Security Incident Management (CAS SIM)

Transkript

1 Certificate of Advanced Studies Security Incident Management (CAS SIM) Die Angriffe aus dem Internet werden täglich zahlreicher und raffinierter. Unternehmen müssen bei sicherheitsrelevanten Vorfällen immer schneller und präziser reagieren. In CAS Security Incident Management (CAS SIM) lernen Sie, professionell, zielgerichtet und methodisch gegen Angriffe vorzugehen.

2 Zielpublikum Das CAS SIM richtet sich an IT-Fachkräfte, die in einem entsprechend spezialisierten Team oder im Security-, Netzwerk- oder System-Umfeld eine operative Security-Tätigkeit wahrnehmen. Voraussetzungen Die Teilnehmenden besitzen gute Kenntnisse der Internet-Protokolle und beherrschen mindestens eine Skript- und/oder eine Programmiersprache. Sie gehen effizient mit Linux und Windows-Systemen um. Projekterfahrungen in den Bereichen IT-Infrastruktur, Netzwerk-Architektur oder IT-Security sind erwünscht. Die Teilnehmenden bringen IT-Vorkenntnisse im Rahmen einer Informatik- oder Wirtschaftsinformatik- Ausbildung mit. Insbesondere sind Erfahrungen in der Mitarbeit und Umsetzung von Informatikprojekten erforderlich. Für das Studium der Fachliteratur und Kursunterlagen werden Englisch-Kenntnisse vorausgesetzt. Ausbildungsziele Sie können bei Sicherheitszwischenfällen schnell die richtigen Massnahmen ergreifen und lassen dabei gewonnene Erkenntnisse in die Verbesserung Ihrer IT-Sicherheit einfliessen. Sie können kompetent in einem Computer Security Incident Response Team oder Computer Emergency Response Team mitarbeiten. Kompetenzprofil Kompetenzstufen 1. Kenntnisse/Wissen 2. Verstehen 3. Anwenden 4. Analyse 5. Synthese 6. Beurteilung Termine, Anmeldung und Durchführungsort Kursstart Kalenderwoche 43. Anmeldeschluss Ende Kalenderwoche 40. Das CAS dauert ein Semester und findet an einem Tag pro Woche von 08:30h bis 16:15h und an einzelnen Montagabenden von 16:30h bis 19:45h statt. Berner Fachhochschule, Weiterbildung, Wankdorffeldstrasse 102, 3014 Bern, Telefon ,

3 Inhaltsverzeichnis 1 Umfeld 4 2 Zielpublikum 4 3 Voraussetzungen 4 4 Ausbildungsziele 5 5 Kursübersicht 5 6 Kompetenzprofil 6 7 Kursbeschreibungen Bedrohung und Operational Security Prävention Detektion Analyse Reaktion Workshop Projektarbeit Zielsetzung und Thema Ablauf Ergebnis und Bewertung 18 8 Kompetenznachweise 19 9 Ergänzende Lehrmittel Dozierende Organisation Termine 21

4 Die Angriffe aus dem Internet werden täglich zahlreicher und raffinierter. Unternehmen müssen bei sicherheitsrelevanten Vorfällen immer schneller und präziser reagieren. In CAS Security Incident Management (CAS SIM) lernen Sie, professionell, zielgerichtet und methodisch gegen Angriffe vorzugehen. 1 Umfeld In der heutigen IT-Landschaft lassen sich Sicherheitszwischenfälle nicht vollständig vermeiden. Je früher ein Vorfall erkannt und je schneller er behoben wird, umso geringer ist der entstandene Schaden. Das CAS SIM setzt den Fokus auf das Erkennen von sicherheitsrelevanten Ereignissen sowie eine rasche und zielgerichtete Reaktion. Es ergänzt die CAS Networking & Security und IT Security Management, welche die präventive Seite beleuchten. Alle drei CAS zusammen ergeben eine hervorragende Ausgangslage für den erfolgreichen Abschluss des MAS Information Technology mit Vertiefung in Cyber Security. Cyber Security 2 Zielpublikum Das CAS SIM richtet sich an IT-Fachkräfte, die in einem entsprechend spezialisierten Team oder im Security-, Netzwerk- oder System-Umfeld eine operative Security-Tätigkeit wahrnehmen. 3 Voraussetzungen Die Teilnehmenden besitzen gute Kenntnisse der Internet-Protokolle und beherrschen mindestens eine Skript- und/oder eine Programmiersprache. Sie gehen effizient mit Linux und Windows-Systemen um. Projekterfahrungen in den Bereichen IT-Infrastruktur, Netzwerk-Architektur oder IT-Security sind erwünscht. Die Teilnehmenden bringen IT-Vorkenntnisse im Rahmen einer Informatik- oder Wirtschaftsinformatik- Ausbildung mit. Insbesondere sind Erfahrungen in der Mitarbeit und Umsetzung von Informatikprojekten erforderlich. Für das Studium der Fachliteratur und Kursunterlagen werden Englisch-Kenntnisse vorausgesetzt. Study Guide CAS SIM 4/22

