Secu2: Incident Response

Alle Welt redet von „Cyberwar”, Industriespionage und Datenklau. Werden Angriffe bemerkt, ist es wichtig, überlegt und organisiert zu handeln. Deshalb bieten wir einen Workshop an, der eine Handlungsgrundlage bieten soll, auf IT-Sicherheitsvorfälle reagieren zu können. 

Themen

Grundsätzlicher Ablauf Incident Response

  • 5-Phasen-Modell
  • Was geht nur intern? Was ist auslagerbar?
  • Dos and Don’ts (Unbekannte Tools, „Blaming” etc.)

Vorbereitung: Incident Readiness

  • Grundsätzliche Tools
  • Personelle Vorbereitung („Know your tools, know your procedures“)
  • Organisatorische Vorbereitung (Meldeketten und Awareness)
  • Technische Vorbereitung - Analyse des bestehenden Netzwerks („Baselining“, Struktur etc.)

Angriffserkennung

  • Arbeitsweise von Hackern
  • Anti-Forensik-Maßnahmen und was man dennoch sieht
  • Warnungen von Dritten
  • IPS, SIEM etc.

Angriffsanalyse

  • Logdateien und Protokolle
  • Sicherheitstests und Malware-Analyse
  • Forensische Untersuchungen vs. Triage: Abwägung individueller Analysemethoden
  • Identifikation des Angriffsvektors

Abwehrmaßnahmen und Aufräumen

  • Die Wichtigkeit des Menschen beim Schutz von Systemen
  • Konzentration auf Bordmittel
  • Grenzen von IPS, SIEM, AV und Firewall

„Lessons Learned“ und organisatorische Strukturen

Angriffsmuster und Analyse beispielhafter Angriffe

  • „Kenne deinen Feind“
  • Phishing und klassische Internetkriminalität
  • Ausforschung und gezielte Angriffe
  • OpSec und das Zusammenspiel von IT- und anderer Sicherheit
  • Analyse beispielhafter Angriffe

Technische Voraussetzungen

Grundlegende Netzwerk- und Forensik- sowie Linux-Kenntnisse 

Dauer

Drei Tage