorgungsbetrieben darstellen.


Diese Annahmen wurden spätestens mit Aufdeckung der sogenannten Operation Shady RAT widerlegt. Die Analyse der Kommunikation eines einzelnen C&C Servers zeigte, dass über den gesamten Zeitraum 2006-2011 weltweit 71 Unternehmungen, Organisationen und Regierungen (über 31 verschiedene Industrien hinweg) systematisch und unbemerkt ausgespäht wurden. Es ist davon auszugehen, dass die Beliebtheit von sogenannten Advanced Persistent Threats (APTs) in naher Zukunft nochmals drastisch steigen wird.

Der Inhalt dieses Kurses soll Sie deshalb dabei unterstützen gegen solche zielgerichteten Angriffe gewappnet zu sein, um diese erfolgreich erkennen und abwehren zu können.

Highlights aus dem Programm

  • Advanced Persistent Threats
  • Konfiguration der Quellen (Evidence)
  • Statische Analyse mit Splunk
  • Dynamische Analyse mit Splunk (Internet Quellen)
  • Erkennen von C&C Traffic

Zielgruppe

Security Spezialisten aus Incident-, Forensik- und Firewall Teams

Voraussetzung

  • Vertiefte TCP/IP Kenntnisse
  • Sehr gutes Verständnis für Netzwerkverkehr
  • Gute Linux Kenntnisse (Shell, grep, awk)
  • Gute Windows Kenntnisse (AD, GPO)
  • Gute Netzwerk-Service Kenntnisse (DNS, DHCP, Proxy, SSH, SSL)

AGENDA

Cyber Risks – von der abstrakten Gefahr zur täglichen Realität

Das Europa Institut an der Universität Zürich (EIZ) ist ein führendes Kompetenzzentren für Europarecht und wichtiger Anbieter von juristischen... Weiterlesen

Swiss Treasury Summit 2019

Das Schweizer Jahrestreffen der Treasurer - am 11. September 2019 an der HSLU in Rotkreuz. Weiterlesen

Cyber Security Days an der HSR

Das INS Institut für vernetzte Systeme und die Compass Security laden ein zur zweitägigen Cyber Security Veranstaltung an der HSR Hochschule für... Weiterlesen

KOMPLETTE agenda

aktuelles

Eine gelungene Feier zum 20-Jahre-Jubiläum

Compass Security lud am 07. Juni 2019 aktuelle und ehemalige Mitarbeitende, Kunden, Partner und Freunde ein, um ihr 20-jähriges Bestehen zu feiern.... Weiterlesen

Metzger Wechsler und die Hacker

Die Mobiliar spricht in ihrem Magazin zu den Themenschwerpunkten Künstliche Intelligenz und Digitalisierung auch die Cyberkriminaliät an. Weiterlesen

Hack2improve - eine Erfolgsgeschichte

Die Hochschule Furtwangen hat 2008 zum ersten Mal einen Hacking-Workshop angeboten. Was damals ein Novum war, ist heute fest im Veranstaltungsplan der... Weiterlesen

ArCHIV

Compass Security Blog

From Open Wi-Fi to WPA3

Security in Wi-Fi networks has been, at some point non-existent, then questioned, improved and questioned again over the last two decades. This post provides an overview over the latest developments... mehr

Practical OpenID Connect Pentesting

This post is intended to explain what you typically want to check for during an OpenID Connect assessment and also provide you with a guide to setup your own OpenID Connect test environment. mehr

ZUM BLOG