5 4 Ausbildungsziele Sie können bei Sicherheitszwischenfällen schnell die richtigen Massnahmen ergreifen und lassen dabei gewonnene Erkenntnisse in die Verbesserung Ihrer IT-Sicherheit einfliessen. Sie können kompetent in einem Computer Security Incident Response Team oder Computer Emergency Response Team mitarbeiten. 5 Kursübersicht Kurs / Lehreinheit Lektionen Stunden Dozierende Bedrohung, Operational Security 12 Reto Inversini, Endre Bangerter, Mauro Vignati Prävention 32 Adrian Leuenberger, Reto Inversini, Eduard Blenkers Detektion 28 Reto Inversini, Heino Kronenberg, Manuel Schilt Analyse 48 Eduard Blenkers, Adrian Leuenberger, Marco Gfeller Andreas Greulich Reaktion 20 Anton Brunner, Adrian Leuenberger, Reto Inversini Workshop 8 Stefan Egger, Heino Kronenberg Organisation und Meilensteine Semesterarbeit 12 alle Semester-/Projektarbeit ~ 90 alle Total 160 ~ 90 Das CAS umfasst insgesamt 12 ECTS Punkte. Für die einzelnen Kurse ist entsprechend Zeit für Selbststudium, Prüfungsvorbereitung etc. einzurechnen. Das CAS ist Teil des «Master of Advanced Studies in Information Technology» der Berner Fachhochschule und ist Teil der Cyber Security Vertiefung. Study Guide CAS SIM 5/22

6 6 Kompetenzprofil Intrusion Detection Prevention Malware Analyse Netzwerk Analyse System und Operational Security Organisation und Risikomanagement Reverse Engineering Penetration Testing Forensic Legende: Voraussetzungen Ausbildungsziele 1. Kenntnisse von Begriffen, Definitionen und Regeln; Faktenwissen 2. Verstehen von Zusammenhängen, Erklären von Sachverhalte erklären können 3. Anwendung des Wissens in einfachen Situationen 4. Analyse der eigenen Lösung 5. Synthese neuer Lösungen und Anwendung in komplexen Situationen 6. Beurteilung der Anwendbarkeit für bestimmte Probleme und Situationen, methodische Abwägung und Evaluation von Alternativen, Beziehungen zu anderen Fachgebieten Study Guide CAS SIM 6/22

7 7 Kursbeschreibungen Dieser Study Guide beschreibt Ziele, Inhalte und Organisation des Lehrgangs. Änderungen, insbesondere bezüglich des Inhalts, sind bis zu Beginn des Lehrgangs jederzeit möglich. Angaben zu Terminen und Kompetenznachweisen sind ab Studienbeginn verbindlich. Der Begriff Kurs schliesst alle Veranstaltungstypen ein, er ist ein zusammenfassender Begriff für verschiedene Veranstaltungstypen wie Vorlesung, Lehrveranstaltung, Fallstudie, Living Case, Fach, Studienreise, Semesterarbeiten usw. 7.1 Bedrohung und Operational Security Kursbeschreibung Allgemein Lernziele Im Einführungsblock wird eine Übersicht über die aktuelle Bedrohungslage vermittelt. Im Weiteren werden die grundlegenden Arbeitstechniken behandelt und gelernt wie sich die Studierenden selbst schützen, um bei ihrer Arbeit das Risiko möglichst tief zu halten. Grundlegende, für dieses CAS wichtige Basiskenntnisse, werden mit einem kurzen Überblick und einigen Kontroll-Fragen zusammengefasst. Ableiten aus: Einführung Bedrohung Typisierung der Bedrohung Operational Security Background (bereits vorhandenes Wissen auffrischen): Sniffing TCP/IP Protokollfamilie BS-Theorie Grundlagen für das Reverse Engineering X86 Assembler Shell-Skriptprogrammierung Erfahrung, wie in grossen Datensammlungen relevantes durch geschicktes Filtern schnell gefunden werden kann Study Guide CAS SIM 7/22

