Kursprogramm IT-Security

Transkript

1 Kursprogramm IT-Security Dreamlab Technologies AG 1

2 2 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

3 Inhalt 5 Vorwort 6 Über Dreamlab Technologies AG 8 Partnerschaften 9 Kursmodelle 1 0 Cyber Defense Academy 11 OSSTMM Professional Security Tester (OPST) 1 3 OSSTMM Professional Security Analyst (OPSA) 1 5 OSSTMM Professional Security Expert (OPSE) 1 7 ISO Lead Implementer 1 9 ISO Lead Auditor 21 Certified Secure Web Professional (CSWP) 23 Hands On InSecurity 25 Hacking for Defense 27 General Security 29 Digital Self Defense 30 Eintages-Workshops 33 Allgemeine Geschäftsbedingungen 35 Kontakt Dreamlab Technologies AG 3

4 4 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

5 Vorwort In den letzten Jahren ist Informationssicherheit zu einem zentralen Thema für Unternehmen, Institutionen und Behörden geworden. Der sichere Umgang mit Informationstechnologie, das Schützen und Warten kritischer Systeme sind zentrale Erfolgsfaktoren geworden. Die Hauptrolle spielt auch in der Technik der Mensch. Es reicht deshalb nicht aus, sich auf technische Lösungen zu beschränken. Auch wenn Industrienormen, Regulatorien und Gesetze gewisse Standards vorgeben, hängt die effektive Sicherheit Ihrer Technologie sehr direkt vom Wissen und Verhalten Ihrer Mitarbeiter ab. Nur geschulte und gut ausgebildete Mitarbeiter wissen, wo sich Sicherheitsprobleme ergeben können und wie damit umzugehen ist. Es ist deshalb unerlässlich, das Sicherheitsbewusstsein der Mitarbeiter durch gezielte Schulung zu stärken und ihnen das nötige Wissen zu verschaffen, um in kritischen Situationen schnell und gezielt reagieren zu können. Dazu braucht es den richtigen Partner, der nicht nur Theorie vermittelt, sondern einen Bezug zur Praxis herstellen kann. Dreamlab Technologies verfügt als langjähriger IT-Security-Provider über Experten, die als Techniker, Auditoren und Entwickler für unsere Kunden im Einsatz sind und dieses praxiserprobte Wissen in unseren Kursen nachvollziehbar weitergeben. Theoretische Grundlage ist das OSSTMM (Open Standard Security Testing Methodology Manual) der ISECOM (Institute for Security and Open Methodologies), das Dreamlab mitentwickelt hat, regelmässig in Audits anwendet und in deutsch- und französischsprachigen Ländern vertritt. Partnerschaften mit diversen europäischen Fachhochschulen und Universitäten ermöglichen Dreamlab Technologies zudem den Zugang zu den aktuellsten Forschungsergebnissen im Bereich der Unternehmens- und IT-Sicherheit. Unser Kursangebot orientiert sich an den Bedürfnissen der Industrie und an den neusten Entwicklungen und Trends im IT-Security-Bereich. Alle unsere Kurse gehen von einem integralen Sicherheitsverständnis aus. Wir erfassen sämtliche Aspekte der technologischen, physischen, psychischen, rechtlichen, organisatorischen und konzeptionellen Sicherheit. Wir hoffen, Sie in einem unserer Kurse begrüssen zu dürfen und freuen uns auf Ihre Anmeldung. Nicolas Mayencourt CEO und Gründer Dreamlab Dreamlab Technologies AG 5

6 Über Dreamlab Technologies AG Open Standard Security Experten seit 1997 Dreamlab Technologies AG misst, kontrolliert, erschafft und verbessert seit Informationssicherheit mit Open-Standard-Lösungen. Wir beraten Firmen und Behörden unabhängig und unterstützen sie dabei, Fragen der Informationssicherheit in den Management-Zyklus zu integrieren. Dreamlab Technologies AG bietet Dienstleistungen und Produkte für die integrale System- und Informationssicherheit an; von Audit über Consulting, Penetrationstests, Systemüberwachung bis hin zur Härtung einzelner Systeme sowie ganzer Infrastrukturen und Organisationen. Unser Wissen geben wir in Schulungen und Workshops an Firmen und Hochschulen weiter, um die Unabhängigkeit und Kompetenz unserer Kunden zu fördern. Alle Produkte und Dienstleistungen sind skalierbar und auf die Bedürfnisse unserer Kunden abgestimmt. Philosophie Wir messen und kontrollieren Sicherheit integral, basierend auf offenen Standards. Wir arbeiten professionell, nachvollziehbar und sind von Produkten und Anbietern unabhängig. _integral Integrale Sicherheit ist eine wichtige Voraussetzung dafür, ein Unternehmen oder eine Institution verantwortungsvoll führen zu können. Die Maxime von Dreamlab Technologies AG ist es, integrale Informationssicherheit in die Organisation zu integrieren. Sicherheit spielt immer eine Rolle: von der Vision bis zur Implementierung; über die ganze Bandbreite. In Prozessen, baulichen Massnahmen, im Verhalten der Mitarbeiterinnen und Mitarbeiter sowie in der technologischen Infrastruktur. Dreamlab Technologies AG steht Kunden für alle Massnahmen, Schritte und Prozesse zur Erhöhung der Sicherheit beratend zur Seite. 6 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

