Aktive IT-Sicherheit: Systeme härten, Bedrohungen modellieren, Angriffe erkennen und eindämmen

In diesem Workshop lernen Sie,

• wie Isolation, Segmentierung und das Prinzip der geringsten Berechtigung 0-Day- und 1-Day-Angriffe abwehren oder eindämmen können.

• wie Bedrohungsmodellierung hilft, potenzielle Bedrohungen und Schwachstellen zu identifizieren und proaktive Maßnahmen zu ergreifen.

• wie leistungsfähige Härtungstechnologien wie Linux LSMs, AppLocker, Egress-Filtering, Port-Täuschung und Microsofts Enterprise Access Model helfen, Ihre Systeme zu schützen.

• wie Sie mit einem Reverse-Graph-Walk-Ansatz potenzielle Sicherheitslücken identifizieren und die Strategien von Angreifern antizipieren.

• verbreitete Cybersicherheits-Anti-Patterns zu vermeiden, die Ihre Bemühungen untergraben.

In unserer Laborumgebung

• implementieren und optimieren Sie Regelwerke und Abfragen für Applocker, osquery, Bloodhound und AppArmor.

• setzen Sie Überwachungsmaßnahmen um, die mittels minimaler Alarmierung ohne große Logging- und SIEM-Infrastruktur funktionieren. Diese Maßnahmen umfassen die Erkennung und Alarmierung von RDP- und SSH-Angriffen sowie die Vorbereitung auf Angriffe auf Webanwendungen.

• lernen Sie die Grundlagen der Event-Analyse von Windows Logs und den Umgang mit Log-Management und SIEM-Systemen anhand von Elastic Search und Zimmerman-Tools kennen.

Inhalte

Eine systematische Härtung und Vorbereitung der Systeme sowie die Modellierung von Bedrohungen schützen Ihr Unternehmen vor Attacken aller Art – von der Ransomware bis zu fortschrittlichen APTs. Wenn trotzdem Angreifer in Ihr Netz eindringen, verhindert eine schnelle Reaktion Schlimmeres. In diesem Workshop erhalten Sie das nötige Wissen dazu.

Dazu vertiefen Sie Ihr Wissen in Bedrohungsmodellierung, sicherer Architektur, Windows- Event-Analyse, Täuschung, Sandboxing und Egress-Filterung in Windows-, Linux- und Cloud-Umgebungen wie M365 und AWS. Sie erhalten umfassendes Know-how zu privilegiertem Zugriff, Application Whitelisting und DFIR (Digital Forensics and Incident Response). Der Kurs gliedert sich in zwei Teile: Im ersten Teil geht es um präventive Maßnahmen, die Angriffe erschweren. Anschließend vertiefen wir die Themen Analyse sowie Forensik und Incident Response (DFIR).

Der Workshop deckt spezifische Angriffstechniken für Webapps, Linux und Windows, Authentifizierungsprozesse, Web- und Cloud-Sicherheit, Ransomware-Abwehr und den Schutz kritischer Infrastrukturen ab. In unserer Laborumgebung, die ein Unternehmensnetzwerk emuliert, können Sie die folgenden Methoden und Tools erproben: Thor Scanner, Velociraptor, Elastic Search, OsQuery, Apparmor, Fail2Ban, Envoy, Hayabusa, Sysmon, Applocker, Enterprise Access Modell, Sigma, Yara, Ping Castle, Purple Knight, Zimmerman Tools, Sysinternals, TokenTactics, Netlimiter.

Der Kurs besteht zu einem großen Teil aus praktischen Übungen und Experimenten. Die Kombination der praktischen Arbeit mit theoretischen Inhalten und der Diskussion zwischen den Teilnehmenden hilft, innovative Denkansätze für die Entwicklung nachhaltiger Verteidigungsstrategien zu fördern und ein breites, systemübergreifendes Know-how zur Vorbereitung auf und zur Analyse von Angriffen zu erwerben. Mit dem erworbenen Wissen schützen Sie nicht nur Ihr Unternehmen vor 0-Day- und 1-Day-Angriffen, sondern unterstützen auch die Einhaltung der Anforderungen von DSGVO und NIS2.