8 Kursbeschreibung Themen Einführung und Bedrohungslage: Bedrohungen durch Cybercrime und staatlich geführte Cyberangriffe Überlegungen zur Ethik Schutz der eigenen Identität, Umgang mit Social Networks Schutz der eigenen Arbeitsmittel (Anonymisierung, verschlüsselte Kanäle) Typisierung der Bedrohungen: Malware-Techniken Akteure und ihre Werkzeuge Typisierung von Malware (Trojaner, Würmer, Backdoors, Rootkits) Grundlagenwissen TCP/IP (Auffrischung im Selbststudium): Online-Aufzeichnen und (Offline) analysieren von Datenströmen, mit Spez. HW und SW auf Interlinks oder zwischen Server und Core-Netz SW-Analyzer und dedizierte HW-Analyzer (Wireshark, Fluke, JDSU) Sniffing und Protokollanalyzer, Eigenschaften, Grenzen und Möglichkeiten In-Line und Off-Line Protokollanalyse TAP, Mirror-Port oder Repeater Filtermöglichkeiten, Filterregeln und HW-Filter, SW-Filter, Display-Filter Statistiken, Auswertungen und Aussagen Protokollanalyse Grundlagenwissen Betriebssystem-Theorie (Auffrischung im Selbststudium): Aufbau eines Betriebssystems Prozess Management Memory Management Inter Process Communication Interrupts und die Kommunikation mit der Peripherie Grundlagenwissen Bash / Regular Expressions (Auffrischung im Selbststudium): Grundlagen der Programmierung in der Bash Theorie der Regular Expressions Anwendung von Regular Expressions in der Bash Grundlagenwissen für das Reverse Engineering Grundkenntnisse x86-assembler Vorkenntnisse Perl, Python, PHP oder eine andere Skript-Sprachen. Vertrautheit mit regulären Ausdrücken RegEx Grundlagenwissen: Internet-Protokolle, Betriebssysteme, Programmierung Lehrmittel Skript / kommentiertes Folienset Videos: Training: Network Analyzer - Wireline Protocol Test: Literaturempfehlungen: (siehe [1], [2]) 7.2 Prävention Study Guide CAS SIM 8/22

9 Kursbeschreibung Allgemein Nur minimal oder schlecht geschützte Infrastrukturen sind unabhängig von den darauf verarbeiteten Daten ein lohnenswertes Ziel für Missbrauch. Systeme sind daher gegen direkte und indirekte Angriffe zu schützen, sprich zu härten. Die Effektivität der Massnahmen kann beispielsweise mittels geeigneten Penetration Testing auf verschiedenen Ebenen geprüft werden. Aber auch gehärtete Systeme sind nie perfekt geschützt und neu gewonnenen Erkenntnissen müssen ständig in die implementierten Sicherheitsmassnahmen einfliessen. Lernziele Vulnerability- und Patch Management: Kenntnis über verschiedenen Arten von Schwachstellen, deren Einordnung und die entsprechenden Massnahmen zum Schutz von Infrastruktur und Systemen. Die Studierenden wissen, wo sie Informationen zu Schwachstellen beschaffen. Sie können für das eigene Unternehmen beurteilen, in welchem Zeitraum ein Patch eingespielt werden muss. Malware und Spam/Phishing-Protection: Möglichkeiten zum Schutz von Infrastruktur und Mitarbeitenden vor Malware und Spam kennenlernen. Aufzeigen, wie eine Malwareschutz Strategie mit verschiedenen Schutzringen die Grundlage für einen effizienten und effektiven Schutz legt. Kennenlernen der einzelnen Technologien, die den Schutz vor Malware und Spam ermöglichen. System Hardening: Serversysteme so aufbauen und konfigurieren, dass sie eine möglichst geringe Angriffsfläche bieten. Der Kurs ist zweigeteilt, der eine Teil behandelt das Hardening von Windows Servern, der andere Teil von Linux Systemen. Penetration Testing: Die Studierenden können ihre Systeme und Anwendungen auf Verwundbarkeiten hin testen. Sie wissen, mit welchen Arbeitsinstrumenten gearbeitet werden kann und kennen die nötigen Prozesse im Betrieb, um dies störungsfrei durchzuführen. Themen Vulnerability und Patch Management und die notwendigen Prozesse: Microsoft Windows vs. Unix Klassifizierung von Schwachstellen Informationsquellen Issue- und Vulnerability-Tracking Patch-Cycles, Testing und zeitliche Aspekte Grenzen des Vulnerability- und Patch Managements Malware und Spam-Protection: Übersicht über die verschiedenen Möglichkeiten sich vor Malware und Spam zu schützen Malwareschutz Strategien und Konzepte Kenntnis über die Grenzen des Schutzes Von dem klassischen, signaturbasierten Scanner zu einem verteilten Ansatz mit verschiedenen Schutzelementen Malware- und Virenscanner Detektionsmöglichkeiten Study Guide CAS SIM 9/22