7 _unabhängig Wir arbeiten unabhängig von Produkten und Anbietern. Deshalb bevorzugen wir offene Standards. Offene Standards bedeutet freie Wahl der Mittel. Dadurch sind unsere Sicherheitstests präziser und gehen tiefer. Wir bewahren den Weitblick und können aus einer neutralen Perspektive beraten und testen. _professionell Dreamlab Technologies garantiert Ihnen transparente, fundierte und effiziente Sicherheitsmassnahmen durch: Einen umfassenden technischen Background mit Netzwerken, die auf offenen Standards basieren (W3C, OWASP, OSSTMM). Wissen auf dem neuesten Stand. Wir pflegen Beziehungen zu Universitäten und Fachhochschulen, und leisten aktive Beiträge zu internationalen Standards durch Forschungsarbeit und Projekte. Wir gestalten die Zukunft mit und sind dadurch immer einen Schritt voraus. Praxisnahe Kurse aus erster Hand Wir bieten Kurse und Trainings für IT-Security-Spezialisten auf verschiedenen Levels an. Die technische Kompetenz von Dreamlab Technologies AG basiert auf aktiver Teilnahme an Forschungs- und Entwicklungsprojekten, Zusammenarbeit mit nationalen und internationalen Vereinigungen und mehr als fünfzehn Jahren Praxis in der IT-Industrie. Expertenwissen vermittelt durch Profis Unsere Trainings basieren auf neuster Forschung und Expertenwissen. Unsere Trainer sind IT-Security-Spezialisten. In unseren Kursen profitieren Sie von unserer Praxiserfahrung und erhalten Wissen aus erster Hand. Auf Herausforderungen der Zukunft vorbereitet In unseren Trainings können Sie praktische Erfahrungen sammeln und Wissen direkt anwenden. Dadurch werden Sie auf zukünftige Herausforderungen vorbereitet. Internationale Verbindungen nutzen Als Partner des ISECOM (Institute of Security and Open Methodologies) bietet Dreamlab Technologies die offiziellen OSSTMM-Zertifikatskurse an. Das Zertifikatssexamen ist akkreditiert durch die ISECOM und die La Salle Universität, Barcelona. Dreamlab Technologies AG 7

8 Partnerschaften Word Wide Web Consortium (W3C) Das World Wide Web Consortium (W3C) ist eine internationale Community, welche Web-Standards entwickelt. Als W3C-Member ist Dreamlab Technologies AG Mitgestalter in der Entwicklung der Standards von morgen und Webtechnologien der Zukunft. Innerhalb des W3C ist Dreamlab Technologies AG beispielsweise für die Entwicklung des Xforms-Standard zuständig. Open Web Application Security Project (OWASP) Das Open Web Application Security Project (OWASP) ist eine weltweite Non-Profit Organisation, welche die Sicherheit von Applikationssoftware entwickeln will. Dreamlab Technologies AG ist ein Member der OWASP-Community und leistet Beiträge zu den Aktivitäten des OWASP Swiss Chapters. Institute for Security and Open Methodologies (ISECOM) Das ISECOM ist Herausgeberin des Open Source Security Testing Methodology Manuals (OSSTMM). Dreamlab Technologies AG ist ISECOM-Partner für die Schweiz, Frankreich und Deutschland. Dreamlab Technologies AG 8 8 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

