Kurzbeschreibung

Bis vor kurzem ging die Mehrzahl an Organisationen davon aus, dass sie in Bezug auf zielgerichtete Angriffe unter dem Radar verschwinden und dass solche, wenn überhaupt, eine Sorge von Regierungsinstitutionen, grösseren Finanzdienstleistern sowie Energie- oder Versorgungsbetrieben darstellen. Der Inhalt dieses Kurses soll Sie deshalb dabei unterstützen, gegen zielgerichtete Angriffe gewappnet zu sein, um diese erfolgreich erkennen und abwehren zu können.


Lernziel

Das Ziel dieses Trainings ist es, ein besseres Verständnis für Incident Response in Netzwerken zu erhalten. Es wird dabei ein Szenario durchgespielt sowie entsprechende Massnahmen erarbeitet. Mittels praktischen Übungen sowie eines Workshops wird gelernt, wie beispielsweise Command and Control (C&C) Traffic im Netzwerk erkannt und untersucht werden kann. Weiter wird der praktische Einsatz von IDS diskutiert.

Während des Workshops wenden die Teilnehmenden das erlangte Wissen an, indem sie eine Angriffsmethode erarbeiten und diese im Hacking-Lab selbstständig umsetzen. Die Kursteilnehmenden erhalten damit die wohl einmalige Gelegenheit, sich auf die Seite der Angreifenden zu begeben, deren Sichtweise aktiv kennenzulernen und damit besser verstehen zu lernen. In einem zweiten Schritt versuchen die restlichen Teilnehmenden, den Angriff zu erkennen und, falls nötig, die Erkennungsrate zu optimieren. Es werden Incident Response Massnahmen ergriffen und anhand einer Table-Top Übung nachvollzogen. Auch sollen die Grenzen der eingesetzten Technologie und Tools aufgezeigt werden.

Abgrenzung: Das Seminar geht davon aus, dass Rechner im Netzwerk bereits mit Schadsoftware infiziert worden sind. Es wird nicht weiter darauf eingegangen, wie es zur Infizierung kam oder wie die Schadsoftware installiert wurde. Dieses Thema ist Bestandteil des Trainings "Penetration Testing".

Auch wird im Training nicht auf die forensische Untersuchung von Schadprogrammen oder das Sammeln von Beweismitteln eingegangen. Diese Themen sind Bestandteil des Trainings "Host-based Incident Response".


Highlights aus dem Programm

  • Advanced Persistent Threats (APT) und Gegenmassnahmen
  • Splunk: Einführung und Übungen
  • Splunk: fortgeschrittene Anwendung zur Netzwerkanalyse
  • Workshop zur Covert Channels und Erkennung
  • Incident Response Szenarien und Table-Top Übungen
  • Intrusion Detection mithilfe von BRO/Splunk

 

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern nach Kursende während eines Monats zur Verfügung.


Zielgruppe

  • Sicherheitsbeauftragte
  • Informatikverantwortliche
  • Security Engineers
  • System Engineers
  • Third-Level Support
  • Incident Handlers
  • SOC Team Members


Voraussetzung

  • Verständnis für Netzwerkprotokolle (IP, TCP, UDP, ICMP)
  • Gute Netzwerk-Service Kenntnisse (DNS, DHCP, Proxy, SSH, TLS, HTTP)
  • Linux Kenntnisse (Shell, grep, awk)
  • Windows Kenntnisse (AD, GPO)

AGENDA

Beer-Talk #18 in Berlin: How to pwn a Global Player in two days

Sind große Unternehmen dank größeren finanziellen und personellen Mitteln besser gegen Hacker Angriffe gewappnet als kleinere Unternehmen und... Weiterlesen

Beer-Talk #27 in Zürich: WiFi Open to WPA3

WiFi ist fast überall anzutreffen, die Netzwerke weisen aber oft Schwachstellen auf. Konnte der Standard WPA3 diese beheben? Ob die WiFi Netze nun... Weiterlesen

5. Digital Real Estate Summit 2019

Das Gipfeltreffen der digitalen Immobilienwirtschaft Weiterlesen

KOMPLETTE agenda

aktuelles

Schwachstelle im mod_auth_openidc Modul

Mischa Bachmann hat eine Reflected Cross-Site Scripting (XSS) Schwachstelle im mod_auth_openidc Modul für den Apache 2.x HTTP Server identifiziert. Weiterlesen

Compass betreut wissenschaftliche Arbeiten

Compass Security betreut Studierende, die anlässlich ihres Bachelor- oder Masterstudiums eine wissenschaftliche Arbeit mit dem Schwerpunkt IT Security... Weiterlesen

Schwachstelle im Webinterface der Siemens SICAM A8000 Series

Emanuel Duss und Nicolas Heiniger haben eine XXE Schwachstelle im Webinterface der Siemens SICAM A8000 Series identifiziert. Weiterlesen

ArCHIV