IR1: Incident Response 1

Die Situation 

Freitag nachmittag, ein Systemadministrator loggt auf einem Server ein und bemerkt, dass dort eine ihm unbekannte Applikation geöffnet ist. Nach näherer Betrachtung handelt es sich um ein Scanning Tool das häufig von Angreifern eingesetzt wird. Nun gilt es schnell und richtig zu handeln. 

• Welche Systeme sind bereits betroffen? 
• Kann ich den Angreifer finden aus dem Netzwerk? 
• Ist es schlau, den betroffenen Server herunterzufahren oder sollen wir gleich den ganzen Standort vom Internet trennen, oder vielleicht sogar das ganze Unternehmen? 

Diese sind nur einige der Fragen die Mitarbeitern und Führungskräften in dieser Situation durch den Kopf gehen. In diesem Workshop lernen sie am praktischen Beispiel wie sie richtig reagieren und so den Schaden für Ihr Unternehmen minimieren. Es gibt einige Wege der Situation richtig zu begegnen, bedauerlicherweise aber viel mehr die Situation zum Eskalieren zu bringen. 

Lernen am echten Objekt

Aktive Angriffe auf IT Infrastruktur sind sehr dynamisch. Wir sind daher überzeugt, dass der beste Weg zum erlernen notwendiger Fähigkeiten eine Live Range ist. Wir haben für Sie ein echtes Unternehmensnetzwerk mit über hundert Rechnern vorbereitet. Dieses wird live von einem erfahrenen Penetration Tester gehackt. Das bedeutet auch, dass auf Ihre Maßnahmen in Echtzeit reagiert wird. So stellen wir sicher, dass Sie wenn sie mit einem echten Vorfall in Ihrem Unternehmen konfrontiert sind richtig und schnell reagieren können und sich alles "vertraut" anfühlt. 

Was sie mitnehmen

• Cutting Edge Techniken und Tools  zur Bewältigung von Sicherheitsvorfällen verstehen
• Forensik VM mit allen wichtigen Tool
• USB Notfall Stick
• Dokumentationswerkzeug für Sicherheitsvorfälle
  
  

Trainer

Der Workshop wird von erfahrenen Penetration Testern und Incident Respondern gemeinsam durchgeführt. Das stellt sicher, dass Sie auch die Angreifer Seite verstehen lernen.

Mathias FUCHS / VP Investigation and Intelligence | Infoguard AG

David WINKLER / Ethical Hacker und CEO | Strong-IT GmbH

Seminar-Preis 

wird für eine verbindliche Anmeldung nach der Registrierung in Rechnung gestellt Kosten: 3.900 EUR / 3.500 EUR (Early Bird bis zum 31.12.2023) exkl. MwSt.

Agenda

Tag 1

Wie arbeiten Hacker
- Angriffsvektoren in Firmennetze
- Mögliche Persistenzen
- Laterale Ausbreitung der Hacker im Netz
- Tools und Protokolle der der Trojaner (C2)

Grundlagen Forensik und Incident Response (IR)
- Ziele beim IR
- Management & Ressourcen im Incident
- Herstellung von Sichtbarkeit (Visibility) der Angreifer im Netz
- Dokumentation eines Incidents
- Fallbeispiele aus realen Fällen


Start in den Fall
- Story
- Einführung in die forensische Workstation
- Triage oder Full Image ziehen?
- Log-Analyse (Woher kam der Angreifer)


Tag 2:

- Evidence of Execution
- Evidence of Access
- Dateisysteme & Zeitstempel
- Supertimeline Grundlagen
- Supertimelining P0

Tag 3:

EDR-Tools vs. IR-Agent
- Einführung in Velociraptor
- Hunting - Jagen der Angreifer im Netz
- Live Response - Richtige Reaktion auf Incidents

Monitoring von gesäuberten Netzen
- Lateral Movement erkennen und verfolgen (RDP, PS, WMI, SMB)
- Angreifer Verhalten über tausende Systeme analysieren
- Exfiltrationen nachvollziehen

Tag 4:

- Malware Triage - Die Quick Wins
- Lösen Sie ihren ersten Fall (Teamsarbeit mit Preisverleihung)

Tag 5 (halbtag):

- Erklärung Fall & Unser Vorgehen
- Mögliche Remediation
- Präventive Vorbereitung & Schutzmaßnahmen ​