9 Kursmodelle Öffentlich, privat oder in kleinen Gruppen Öffentliche Kurse von Dreamlab sind für alle zugänglich, die über das nötige Grundwissen verfügen. Die Kurse werden in kleinen Gruppen von vier bis acht Personen durchgeführt. Akademische Kurse sind Teil unserer akademischen Allianzen. Sie werden an Universitäten und Fachhochschulen durch unsere Experten abgehalten. In massgeschneiderten On-Site-Kursen profitieren die Teilnehmenden in Ihrer Firma oder Institution von unserem Praxiswissen und einem vertraulichen Rahmen, in dem auch sensitive Informationen besprochen werden können. Es gibt viele Gründe, Mitarbeiter nicht in öffentlichen Kursen weiterzubilden. Zum Beispiel möchten Sie die Kurse so planen, dass das Tagesgeschäft davon nicht gestört wird. Dreamlab konzipiert und organisiert die Kurse nach Ihren Wünschen. Ob eine ganze Abteilung oder ein einzelner Mitarbeiter geschult werden möchte - fast alles ist möglich. Kursmodule können nach Ihren Wünschen zusammengestellt und individuellen Bedürfnissen angepasst werden. Online Kurse Onlinekurse bieten viele Vorteile: sie können von überall besucht werden und ersparen so Reise- und Aufenthaltskosten und -aufwand. Wir geben unsere Online- Kurse live, das heisst mit einem Trainer, der die ganze Zeit präsent ist und die Kursteilnehmer betreut, als sässe er mit ihnen im selben Raum. Wir bieten zwei Formen für Onlinekurse an: _Online Training Der Dozent interagiert in Echtzeit mit den Teilnehmern dank einer Videokonferenzsoftware. Die Teilnehmer besuchen den Kurs von wo sie möchten. Sie benötigen für den Kurs und die Übungen lediglich Zugang zu einer Breitband-Internetverbindung. _Online Exclusive Training Online-Trainings führen wir auch exklusiv, nur für einen Teilnehmer oder für mehrere Teilnehmer einer Firma mit einem Zeitplan nach Mass, durch. Dreamlab Technologies AG 9 9 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

10 Cyber Defense Academy Die Kurse von Dreamlab sind Teil eines umfangreichen Ausbildungskonzepts. Verschiedene Kurse können miteinander kombiniert werden, um Teams auszubilden und eine komplette Cyber Defense Abteilung aufzubauen. Wir helfen unseren Kunden dabei, spezifische Ausbildungsprogramme zusammenzustellen. Unsere Bildungswege in der Cyber Defense Academy können ausserdem durch Spezialkurse ausgesuchter Partner ergänzt werden. Die Ausbildung Ihrer Cyber-Defense-Abteilung könnte zum Beispiel wie unten skizziert erfolgen. Der Cyber Defense Manager erstellt längerfristige Security-Strategien, trifft Entscheidungen und gibt den Weg vor. Cyber Defense Constultants leiten Projekte und Security Teams. Diese bestehen aus Cyber Defense Agenten mit verschiedenen Spezialgebieten. Die Agenten führen Sicherheitstests durch und kontrollieren die Sicherheit der Systeme und Netzwerke. Alle weiteren Angestellten und Mitarbeiter werden in einem Awarenesstraining geschult. 1 0 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

11 OSSTMM Professional Security Tester (OPST) Management Summary Der OPST-Zertifikatskurs bereitet die Teilnehmer darauf vor, verantwortungsvolle, fähige und kenntnisreiche Sicherheitstester zu werden. Ziel des Kurses ist es, Fähigkeiten und Kenntnisse zu vermitteln, damit die Teilnehmer den heutigen Anforderungen im wirtschaftlichen wie auch im technischen Bereich von Sicherheitstests gerecht werden können. Die Teilnehmer erwerben technische Kompetenzen, um Sicherheitstests durchzuführen und kaufmännische Kompetenzen, um Sicherheitstests gegenüber dem Management zu rechtfertigen und die Effizienz entsprechender Projekte sicherstellen zu können. Der OPST-Kurs basiert auf dem Open Source Security Testing Methodology Manual (OSSTMM); dabei handelt es sich um eine von Fachkollegen revidierte, weit verbreitete, umfassende Methodologie für Sicherheitstests. OSSTMM ist eine vollständige, wirksame und praxisorientierte Methode für das Durchführen von Sicherheitstests. Die wirtschaftliche Rechtfertigung von Investitionen in die Datensicherheit wird darin berücksichtigt. Das OSSTMM ist so konzipiert, dass es in einzelne Modulen aufgeteilt werden kann und sich den spezifischen Geschäftszielen eines Unternehmens und branchenspezifischen Vorschriften anpassen lässt. Zielsetzung Die Teilnehmer werden auf die offizielle OPST-Zertifizierungsprüfung vorbereitet. Diese Prüfung wird von vom Institute for Security and Open Methodologies (ISE- COM) und der La Salle Universität in Barcelona anerkannt und ausgestellt. Zielgruppe IT-Fachkräfte, welche Kenntnisse in Sicherheitstests erlangen wollen Netzwerkadministratoren Systemadministratoren Sicherheitsbeauftragte Kursdauer 5 Tage (inklusive Zertifizierungsprüfung) Montag bis Freitag 09:00 1 2:00 Uhr, 1 3:30 1 7:00 Uhr Offizielles Examen am letzten Kurstag 1 1 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