Themen in der Übersicht

• 1. Einführung

  • Compliance und Zertifizierungen

  • Commodity-Verteidigungen

  • Agilität und Ausgaben

  • Produkte und Technologien

• 2. Grundkonzepte

  • Grundprinzipien der Systemhärtung

  • Bedrohungsmodellierung

  • Denken in Graphen wie die Angreifer

  • Best Practices für Systemarchitekturen

  • Anti-Patterns in der IT-Security

  • Aktive Verteidigung

  • Täuschung

Fallstudien und Übungen

• 1. Web-Apps und Edge sichern

  • Absicherung von Enterprise Software im Edge

  • Baseline-Sicherheit mit BSI Grundschutz Kompendium und CIS-Benchmarks

  • Deep Dive: Apparmor von VMs und Containern

  • Fail2ban optimieren auf Betriebssystem und Anwendungsebene für Pre-Attack, Enumeration, Password-Spraying

  • Portknocking-Implementierung

  • Überwachung mit Auditd

  • Verteidigung gegen 0-Day- und 1-Day-Angriffe am Edge mit nftables

  • Leistungsfähige Egress-Beschränkungen mit HTTPS-Connect Proxy mit Envoy

  • Erkennung von Malware-Beaconing

• 2. Das Unternehmen absichern

  • Socks Pivoting erkennen mit Osquery

  • WMI-Überwachung mit Sysmon

  • Applocker-Härtung und Bypasses

  • ADCS-Härtung und Honeypot

  • AD-Audit-Beispiel mit Ping Castle / Purple Knight

  • Komplexe Cypher-Anfragen mit Bloodhound

  • Überwachung von RDP per Scheduled Task und WMI

  • Implementierung von PAW und Enterprise Access Model

  • Absicherung der Windows-Host-Firewall gegen Living-off-the-Land-Angriffe

  • VDI-PAW-Bypass mit exklusivem Metasploit-Key-Injection-Modul

  • Honeypots und Deception im Unternehmen per Cached Credentials, Domains, Dokumente

  • Smartphone bei Diebstahl automatisch sperren per angepasster Automatisierung

  • Verteidigung gegen Roasting

  • Erkennung Golden/Diamond/Silver/Bronze-Tickets

• 3. Poweruser und Administratoren absichern

  • Privilegierte Zugriffsarbeitsstationen für Windows

  • Privilegierte Zugriffsarbeitsstationen für Linux

  • Implementierung von PSPs wie LittleSnitch und Netlimiter

  • Jump-Hosts und Bastion-Hosts

  • Passwortmanager

  • CI/CD nach SLSA-Framework

• 4. Untersuchung und Incident Response

  • Analyse des Windows-Event-Log

  • Sysmon-Log-Analyse

  • Forensik mit Zimmermantools

  • Schnelle Eventlog-Analyse mit Hayabusa

  • DFIR mit Elastic Search

  • Big Data Enterprise-Untersuchung mit Velociraptor

  • Triage mit Thor-Scanner und Sysinternals

Zielgruppe

Dieser Kurs ist für IT-Fachkräfte konzipiert, die ihre Fähigkeiten im Härten von Systemen gegen 0-Day- und 1-Day-Schwachstellen und der aktiven Verteidigung vertiefen möchten. Dazu zählen Administratoren, (angehende) SOC-Operatoren und Sicherheitsbeauftragte.

Voraussetzungen

• Verständnis von Grundlagen der Cybersicherheit

• Grundlegende Kenntnisse von PowerShell, Python, Bash oder Javascript

• Erfahrung auf der Windows- oder Linux-Kommandozeile

• Gute Kenntnisse im Betrieb und Management von IT-Systemen

Hinweis: Das Kursmaterial ist ausschließlich auf Englisch verfügbar.

Durchführung

Jeder Teilnehmer arbeitet in einer bereitgestellten virtuellen Umgebung, auf die er über einen Web-Client zugreifen kann. Eine lokale Installation ist nicht erforderlich. Die Umgebung simuliert ein vollständiges Unternehmensnetzwerk mit Linux-, Windows- und BSD-Systemen. Enthalten sind Server, Clients, Firewalls, PDCs, Proxy, IPS, WAF, Endpoint Protection sowie mehrere Active-Directory-Forests.