10 Kursbeschreibung Themen Penetration Testing: Einordnung der Tests anhand der OSI-Layer 2-7 und Übersicht über die Tools (Portscanner, Vulnerability Scanner, Webapplication Scanner, unterstützende Hilfsmittel) Penetration Testing Standards (PTES, OSSTMM, OWASP, etc.) Vorbereitende Vorsichtsmassnahmen und Massnahmen für den Fall dass etwas schief geht Einsatz von Penetration Testing Frameworks (Metasploit & Co.) Portscanning (nmap, etc.) Vulnerability Scanning (nessus, etc.) Webapplication Scanning und manuelle Tests mittels Reverse Proxies (Webinspect, ZAP, w3af, skipfish, etc.) Was will ich / was erhalte ich / was mache ich daraus Grenzen des Penetration Testings Generelle Schutzmassnahmen auf Ebene Prozessor und Betriebssystem: Never execute Bit (NX bit) ASLR (Address Space Layout Randomization) DEP (Data Execution Prevention) Härtungsmassnahmen für Unix Systeme am Beispiel von Linux: Generelles zu Unix Konzepten und Infrastrukturen Unix Hardening Guides Logging Partitionierung und Diskchiffrierung Härtung von Kernel und Netzwerkstack Authentisierung und Autorisierung Reduktion der Angriffsfläche durch Einschränken von Diensten Mandatory Access Control am Beispiel von AppArmor Logging Integritätsprüfung Sichere Remote Administration mit SSH Life Cycle Management Härtungsmassnahmen für Windows Systeme: Generelles zu Microsoft Konzepten und Infrastrukturen Windows Hardening Guides Benutzerverwaltung und Authentisierung Reduktion der Angriffsfläche durch Einschränken von Diensten Microsoft Active Directory, Security Templates und GPOs Tools zur Absicherung eines Windows Systems Microsoft Applocker MS Best Practice Analyzer / Microsoft Baseline Security Analyzer Lokale Firewall und Virenscanner Microsoft BitLocker Sichere Remote Administration (RDP, etc.) Logging Lehrmittel Skript / kommentiertes Folienset Literaturempfehlungen: (siehe [1], [2]) Study Guide CAS SIM 10/22

11 7.3 Detektion Kursbeschreibung Allgemein Die Studierenden lernen, wie Angriffe auf Netzwerk- und auf Systemebene erkannt werden können. Sie können automatisierte von gezielten Angriffen unterscheiden und kennen die wichtigsten Werkzeuge um Angriffe zu erkennen und abzuwehren. Lernziele Logfile Analyse: Vorstellen der Konzepte zu einer zentralisierten Logsammlung. Erkennen von Angriffsmustern in Logdaten. Kennenlernen der Tools auf der Command Line für das effiziente Suchen in Logdaten. Arbeiten mit Splunk als Tool zur Sammlung und Verarbeitung von Logdaten. Network Intrusion Detection: Kennenlernen der verschiedenen Konzepte für die netzwerkbasierte Intrusion Detection. Erkennen von Angriffsmustern auf Netzwerkebene. Aufbau, Konfiguration und Einsatz von einem NIDS auf der Basis von Snort. Host Intrusion Detection: Kennenlernen der Komponenten eines Host Intrusion Detection Systems (Integritätsprüfung und Verhaltenserkennung). Kennenlernen eines Host Intrusion Prevention Systems für Endgeräte. Intelligence: Kennenlernen der wichtigsten Technologien (passivedns, passivessl, Malware Information Sharing Platform) und Quellen (Virustotal, PassiveTotal, Shodan, Spamhaus). Arbeiten und Einbinden von Threatfeeds in die Detektionsinfrastruktur. Themen Logfile Analyse: Zentralisierung von Logs mit Hilfe von Syslog Logfile-Analyse auf der Commandline Pattern Matching Korrelationen Einsatz von Splunk zur Logfile Analyse Study Guide CAS SIM 11/22

