Network Incident Response

Kurzbeschreibung

Bis vor kurzem ging die Mehrzahl an Organisationen davon aus, dass sie in Bezug auf zielgerichtete Angriffe unter dem Radar verschwinden und dass solche, wenn überhaupt, eine Sorge von Regierungsinstitutionen, grösseren Finanzdienstleistern sowie Energie- oder Versorgungsbetrieben darstellen. Der Inhalt dieses Kurses soll Sie deshalb dabei unterstützen, gegen zielgerichtete Angriffe gewappnet zu sein, um diese erfolgreich erkennen und abwehren zu können.


Lernziel

Das Ziel dieses Trainings ist es, ein besseres Verständnis für Incident Response in Netzwerken zu erhalten. Es wird dabei ein Szenario durchgespielt sowie entsprechende Massnahmen erarbeitet. Mittels praktischen Übungen sowie eines Workshops wird gelernt, wie beispielsweise Command and Control (C&C) Traffic im Netzwerk erkannt und untersucht werden kann. Weiter wird der praktische Einsatz von IDS diskutiert.

Während des Workshops wenden die Teilnehmenden das erlangte Wissen an, indem sie eine Angriffsmethode erarbeiten und diese im Hacking-Lab selbstständig umsetzen. Die Kursteilnehmenden erhalten damit die wohl einmalige Gelegenheit, sich auf die Seite der Angreifenden zu begeben, deren Sichtweise aktiv kennenzulernen und damit besser verstehen zu lernen. In einem zweiten Schritt versuchen die restlichen Teilnehmenden, den Angriff zu erkennen und, falls nötig, die Erkennungsrate zu optimieren. Es werden Incident Response Massnahmen ergriffen und anhand einer Table-Top Übung nachvollzogen. Auch sollen die Grenzen der eingesetzten Technologie und Tools aufgezeigt werden.
 

Abgrenzung: Das Seminar geht davon aus, dass Rechner im Netzwerk bereits mit Schadsoftware infiziert worden sind. Es wird nicht weiter darauf eingegangen, wie es zur Infizierung kam oder wie die Schadsoftware installiert wurde. Dieses Thema ist Bestandteil des Trainings "Penetration Testing".

Auch wird im Training nicht auf die forensische Untersuchung von Schadprogrammen oder das Sammeln von Beweismitteln eingegangen. Diese Themen sind Bestandteil des Trainings "Host-based Incident Response".


Highlights aus dem Programm

  • Advanced Persistent Threats (APT) und Gegenmassnahmen
  • Splunk: Einführung und Übungen
  • Splunk: fortgeschrittene Anwendung zur Netzwerkanalyse
  • Workshop zur Covert Channels und Erkennung
  • Incident Response Szenarien und Table-Top Übungen
  • Intrusion Detection mithilfe von BRO/Splunk

 

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern nach Kursende während eines Monats zur Verfügung.


Zielgruppe

  • Sicherheitsbeauftragte
  • Informatikverantwortliche
  • Security Engineers
  • System Engineers
  • Third-Level Support
  • Incident Handlers
  • SOC Team Members


Voraussetzung

  • Verständnis für Netzwerkprotokolle (IP, TCP, UDP, ICMP)
  • Gute Netzwerk-Service Kenntnisse (DNS, DHCP, Proxy, SSH, TLS, HTTP)
  • Linux Kenntnisse (Shell, grep, awk)
  • Windows Kenntnisse (AD, GPO)

AGENDA

Beer-Talk in Bern: Bluetooth Low Energy: Protocol, Security & Attacks

Immer mehr Geräte und Gadgets können über Bluetooth Low Energy (BLE) miteinander kommunizieren. Haben Sie sich schon gefragt, was dieses BLE überhaupt... Weiterlesen

Compass Security an der ETH Kontaktparty

Wir nehmen teil an der schweizweit grössten akademischen IT-Recruitingmesse. Komme am Samstag, 29. Februar 2020 an die ETH Zürich und besuche uns am... Weiterlesen

Beer-Talk #21 in Berlin: Lessons learned from SHITRIX

Gefahr für tausende Firmen, öffentliche Einrichtungen und Behörden. Wir berichten von unseren gewonnenen Erkenntnissen aus Shitrix. Besuchen Sie uns... Weiterlesen

KOMPLETTE agenda

aktuelles

KMU im Visier von Cyberkriminellen

In der Sendung «Fokus KMU» erzählt ein Betroffener über die Auswirkungen der Cyber Attacke auf sein Unternehmen. Cyrill Brunschwiler von Compass... Weiterlesen

Daten als Wettbewerbsvorteil

Das Basel Economic Forum ist das Wirtschaftsforum für die trinationale Metropolitanregion Basel und die Nordwestschweiz. Im November fand die 6.... Weiterlesen

Schwachstelle in Apache Olingo OData 4.0

Das Compass Analysten-Team hat eine XXE-Schwachstelle in Apache Olingo OData 4.0 identifiziert. Weiterlesen

ArCHIV

Compass Security Blog

OWASP – Toronto January 2020

A write-up of the OWASP Toronto January talk which mainly focused on the correlation and integration of results generated by automated tools in application security such as SAST, DAST and SCA.... mehr

Interview with Jim McKay

“I love hacking can be used for the greater good.” During the Solothurn Film Festival 2020 we had the opportunity to meet Jim McKay, who directed, among others, two episodes for Mr. Robot season one.... mehr

ZUM BLOG