CAS Security Incident Management

CAS Security Incident Management Herbstsemester 2014

Inhaltsverzeichnis 1 Abstract 3 2 Umfeld und Motivation 3 3 Zielgruppe 3 4 Ausbildungsziele 3 5 Voraussetzungen 4 6 Kursübersicht 4 7 Kompetenzprofil 5 8 Organisation 5 9 Kursbeschreibungen 6 9.1 Bedrohung und Operational Security 6 9.2 Prävention 8 9.3 Detektion 10 9.4 Analyse 12 9.5 Reaktion 14 9.6 Workshop 15 10 Projektarbeit 16 10.1 Zielsetzung und Thema 16 10.2 Ablauf 16 10.3 Ergebnis und Bewertung 17 11 Kompetenznachweise 18 12 Dozierende 19 13 Ergänzende Lehrmittel 20 14 Termine 20 15 Dokumenteninformation 21 Study Guide Security Incident Management Herbstsemester 2014 2/21

1 Abstract Die Quantität und Raffinesse von Angriffen aus dem Internet auf die eigene IT-Infrastruktur nimmt stetig zu. Betreiber von sicherheitskritischen IT-Infrastrukturen müssen immer schneller auf sicherheitsrelevante Zwischenfälle reagieren. In der heutigen IT-Landschaft können Sicherheitszwischenfälle bestenfalls vermindert, aber nie vollständig vermieden werden. Der zeitnahen Erkennung und der fachkundigen Reaktion kommt daher eine zentrale Bedeutung zu. Je früher ein Vorfall erkannt wird, umso geringer ist der entstandene Schaden. 2 Umfeld und Motivation Mit diesem CAS sollen die Studierenden die notwendigen Fertigkeiten erhalten, einen Sicherheitszwischenfall zu erkennen, einzuschätzen und die notwendigen Gegenmassnahmen umgehend einzuleiten. In grösseren Betrieben werden hierzu in der Regel Teams aus drei bis zehn Personen gebildet. Aber auch für KMUs im Hochtechnologiebereich ist es heute wegen der anhaltend steigenden Bedrohung durch Industriespionage äusserst wichtig, Sicherheitszwischenfälle zu vermeiden, zu erkennen und angemessen darauf zu reagieren. Durch die Ausbildung eines Mitarbeiters in diesem CAS kann auch ein KMU mit einer eher kleinen bis mittleren ICT-Infrastruktur, das dazu nötige Basiswissen einfach und kostengünstig erwerben. Dies führt zu einer effizienteren Nutzung der ICT-Infrastruktur und minimiert externe Dienstleistungen im Sicherheitsbereich. 3 Zielgruppe Das CAS richtet sich in an IT-Fachkräfte, die eine operative Security-Tätigkeit ausführen. Dies sind Mitarbeitende eines CSIRT (Computer Security Incident Response Teams) oder eines CERT (Computer Emergency Response Teams), System- und Netzwerkverantwortlichen, welche nebst den betrieblichen Aufgaben diese Sicherheitsfunktionen als Security-Engineers wahrnehmen. 4 Ausbildungsziele Das CAS hat zum Ziel, den Teilnehmenden die notwendigen Fertigkeiten zu vermitteln, um bei sicherheitsrelevanten Zwischenfällen schnell und zielgerichtet die notwendigen Massnahmen zu ergreifen. Die dabei gewonnenen Erkenntnisse helfen dem Umfeld beim Aufbau und Unterhalt einer besser gesicherten Infrastruktur. Study Guide Security Incident Management Herbstsemester 2014 3/21