12 Kursbeschreibung Themen Network Intrusion Detection Systeme (NIDS): NIDS Typen Architektur eines NIDS Konfiguration von Snort Schreiben von Snort Rules Arbeiten mit Snort Analyse von pcaps und Generieren von Snort Rules Praktische Übung am Beispiel von extremerat und ZeuS pcaps Andere NIDS (Suricata, Bro) Zusätzliche Elemente wie passivedns und passivessl Host Intrusion Detection: Konzept der Host basierten Intrusion Detection Elemente einer Hostbasierten Intrusion Detection auf Server Systemen Integrity Checking Systeme als einzige Möglichkeit, die Unversehrtheit eines Systems nachzuweisen Hostbasierte Analyse und Erkennung am Beispiel von OSSEC Verhaltensbasierte Intrusion Detection auf Endgeräten mit Hilfe eines HIPS (Host Intrusion Prevention System) Kochbuchrezepte für die Angriffserkennung: Angriffserkennung mit Hilfe eines Honeypots Nachverfolgen eines Angreifers anhand kleiner Spuren wie z.b. Spracheinstellungen im User Agent String des Browser. Fraud Detection Sammeln und Verarbeiten von Netzwerk basierten Intelligence Informationen Lehrmittel Skript / kommentiertes Folienset Literaturempfehlungen: (siehe [1], [2]) Study Guide CAS SIM 12/22

13 7.4 Analyse Kursbeschreibung Allgemein Malware ist nach wie vor eine der grössten Bedrohungen für eine Firma, insbesondere, wenn Malware im Kontext von gezielten Angriffen eingesetzt wird. Um den Impact eines Security Incidents mit Malware einschätzen zu können und um Gegenmassnahmen zu bestimmen, muss der CSIRT Mitarbeiter die gefundene Malware verstehen und analysieren können. Es gibt jedoch Situationen, bei denen mit Hilfe von dynamischer Analyse keine Informationen gewonnen werden können, z.b. weil die Malware nur auf bestimmten Geräten startet. In diesem Fall muss der Code mittels Reverse Engineering statisch analysiert werden. Lernziele Disk-Forensik: Einführung in die Funktionsweise von Festplatten und Dateisystemen, sowie die Datenträgerforensik (Disk, Flash und SSD Speicher). Die Teilnehmende erlernen und benutzen die Grundtechniken der Disk-Forensik im Kontext der Malware und Intrusion Analyse. Memory Forensik: Die Teilnehmende erlernen die Grundlagen der Memory Forensik und sind in der Lage diese Zwecks Detektion und Analyse von Malware einzusetzen. Dynamische Malware Analyse: Die Studierenden lernen die verschiedenen Malware Typen kennen und können diese, mittels der erlernten Techniken, auf bestimmte Merkmale hin analysieren. Script/Dokument Analyse: Einführung in obfuskierte Java Scripts, Office Dokumente mit obfuskierten Makros und PDF Dokumente mit maliziösen Inhalten. Die Studierenden lernen verschiedene Tools kennen und anwenden, welche beim analysieren und deobfuskieren solcher Dokumente von Nutzen sind. Reverse Engineering: Die Studierenden erhalten einen Einblick ins Reverse Engineering von Malware mit Hilfe von Debugger und Disassembler. Study Guide CAS SIM 13/22

14 Kursbeschreibung Themen Disk-Forensik: Akquisition und Analyse eines Datenträgers Erstellen von Zeitlinien über angelegte, geänderte und gelöschte Dateien Suche von systemspezifischen Artefakten Carving von gelöschten Dateien Memory Forensik: Grundlagen des Memory Aufbaus und dessen Inhalten Memory Akquisition und Analyse Techniken und deren Anwendungsbereiche Analysetools wie Volatility und Redline Systemanalyse und Detektion von Anomalien mittels Memory Forensik Dynamische Malware Analyse: Dynamische Analyse mit verschiedenen Tools Analysieren von Malwaretraffic Aufbau und Kommunikation von Bot Netzen Verhaltensbasierte Analyse Script/Dokument Analyse: Analysieren/Deobfuskieren von Java Scripts von Hand Analysieren/Deobfuskieren von Java Scripts mit verschiedenen Tools (Debugger/Interpreter) Analyse von Office Dokumenten mit maliziösen Inhalten Analyse von PDF Dokumenten mit maliziösen Inhalten Reverse Engineering: Assemblergrundlagen x86, 32Bit (nur Kurzrepetition) Architektur x86 (Register, Memory Management, etc) Statische und dynamische Codeanalyse Aufbau eines Windows EXE-Files (PE Format) Arbeiten mit Disassemblern (IDA Pro 5.0, Free Edition) Arbeiten mit Debuggern (OllyDbg und optional Immunity Debugger) Grundlagen Windows API (Funktionen und Datenstrukturen) Umgang mit Packern und Code-Obfuskierung Scripting in IDA (Python) Durchführung verschiedener konkreter Malwareanalysen mittels der oben genannten Techniken Vorkenntnisse Umfassendes Systemkenntnisse (Grundlagen der Computerarchitektur, Betriebssystemen, etc.) sowie gängiger Netzwerktechnologien und Protokolle. Python, Grundkenntnisse C. Grundkenntnisse 32Bit x86 Assembler (siehe [6]), MASM-Syntax (Intel), ohne Extensions (Floating-Point, MMX, SSE, etc) Lehrmittel Skript / kommentiertes Folienset Literaturempfehlungen: (siehe [3], [4], [5], [6]) Study Guide CAS SIM 14/22

