Incident Response Management in 6 Tagen
Advanced Persistent Threats begreifen und bekämpfen
Erstes deutschsprachiges Trainingsevent des Sans Instituts erfolgreich abgeschlossen
(21.01.16) - In Frankfurt konnte die erste deutschsprachige Trainingseinheit des Sans Instituts für IT-Forensik-Fachkräfte erfolgreich abgeschlossen werden. Vom 9. bis zum 14. November wurden Informationssicherheitsexperten im Community-Kurs FOR508 in den Bereichen Advanced Digital Forensics und Incident Response auf den neuesten Stand gebracht. Beim Kurs handelt es sich um die erste Trainingseinheit des Instituts, die nicht in englischer, sondern in deutscher Sprache abgehalten wurde. Zur Abgrenzung werden diese Events in einem kleineren Rahmen ausgerichtet und als Community-Event bezeichnet. Die sprachliche Erweiterung war möglich geworden, da die Angebote stärker nachgefragt werden und die ersten deutschsprachigen Ausbilder inzwischen das Sans Trainer-Curriculum erfolgreich durchlaufen haben.
Das steigende Interesse deutscher, österreichischer und schweizerischer Unternehmen an qualitativ hochwertigen Weiterbildungsangeboten für ihre Informationssicherheitsfachleute ist nur zu verständlich. Schließlich hat sich auch die Qualität der Angriffe auf deren Netzwerke im Laufe der letzten Jahre deutlich erhöht. Cyber-Kriminelle nutzen in wachsendem Maße ausgefeilte und intelligente Techniken und Taktiken, um in fremde Systeme einzutauchen und einzelne Informationen zu entwenden, oder um gleich ganze Unternehmen vollständig lahmzulegen.
Angreifer setzen immer intelligentere Schadsoftware ein, um geschäftskritische Daten zu entwenden oder IT-Systeme zu kompromittieren:Die sogenannten Advanced Persistent Threats (APTs). Noch vor wenigen Jahren eine absolute Ausnahme, stellen die APTs mittlerweile ein beliebtes Angriffsinstrument dar. Der Aufgabe, die IT-Sicherheitsabteilungen von Unternehmen und ihre Fachkräfte, die für den Schutz der Datensicherheit zuständig sind, auch im Bereich der APTs auf den neuesten Stand zu bringen, hat sich das Sans Institut verschrieben. Seine Expertise auf diesem Gebiet hat es erst vor kurzem mit dem Abschluss der Kurseinheit FOR508 erneut unter Beweis gestellt.
"Mir hat das erste deutschsprachige Training sehr viel Spaß gemacht. Das überaus positive Feedback unterstreicht, dass viele der Teilnehmer den Aufwand begrüßen, den wir hier betrieben haben. Als Trainer bin ich in der glücklichen Position, mein Wissen und meine Kenntnisse als Forensiker an genau die Kollegen weiterzureichen, die sich in diesem Feld weiterbilden möchten. Für mich ist das Training dann auch persönlich wichtig gewesen, denn wir alle verfolgen mit unserer Arbeit ein höheres Ziel: mehr Informationssicherheit und genauere forensische Analysen. Es wird Zeit, dass wir das Katz und Maus Spiel mit Kriminellen zu unseren Gunsten verändern," sagt der vom Sans Institut für den Kurs eingesetzte Community Instructor Mathias Fuchs. Fuchs ist bereits seit Jahren weltweit im Bereich der Informationssicherheit tätig. Derzeit arbeitet er als Berater für ein FireEye-Unternehmen im Bereich Incident Response.
Zu einem effektiven Incident Response Management in nur 6 Tagen
Die Veranstaltung wurde von Fuchs mit einer eintägigen Einführung in die aus sechs Arbeitsschritten bestehende Incident Response-Taktik des Sans Instituts begonnen. Den Teilnehmern wurde gezeigt, wie sie die Sicherheitssysteme ihrer Unternehmen intelligent aufbauen können, um bestmöglich auf einen erfolgreichen Angreifer vorbereitet zu sein. Die Studenten wurden hierzu in die Software F-Response Enterprise Edition eingearbeitet, die es ihnen ermöglicht, sich über die eigene Arbeitsstation oder diejenige des Sans Investigative Forensic Toolkit (SIFT) mit mehreren Systemen ihres Unternehmens gleichzeitig zu verbinden. So stehen ihnen alle Türen offen, wenn es darum geht, im gesamten Unternehmen nach Indikatoren für einen potentiellen Angreifer zu fahnden. In den folgenden Tagen stand dann der richtige Einsatz von Advanced Digital Forensics auf dem Stundenplan. Einen Tag lang gab Fuchs eine Einführung in die Methode der Memory Forensic.
Hierbei werden APTs über eine Analyse des Speichers aufgespürt. Fuchs stellte einige Gratis-Tools vor, mit deren Hilfe problemlos Speicheranalysen im Hinblick auf mögliche APT-Aktivitäten durchgeführt werden können. Am folgenden Tag wurde dann eine spezielle Möglichkeit, versteckte APTs aufzuspüren, in den Blick genommen: die Timeline Analysis. Fuchs zeigte, wie man Zeitangaben von Dateien – wie sie z.B. bei log files, network data, registry data, oder internet history files vorkommen – nutzen kann, um über eine Chronikanalyse potentielle APTs aufzuspüren.
Eine weitere Methode, besonders gut versteckten APTs auf die Schliche zu kommen, stellte Fuchs in seinem Beitrag zur Deep Dive Forensics vor. Fuchs zeigte den Teilnehmern, wie man Forensik-Tools, die für gewöhnlich selbstständig arbeiten, manuell bedienen und sinnvoll nach eigenen Schwerpunkten nachjustieren kann. Am fünften Tag wurde den Teilnehmern dann noch das gezielte Adversary and Malware Hunting vorgestellt. Diese Kurseinheit beschäftigte sich mit dem Aufspüren von bislang unbekannter Malware. Fuchs zeigte auf, dass auch gut getarnte APTs Spuren hinterlassen. Ist man auf solch eine Spur gestoßen, kann man mit dem richtigen Kenntnisstand ohne größere Probleme den dazugehörigen APT aufspüren.
Weitere Community-Events für 2016 geplant
Am sechsten und letzten Tag ging es darum, das in den vergangenen Tagen erworbene Wissen in einer APT Incident Response Challenge unter Beweis zu stellen. Das Aufspüren und Abwehren eines Angriffs auf ein typisches Unternehmensnetzwerk wurde unter realistischen Bedingungen auf einem Enterprise Intrusion Lab erprobt. Nun konnten die Kursteilnehmer in der Praxis demonstrieren, dass sie die in den vergangenen fünf Tagen erlernten Techniken und Taktiken beherrschen und auch mit einem überlegenen Angreifer problemlos fertig werden. Sie mussten selbstständig ermitteln, wo und wie der Gegner als Erstes zuschlug, welche Systeme er infizierte und herausfinden, welche Daten er entwendet hat. Nach dem großen Erfolg des ersten deutschsprachigen Trainings und der bereits vorhandenen Nachfrage nach weiteren Terminen war schnell klar, dass es bald neue Community-Kurstermine hierzulande geben wird. (Sans Institut: ra)
Sans-Institut: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.