Forensik ExtremForensik Extrem

Forensik Extrem

Incident Handling & IT-Forensik im Unternehmen 

Referenten: cirosec-Berater

Dauer: 3 Tage

Inhalt: In diesem Training werden aktuelle Methoden der Incident Response, des Incident Handling und der IT-Forensik vorgestellt.

Vor einer forensischen Untersuchung steht zunächst der Vorfall, der als solcher erkannt werden muss. Ihm folgt die unmittelbare Reaktion in Form der Incident Response. Sie versucht, den Vorfall zu erfassen und ihn für eine nachfolgende forensische Untersuchung aufzubereiten. Der ISO-27035-Standard dient als Leitfaden zur Erkennung und Behandlung von Sicherheitsvorfällen.

Im Rahmen der Schulung gehen wir zunächst auf die Möglichkeiten zur Erkennung von Sicherheitsvorfällen ein. Anschließend zeigen wir, wie anhand des ISO-27035-Standards eine systematische Vorgehensweise gewährleistet werden kann.

Darauf aufbauend wird anhand von Fallbeispielen das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten detailliert erörtert. Auf einem zur Verfügung gestellten Laptop lernt jeder Teilnehmer anhand von Übungen, Spuren in IT-Systemen zu suchen, sie richtig zu sichern und zu interpretieren. Jedem Teilnehmer werden verschiedene Werkzeuge zur Live-Analyse bereitgestellt. Zudem werden im Bereich der Dead-Analyse neben frei erhältlichen Werkzeugen auch kommerziell etablierte Produkte vorgestellt.

Die Live-Analyse umfasst die Sammlung und Analyse flüchtiger Daten aus laufenden Systemen. Dabei werden Kernel-Komponenten, der Netzwerkstatus und der Hauptspeicher ebenso betrachtet wie der virtuelle Speicher einzelner Prozesse. Im Gegensatz zu den bekannten Methoden der Festplatten-Analyse werden hier fortgeschrittene Methoden zur Informationsgewinnung verwendet. Sie zielen darauf ab, Malware (Würmer, Trojaner etc.) sowie Kernel-Rootkits zu erkennen, Code-Injection-Angriffe nachzuvollziehen oder generell Daten direkt aus dem Speicher (Bilder, Dokumente etc.) zu extrahieren.

Die Dead-Analyse umfasst die Sammlung und Analyse persistenter Daten. Die Teilnehmer werden mit der Erstellung von Festplatten-Images, der Auswertung der Dateisystem-Metadaten, der Behandlung diverser Dateisysteme (NTFS, ext3 etc.), der Wiederherstellung gelöschter Daten und der Auswertung von Logfiles vertraut gemacht.

Im Bereich SQL-Forensik werden Techniken aufgezeigt, um Sicherheitsvorfälle auf Datenbanksystemen zu analysieren und zu bewerten. Hierbei werden Objekte und Artefakte vorgestellt, die im weiteren Verlauf der forensischen Untersuchung dienen. Die Übungen werden exemplarisch an einem Microsoft SQL Server durchgeführt. Unter anderem werden folgende Fragen beantwortet: 

  • Wurde unberechtigt auf die Datenbank zugegriffen?
  • Auf welche Daten wurde zugegriffen?
  • Wurden Datensätze manipuliert?
  • Können gelöschte Daten wiederhergestellt werden?

Nach Abschluss des Trainings sind die Teilnehmer in der Lage, die Wege eines Einbrechers nachzuvollziehen. Sie wissen, wie sie einen Incident-Response-Prozess im Unternehmen etablieren können und welche Anforderungen an die gerichtsfeste Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel erfüllt werden müssen.

Themenbereiche:

  • ISO-27035-Standard als Leitfaden für Incident Response
  • Voraussetzungen für Incident Response
  • Organisatorischer Rahmen für Incident Response
  • Incident-Handling-Prozess
  • Sammlung und Sicherung flüchtiger Daten
  • Sammlung und Sicherung persistenter Daten
  • Auswertung der gesammelten Daten
  • Hash-Datenbanken
  • Carving
  • Gezielte Suche nach Begriffen
  • Extrahierung und Analyse von Zeitstempeln
  • Extrahierung und Analyse von Logfiles
  • Beschreibung verschiedener Anti-Forensik-Techniken
  • Haupt- und Prozessspeicheranalyse
  • Auffinden und Deaktivieren von Rootkits
  • SQL-Forensik
  • etc.

Behandelte Werkzeuge: Open-Source- sowie kommerzielle Werkzeuge

Behandelte Betriebssysteme: Windows, Linux bzw. Unix

Zielgruppe:
Administratoren, Sicherheitsverantwortliche, CERTs, betriebliche Ermittler

Voraussetzung:
Gute Kenntnisse in Windows, Linux bzw. Unix. Von Vorteil sind Kenntnisse von Angriffsmöglichkeiten und der Vorgehensweise von Hackern. Eine Teilnahme am Training "Hacking Extrem" ist von Vorteil.

Preis: 2.400,- € zzgl. MwSt.

Frühbucherrabatt
Bei einer Anmeldung bis 8 Wochen vor Beginn des Trainings erhalten Sie einen Frühbucherrabatt von 5%.

Das Training wird in deutscher Sprache von einem erfahrenen Trainer durchgeführt. Die Trainer von cirosec sind als Berater tätig und können daher umfassende und aktuelle Praxiserfahrungen in die Schulung einbringen.

Für die Teilnahme am Training Forensik Extrem erhalten Sie CPE-Punkte. Das Training dauert insgesamt 24 Stunden.
Zum Abschluss des Trainings erhalten Sie ein Zertifikat.

Termine:   
nach Vereinbarung

Aus gegebenem Anlass bieten wir die Trainings je nach Entwicklung der Lage entweder online oder vor Ort an. Bis spätestens ca. 4 Wochen vor Veranstaltungsbeginn fällt die Entscheidung.

Hinweis zu den Online-Schulungen:
Bei den Online-Schulungen können die Teilnehmer nicht nur die Folien und die Trainer per Video-Übertragung in Microsoft-Teams sehen, sondern auch die Kontrolle über einen eigenen virtuellen Übungsarbeitsplatz übernehmen, der von cirosec bereitgestellt wird und mit zahlreichen Werkzeugen und Exploits ausgestattet ist. Die Schulungsteilnehmer können somit auch bei der Online-Variante der Schulung alle Übungsaufgaben interaktiv und mit individueller Betreuung der Trainer durchführen.

Hinweis zu den Schulungen vor Ort:
Wir freuen uns, dass Informationenveranstaltungen und auch Training wieder vor Ort stattfinden können. Selbstverständlich werden wir alle gesetzlich vorgeschriebenen Hygiene- und Sicherheitsmaßnahmen zusammen mit den Tagungshotels berücksichtigen. Weitere Informationen finden Sie hier.

Schulungsort:
Die Trainings finden in einem schönen, ausgesuchten Hotel statt:

Auf Wunsch können wir Ihnen gerne in dem Schulungshotel Zimmer zu Spezialraten reservieren.

Gerne bieten wir Ihnen diese Schulung auch als Inhouse-Training an.

Stimmen bisheriger Teilnehmer:

„Wunderbarer Einstieg in die IT-Forensik. Richtige Tiefe um das Thema verständlich zu machen.“ 
Frank Gebert, Wüstenrot & Württembergische AG

„Ideal für den Entscheider aus der Informationssicherheit mit technischem Background.“ 
Martin Intemann, RWE Dea AG

 

Ihre Trainer

Marco Lorenz

Joshua Tiago