12 Voraussetzungen und Vorbereitung Gute IT-Grundkenntnisse, vor allem im Bereich Netzwerke und Protokolle (TCP/IP) sowie Erfahrung in der Ausführung von Befehlen unter Linux und Windows werden vorausgesetzt. Die OPST-Kursteilnehmer erhalten die Unterrichtsmaterialien zum Lesen vor Kursbeginn. Kursinhalt Übersicht über Datensicherheitsfragen Was ist OSSTMM? Definition von Sicherheitstests Warum Sicherheitsprüfung nicht nur hacken beinhaltet OSSTMM Verpflichtungen, ethisches Hacken, Jobprofil des Sicherheitstesters Definition von Testtypen für System und Netzwerk Testen von TCP, UDP, ICMP, IP, ARP sowie von verschiedenen Protokollen auf der Anwendungsebene wie FTP, DNS, TFTP, BOOTP, HTTP, HTTPS usw. Frei zugängliche Sicherheitswerkzeuge (nmap, nessus, tcpdump usw.) Professionelle Betriebsmittel für Sicherheitstester, Erforschung neuer Werkzeuge und Trends Elementare Sicherheitstests vom Abtasten von Anschlüssen bis zur Überprüfung von Anfälligkeiten Durchforsten von Dokumenten und Sammlung von Information Fortgeschrittene Sicherheitstests inklusive der Überprüfung von Firewall, Router und IDS Überprüfung der Angriffe auf Serverdienste, Nachprüfungen, Anwendungsüberprüfungen, Ausspähen persönlicher Daten, VPN-, Router-, Firewall- und IDS Überprüfungen Analyse und Verifikation von Testergebnissen nach dem OSSTMM Dreamlab Technologies AG 1 2

13 OSSTMM Professional Security Analyst (OPSA) Management Summary Ziel des OPSA-Zertifizierungskurses ist es, die Kursteilnehmer zu verantwortungsvollen und fähigen Sicherheitsanalytiker auszubilden, welche auf eine umfang-reiche Wissensbasis zurückgreifen können. Die Teilnehmer verfügen bei Kursende über die erforderlichen analytischen Fähigkeiten und Kenntnisse aus dem Sicherheitsbereich, um Sicherheitsteams und Projekte erfolgreich leiten zu können. OSSTMM ist die am weitesten verbreitete und umfangreichste Methodologie die zurzeit existiert. Die stetige Überprüfung des Handbuchs durch Fachkollegen garantiert dessen Aktualität und Qualität. Zielsetzung Die Teilnehmer werden auf die offizielle OPSA Zertifizierungsprüfung vorbereitet. Dieses Examen wird von ISECOM (Institute for Security and Open Methodologies) und der La Salle Universität in Barcelona anerkannt und ausgestellt. Zielgruppe IT-Fachkräfte, welche Kenntnisse in Sicherheitstests erlangen wollen Netzwerkadministratoren Systemadministratoren Sicherheitsbeauftragte Sicherheitsprüfer Sicherheitsberater Kursdauer 5 Tage (inklusive Zertifizierungsprüfung) Montag bis Freitag 09:00 1 2:00 Uhr, 1 3:30 1 7:00 Uhr Offizielles Examen am letzten Kurstag Voraussetzungen und Vorbereitung Voraussetzung sind fundierte Grundkenntnisse von Netzwerken und den TCP-/IP- Protokollen sowie Erfahrung mit dem Ausführen von Befehlen unter Linux und Windows. Vor Kursbeginn erhalten die OPSA-Teilnehmer die Kursunterlagen zur Vorbereitung: OSSTMM, Folien. 1 3 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