5 Voraussetzungen Die Teilnehmenden besitzen gute Kenntnisse der TCP/IP-Protokollfamilie, beherrschen mindestens eine Skript- und/oder eine gängige Programmiersprache. Siekönnen effizient mit Linux und Windows- Server umgehen. Projekterfahrung in den Bereichen IT-Infrastruktur, Datenkommunikations-Architektur und IT-Security sind erwünscht. 6 Kursübersicht Kurs/Lehreinheit Lektionen Stunden Dozierende Bedrohung, Operational Security 16 Reto Inversini und weitere Prävention 24 Adrian Leuenberger, Reto Inversini, Roman Hüssy, Eduard Blenkers Detektion 24 Reto Inversini, Heino Kronenberg, Manuel Schilt Analyse 48 Endre Bangeter, Adrian Leuenberger, Roman Hüssy, Andreas Greulich Reaktion 20 Anton Brunner Bruce Nikkel Roman Hüssy Workshop 8 Stefan Egger Heino Kronenberg Organisation und Meilensteine Semesterarbeit 8 alle Semester-/Projektarbeit ~ 90 alle Total 144 ~ 90 Das CAS umfasst insgesamt 12 ECTS Punkte. Für die einzelnen Kurse ist entsprechend Zeit für Selbststudium, Prüfungsvorbereitung etc. einzurechnen. Study Guide Security Incident Management Herbstsemester 2014 4/21

7 Kompetenzprofil Legende: 1. Kenntnisse von Begriffen, Definitionen und Regeln; Faktenwissen 2. Verstehen von Zusammenhängen, Erklären von Sachverhalte erklären können 3. Anwendung des Wissens in einfachen Situationen 4. Analyse der eigenen Lösung 5. Synthese neuer Lösungen und Anwendung in komplexen Situationen 6. Beurteilung der Anwendbarkeit für bestimmte Probleme und Situationen, methodische Abwägung und Evaluation von Alternativen, Beziehungen zu anderen Fachgebieten 8 Organisation CAS-Leitung: Prof. Rolf Lanz Tel: +41 31 848 32 73 E-Mail: rolf.lanz@bfh.ch CAS-Administration: Andrea Moser Tel: +41 31 84 83 211 E-Mail: andrea.moser@bfh.ch CAS-Daten: KW 43, 2014 bis KW 14, 2015 vereinzelt am Montagabend, von 16:30 bis 19:45 Uhr Mittwoch, von 08:30 bis 16:15 Uhr Study Guide Security Incident Management Herbstsemester 2014 5/21

9 Kursbeschreibungen Dieser Study Guide beschreibt Ziele, Inhalte und Organisation des Lehrgangs. Änderungen, insbesondere bezüglich des Inhalts, sind bis zu Beginn des Lehrgangs jederzeit möglich. Angaben zu Terminen und Kompetenznachweisen sind ab Studienbeginn verbindlich. Der Begriff Kurs schliesst alle Veranstaltungstypen ein, er ist ein zusammenfassender Begriff für verschiedene Veranstaltungstypen wie Vorlesung, Lehrveranstaltung, Fallstudie, Living Case, Fach, Studienreise, Semesterarbeiten usw. 9.1 Bedrohung und Operational Security Kursbeschreibung Allgemein Im Einführungsblock wird eine Übersicht über die aktuelle Bedrohungslage vermittelt. Im Weiteren werden die grundlegenden Arbeitstechniken behandelt und gelernt wie sich die Studierenden selbst schützen, um bei ihrer Arbeit das Risiko möglichst tief zu halten. Grundlegende, für dieses CAS wichtige Basiskenntnisse, werden mit einem kurzen Überblick zusammengefasst. Lernziele Ableiten aus: Einführung Bedrohung Typisierung der Bedrohung Operational Security Background: Sniffing TCP/IP Protokollfamilie BS-Theorie Grundlagen für das Reverse Enigineering Shell-Skriptprogrammierung Erfahrung sammeln wie in grossen Datensammlungen relevantes durch geschicktes Filtern schnell gefunden werden kann Study Guide Security Incident Management Herbstsemester 2014 6/21

