Secu2: Incident Response

Grundsätzlicher Ablauf Incident Response

• 5-Phasen-Modell
• Was geht nur intern? Was ist auslagerbar?
• Dos and Don’ts (unbekannte Tools, „Blaming” etc.)

Vorbereitung: Incident Readiness

• Grundsätzliche Tools
• Personelle Vorbereitung („Know your tools, know your procedures“)
• Organisatorische Vorbereitung
• Technische Vorbereitung
• Analyse des bestehenden Netzwerks („Baselining“, Struktur etc.)

Angriffserkennung

• Arbeitsweise von Hackern
• Anti-Forensik-Maßnahmen und was man dennoch sieht
• Warnungen von Dritten
• IPS, SIEM etc.

Angriffsanalyse

• Logdateien und Protokolle
• Sicherheitstests und Malware-Analyse
• Identifikation des Angriffsvektors
• Forensische Untersuchungen vs. Triage: Abwägung individueller Analysemethoden

Abwehrmaßnahmen und Aufräumen

• Die Wichtigkeit des Menschen beim Schutz von Systemen
• Konzentration auf Bordmittel
• Grenzen von IPS, SIEM, AV und Firewall

„Lessons Learned“ und organisatorische Strukturen

Angriffsmuster und Analyse beispielhafter Angriffe

• „Kenne deinen Feind“
• Phishing und klassische Internetkriminalität
• Ausforschung und gezielte Angriffe
• OpSec und das Zusammenspiel von IT- und anderer Sicherheit
• Analyse beispielhafter Angriffe

Technische Voraussetzungen

Grundlegende Netzwerk- und Forensik- sowie Linux-Kenntnisse 

Dauer

Drei Tage