Incident Response: IT-Forensik und neue Incident-Techniken

Dr. Ulrich
Bayer
Ing. Reinhard
Kugler - MSc.
1. Januar 2031 09:00 - 17:00 Uhr

Preis auf Anfrage


Referenten:

Dr. Ulrich Bayer und Ing. Reinhard

Kugler, MSc (SBA Research)

Dauer: 3 Tage (30 UE)

 

Kursziele

Ziel ist es, Tools und Techniken zur Aufklärung eines APT-Vorfalls zu erlernen. Dazu werden die Kurs TeilnehmerInnen auch praktisch die Gelegenheit bekommen, einen nachgestellten APT Angriff an Hand von Festplatten und Memory Images aufzuklären. Nicht im Fokus des Kurses sind Malware Reverse Engineering sowie die Forensik von mobilen Geräten.

 

Zielgruppe

Der Kurs richtet sich an Incident Response Teammitglieder, SystemadministratorInnen und Informationssicherheitsverantwortliche mit technischem Background.

 

Inhalt

Der Kurs besteht einerseits aus Theorie-Einheiten, um IT-Forensik und Incident Response Techniken vorzustellen. Andererseits bekommen die SchulungsteilnehmerInnen die Möglichkeit das Gelernte im Anschluss zur Untersuchung eines möglichst realistischen Angriffs zu verwenden. Für diesen praktischen Teil wurde eine Übungsumgebung konzipiert, die sich aus den folgenden zwei Elementen zusammensetzt: Es wird zum einen Memory und HarddiskImages eines APT-Vorfalls geben.  Hintergrund ist es während des dreitägigen Kurses einen APT-Angriff auf eine imaginäre Firma aufzuarbeiten. Zum anderen gibt es eine präparierte Linux-VM, die bereits alle erforderlichen Forensik- und Analyse-Tools zur Bearbeitung umfasst.
Ziel ist es im Laufe des Kurses die folgenden Fragestellen zur klären:

  • Wie gelang der Angriff?
  • Welche Daten haben die Angreifer entwendet?
  • Welche Systeme sind betroffen?
  • Wie kann man Angriff eindämmen und entschärfen?

Aus dem Inhalt:

  • Einführung, Incident Response Methodik
  • Strategische und operationelle Vorbereitung
  • Enterprise Incident Response
  • Schnelle Analyse einer großen Anzahl an Systemen
  • Tiefergehende Host-Forensik
  • Memory Forensics
  • Finden von versteckten Prozessen, bösartigen Prozessen, Rootkits, Kommandozeilenaufrufen, Netzwerkverbindungen
  • File System Analysis
  • Timeline Analyse

 

Abschluss

Sie erhalten eine Teilnahmebestätigung für den Kurs.

 

Hinweise

Sprache: Deutsch (Kursmaterial in Deutsch)

Der Kurs wird als »Bring your own laptop«-Kurs geführt. Es wird erwartet, dass KursteilnehmerInnen ihre eigenen PCs mitbringen, um sich auf diese Art aktiv mit dem Kursinhalt auseinanderzusetzen. Theoretisch beschriebene Themen werden so von den KursteilnehmerInnen selbst in der Praxis ausprobiert.