IT-Forensik – Hands-on

Zurück

Zielsetzung

Im Training wird die praktische Anwendung von Methoden, Techniken und Werkzeugen der IT-Forensik vermittelt. Die Teilnehmer werden befähigt, forensische Vorgehensweisen in ihrer Organisation zu etablieren und sammeln dazu unter Anleitung erfahrener Trainer Hands-on-Erfahrungen zu den folgenden Themen:

  • Erkennen von Anomalien und Vorfällen auf der Datenträgerebene und im Netzwerkverkehr,
  • Sicherung, Analyse und Wiederherstellung von persistenten Daten auf Datenträgern,
  • Sicherung und Analyse von flüchtigen Daten im Arbeitsspeicher,
  • Analyse von Log-Dateien und des Netzwerkverkehrs.

Anmelden

Hintergrundinformationen

Die Fälle von Computer- und Internetkriminalität nehmen weiterhin zu. 40% aller Unternehmen in Deutschland waren Umfragen zufolge in 2014 betroffen. Dabei sind es nicht nur externe Hacker, welche Schäden verursachen, sondern auch bestehende oder ehemalige Mitarbeiter. Besteht der Verdacht einer kriminellen Handlung, dann kommt es auf ein methodisches und sorgfältiges Vorgehen an: IT-Forensik bedeutet, den „digitalen Tatort“ abzusichern, so dass keine Spuren verwischt werden, und diese dann gerichtsverwertbar sicherzustellen und zu verwerten.

Dabei trägt die IT-Forensik nicht nur zur Schadenaufklärung und Identifikation des Täters bei, sondern unterstützt in der Ermittlung und Beseitigung von Schwachstellen in einer Organisation.

Zielgruppe

Das Training richtet sich an Computer Security Incident Response Teams (CSIRT), Security Operations Center (SOC) -Personal, Forensik-Analysten, IT-Administratoren, IT-Notfallmanager sowie Ermittler im polizeilichen Bereich.

Inhalte

1. Tag, 11:00-17:00 Uhr

Korrekte forensische Sicherung von flüchtigen und persistenten Daten

  • Vorbereitung auf einen Vorfall (Erstellung von Checklisten)
  • Dokumentation während eines Vorfalls
  • Anschluss und Verwendung von Write-Blockern
  • Sicherung nach dem Grad der Datenflüchtigkeit
  • Sicherung des Arbeitsspeichers (Windows/Linux)
  • Lokale Sicherung von Festplatten
  • Remote Sicherung von Festplatten
  • Erstellung von Prüfsummen für die Verifikation der Datenintegrität

Datenträgerforensik – Verstehen der Funktionsweise von Dateisystemen

  • Untersuchung und Interpretation wichtiger Datenstrukturen anhand eines NTFS Dateisystems
  • Wie werden Daten in einem NTFS-Dateisystem abgelegt?
  • Was passiert im Dateisystem, wenn Daten gelöscht/geändert werden?
  • Wie funktioniert die Wiederherstellung gelöschter Daten?

2. Tag, 08:30-17:00 Uhr

Datenträgerforensik – Analyse und Wiederherstellung persistenter Daten

  • Organisation der Beweismittel auf dem Analysesystem
  • Ermitteln der Struktur einer Festplatte
  • Einbinden von Festplatten-Abbildern
  • Automatisiertes ermitteln von Dateitypen
  • Analyse des Slack-Spaces
  • Umgang mit File-Carving Werkzeugen (Scalpel, Foremost)
  • Wiederherstellung gelöschter Daten durch File-Carving
  • Erstellung von File Carving Signaturen
  • Installation und Verwendung des Sleuth-Kits und Autopsy
  • Auswertung von Metadaten einer Datei (Sleuth Kit, Autopsy)
  • Wiederherstellung gelöschter Dateien (Sleuth Kit, Autopsy)
  • Durchführung einer Keyword-Suche (Sleuth Kit, Autopsy)

Arbeitsspeicherforensik – Analyse flüchtiger Daten

  • Installation und Verwendung von Volatility
  • Analyse laufender Prozesse
  • Analyse von Netzwerkaktivitäten
  • Identifikation von Malware 

3. Tag, 08:30-16:00 Uhr

Analyse von Log-Dateien

  • Aggregation von Log-Dateien
  • Filterung relevanter Events
  • Erkennung von Aktivitätsmustern
  • Trennung von normalen und verdächtigen Aktivitäten

Analyse von Netzwerkverkehr (pcap-Dateien)

  • Installation und Verwendung von Wireshark und tcpdump
  • Mitschneiden von Netzwerkverkehr
  • Identifizierung und Filterung von relevantem Netzwerkverkehr
  • Extraktion von Dateien aus Netzwerkmitschnitten

Netzwerkforensik Challenge

  • Die Kurs-Teilnehmer analysieren den Netzwerkmitschnitt eines Angriffs und versuchen einen vorgegebenen Fragenkatalog zu beantworten

Vergleich Open-Source-Werkzeuge vs. kommerzielle Werkzeuge

  • Überblick über kommerzielle Werkzeuge
  • Vorteile/Nachteile von Open Source-Werkzeugen und kommerziellen Werkzeugen

Voraussetzungen

Solide IT-Kenntnisse, insbesondere Netzwerk- und Linux Shell-Anwenderkenntnisse, werden ebenso wie theoretische Grundkenntnisse zur IT-Forensik (z.B. aus dem CSTC-Training „ IT-Forensik-Grundlagen“) vorausgesetzt.

Referenten

Peter Schulik

Peter Schulik ist Bereichsleiter für IT-Forensik an der Hochschule Augsburg, Forschungsgruppe IT Security und Forensik (HSASec). Er verfügt über langjährige Erfahrungen in den Bereichen IT-Sicherheit und IT-Forensik. Seine Tätigkeitsschwerpunkte sind forensische Analysen von Unternehmensnetzwerken und Systemen. Im Rahmen seiner Forschungstätigkeit an der Hochschule Augsburg entwickelt Herr Schulik neue Methoden und Techniken zur Analyse flüchtiger Daten.

Termine

Veranstaltungshinweise

Die Teilnehmer haben die Möglichkeit, ihr eigenes Notebook in den Hands-on-Sessions zu nutzen, um somit auf vertrauter Desktopumgebung zu arbeiten. Eine aktuelle Version des kostenlosen VMWare Players muss bereits installiert sein (Download unter: https://my.vmware.com/de/web/vmware/free#desktop_end_user_computing/vmware_player/7_0). Sie erhalten im Training eine virtuelle Maschine mit jeweils vorinstallierten Werkzeugen und Test-Images. Alternativ werden für die Teilnehmer entsprechende Notebooks für die Dauer des Trainings bereitgestellt. Bitte geben Sie bei der Anmeldung im Feld „Anmerkung“ an, ob Sie ein eigenes Notebook mitbringen oder ob wir ein Notebook bereitstellen sollen.

Preis

1.650,- Euro zzgl. MwSt.

Im Preis enthalten sind Trainingsunterlagen, Pausengetränke und Mittagessen.

Download

Download Training_IT-Forensik Hands-on

Ähnliche Trainings

Copyright ESG Elektroniksystem- und Logistik-GmbH 2018. All rights reserved.