Incident Handling & IT-Forensik im Unternehmen
In diesem Training werden aktuelle Methoden der Incident Response, des Incident Handling und der IT-Forensik vorgestellt.
Vor einer forensischen Untersuchung steht zunächst der Vorfall, der als solcher erkannt werden muss. Ihm folgt die unmittelbare Reaktion in Form der Incident Response. Sie versucht, den Vorfall zu erfassen und ihn für eine nachfolgende forensische Untersuchung aufzubereiten. Der ISO-27035-Standard dient als Leitfaden zur Erkennung und Behandlung von Sicherheitsvorfällen.
Im Rahmen der Schulung gehen wir zunächst auf die Möglichkeiten zur Erkennung von Sicherheitsvorfällen ein. Anschließend zeigen wir, wie anhand des ISO-27035-Standards eine systematische Vorgehensweise gewährleistet werden kann.
Darauf aufbauend wird anhand von Fallbeispielen das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten detailliert erörtert. Auf einem zur Verfügung gestellten Laptop lernt jeder Teilnehmer anhand von Übungen, Spuren in IT-Systemen zu suchen, sie richtig zu sichern und zu interpretieren. Jedem Teilnehmer werden verschiedene Werkzeuge zur Live-Analyse bereitgestellt. Zudem werden im Bereich der Dead-Analyse neben frei erhältlichen Werkzeugen auch kommerziell etablierte Produkte vorgestellt.
Die Live-Analyse umfasst die Sammlung und Analyse flüchtiger Daten aus laufenden Systemen. Dabei werden Kernel-Komponenten, der Netzwerkstatus und der Hauptspeicher ebenso betrachtet wie der virtuelle Speicher einzelner Prozesse. Im Gegensatz zu den bekannten Methoden der Festplatten-Analyse werden hier fortgeschrittene Methoden zur Informationsgewinnung verwendet. Sie zielen darauf ab, Malware (Würmer, Trojaner etc.) sowie Kernel-Rootkits zu erkennen, Code-Injection-Angriffe nachzuvollziehen oder generell Daten direkt aus dem Speicher (Bilder, Dokumente etc.) zu extrahieren.
Die Dead-Analyse umfasst die Sammlung und Analyse persistenter Daten. Die Teilnehmer werden mit der Erstellung von Festplatten-Images, der Auswertung der Dateisystem-Metadaten, der Behandlung diverser Dateisysteme (NTFS, ext3 etc.), der Wiederherstellung gelöschter Daten und der Auswertung von Logfiles vertraut gemacht.
Im Bereich SQL-Forensik werden Techniken aufgezeigt, um Sicherheitsvorfälle auf Datenbanksystemen zu analysieren und zu bewerten. Hierbei werden Objekte und Artefakte vorgestellt, die im weiteren Verlauf der forensischen Untersuchung dienen. Die Übungen werden exemplarisch an einem Microsoft SQL Server durchgeführt. Unter anderem werden folgende Fragen beantwortet:
Leitender Berater
Partner und Mitgründer
3 Tage
nach Vereinbarung
nach Vereinbarung
Nach Abschluss des Trainings sind die Teilnehmer in der Lage, die Wege eines Einbrechers nachzuvollziehen. Sie wissen, wie sie einen Incident-Response-Prozess im Unternehmen etablieren können und welche Anforderungen an die gerichtsfeste Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel erfüllt werden müssen.
Themenbereiche:
Behandelte Werkzeuge: Open-Source- sowie kommerzielle Werkzeuge
Behandelte Betriebssysteme: Windows, Linux bzw. Unix
Zielgruppe:
Administratoren, Sicherheitsverantwortliche, CERTs, betriebliche Ermittler
Voraussetzung:
Gute Kenntnisse in Windows, Linux bzw. Unix. Von Vorteil sind Kenntnisse von Angriffsmöglichkeiten und der Vorgehensweise von Hackern. Eine Teilnahme am Training „Hacking Extrem“ ist von Vorteil.
Das Training wird in deutscher Sprache von einem erfahrenen Trainer durchgeführt. Die Trainer von cirosec sind als Berater tätig und können daher umfassende und aktuelle Praxiserfahrungen in die Schulung einbringen.
Für die Teilnahme am Training Forensik Extrem erhalten Sie CPE-Punkte. Das Training dauert insgesamt 24 Stunden.
Zum Abschluss des Trainings erhalten Sie ein Zertifikat.
Termine:
nach Vereinbarung
cirosec GmbH
Ferdinand-Braun-Straße 4
74074 Heilbronn