Kursbeschreibung Themen Einführung und Bedrohungslage: Einführung durch MELANI: Die aktuelle Bedrohungslage in der Schweiz und International Bedrohungen durch Cybercrime Überlegungen zur Ethik Schutz der eigenen Identität, Umgang mit Social Networks Schutz der eigenen Arbeitsmittel (Anonymisierung, verschlüsselte Kanäle) Typisierung der Bedrohungen: Malware-Techniken Akteure und ihre Werkzeuge Typisierung von Malware (Trojaner, Würmer, Backdoors, Rootkits) Grundlagenwissen TCP/IP: Online-Aufzeichnen und (Offline) analysieren von Datenströmen, mit Spez. HW und SW auf Interlinks oder zwischen Server und Core-Netz SW-Analyzer und dedizierte HW-Analyzer (Wireshark, Fluke, JDSU) Übersicht Sniffing und Protkollanalyzer, Eigenschaften, Grenzen und Möglichkeiten (Marktübersicht, Preis/Leistung) In-Line und Off-Line Protokollanalyse TAP, Mirror-Port oder Repeater Filtermöglichkeiten, Filterregeln und HW-Filter, SW-Filter, Display-Filter Statistiken, Auswertungen und Aussagen Protokollanalyse Grundlagenwissen Betriebssystem-Theorie (Auffrischung): Aufbau eines Betriebssystems Prozess Management Memory Management Inter Process Communication Interrupts und die Kommunikation mit der Phripherie Grundlagenwissen Bash / Regular Expressions Grundlagen der Programmierung in der Bash Theorie der Regular Expressions Anwendung von Regular Expressions in der Bash Grundlagenwissen für das Reverse Engineering Vorkenntnisse Perl, Python, PHP oder eine andere Skript-Sprachen. Vertrautheit mit regulären Ausdrücken RegEx Lehrmittel Skript / kommentiertes Folienset Video Training: http://www.wireshark.org/docs/ Network Analyzer - Wireline Protocol Test: http://www.jdsu.com/de-de/testand-measurement/products/a-z-product-list/seiten/network-analyzer-wirelineprotocol-test-j6840.aspx Literaturempfehlungen: (siehe [1], [2]) Study Guide Security Incident Management Herbstsemester 2014 7/21

9.2 Prävention Kursbeschreibung Allgemein Nur minimal oder schlecht geschützte Infrastrukturen sind unabhängig von den darauf verarbeiteten Daten ein lohnenswertes Ziel für Missbrauch. Systeme sind daher gegen direkte und indirekte Angriffe zu schützen, sprich zu härten. Die Effektivität der Massnahmen kann beispielsweise mittels geeigneten Penetration Testing auf verschiedenen Ebenen geprüft werden. Aber auch gehärtete Systeme sind nie perfekt geschützt und neu gewonnenen Erkenntnissen müssen ständig in die implementierten Sicherheitsmassnahmen einfliessen. Lernziele Vulnerability- und Patch Management: Kenntnis über verschiedenen Arten von Schwachstellen, deren Einordnung und die entsprechenden Massnahmen zum Schutz von Infrastruktur und Systemen. Die Studierenden wissen, wo sie Informationen zu Schwachstellen beschaffen. Sie können für das eigene Unternehmen beurteilen, in welchem Zeitraum ein Patch eingespielt werden muss. Malware und Spam/Phishing-Protection: Möglichkeiten zum Schutz von Infrastruktur und Mitarbeitenden vor Malware und Spam kennenlernen. Aufzeigen, wie eine Malwareschutz Strategie mit verschiedenen Schutzringen die Grundlage für einen effizienten und effektiven Schutz legt. Kennenlernen der einzelnen Technologien, die den Schutz vor Malware und Spam ermöglichen. System Hardening: Serversysteme so aufbauen und konfigurieren, dass sie eine möglichst geringe Angriffsfläche bieten. Der Kurs ist zweigeteilt, der eine Teil behandelt das Hardening von Windows Servern, der andere Teil von Linux Systemen. Penetration Testing: Die Studierenden können ihre Systeme und Anwendungen auf Verwundbarkeiten hin testen. Sie wissen, mit welchen Arbeitsinstrumenten gearbeitet werden kann und kennen die nötigen Prozesse im Betrieb, um dies störungsfrei durchzuführen. Themen Vulnerability und Patch Management und die notwendigen Prozesse: Microsoft Windows vs. Unix Klassifizierung von Schwachstellen Informationsquellen Issue- und Vulnerability-Tracking Patch-Cycles, Testing und zeitliche Aspekte Grenzen des Vulnerability- und Patch Managements Malware und Spam-Protection: Übersicht über die verschiedenen Möglichkeiten sich vor Malware und Spam zu schützen Malwareschutz Strategien und Konzepte Kenntnis über die Grenzen des Schutzes Von dem klassischen, Signaturbasierten Scanner zu einem verteilten Ansatz mit verschiedenen Schutzelementen Malware- und Virenscanner Detektionsmöglichkeiten Study Guide Security Incident Management Herbstsemester 2014 8/21

