Trainings Forensik Extrem

Forensik Extrem - überarbeitet

Referenten: cirosec-Berater

Dauer: 3 Tage

Inhalt:

In diesem Training werden aktuelle Methoden der Incident Response, des Incident Handling und der IT-Forensik vorgestellt.

Vor einer forensischen Untersuchung steht zunächst der Vorfall, der als solcher erkannt werden muss. Ihm folgt die unmittelbare Reaktion in Form der Incident Response. Sie versucht, den Vorfall zu erfassen und ihn für eine nachfolgende forensische Untersuchung aufzubereiten. Der ISO-27035-Standard dient als Leitfaden zur Erkennung und Behandlung von Sicherheitsvorfällen.

Im Rahmen der Schulung gehen wir zunächst auf die Möglichkeiten zur Erkennung von Sicherheitsvorfällen ein. Anschließend zeigen wir, wie anhand des ISO-27035-Standards eine systematische Vorgehensweise gewährleistet werden kann.

Darauf aufbauend wird anhand von Fallbeispielen das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten detailliert erörtert. Auf einem zur Verfügung gestellten Laptop lernt jeder Teilnehmer anhand von Übungen, Spuren in IT-Systemen zu suchen, sie richtig zu sichern und zu interpretieren. Jedem Teilnehmer werden verschiedene Werkzeuge zur Live-Analyse bereitgestellt. Zudem werden im Bereich der Dead-Analyse neben frei erhältlichen Werkzeugen auch kommerziell etablierte Produkte vorgestellt.

Die Live-Analyse umfasst die Sammlung und Analyse flüchtiger Daten aus laufenden Systemen. Dabei werden Kernel-Komponenten, der Netzwerkstatus und der Hauptspeicher ebenso betrachtet wie der virtuelle Speicher einzelner Prozesse. Im Gegensatz zu den bekannten Methoden der Festplatten-Analyse werden hier fortgeschrittene Methoden zur Informationsgewinnung verwendet. Sie zielen darauf ab, Malware (Würmer, Trojaner etc.) sowie Kernel-Rootkits zu erkennen, Code-Injection-Angriffe nachzuvollziehen oder generell Daten direkt aus dem Speicher (Bilder, Dokumente etc.) zu extrahieren.

Die Dead-Analyse umfasst die Sammlung und Analyse persistenter Daten. Die Teilnehmer werden mit der Erstellung von Festplatten-Images, der Auswertung der Dateisystem-Metadaten, der Behandlung diverser Dateisysteme (NTFS, ext3 etc.), der Wiederherstellung gelöschter Daten und der Auswertung von Logfiles vertraut gemacht.

Im Bereich SQL-Forensik werden Techniken aufgezeigt, um Sicherheitsvorfälle auf Datenbanksystemen zu analysieren und zu bewerten. Hierbei werden Objekte und Artefakte vorgestellt, die im weiteren Verlauf der forensischen Untersuchung dienen.

Die Teilnehmer sind im Anschluss in der Lage unter anderem folgende Fragen zu beantworten:

  • Wurde unberechtigt auf die Datenbank zugegriffen?
  • Auf welche Daten wurde zugegriffen?
  • Wurden Datensätze manipuliert?
  • Können gelöschte Daten wiederhergestellt werden?

Die Übungen werden exemplarisch an einem Microsoft SQL Server durchgeführt.

Nach Abschluss des Trainings sind die Teilnehmer in der Lage, die Wege eines Einbrechers nachzuvollziehen. Sie wissen, wie sie einen Incident-Response-Prozess im Unternehmen etablieren können und welche Anforderungen an die gerichtsfeste Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel erfüllt werden müssen.

Themenbereiche:

  • Sammlung und Sicherung flüchtiger Daten
  • Sammlung und Sicherung persistenter Daten
  • Auswertung der gesammelten Daten
  • Hash-Datenbanken
  • Carving
  • Gezielte Suche nach Begriffen
  • Extrahierung und Analyse von Zeitstempeln
  • Extrahierung und Analyse von Logfiles
  • Beschreibung verschiedener Anti-Forensik-Techniken
  • Haupt- und Prozessspeicheranalyse
  • Auffinden und Deaktivieren von Rootkits
  • SQL-Forensik
  • etc.

Behandelte Werkzeuge: Open-Source- sowie kommerzielle Werkzeuge

Behandelte Betriebssysteme:
 Windows, Linux bzw. Unix

Zielgruppe:
Administratoren, Sicherheitsverantwortliche, CERTs, betriebliche Ermittler

Voraussetzung:
Gute Kenntnisse in Windows, Linux bzw. Unix. Von Vorteil sind Kenntnisse von Angriffsmöglichkeiten und der Vorgehensweise von Hackern. Eine Teilnahme am Training "Hacking Extrem" ist von Vorteil.

Preis: 2.400,- € zzgl. MwSt.

Frühbucherrabatt
:
Bei einer Anmeldung bis 8 Wochen vor Beginn des Trainings erhalten Sie einen Frühbucherrabatt von 5%.

Das Training wird in deutscher Sprache von einem erfahrenen Trainer durchgeführt. Die Trainer von cirosec sind als Berater tätig und können daher umfassende und aktuelle Praxiserfahrungen in die Schulung einbringen.

Für die Teilnahme am Training Forensik Extrem erhalten Sie CPE-Punkte. Das Training dauert insgesamt 24 Stunden.
Zum Abschluss des Trainings erhalten Sie ein Zertifikat.

Termine:  
26.09. - 28.09.2017 Köln
28.11. - 30.11.2017 Stuttgart   

Schulungsort:
Die Trainings finden in schönen, ausgesuchten Hotels statt:

Auf Wunsch können wir Ihnen gerne in den Schulungshotels Zimmer zu Spezialraten reservieren.

Gerne bieten wir Ihnen diese Schulung auch als Inhouse-Training an.

Online-Anmeldung

Stimmen bisheriger Teilnehmer:

„Wunderbarer Einstieg in die IT-Forensik. Richtige Tiefe um das Thema verständlich zu machen.“
Frank Gebert, Wüstenrot & Württembergische AG

„Ideal für den Entscheider aus der Informationssicherheit mit technischem Background.“
Martin Intemann, RWE Dea AG

 




Ihre Trainer

Marco Lorenz

Joshua Tiago