15 7.5 Reaktion Kursbeschreibung Allgemein Wird durch den Einsatz von entsprechenden Systemen und Werkzeugen ein Security Incident erkannt, muss darauf korrekt reagiert werden. Aus technischer Sicht ist es wichtig, zu entscheiden welche Massnahmen getroffen werden. Macht es Sinn ein System sofort vom Netzwerk zu trennen oder soll man das infizierte System noch weiterlaufen lassen? Solche und ähnliche Fragen müssen im Falle eines Security Incidents oft unter hohem Zeitdruck beantwortet werden. Aus organisatorischer Sicht muss die zeitgerechte Kommunikation mit den richtigen Stellen intern wie extern sichergestellt werden. Zudem müssen die vorgängig definierten Rollen bei der Reaktion auf einen Incident aktiviert und eingebunden werden. Um ähnliche Incidents zukünftig zu verhindern, müssen die Lehren daraus gezogen werden. Nur so lässt sich das Risiko einer Wiederholung minimieren. Lernziele Technische Reaktion: Die Studierenden kennen die möglichen technischen Reaktionen (z.b. Tracking, Blocking, Sinkholing) auf einen Incident und erhalten die Grundlagen sich für eine Reaktion zu entscheiden Organisatorische Reaktion: Die Studierenden kennen die Prozesse, welche für den reibungslosen Betrieb eines CSIRT/CERT notwendig sind. Sie wissen wer im Falle eines Incidents beigezogen und mit wem kommuniziert werden muss. Sie besitzen die Grundlagen um die Lehren aus einem Incident zu ziehen und damit das Risiko einer Wiederholung zu minimieren. IT Risikomanagement: Sie kennen die Schnittstelle zum IT-Risikomanagement und können dieses mit aktuellen Bedrohungsszenarien versorgen. Auf der Basis von erkannten Risiken wissen die Studierenden wie sie ihre Detektions- und Abwehrmassnahmen verbessern können. Themen Reaktion auf einen Incident Tracking Blocking Take-Down Sinkholing Mitigation Entscheidungsfindung während eines Incidents Kommunikation im Incidentfall Rollen & Verantwortlichkeiten Organisatorische Schnittstellen Risikomanagement Vorbereitung auf einen Incident Zeitlicher Ablauf eines Incidents After Action Review Feedback in die Incident Prävention Incident Management in der Praxis Lehrmittel Skript / Folienset Literaturempfehlung: (siehe [7]) Study Guide CAS SIM 15/22

16 7.6 Workshop Kursbeschreibung Allgemein Lernziele Workshop mit MELANI und CSIRT des BIT. Die Studierenden erhalten anhand von kleinen Aufgaben, die Möglichkeit den gelernten Stoff anzuwenden. Der Student wird dabei anhand eines Fragebogens durch die verschiedenen Teilaufgaben geführt. Themen Basiswissen Linux Basiswissen Windows Grundlagen Memory Forensik Netzwerk Analysen Mail Clients und deren Artefakte Passwort Cracken Schwachstellen Untersuchungen von Binaries Lehrmittel Die im Kurs abgegebenen Skripte Ein "Spickzettel" für die wichtigsten Tools Live-CD / VMware Image mit der Testumgebung "Google is your Friend" Study Guide CAS SIM 16/22