Kursbeschreibung Themen Penetration Testing: Einordnung der Tests anhand der OSI-Layer 2-7 und Übersicht über die Tools (Portscanner, Vulnerability Scanner, Webapplication Scanner, unterstützende Hilfsmittel) Penetration Testing Standards (PTES, OSSTMM, OWASP, etc.) Vorbereitende Vorsichtsmassnahmen und Massnahmen für den Fall dass etwas schief geht Einsatz von Penetration Testing Frameworks (Metasploit & Co.) Portscanning (nmap, etc.) Vulnerability Scanning (nessus, etc.) Webapplication Scanning und manuelle Tests mittels Reverse Proxies (Webinspect, ZAP, w3af, skipfish, etc.) Was will ich / was erhalte ich / was mache ich daraus Grenzen des Penetration Testings Generelle Schutzmassnahmen auf Ebene Prozessor und Betriebssystem Never execute Bit (NX bit) ASLR (Address Space Layout Randomization) DEP (Data Execution Prevention) Härtungsmassnahmen für Unix Systeme am Beispiel von Linux: Generelles zu Unix Konzepten und Infrastrukturen Unix Hardening Guides Logging Partitionierung Härtung von Kernel und Netzwerkstack Authentisierung und Autorisierung Autorisierung Reduktion der Angriffsfläche durch Einschränken von Diensten Logging Integritätsprüfung SE Linux und AppArmor Sichere Remote Administration (SSH, etc.) Life Cycle Härtungsmassnahmen für Windows Systeme: Generelles zu Microsoft Konzepten und Infrastrukturen Windows Hardening Guides Benutzerverwaltung und Authentisierung Reduktion der Angriffsfläche durch Einschränken von Diensten Microsoft Active Directory, Security Templates und GPOs Tools zur Absicherung eines Windows Systems Microsoft Applocker MS Best Practice Analyzer / Microsoft Baseline Security Analyzer Lokale Firewall und Virenscanner Microsoft BitLocker Sichere Remote Administration (RDP, etc.) Logging Lehrmittel Skript / kommentiertes Folienset Literaturempfehlungen: (siehe [1], [2]) Study Guide Security Incident Management Herbstsemester 2014 9/21

9.3 Detektion Kursbeschreibung Allgemein Die Studierenden lernen, wie Angriffe auf Netzwerk- und auf Systemebene erkannt werden können. Sie können automatisierte von gezielten Angriffen unterscheiden und kennen die wichtigsten Werkzeuge um Angriffe zu erkennen und abzuwehren. Lernziele Logfile Analyse: Vorstellen der Konzepte zu einer zentralisierten Logsammlung. Erkennen von Angriffsmustern in Logdaten. Kennenlernen der Tools auf der Command Line für das effiziente Suchen in Logdaten. Arbeiten mit Splunk als Tool zur Sammlung und Verarbeitung von Logdaten. Network Intrusion Detection: Kennenlernen der verschiedenen Konzepte für die netzwerkbasierte Intrusion Detection. Erkennen von Angriffsmustern auf Netzwerkebene. Aufbau, Konfiguration und Einsatz von einem NIDS auf der Basis von Snort. Host Intrusion Detection: Kennenlernen der Komponenten eines Host Intrusion Detection Systems (Integritätsprüfung und Verhaltenserkennung). Kennenlernen eines Host Intrusion Prevention Systems für Endgeräte. Kochbuch Rezepte für die Angriffserkennung: Es werden drei Kochbuchrezepte vorgestellt, die in sich geschlossen sind und den Horizont für ungewöhnliche Erkennungsstrategien öffnen. Themen Logfile Analyse: Zentralisierung von Logs mit Hilfe von Syslog Logfile-Analyse auf der Commandline Pattern Matching Korrelationen Einsatz von Splunk zur Logfile Analyse Study Guide Security Incident Management Herbstsemester 2014 10/21

