Forensic Extreme: Incident Handling & IT-Forensik im Unternehmen
Seminar
In Muenchen, Hamburg, Köln und 1 weiterer Standort
Beschreibung
-
Kursart
Seminar
-
Niveau
Anfänger
-
Ort
-
Dauer
3 Tage
In diesem Training werden aktuelle technische Methoden der IT-Forensik und des Incident Handling sowie die damit verbundenen rechtlichen Rahmenbedingungen und Möglichkeiten vorgestellt. Anhand vieler verschiedener Fallbeispiele wird das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten erörtert. Gerichtet an: Administratoren, Sicherheitsverantwortliche, CERT-Teams, betriebliche Ermittler
Standorte und Zeitplan
Lage
Beginn
Beginn
Beginn
Beginn
Beginn
Hinweise zu diesem Kurs
Grundlegende Kenntnis von Windows, Linux und Unix. Von Vorteil sind Kenntnisse von Angriffsmöglichkeiten und der Vorgehensweise von Hackern. Eine Teilnahme am Training "Hacking Extrem" ist von Vorteil.
Meinungen
Dozenten
Andreas Kurtz
Berater
Bei der cirosec GmbH beschäftigt sich vorrangig mit Sicherheitsüberprüfungen von Netzwerken, IT-Systemen und Applikationen. Ein weiterer Schwerpunkt seiner Arbeit liegt auf der Analyse von Quelltexten hinsichtlich Sicherheitslücken sowie der Durchführung forensischer Analysen. Darüber hinaus ist Andreas Kurtz Dozent an verschiedenen Hochschulen zum Thema IT-Sicherheit, veröffentlicht regelmäßig Artikel in Fachzeitschriften und hält Vorträge auf Konferenzen.
Marco Lorenz
Berater
Sein Studium der angewandten Informatik an der Fachhochschule Fulda beendete er 1999 mit der Diplomarbeit „Schwachstellenanalyse und Optimierung der Netzwerksicherheit im Forschungszentrum Karlsruhe mit Hilfe von Firewalls am Fallbeispiel des Firewall Toolkit”. Seine Spezialisierung auf den IT-Sicherheitsbereich verfolgte er weiterhin, in dem er Consultant bei einem Anbieter von IT-Sicherheitslösungen wurde.
Tobias Klein
Berater
Seit 2002 ist er Mitarbeiter der cirosec GmbH und beschäftigt sich dort vor allem mit Angriffstechniken auf Netzwerke, IT-Systeme und Applikationen sowie mit forensischen Analysen. Er führt regelmäßig umfangreiche Sicherheitsüberprüfungen auf Netzwerk-, Betriebssystem-, Dienst- und Applikationsebene bei Unternehmen aus den Branchen Automobil, Pharma, Banken und Versicherungen durch.
Inhalte
Inhalt:
In diesem Training werden aktuelle technische Methoden der IT-Forensik und des Incident Handling sowie die damit verbundenen rechtlichen Rahmenbedingungen und Möglichkeiten vorgestellt.
Anhand vieler verschiedener Fallbeispiele wird das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten erörtert.
Die Schulung teilt sich in einen technischen Teil, in dem Werkzeuge für eine forensische Analyse vorgestellt werden und in einen rechtlichen/organisatorischen Teil, in dem die rechtlichen Rahmenbedingungen für Inhouse-Ermittlungen gegen Verdächtige dargestellt werden.
Im technischen Teil lernt jeder Teilnehmer anhand vieler Übungen, die er auf einem zur Verfügung gestellten Laptop selbst nachvollzieht, Spuren in IT-Systemen zu suchen, richtig zu sichern und zu interpretieren. Jedem Teilnehmer wird eine Werkzeugsammlung zur Live-Analyse bereit gestellt, die u.a. bisher nicht verfügbare Sammel- und Analysewerkzeuge beinhaltet. Zudem werden im Bereich der Dead-Analyse neben frei verfügbaren Werkzeugen auch etablierte kommerzielle Produkte vorgestellt und eingesetzt.
Bei der Live-Analyse geht es um die Sammlung und Analyse flüchtiger Daten aus laufenden Systemen. Dabei werden Kernel-Komponenten, der Netzwerkstatus und der Hauptspeicher ebenso betrachtet wie der virtuelle Speicher einzelner Prozesse. Im Gegensatz zu den bekannten Methoden der Festplatten-Analyse werden hier fortgeschrittene Methoden zur Informationsgewinnung verwendet, die darauf zielen, Malware (Würmer, Trojaner, etc.) sowie Kernel-Rootkits zu erkennen, Code-Injection-Angriffen nachzuvollziehen oder generell Daten direkt aus dem Speicher (Bilder, Dokumente, etc) zu extrahieren.
Bei der Dead-Analyse geht es um die Sammlung und Analyse persistenter Daten. Die Teilnehmer werden mit der Erstellung von Festplatten-Images vertraut gemacht, der Auswertung der Dateisystem-Metadaten, der Behandlung diverser Dateisysteme (NTFS, ext3, etc.), der Wiederherstellung gelöschter Daten und
der Auswertung von Logfiles.
Im rechtlichen/organisatorischen Teil wird ein Rechtsanwalt der Anwaltskanzlei Amann detailliert auf die Vorgehensweise nach der Entdeckung von Einbrüchen eingehen. Fall für Fall wird die Sammlung, Sicherung und Auswertung gerichtsfester digitaler Spuren als Beweismittel zur erfolgreichen Rechtsverfolgung durchgespielt.
Dabei wird berücksichtigt, welche Tätergruppe in Betracht kommt, welches übergeordnete Ziel (bspw. Schädigung der Firma) der Angriff wirklich hatte, was geschützt werden muss und welches Schadenspotential der Angriff hatte. Ebenso wird erörtert, welche Beweismittel durch eigene Ermittlungen beschafft werden können, welche nur unter Einschaltung Dritter oder der Polizei und in wieweit eine Strafanzeige gegen Verdächtige hilft.
Nach Abschluss des Trainings sind die Teilnehmer in der Lage, die Wege eines Einbrechers nachzuvollziehen. Sie wissen, wie sie im Falle eines Systemeinbruchs reagieren müssen und welche Anforderungen an die gerichtsfeste Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel beachtet werden müssen.
Themenbereiche:
Sammlung und Sicherung flüchtiger Daten
Sammlung und Sicherung persistenter Daten
Zusammenstellung einer Werkzeugsammlung
Auswertung der gesammelten Daten
Hash-Datenbanken
Carving
Gezielte Suche nach Begriffen
Extrahierung und Analyse von Zeitstempeln
Extrahierung und Analyse von Logfiles
Beschreibung verschiedener Anti-Forensik-Techniken
Haupt- und Prozessspeicheranalyse
Auffinden und Deaktivierung von Rootkits
etc.
BehandelteWerkzeuge: Open-Source- sowie kommerzielle Werkzeuge
Behandelte Betriebssysteme: Windows, Linux, Unix
Zusätzliche Informationen
Forensic Extreme: Incident Handling & IT-Forensik im Unternehmen