Network Incident Response

Kurzbeschreibung

Bis vor kurzem ging die Mehrzahl an Organisationen davon aus, dass sie in Bezug auf zielgerichtete Angriffe unter dem Radar verschwinden und dass solche, wenn überhaupt, eine Sorge von Regierungsinstitutionen, grösseren Finanzdienstleistern sowie Energie- oder Versorgungsbetrieben darstellen. Der Inhalt dieses Kurses soll Sie deshalb dabei unterstützen, gegen zielgerichtete Angriffe gewappnet zu sein, um diese erfolgreich erkennen und abwehren zu können.

Lernziel

Das Ziel dieses Trainings ist es, ein besseres Verständnis für Incident Response in Netzwerken zu erhalten. Es wird dabei ein Szenario durchgespielt sowie entsprechende Massnahmen erarbeitet. Mittels praktischen Übungen sowie eines Workshops wird gelernt, wie beispielsweise Command and Control (C&C) Traffic im Netzwerk erkannt und untersucht werden kann. Weiter wird der praktische Einsatz von IDS diskutiert.

Während des Workshops wenden die Teilnehmenden das erlangte Wissen an, indem sie eine Angriffsmethode erarbeiten und diese im Hacking-Lab selbstständig umsetzen. Die Kursteilnehmenden erhalten damit die wohl einmalige Gelegenheit, sich auf die Seite der Angreifenden zu begeben, deren Sichtweise aktiv kennenzulernen und damit besser verstehen zu lernen. In einem zweiten Schritt versuchen die restlichen Teilnehmenden, den Angriff zu erkennen und, falls nötig, die Erkennungsrate zu optimieren. Es werden Incident Response Massnahmen ergriffen und anhand einer Table-Top Übung nachvollzogen. Auch sollen die Grenzen der eingesetzten Technologie und Tools aufgezeigt werden.

Abgrenzung: Das Seminar geht davon aus, dass Rechner im Netzwerk bereits mit Schadsoftware infiziert worden sind. Es wird nicht weiter darauf eingegangen, wie es zur Infizierung kam oder wie die Schadsoftware installiert wurde. Dieses Thema ist Bestandteil des Trainings "Penetration Testing".

Auch wird im Training nicht auf die forensische Untersuchung von Schadprogrammen oder das Sammeln von Beweismitteln eingegangen. Diese Themen sind Bestandteil des Trainings "Host-based Incident Response".

Highlights aus dem Programm

  • Advanced Persistent Threats (APT) und Gegenmassnahmen
  • Splunk: Einführung und Übungen
  • Splunk: fortgeschrittene Anwendung zur Netzwerkanalyse
  • Workshop zur Covert Channels und Erkennung
  • Incident Response Szenarien und Table-Top Übungen
  • Intrusion Detection mithilfe von BRO/Splunk

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern nach Kursende während eines Monats zur Verfügung.

Zielgruppe

  • Sicherheitsbeauftragte
  • Informatikverantwortliche
  • Security Engineers
  • System Engineers
  • Third-Level Support
  • Incident Handlers
  • SOC Team Members

Voraussetzung

  • Verständnis für Netzwerkprotokolle (IP, TCP, UDP, ICMP)
  • Gute Netzwerk-Service Kenntnisse (DNS, DHCP, Proxy, SSH, TLS, HTTP)
  • Linux Kenntnisse (Shell, grep, awk)
  • Windows Kenntnisse (AD, GPO)