Kursbeschreibung Themen Network Intrusion Detection Systeme (NIDS): NIDS Typen Architektur eines NIDS Konfiguration von Snort Schreiben von Snort Rules Arbeiten mit Snort Andere NIDS Analyse von pcaps und Generieren von Snort Rules Praktische Übung am Beispiel von extremerat und ZeuS pcaps Analyse und Behandlung von DDOS Angriffen Arten von Angriffsszenarien (automatisch, Script, gezielt) DoS, Buffer Overflow, XSS, Malware Kommunikation Hostbasierte Analyse und Erkennung am Beispiel von OSSEC Integritätsprüfer Intrusion Prevention Systeme SIEM (Security Information and Event Management) Host Intrusion Detection: Konzept der Host basierten Intrusion Detection Elemente einer Hostbasierten Intrusion Detection auf Server Systemen Integrity Checking Systeme als einzige Möglichkeit, die Unversehrtheit eines Systems nachzuweisen Hostbasierte Analyse und Erkennung am Beispiel von OSSEC Verhaltensbasierte Intrusion Detection auf Endgeräten mit Hilfe eines HIPS (Host Intrusion Prevention System) Kochbuchrezepte für die Angriffserkennung: Angriffserkennung und Nachverfolgung mit Hilfe von PassiveDNS Angriffserkennung mit Hilfe eines Honeypots Nachverfolgen eines Angreifers anhand kleiner Spuren wie z.b. Spracheinstellungen im User Agent String des Browser. Lehrmittel Skript / kommentiertes Folienset Literaturempfehlungen: (siehe [1], [2]) Study Guide Security Incident Management Herbstsemester 2014 11/21

9.4 Analyse Kursbeschreibung Allgemein Malware ist nach wie vor eine der grössten Bedrohungen für eine Firma, insbesondere, wenn Malware im Kontext von gezielten Angriffen eingesetzt wird. Um den Impact eines Security Incidents mit Malware einschätzen zu können und um Gegenmassnahmen zu bestimmen, muss der CSIRT Mitarbeiter die gefundene Malware verstehen und analysieren können. Es gibt jedoch Situationen, bei denen mit Hilfe von dynamischer Analyse keine Informationen gewonnen werden können, z.b. weil die Malware nur auf bestimmten Geräten startet. In diesem Fall muss der Code mittels Reverse Engineering statisch analysiert werden. Lernziele Disk-Forensik: Einführung in die Funktionsweise von Festplatten und Dateisystemen, sowie die Datenträgerforensik (Disk, Flash und SSD Speicher). Die Teilnehmer erlernen und benutzen die Grundtechniken der Disk-Forensik im Kontext der Malware und Intrusion Analyse. Memory Forensik: Die Teilnehmer erlernen die Grundlagen der Memory Forensik und sind in der Lage diese Zwecks Detektion und Analyse von Malware einzusetzen. Dynamische Malware Analyse: Die Studierenden lernen die verschiedenen Malware Typen kennen und können diese, mittels der erlernten Techniken, auf bestimmte Merkmale hin analysieren. Reverse Engineering: Die Studierenden erhalten einen Einblick ins Reverse Engineering von Malware mit Hilfe von Debugger und Disassembler. Study Guide Security Incident Management Herbstsemester 2014 12/21

