Advanced Enterprise Incident Response

In diesem fünftägigen Kurs werden Mitarbeitern, die an vorderster Front auf Vorfälle reagieren, fortschrittliche Untersuchungstechniken vermittelt, mit denen sie Angriffsversuche durch staatliche, finanzielle und politische Bedrohungsgruppen erkennen und begrenzen können. 

Der Kurs umfasst eine Reihe von praktischen Übungen, mit denen die Teilnehmer die Grundlagen des Gelernten erforschen und erweitern können, indem sie Techniken direkt auf reale Szenarien anwenden. Die Teilnehmer lernen, wie sie fortgeschrittene Techniken identifizieren, erkennen und suchen, und dabei Verschleierung von Malware bekämpfen und Bedrohungssuchtechniken sowohl auf herkömmlichen Endpunkten als auch in der cloudbasierten Infrastruktur anwenden.

Der Kurs behandelt historische und aktuelle Angriffsszenarien sowie Techniken, die Cybersicherheitsteams während eines Angriffs einsetzen können, um mögliche Verluste für das Unternehmen zu minimieren.

Voraussetzungen: Teilnehmer sollten über hervorragende Kenntnisse bezüglich Computern und Betriebssystemen verfügen. Es werden die Grundlagen der Computerprogrammierung und Erfahrung mit Windows-Interna dringend empfohlen. Außerdem empfiehlt es sich, den Mandiant-Kurs „Windows Enterprise Incident Response“ und/oder „Linux Enterprise Incident Response“ zu absolvieren.

• Das ATT&CK-Framework als Grundlage für strategische Sicherheitsentscheidungen im Unternehmen nutzen
• Schritte des Incident-Response-Prozesses zusammenfassen
• Bestimmen, wie Sie Informationen zu Vorfällen effektiv an die Unternehmensleitung und andere Personen innerhalb Ihres Unternehmens kommunizieren
• Verständnis für die von Bedrohungsakteuren angewandten fortgeschrittenen Techniken nachweisen
• unkonventionelle Implantierungstechniken besprechen, die wir bei fortgeschrittenen APT-Angriffsakteuren beobachten, aber selten bei weniger ausgefeilten Gruppen
• Erkennen, wann Verschleierung verwendet wird
• Kurz zusammenfassen, was YARA ist und wie man eine YARA-Regel erstellt
• Layout einer gängigen Speicherstruktur und gängige Methoden für Speicherangriffe kennenlernen
• Vor- und Nachteile verschiedener Analysetools erläutern
• Überblick über die verfügbaren Beweisquellen geben sowie die Möglichkeiten zur Beweiserhebung, häufige Ermittlungsszenarien und verfügbare Tools für die Datenanalyse und -ermittlung
• Das unterschiedliche Tempo hervorheben, das im Umgang mit Live-Angreifern erforderlich ist, und die Auswirkungen auf die Organisation und Koordination des IR-Teams.

Dieser anspruchsvolle technische Kurs vermittelt praktische Erfahrung bei der Untersuchung gezielter Angriffe und den Analyseschritten, die zur Auswertung kompromittierter Systeme erforderlich sind. Die Inhalte und das Tempo sind für Schüler und Studenten gedacht, die etwas Erfahrung in den Bereichen Sicherheitsabläufe, Reaktionen auf Vorfälle, forensische Analysen, Analyse des Netzwerkverkehrs, Protokollanalyse, Sicherheitsbewertungen und Pentests oder sogar in den Bereichen Sicherheitsarchitektur und Systemverwaltung haben. Er eignet sich auch gut für Personen, die CIRT-/Incident-Response-Teams verwalten, oder für Rollen, die die Aufsicht über forensische Analysen und andere Untersuchungsaufgaben erfordern.

Präsenzkurs

5 Tage (Präsenzkurs)

Einen Computer mit Internetverbindung und einen modernen Browser (z. B. Google Chrome).