17 7.7 Projektarbeit Die Projektarbeiten sind Einzel- oder Gruppen-Arbeiten aus dem Arbeitsumfeld der Studierenden. Gruppenarbeiten sind wo immer möglich erwünscht und je nach Rahmenbedingungen meist von Vorteil. Der nominelle Aufwand liegt bei 90 Arbeitsstunden pro Gruppenmitglied, kann je nach Vorbereitungsphase und Komplexität der Aufgabenstellung aber auch leicht höher sein. Falls aus Sicht des Auftraggebers notwendig, können Semesterprojekte vertraulich behandelt werden. Massgebend für die Rahmenbedingungen ist das Studienreglement. Die Vertraulichkeit darf den didaktischen Rahmen nicht behindern: Präsentationen und Diskussionen über das gewählte Thema müssen im Rahmen der Klasse möglich sein Zielsetzung und Thema In der Semesterarbeit bearbeiten die Teilnehmende ein Projekt (ev. Teilprojekt) oder eine Fragestellung aus ihrer Firma. Mit dem gewählten Thema vertiefen die Studierenden die im Studium erlernten Methoden und lernen es in der Praxis anzuwenden. Themen von Semesterarbeiten können beispielsweise sein: Analyse eines Sicherheitsrelevanten Vorfalls im eigenen Betrieb Untersuchung und Nachstellung neuer Angriffsmethoden Vorfälle oder Projekte der Dozierenden Ablauf Die Semesterarbeit beinhaltet die folgenden Meilensteine (siehe auch Zeitplan): 1. In der Firma ein Thema suchen und finden, sowie einen Ansprechpartner/Betreuer in der Firma definieren. 2. Erstellen einer Projektskizze. Anschliessend Eingabe an die Schule. 3. Die Projektskizze umfasst eine ein- bis maximal zweiseitige Aufgabenstellung und eine ca. 10' Präsentation mit folgenden Teilen: 1) Titel 2) Umfeld 3) Problemstellung 4) Lösungsansatz (Vorgehen, Methoden) 5) Angestrebte Ergebnisse und Ziele 6) Name und Kontaktadressen aller Gruppenmitglieder, und der Ansprechpartner/Betreuer der Firma 4. Individuelle Kurzpräsentation (10'-15') und Diskussion (10'-12') des Themas an der Schule vor einem Experten- und Dozierenden-Gremium. 5. Eventuell Überarbeitung der Projektskizze gemäss Feedback an der Präsentation. 6. Zuordnung eines Experten durch die Schule für die Begleitung der Semesterarbeit. 7. Durchführung der Arbeit in eigener Terminplanung. 8. Ca. 2-3 Meetings mit dem Experten. Projektskizze besprechen / Kick-Off. Ev. bei Bedarf: Zwischenreview / Beratung. Schlusspräsentation vor Experten- und Dozierenden-Gremium. Dauer: 10'-15' und Diskussion: 10'-12' pro Semesterarbeit. 9. Abgabe des Berichtes auf der Studienplattform oder nach Absprache per an den Experten. 10. Beurteilung durch den Experten. Study Guide CAS SIM 17/22

18 7.7.3 Ergebnis und Bewertung Der Bericht ist in elektronischer Form, als PDF-Dokument dem bewertenden Experten und der CAS- Leitung über die Studienplattform abzugeben. Der Bericht umfasst ca. 20 Seiten. Der Source Code ist sofern für die Projektbeurteilung notwendig, als Anhang mitzuliefern. Die Semesterarbeit wird nach folgender Richtlinie bewertet (Durch den Experten entsprechend dem Thema und dem Ablauf der Arbeit anpassbar). Nr. Kriterium Beschreibung Max. Punkte 1. Schriftlicher Bericht 80 Punkte Genereller Eindruck Umfang, Vollständigkeit, Präsentation Komplexität, Stringenz Darstellung, Sprache verständlich, nachvollziehbar Stil, angemessener Fachjargon Grammatik und Orthografie Präsentationen 20 Punkte Ziele, Ausgangslage, Aufgabenstellung klar und verständlich beurteilbare Ziele Methoden Aus der Beschreibung wird das Problem nachvollziehbar analysiert und strukturiert Die Methodenauswahl ist begründet und nachvollziehbar Angemessene Literatur- und Quellenrecherche Ergebnisse Konsequente, professionelle Anwendung der Methodik Fundierter Vergleich Zielsetzung vs. Erreichtes Neue Erkenntnisse und eigene Beiträge Klare und präzise Schlussfolgerungen Management Summary, Fazit vollständig, nur Wichtiges ohne Nachschlagen verständlich Schwergewicht liegt auf den Ergebnissen Formal Zeitmanagement Aufbau Zielsetzung genannt Zusammenfassung Inhaltlich Roter Faden, logisch, nachvollziehbar Sprache, Rhetorik, Hilfsmittel Publikumsgerecht, Präsentationstechnik Wesentliches hervorgehoben Eingehen auf Fragen Total 100 Study Guide CAS SIM 18/22