Kursbeschreibung Themen Disk-Forensik: Akquisition und Analyse eines Datenträgers Erstellen von Zeitlinien über angelegte, geänderte und gelöschte Dateien Suche von systemspezifischen Artefakten Carving von gelöschten Dateien Memory Forensik: Grundlagen des Memoryaufbaus und dessen Inhalten Memory Akquisition und Analyse Techniken und deren Anwendungsbereiche Analysetools wie Volatility und Redline Systemanalyse und Detektion von Anomalien mittels Memoryforensik Dynamische Malware Analyse: Dynamische Analyse mit verschiedenen Tools Analysieren von Malwaretraffic Aufbau und Kommunikation von Botnetzen Verhaltensbasierte Analyse Suchen von Strings in einer Malware Reverse Engineering: Assemblergrundlagen x86, 32Bit (Vorkenntnisse sind von Vorteil) Architektur x86 (Register, Memory Management, etc) Statische und dynamische Codeanalyse Aufbau eines Windows EXE Files Arbeiten mit Disassemblern (IDA, udis86) Arbeiten mit Debuggern (OllyDbg, Immunity, WinDbg) Grundlagen Kernel Debugging und der Windows API Umgang mit Packern und Codeobfuskierung Evtl. Reverse Engineering von mobile Apps (Android) Durchführung verschiedener konkreter Malwareanalysen mittels der oben genannten Techniken Vorkenntnisse Umfassendes Systemkenntnisse (Grundlagen der Computerarchitektur, Betriebssystemen, etc.) sowie gängiger Netzwerktechnologien und Protokolle. Insbesondere, Kenntnisse von Python und C. Grundlegende x86 Assemblerkenntnisse sind von Vorteil, werden aber am Anfang des Kurses vermittelt resp. Wiederholt (siehe auch Literatur oben). Lehrmittel Skript / kommentiertes Folienset Literaturempfehlungen: (siehe [3], [4], [5], [6]) Study Guide Security Incident Management Herbstsemester 2014 13/21

9.5 Reaktion Kursbeschreibung Allgemein Wird durch den Einsatz von entsprechenden Systemen und Werkzeugen ein Security Incident erkannt, muss darauf korrekt reagiert werden. Aus technischer Sicht ist es wichtig, zu entscheiden welche Massnahmen getroffen werden. Macht es Sinn ein System sofort vom Netzwerk zu trennen oder soll man das infizierte System noch weiter laufen lassen? Solche und ähnliche Fragen müssen im Falle eines Security Incidents oft unter hohem Zeitdruck beantwortet werden. Aus organisatorischer Sicht muss die zeitgerechte Kommunikation mit den richtigen Stellen intern wie extern sichergestellt werden. Zudem müssen die vorgängig definierten Rollen bei der Reaktion auf einen Incident aktiviert und eingebunden werden. Um ähnliche Incidents zukünftig zu verhindern, müssen die Lehren daraus gezogen werden. Nur so lässt sich das Risiko einer Wiederholung minimieren. Lernziele Technische Reaktion: Die Studierenden kennen die möglichen technischen Reaktionen (z.b. Tracking, Blocking, Sinkholing) auf einen Incident und erhalten die Grundlagen sich für eine Reaktion zu entscheiden Organisatorische Reaktion: Die Studierenden kennen die Prozesse, welche für den reibungslosen Betrieb eines CSIRT/CERT notwendig sind. Sie wissen wer im Falle eines Incidents beigezogen und mit wem kommuniziert werden muss. Sie besitzen die Grundlagen um die Lehren aus einem Incident zu ziehen und damit das Risiko einer Wiederholung zu minimieren. IT Risikomanagement: Sie kennen die Schnittstelle zum IT-Risikomanagement und können dieses mit aktuellen Bedrohungsszenarien versorgen. Auf der Basis von erkannten Risiken wissen die Studierenden wie sie ihre Detektions- und Abwehrmassnahmen verbessern können. Study Guide Security Incident Management Herbstsemester 2014 14/21

