Suche
TRAININGS

Forensik Extrem

Incident Handling & IT-Forensik im Unternehmen

In diesem Training werden aktuelle Methoden der Incident Response, des Incident Handling und der IT-Forensik vorgestellt.

Trainingsinhalt

Vor einer forensischen Untersuchung steht zunächst der Vorfall, der als solcher erkannt werden muss. Ihm folgt die unmittelbare Reaktion in Form der Incident Response. Sie versucht, den Vorfall zu erfassen und ihn für eine nachfolgende forensische Untersuchung aufzubereiten. Der ISO-27035-Standard dient als Leitfaden zur Erkennung und Behandlung von Sicherheitsvorfällen.

Im Rahmen der Schulung gehen wir zunächst auf die Möglichkeiten zur Erkennung von Sicherheitsvorfällen ein. Anschließend zeigen wir, wie anhand des ISO-27035-Standards eine systematische Vorgehensweise gewährleistet werden kann.

Darauf aufbauend wird anhand von Fallbeispielen das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten detailliert erörtert. Auf einem zur Verfügung gestellten Laptop lernt jeder Teilnehmer anhand von Übungen, Spuren in IT-Systemen zu suchen, sie richtig zu sichern und zu interpretieren. Jedem Teilnehmer werden verschiedene Werkzeuge zur Live-Analyse bereitgestellt. Zudem werden im Bereich der Dead-Analyse neben frei erhältlichen Werkzeugen auch kommerziell etablierte Produkte vorgestellt.

Die Live-Analyse umfasst die Sammlung und Analyse flüchtiger Daten aus laufenden Systemen. Dabei werden Kernel-Komponenten, der Netzwerkstatus und der Hauptspeicher ebenso betrachtet wie der virtuelle Speicher einzelner Prozesse. Im Gegensatz zu den bekannten Methoden der Festplatten-Analyse werden hier fortgeschrittene Methoden zur Informationsgewinnung verwendet. Sie zielen darauf ab, Malware (Würmer, Trojaner etc.) sowie Kernel-Rootkits zu erkennen, Code-Injection-Angriffe nachzuvollziehen oder generell Daten direkt aus dem Speicher (Bilder, Dokumente etc.) zu extrahieren.

Die Dead-Analyse umfasst die Sammlung und Analyse persistenter Daten. Die Teilnehmer werden mit der Erstellung von Festplatten-Images, der Auswertung der Dateisystem-Metadaten, der Behandlung diverser Dateisysteme (NTFS, ext3 etc.), der Wiederherstellung gelöschter Daten und der Auswertung von Logfiles vertraut gemacht.

Im Bereich SQL-Forensik werden Techniken aufgezeigt, um Sicherheitsvorfälle auf Datenbanksystemen zu analysieren und zu bewerten. Hierbei werden Objekte und Artefakte vorgestellt, die im weiteren Verlauf der forensischen Untersuchung dienen. Die Übungen werden exemplarisch an einem Microsoft SQL Server durchgeführt. Unter anderem werden folgende Fragen beantwortet: 

  • Wurde unberechtigt auf die Datenbank zugegriffen?
  • Auf welche Daten wurde zugegriffen?
  • Wurden Datensätze manipuliert?
  • Können gelöschte Daten wiederhergestellt werden?

Ihre Trainer

Joshua Tiago

Leitender Berater

Marco Lorenz

Partner und Mitgründer

Dauer

3 Tage

Termine

nach Vereinbarung

Preis

nach Vereinbarung

Nach Abschluss des Trainings sind die Teilnehmer in der Lage, die Wege eines Einbrechers nachzuvollziehen. Sie wissen, wie sie einen Incident-Response-Prozess im Unternehmen etablieren können und welche Anforderungen an die gerichtsfeste Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel erfüllt werden müssen.

Themenbereiche:

  • ISO-27035-Standard als Leitfaden für Incident Response
  • Voraussetzungen für Incident Response
  • Organisatorischer Rahmen für Incident Response
  • Incident-Handling-Prozess
  • Sammlung und Sicherung flüchtiger Daten
  • Sammlung und Sicherung persistenter Daten
  • Auswertung der gesammelten Daten
  • Hash-Datenbanken
  • Carving
  • Gezielte Suche nach Begriffen
  • Extrahierung und Analyse von Zeitstempeln
  • Extrahierung und Analyse von Logfiles
  • Beschreibung verschiedener Anti-Forensik-Techniken
  • Haupt- und Prozessspeicheranalyse
  • Auffinden und Deaktivieren von Rootkits
  • SQL-Forensik
  • etc.

Behandelte Werkzeuge: Open-Source- sowie kommerzielle Werkzeuge

Behandelte Betriebssysteme: Windows, Linux bzw. Unix

Zielgruppe:
Administratoren, Sicherheitsverantwortliche, CERTs, betriebliche Ermittler

Voraussetzung:
Gute Kenntnisse in Windows, Linux bzw. Unix. Von Vorteil sind Kenntnisse von Angriffsmöglichkeiten und der Vorgehensweise von Hackern. Eine Teilnahme am Training „Hacking Extrem“ ist von Vorteil.

Das Training wird in deutscher Sprache von einem erfahrenen Trainer durchgeführt. Die Trainer von cirosec sind als Berater tätig und können daher umfassende und aktuelle Praxiserfahrungen in die Schulung einbringen.

Für die Teilnahme am Training Forensik Extrem erhalten Sie CPE-Punkte. Das Training dauert insgesamt 24 Stunden.
Zum Abschluss des Trainings erhalten Sie ein Zertifikat.

Termine:   
nach Vereinbarung

Stimmen bisheriger Teilnehmer

Frank Gebert
Frank GebertWüstenrot & Württembergische AG
Weiterlesen
Wunderbarer Einstieg in die IT-Forensik. Richtige Tiefe um das Thema verständlich zu machen.
Martin Intemann
Martin IntemannRWE Dea AG
Weiterlesen
Ideal für den Entscheider aus der Informationssicherheit mit technischem Background.

Ihre Ansprechpartnerin

Sie wollen Ihre Systeme schützen?
Nehmen Sie gerne Kontakt mit uns auf!

Suche
Suche