14 Kursinhalt Allgemeine Übersicht über Datensicherheit Normen für die Datensicherheit (BS7799 / ISO27001, SOX, Basel II, BSI) Datensicherheitsabschnitte und Bausteine Wie OSSTMM funktioniert: Anwendung der OSSTMM Bausteine und Standardprozesse Optimierte internationale Industriestandards und Normen OSSTMM Rules of Engagement, Rahmenbedingungen und Richtlinien Sicherheitsanalyse Strategien für Risikobewertungen und für den Erhalt von Systemen und Netzwerken Analyse von Netzwerkdiagrammen im Hinblick auf Sicherheitsschwächen Analyse der Ausgaben der Testwerkzeuge (z. B. sing, nmap, iss). Logdateien, Protokollspeicherauszüge, Überprüfung der Dokumente, Datensammlung Überprüfung und Validierung von Testverfahren OSSTMM Testprojekte Berechnung und Ausführung von Projektplänen mit geeigneten juristischen und ethischen Testverfahren Kostenkontrolle, Verwaltung der Rendite für Investitionen unter Verwendung von OSSTMM Wie werden Testberichte geschrieben und präsentiert Grundlagen des Risikomanagements, Werte für die Risikobewertung Management des Sicherheitsteams Legale Rahmenbedingungen Dreamlab Technologies AG 1 4

15 OSSTMM Professional Security Expert (OPSE) Management Summary Im Zentrum des OPSE-Kurses steht das Open Source Security Testing Methodology Manual (OSSTMM), ein internationaler Standard für das Testen und Bemessen operativer IT-Security. Das OSSTMM ergänzt internationalen Standards wie ISO27K und BSI. Im OPSE-Kurs lernen die Kursteilnehmer Inhalt und Funktionsweise der OSSTMM-Methodologie kennen und können dieses Wissen in Projekten anwenden. Die OPSE-Kursabsolventen kennen den Ablauf von OSSTMM-Audits und sind für die Leitung von grösseren OSSTMM-Projekten qualifiziert. Zusätzlich lernen die Kursteilnehmer bereits in der Design-Phase von Sicherheitsprojekten die OSSTMM- Methodologie zu berücksichtigen und zu verankern. Im OPSE-Kurs erhalten die Kursteilnehmer einen Überblick über die wichtigsten Security Standards (ISO27K, BSI usw.) und lernen die aktuellen Trends und Herausforderungen im Bereich IT- Security kennen. Zielsetzung Die Teilnehmer werden auf die offizielle OPSE-Zertifikatsprüfung vorbereitet. Dieses Examen wird von ISECOM (Institute for Security and Open Methodologies) und der La Salle Universität in Barcelona anerkannt und ausgestellt. Im Gegensatz zu den OPST und OPSA Examen handelt es sich dabei um eine Wissensprüfung (kein Open Book Exam). Zielgruppe Security Consultants Projektleiter Management und Entscheidungsträger Kursdauer 5 Tage (inklusive Zertifizierungsprüfung) Montag bis Freitag 09:00 1 2:00 Uhr, 1 3:30 1 7:00 Uhr Offizielles Examen am letzten Kurstag Voraussetzungen und Vorbereitung Voraussetzung sind Grundkenntnisse in der Benutzung von Computern, Funktionsweise von Netzwerken, Kenntnisse von Standarddiensten wie , Web und kollaborativer Werkzeuge im Unternehmensbereich, Interesse an technischen Zusammenhängen sowie deren Auswirkung auf die IT-Security. 1 5 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

16 Kursinhalt Übersicht Informationssicherheit Die OSST-Methodologie und deren Anwendung Die sechs Sektionen des OSSTMM (mit vielen Fallbeispielen) Internationale Best Practices und Standards OSSTMM Rules of Engagement Security Governance Viele praxisnahe Beispiele häufiger sicherheitskritischer Fehler Grundlagen Security Testing und Consulting Ethik und Recht im IT Security Testing Risk Assessment Strategien Gesetzliche Auflagen und Datenschutz Verifikation und Validität von Security Tests Security Metrics Grundlagen Risk Assessment Values (ravs) Security Project Management Ablauf und Management von OSSTMM-Projekten Die OSSTMM-Projektrollen OPST, OPSA und OPSE Berechnung und Controlling von OSSTMM-Projektplänen OSSTMM-Reporting Dreamlab Technologies AG 1 6