Kursbeschreibung Themen Reaktion auf einen Incident Tracking Blocking Take-Down Sinkholing Mitigation Entscheidungsfindung während eines Incidents Kommunikation im Incidentfall Rollen & Verantwortlichkeiten Organisatorische Schnittstellen Risikomanagement Vorbereitung auf einen Incident Zeitlicher Ablauf eines Incidents After Action Review Feedback in die Incident Prävention Global Incident Management Lehrmittel Skript / Folienset Literaturempfehlung: (siehe [7]) 9.6 Workshop Kursbeschreibung Allgemein Workshop mit MELANI und CSIRT des BIT. Lernziele Die Studierenden erhalten anhand von kleinen Aufgaben, die Möglichkeit den gelernten Stoff anzuwenden. Der Student wird dabei anhand eines Fragebogens durch die verschieden Teilaufgaben geführt. Themen Basiswissen Linux Basiswissen Windows Grundlagen Memory Forensik Netzwerk Analysen Mail Clients und deren Artefakte Passwort Cracken Schwachstellen Untersuchungen von Binaries Lehrmittel Die im Kurs abgegebenen Skripte Ein "Spickzettel" für die wichtigsten Tools Live-CD / VMware Image mit der Testumgebung "Google is your Friend" Study Guide Security Incident Management Herbstsemester 2014 15/21

10 Projektarbeit 10.1 Zielsetzung und Thema In der Semesterarbeit bearbeiten die Teilnehmer ein Projekt (ev. Teilprojekt) oder eine Fragestellung aus ihrer Firma. Mit dem gewählten Thema vertiefen die Studierenden die im Studium erlernten Methoden und lernen es in der Praxis anzuwenden. Themen von Semesterarbeiten können beispielsweise sein: Sicherheitsrelevanten Vorfalls im eigenen Betrieb Untersuchung und Nachstellung neuer Angriffsmethoden Vorfälle oder Projekte der Dozierenden 10.2 Ablauf Die Semesterarbeit umfasst ca. 90 (max. 120) Stunden Arbeit. Sie ist eine Einzel oder Gruppenarbeit und beinhaltet folgende Meilensteine (siehe auch Zeitplan): 1. In der Firma ein Thema suchen, und mit Vorteil einen Ansprechpartner/Betreuer in der Firma definieren. 2. Erstellen einer Projektskizze. 3. Kurzpräsentation des Themas an der SWS vor Dozentengremium mit anschliessendem Feedback durch die verantwortlichen Dozierenden. 4. Eventuell Überarbeitung der Projektskizze gemäss Feedback. 5. Zuordnung eines Experten durch die SWS. 6. Durchführung der Arbeit in eigener Terminplanung. 7. 2-3 Meetings mit dem Experten organisieren. a. Projektskizze besprechen / Kick-Off b. Zwischenreview / Beratung c. Schlusspräsentation 8. Abgabe des Berichtes an den Experten (per Email, auf Wunsch in Papierform) und per email an die SWS. Die Projektskizze umfasst eine ein- bis zweiseitige Aufgabenstellung und eine 10-minütige Power-Point Präsentation mit folgenden Teilen: 1. Titel 2. Umfeld 3. Problemstellung 4. Lösungsansatz (Vorgehen, Methoden) 5. Name und Kontaktadressen der Gruppenmitglieder, und des Ansprechpartners / Betreuers in der Firma Gruppenarbeiten sind erwünscht und meist von Vorteil für die Qualität der Arbeit und den Lernerfolg der Studierenden, sofern die gegebenen Rahmenbedingungen dies zulassen. Study Guide Security Incident Management Herbstsemester 2014 16/21

10.3 Ergebnis und Bewertung Der Bericht ist in elektronischer Form als PDF-Dokument an den Betreuer und Experten sowie an den CAS-Verantwortlichen zu senden. Auf Verlangen des Experten ist zusätzlich eine gedruckte Version abzugeben. Bericht: ca. 20 Seiten, Source Code nur sofern für die Projektbeurteilung notwendig. Bewertungskriterien Max Punkte Ist Punkte 1 Schriftlicher Bericht 80 1.1 Genereller Eindruck 16 Umfang, Vollständigkeit, Aufmachung Komplexität, Stringenz 1.2 Darstellung und Sprache verständlich, nachvollziehbar Stil, angemessener Fachjargon Grammatik und Orthografie 1.3 Ziele, Ausgangslage, Aufgabenstellung klar und verständlich beurteilbare Ziele 1.4 Methoden Aus der ersten Beschreibung wird das Problem nachvollziehbar strukturiert und analysiert Methodenauswahl ist begründet und nachvollziehbar Angemessene Literatur- und Quellenrecherche 1.5 Ergebnisse Methodik korrekt und professionell angewendet Fundierter Vergleich Zielsetzung vs. Erreichtes Neue Erkenntnisse und eigene Beiträge Klare und Präzise Schlussfolgerungen 1.6 Management Summary, Fazit vollständig, nur Wichtiges, ohne Nachschlagen verständlich Schwergewicht auf den Ergebnissen 8 8 16 24 8 2 Präsentationen 20 2.1 Formal 8 Zeitmanagement Aufbau Zielsetzung genannt Zusammenfassung 2.2 Inhaltlich logisch, nachvollziehbar Sprache, Rhetorik, Hilfsmittel Publikumsgerecht Wesentliches hervorgehoben 12 Total 100 xx Study Guide Security Incident Management Herbstsemester 2014 17/21

