Aktive IT-Sicherheit: Systeme härten, Bedrohungen modellieren, Angriffe erkennen und eindämmen

Eine systematische Härtung und Vorbereitung von Systemen, sowie die Modellierung von Bedrohungen können Ihr Unternehmen vor Attacken aller Art schützen – von der Ransomware bis zu fortschrittlichen APTs. Dringen Angreifer trotzdem in Ihr Netzwerk, ist eine schnelle und bedachte Reaktion entscheidend, um den Schaden gering zu halten.

Nach der Teilnahme am zweitägigen Workshop können Sie:

• 0-Day- und 1-Day-Angriffe durch Isolation, Segmentierung und das Prinzip der geringsten Berechtigung abwehren oder eindämmen

• Bedrohungsmodellierung verwenden, um potenzielle Bedrohungen und Schwachstellen zu identifizieren und proaktive Maßnahmen zu ergreifen

• leistungsfähige Härtungstechnologien wie Linux LSMs, AppLocker, Egress-Filtering, Port-Täuschung und Microsofts Enterprise Access Model nutzen, um Ihre Systeme zu schützen

• mit dem Reverse-Graph-Walk-Ansatz potenzielle Sicherheitslücken identifizieren und die Strategien von Angreifern antizipieren

• verbreitete Cybersicherheits-Anti-Patterns zu vermeiden, die Ihre Bemühungen untergraben

Inhalte

Dieser praxisorientierte Workshop vermittelt Ihnen ein umfassendes Know-how zur Vorbereitung und Härtung Ihrer IT-Infrastruktur. Sie blicken auf spezifische Angriffstechniken für Webapps, Linux und Windows, Authentifizierungsprozesse, sowie Web- und Cloud-Sicherheit. Ebenfalls lernen Sie die Abwehr von Ransomware und den Schutz kritischer Infrastrukturen.

Konkret vertiefen Sie Ihr Wissen in Bedrohungsmodellierung, sicherer Architektur und der Windows- Event-Analyse. Ebenso blicken Sie auf Techniken wie Täuschung, Sandboxing und Egress-Filterung in Windows-, Linux- und Cloud-Umgebungen wie M365 und AWS. Weiterhin bekommen Sie ein umfassendes Know-how zu privilegiertem Zugriff, Application Whitelisting und Digital Forensics and Incident Response (DFIR).

Außerdem besteht der Workshop zu einem großen Teil aus praktischen Übungen und Experimenten. So können Sie in einer Laborumgebung, die ein Unternehmensnetzwerk emuliert, zahlreiche der neu erlernten Methoden und Tools eigenständig erproben. Die Kombination aus Theorie und Praxis hilft, innovative Denkansätze für die Entwicklung nachhaltiger Verteidigungsstrategien zu fördern und ein breites Wissen zur Vorbereitung auf und zur Analyse von Angriffen zu erwerben.

Themen in der Übersicht

• 1. Grundkonzepte der IT-Sicherheit kennenlernen

  • Compliance und Zertifizierungen überblicken

  • Commodity-Verteidigungen

  • Agilität und Ausgaben

  • Produkte und Technologien

  • Grundprinzipien der Systemhärtung verstehen

  • Bedrohungsmodellierung

  • wie Angreifer in Graphen denken

  • Best Practices für Systemarchitekturen nachvollziehen

  • Anti-Patterns in der IT-Security

  • aktive Verteidigung

  • Täuschung

• 2. Web-Apps und Edge effektiv sichern

  • Enterprise Software im Edge absichern

  • Baseline-Sicherheit mit BSI Grundschutz Kompendium und CIS-Benchmarks umsetzen

  • Deep Dive: Apparmor von VMs und Containern

  • Fail2ban optimieren auf Betriebssystem und Anwendungsebene für Pre-Attack, Enumeration, Password-Spraying

  • Portknocking-Implementierung

  • Überwachung mit Auditd

  • gegen 0-Day- und 1-Day-Angriffe am Edge mit nftables verteidigen

  • leistungsfähige Egress-Beschränkungen mit HTTPS-Connect Proxy mit Envoy

  • Malware-Beaconing erkennen

• 3. Infrastrukturen im Unternehmen absichern

  • Socks Pivoting mit Osquery erkennen

  • WMI-Überwachung mit Sysmon

  • Applocker-Härtung und Bypasses

  • ADCS-Härtung und Honeypot

  • AD-Audit-Beispiel mit Ping Castle / Purple Knight

  • komplexe Cypher-Anfragen mit Bloodhound

  • RDP per Scheduled Task und WMI überwachen

  • PAW und Enterprise Access Model implementieren

  • Windows-Host-Firewall gegen Living-off-the-Land-Angriffe absichern

  • VDI-PAW-Bypass mit exklusivem Metasploit-Key-Injection-Modul

  • Honeypots und Deception im Unternehmen per Cached Credentials, Domains, Dokumente aufbauen

  • Smartphone bei Diebstahl automatisch sperren per angepasster Automatisierung

  • gegen Roasting verteidigen

  • Golden/Diamond/Silver/Bronze-Tickets erkennen

• 4. Poweruser und Administratoren absichern

  • privilegierte Zugriffsarbeitsstationen für Windows einrichten

  • privilegierte Zugriffsarbeitsstationen für LinuxImplementierung von PSPs wie LittleSnitch und Netlimiter verwenden

  • Jump-Hosts und Bastion-Hosts

  • Passwortmanager

  • CI/CD nach SLSA-Framework

• 5. Untersuchung und Incident Response vornehmen

  • Windows-Event-Log analysieren

  • Sysmon-Log-Analyse

  • Forensik mit Zimmermantools durchführen

  • Eventlogs mit Hayabusa analysieren

  • DFIR mit Elastic Search umsetzen

  • Big Data Enterprise-Untersuchung mit Velociraptor

  • Triage mit Thor-Scanner und Sysinternals

Zielgruppe

• Systemadministratoren, SOC-Operatoren und IT-Sicherheitsbeauftragte, die ihre Systeme gegen 0-Day- und 1-Day-Schwachstellen härten und aktiv verteidigen möchten

Voraussetzungen

Vorkenntnisse

• Grundlagen der Cybersicherheit

• gute, sichere Kenntnisse im Betrieb und Management von IT-Systemen

• Basiswissen zu PowerShell, Bash, Python oder JavaScript

• Erfahrungen im Umgang mit der Kommandozeile unter Windows oder Linux

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten. Hinweis: Das Kursmaterial steht derzeit nur in englischer Sprache zur Verfügung.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premise-Connector erfolgt.

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 20 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.