17 ISO Lead Implementer Management Summary Dieser fünftägige Intensivkurs erlaubt den Teilnehmern, die Fachkompetenz zu entwickeln, um ein Unternehmen bei der Implementierung und Verwaltung eines Information Security Management System (ISMS) basierend auf ISO :201 3 zu unterstützen. Die Teilnehmer werden ebenfalls die Best Practices für die Implementierung von Informationssicherheitskontrollen aller Bereiche des ISO beherrschen. Dieses Training ist im Einklang mit den in ISO definierten good practices des Projektmanagements (Qualitätsmanagementsysteme Leitlinien für Qualitätsmanagement in Projekten). Dieses Training ist vollständig kompatibel mit ISO (Richtlinien für die Durchführung eines ISMS), ISO (Messung der Informationssicherheit) und ISO (Risk Management in der Informationssicherheit). Zielsetzung Die Anwendung eines ISMS im Rahmen von ISO verstehen Ein ISMS effizient verwalten Die Beziehung zwischen den Komponenten eines ISMS verstehen Fachkompetenz in der Implementierung, Verwaltung und Wartung eines ISMS nach ISO entwickeln Analyse und Entscheidungsfindung im Rahmen des Informationssicherheitsmanagements verbessern Zielgruppe Projektleiter und Berater, welche Unternehmen bei der Implementierung eines ISMS unterstützen wollen ISO Auditoren, welche den Prozess zur Implementierung eines ISMS beherrschen wollen Informationssicherheitverantwortliche und -berater Konformitätsverantworliche und -berater Kursdauer Montag bis Donnerstag von 8 Uhr bis 1 8 Uhr (nach Absprache), 1 Stunde Mittagspause Freitag: Prüfung (3 Stunden) 1 7 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

18 Zertifizierungsprüfung Prüfungsdauer: 3 Stunden Die ISO Lead Implementer -Prüfung erfüllt die Anforderungen des PECB Zertifizierungsprogramms (ECP). Voraussetzungen und Vorbereitung ISO Foundation Zertifizierung oder ISO und ISO Grundkenntnisse sind empfehlenswert Kursinhalt Tag 1 : Einführung in die Verwaltung eines ISMS basierend auf ISO Ein ISMS starten Tag 2: Planung eines ISMS basierend auf ISO Tag 3: Planung und Start eines ISMS basierend auf ISO Tag 4: Kontrolle und Zertifizierungsaudit des ISMS nach ISO Tag 5: Zertifizierungsprüfung Dreamlab Technologies AG 1 8

19 ISO Lead Auditor Management Summary Dieser fünftägige Intensivkurs ermöglicht es den Teilnehmern durch die Anwendung weithin anerkannter Prüfungsgrundsätze, -verfahren und -techniken die Fachkompetenz zu entwickeln, ein Informationssicherheitsmanagementsystem (ISMS) zu auditieren und ein Team von Auditoren zu leiten. In diesem Training werden die Teilnehmer die erforderlichen Fertigkeiten und Kenntnisse erwerben, um interne und externe Audits in Übereinstimmung mit dem Zertifizierungsprozess der ISO / IEC : Standards kompetent planen und durchführen zu können. Basierend auf praktischen Übungen werden die Teilnehmer die notwendigen Fertigkeiten (Prüfungstechniken meistern), und Kompetenzen (Leitung eines Audits und Audit-Teams, Kundenkommunikation, Konfliktlösung, etc.) erwerben, um ein Audit effizient durchzuführen. Zielsetzung Das nötige Fachwissen erwerben, um ein ISO Zertifizierungsaudit durchzuführen (nach ISO , ISO und ISO 27006) ein ISMS-Audit-Team zu leiten das Informationssicherheitsmanagementsystem im Kontext von ISO anzuwenden Zielgruppe Interne Auditoren Projektmanager Berater Informationssicherheitverantwortliche Konformitätsverantworliche Informationssicherheitberater und -spezialisten, welche den Information Security Management System (ISMS)-Audit-Prozess beherrschen wollen Kursdauer Montag bis Donnerstag von 8 Uhr bis 1 8 Uhr (nach Absprache), 1 Stunde Mittagspause Freitag: Prüfung (3 Stunden) 1 9 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

20 Zertifizierungsprüfung Prüfungsdauer: 3 Stunden Die ISO Lead Auditor -Prüfung erfüllt die Anforderungen des PECB Zertifizierungsprogramms (ECP). Voraussetzungen und Vorbereitung ISO Foundation Zertifizierung oder ISO und ISO Grundkenntnisse sind empfehlenswert Kursinhalt Tag 1 : Einführung in die Verwaltung eines ISMS basierend auf ISO Tag 2: Ein ISO Audit planen und starten Tag 3: Ein ISO Audit leiten Tag 4: Ein ISO Audit abschliessen und Folgemassnahmen Tag 5: Zertifizierungsprüfung Dreamlab Technologies AG 20