19 8 Kompetenznachweise Für die Anrechnung der 12 ECTS-Punkte ist das erfolgreiche Bestehen der Qualifikationsnachweise (Prüfungen, Projektarbeiten) erforderlich, gemäss folgender Aufstellung: Kompetenznachweis Gewicht Art der Qualifikation Erfolgsquote Studierende Bedrohung und Operational Security 0.5 Präsenz 0 100% Prävention 1.0 Gruppenarbeit / Prüfung 0 100% Detektion 1.0 Gruppenarbeit / Prüfung 0 100% Analyse 2.0 Gruppenarbeit / Prüfung 0 100% Reaktion 1.0 Gruppenarbeit / Prüfung 0 100% Workshop mit MELANI / CSIRT BIT 0.5 Gruppenarbeit (Workbook) 0 100% Fallstudie 4.00 Bewertete Projektarbeit 0 100% Gesamterfolgsquote 0 100% Gesamtgewicht ECTS Note A bis F Alle Studierenden können in einem Qualifikationsthema eine Erfolgsquote von 0 bis 100% erarbeiten. Die gewichtete Summe aus den Erfolgsquoten pro Thema und dem Gewicht des Themas ergibt eine Gesamterfolgsquote zwischen 0 und 100%. Die Gesamterfolgsquote wird in eine ECTS Note A bis E umgerechnet, gemäss Studienreglement. Weniger als 50% Gesamterfolgsquote ergibt eine ungenügende Note F. Study Guide CAS SIM 19/22

20 9 Ergänzende Lehrmittel Ergänzende Lehrmittel sind Empfehlungen, um den Stoff zu vertiefen oder zu erweitern. Die Beschaffung liegt im Ermessen der Studierenden: Nr Titel Autoren Verlag Jahr ISBN Nr. [1] LINUX - Das umfassende Handbuch Johannes Plötner, Steffen Wendzel Rheinwerk <openbook> gratis PDF [2] RegEx-Tootorial vom Max Kleiner Max Kleiner Maxbox gratis PDF [3] Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code. Ligh et al. Michael Hale Ligh, Marcus Pinto, Dafydd Stuttard Wiley- Blackwell [4] Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software, Sikorski et al. Andrew Honig, Michael Sikorski No Starch Inc [5] Assembly Language for x86 Processors (Insbesondere Kap. 1-4, 6-7) Kip R. Irvine Pearson [6] X86 Assembly Wikibooks Wikibooks 2013 Openbook [7] ENISA (European Network and Information Security Agency): Good Practice Guide for Incident Management ENISA 2014 Gratis Guide Study Guide CAS SIM 20/22

21 10 Dozierende Vorname Name Firma Endre Bangerter Berner Fachhochschule Eduard Blenkers Bundesamt für Informatik und Telekommunikation Anton Brunner Securitas Stefan Egger Bundesamt für Informatik und Telekommunikation Marco Gfeller Informatiksteuerungsorgan des Bundes Andreas Greulich MELANI / GovCERT.ch andreas.greulich.1@bfh.ch Roman Hüssy MELANI / GovCERT.ch roman.huessy@bfh.ch Reto Inversini MELANI / GovCERT.ch reto.inversini@bfh.ch Heino Kronenberg Bundesamt für Informatik und Telekommunikation heino.kronenberg@bfh.ch Rolf Lanz Berner Fachhochschule rolf.lanz@bfh.ch Adrian Leuenberger Bund adrian.leuenberger@bfh.ch Manuel Schilt Bundesamt für Informatik und Telekommunikation manuel.schilt@bfh.ch Mauro Vignati Bund mauro.vignati@bfh.ch 11 Organisation CAS-Leitung: Prof. Rolf Lanz Tel: rolf.lanz@bfh.ch CAS-Administration: Andrea Moser Tel: andrea.moser@bfh.ch 12 Termine Daten: KW bis KW Einzelne Montagabende, von 16:30 Uhr bis 19:45 Uhr (ca. 3 5x Unterricht oder abgesetzte Prüfungen) Mittwoch, von 08:30 Uhr bis 16:15 Uhr Stundenplan siehe Webseite "Durchführungsdaten" Details Study Guide CAS SIM 21/22

22 Dokumenteninformation Study Guide CAS SIM Dieser Study Guide gilt für die Publikation ab Herbstsemester Während der Durchführung des CAS können sich Anpassungen bezüglich Inhalten, Lernzielen, Dozierenden und Kompetenznachweisen ergeben. Es liegt in der Kompetenz der Dozierenden und der Studienleitung, aufgrund der aktuellen Entwicklungen in einem Fachgebiet, der konkreten Vorkenntnisse und Interessenslage der Teilnehmenden, sowie aus didaktischen und organisatorischen Gründen Anpassungen im Ablauf eines CAS vorzunehmen. Berner Fachhochschule Technik und Informatik Weiterbildung Wankdorffeldstrasse 102 CH-3014 Bern Telefon ti.bfh.ch/weiterbildung ti.bfh.ch/cas-sim Study Guide CAS SIM 22/22