21 Certified Secure Web Professional (CSWP) Management Summary Certified Secure Web Professional (CSWP) ist ein Zertifizierungskurs, in dem IT- Profis die Grundkompetenzen der Websicherheit erlernen. Er richtet sich an Informatikstudenten, Webentwickler und Programmierer. Die Kursteilnehmer lernen die Grundlagen zur Entwicklung sicherer Webapplikationen. Die verschiedenen Angriffstypen, welche Hacker anwenden, werden vorgestellt. Es werden interaktiv Strategien entwickelt, um Verwundbarkeiten zu minimieren. Dabei wird konsequent die Angreiferperspektive verfolgt. Alle Angriffstypen werden den Teilnehmern so vorgestellt, dass sie ein besseres Verständnis für die verschiedenen Verwundbarkeiten von Webapplikationen entwickeln können. Das vermittelte Wissen ist auf allen gängigen Programmiersprachen und Frameworks anwendbar. Zielsetzung Die Kursteilnehmer kennen die wichtigsten Gefahren und Schwachstellen von Webapplikationen. Sie sind in der Lage, Anwendungen zu entwerfen und entwickeln, welche gegen Standardangriffen resistent sind. Sie wissen, wie man während der Entwicklungsphase Risikometriken zur Sicherheitsbewertung anwendet. Die Teilnehmer werden gezielt auf die Zertifizierungsprüfung vorbereitet. Die erfolgreichen Prüfungsabsolventen erhalten ein von der Certified Web Security GmbH erstelltes Zertifikat. Zielgruppe Programmierer und Webentwickler Informatikstudenten Projektmanager CIOs Kursdauer 5 Tage (inklusive der offiziellen CSWP Prüfung) jeweils 9:00-1 2:00 Uhr, 1 3:30-1 7:00 Uhr Zertifizierungsprüfung Das Examen dauert vier Stunden und beinhaltet Fragen zu den Kursinhalten und Quelltext, welcher korrigiert werden muss. Es handelt sich um eine open- book- Prüfung. Das bedeutet, dass alle Materialien konsultiert werden dürfen. Der erfolgreiche Abschluss führt zum Erhalt des Titels Certified Secure Web Professional. 21 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

22 Voraussetzungen und Vorbereitung Von Vorteil sind Programmiererfahrungen, Grundkenntnisse in den Protokollen (TCP/IP und HTTP), Kryptographie und Datenbanken oder Erfahrung in der Ausführung von Kommandozeilenbefehlen unter Linux oder Windows. Grundkenntnisse in SQL sind notwendig. Grundkenntnisse in einer weborientierten Programmiersprache wie z.b. PHP, ASP.NET, Java (Servlet oder JSP) vereinfachen das Verständnis der Kursinhalte. Kursinhalt Übersicht über die wichtigsten Webapplikationsschwachstellen Vorstellung von Riskometriken Vorstellung der gängigsten Websicherheits-Tools und Ressourcen Allgemeine Übersicht über Applikationssicherheit Grundlagen der Netzwerksicherheit Webprotokolle (HTTP / HTTPS) Kryptographiegrundlagen Schutz sensibler Informationen SDLC (Security development lifecycle) OWASP Top 1 0 Vorstellung der gängigsten Exploits Hands on Hacking Dreamlab Technologies AG 22

23 Hands On InSecurity Management Summary Dieses Modul hat zum Ziel, den Studierenden grundlegende Fähigkeiten im Bereich des Penetration-Testings zu vermitteln. Die Techniken von Hackern werden an Praxis-Beispielen erläutert und erlernt. Die Teilnehmer erwerben sowohl das technische Verständnis als auch die nötige Praxis im Umgang mit den derzeit verfügbaren Techniken zur offensiven Sicherheit sowie den Umgang mit den dazugehörigen Werkzeug-Kits. Zielsetzung Kenntnisse der besprochenen Technologien und der entsprechenden Hacking Techniken Hacking Techniken in der Praxis anwenden die Fertigkeit die hierzu benötigten Tools zu installieren, zu konfigurieren und zu benutzen Analyse aktueller Bedrohungs- und Angriffsszenarien in den besprochenen Gebieten adäquate Wahl von Sicherheitstechnologien um diesen Bedrohungen zu begegnen Zielgruppe Informatiker, welche eine Einführung in IT-Sicherheit suchen Systemadministratoren Informatikstudenten Kursdauer 5 Tage (inklusive Prüfung) jeweils 9:00-1 2:00 Uhr, 1 3:30-1 7:00 Uhr 23 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

24 Voraussetzungen und Vorbereitung Kenntnisse in Folgenden Themengebieten sind von Vorteil: Netzwerkprotokollen Programmieren Betriebssytemen Grundlagen der IT Security Kursinhalt Einführung in die Sicherheits-Distribution Kali Linux und dessen Werkzeuge Schwächen von TCP/IP, ICMP und DNS Portscanning mit Nmap und NSE Ausnutzen von gängigen Schwachstellen im WWW Schwächen von HTTPS/SSL Einführung in das Metasploit-Framework Payloads mit Metasploit erstellen from bug to Metasploit Passwort-Knacken, Reverse-Shells, Privilege-Escalation und Spuren-Verwischen Übersicht und Diskussion der Hintergründe der offensiven Sicherheit Schwächen von Wireless-Technologien (je nach Zeit) Dreamlab Technologies AG 24

25 Hacking for Defense Management Summary Um Unternehmen erfolgreich vor modernen Angriffen aus dem Internet zu schützen, sind solide Kenntnisse im Bereich der IT-Sicherheit erforderlich. Aus diesem Grund haben wir den dreitägigen Kurs Hacking for Defense [pentest] entwickelt. Mit diesem Kurs führen wir unsere Teilnehmer in die Welt der technischen Sicherheitsaudits (Penetrationtesting) ein und stellen Ihnen die neusten und am häufigsten angewandten Angriffsmethoden vor. Unsere Teilnehmer lernen, Angriffe in der Praxis effizient zu erkennen und sie erfolgreich abzuwehren. Durch den hohen Anteil an praktischen Übungen sorgen wir für maximalen Lernerfolg. Abgeschlossen wird das Training mit einem persönlichen Zertifikat für jeden Teilnehmer. Zielsetzung Die Teilnehmenden lernen, einfache Sicherheitsüberprüfungen (Penetration-Tests) selbst durchzuführen oder externe Dienstleistungen in diesem Bereich besser einzustufen und zu koordinieren. Dadurch wird die IT-Sicherheit eines Unternehmens nachhaltig verbessert. Zudem unterrichten wir Methoden von Hackangriffen und zeigen auf, wie Sie diese erfolgreich erkennen und abwehren können. Zielgruppe IT-Leiter IT-Sicherheitsbeauftragte Sicherheitsrevisoren Datenschutzbeauftragte mit technischem Interesse Systemadministratoren Kursdauer 3 Tage (inklusive Prüfung) jeweils 9:00-1 2:00 Uhr, 1 3:30-1 7:00 Uhr Zertifizierungsprüfung In einem simulierten Angriff attackieren Sie ein Unternehmen Sie versuchen Zugriff auf sensitive Kundendaten zu erhalten Lokal / Web / Mobile alle drei Angriffspfade sind möglich! Sie erhalten ein Abschlusszertifikat für die erfolgreiche Teilnahme am Training 25 I T-Secu ri ty-ku rse u n d -Zerti fi ka te

26 Voraussetzungen und Vorbereitung Für die Teilnahme am Training Hacking for Defense [pentest] sind grundlegende Erfahrungen im Bereich IT-Sicherheit und TCP/IP-Netzwerke von Vorteil. Teilnehmer sollten zudem mit den Betriebssystemen Windows und Linux vertraut sein. Kursinhalt Tag 1: Penetrationtesting Historie zu den Themen Hacking und Penetrationtesting OSSTMM Eine Methodologie für erfolgreiche Penetrationtests Vorbereitung und Planung eines Penetrationtests Schritt für Schritt: Durchführung eines Penetrationtests Abschluss eines Penetrationtests: Der Report Hilfsmittel und Tools bei der Durchführung eines Penetrationtests Tag 2: Ethical Hacking Angriffe aus dem Unternehmensnetz auf sensible Daten: Spionage von s, Nachrichten, VoIP Gesprächen und mehr Unbefugter Zugriff auf Unternehmensressourcen und Kennwörter Aufbau eines illegalen Zugangs in das Unternehmensnetzwerk zum Diebstahl von Daten Lokale Angriffe auf physikalische und virtuelle Server Angriffe auf mobile Endgeräte: Spionage von Gesprächen, s und Nachrichten Mobile Endgeräte als Angriffsvektoren gegen das Unternehmensnetzwerk ios Devices: Wie Angreifer Daten direkt aus der icloud stehlen und sich Zugang zum Unternehmensnetzwerk verschaffen Tag 3: Web Sicherheit Angriffe über Webserver gegen das Unternehmen Hacking von Webservern über verbreitete Sicherheitslücken Überwindung der DMZ durch Angreifer Vollzugriff auf das Unternehmensnetz über das Internet Dreamlab Technologies AG 26