11 Kompetenznachweise Für die Anrechnung der 12 ECTS-Punkte ist das erfolgreiche Bestehen der Qualifikationsnachweise (Prüfungen, Projektarbeiten) erforderlich, gemäss folgender Aufstellung: Kompetenznachweis Gewicht Art der Qualifikation Erfolgsquote Studierende Bedrohung und Operational Security 0.5 Präsenz 0 100% Prävention 1.0 Gruppenarbeit / Prüfung 0 100% Detektion 1.0 Gruppenarbeit / Prüfung 0 100% Analyse 2.0 Gruppenarbeit / Prüfung 0 100% Reaktion 1.0 Gruppenarbeit / Prüfung 0 100% Workshop mit MELANI / CSIRT BIT 0.5 Gruppenarbeit (Workbook) 0 100% Fallstudie 4.00 Bewertete Projektarbeit 0 100% Gesamterfolgsquote 0 100% Gesamtgewicht 10.00 ECTS Note A bis F Alle Studierenden können in einem Qualifikationsthema eine Erfolgsquote von 0 bis 100% erarbeiten. Die gewichtete Summe aus den Erfolgsquoten pro Thema und dem Gewicht des Themas ergibt eine Gesamterfolgsquote zwischen 0 und 100%. Die Gesamterfolgsquote wird in eine ECTS Note A bis E umgerechnet, gemäss Studienreglement. Weniger als 50% Gesamterfolgsquote ergibt eine ungenügende Note F. Study Guide Security Incident Management Herbstsemester 2014 18/21

12 Dozierende Vorname Name Firma E-Mail Adrian Leuenberger IOprotect GmbH adrian@pebkac.ch Andreas Greulich andreas.greulich@spl.ch Anton Brunner advact AG anton.brunner@advact.ch Bruce Nikkel UBS AG bruce.nikkel@ubs.ch Eduard Blenkers Bundesamt für Informatik und Telekommunikation eddi@blenkers.net Endre Bangerter Berner Fachhochschule endre.bangerter@bfh.ch Heino Kronenberg Manuel Schilt Mauro Vignati Reto Inversini Bundesamt für Informatik und Telekommunikation Bundesamt für Informatik und Telekommunikation heino.kronenberg@bit.admin.ch mschilt@checkpoint.com mauro@vignati.ch reto.inversini@lab42.org Rolf Lanz Berner Fachhochschule rolf.lanz@bfh.ch Roman Hüssy admin@abuse.ch Hansjürg Wenger Berner Fachhochschule hansjürg.wenger@bfh.ch Philippe Seewer Berner Fachhochschule philippe.seewer@bfh.ch Stefan Egger Bundesamt für Informatik und Telekommunikation stefan.egger@bit.admin.ch Study Guide Security Incident Management Herbstsemester 2014 19/21

13 Ergänzende Lehrmittel Ergänzende Lehrmittel sind Empfehlungen, um den Stoff zu vertiefen oder zu erweitern. Die Beschaffung liegt im Ermessen der Studierenden: Nr Titel Autoren Verlag Jahr ISBN [1] LINUX, Das umfassende Handbuch Galileo Computing Galileo Openbook 2012 gratis PDF [2] RegEx-Tootorial vom Max Kleiner Max Kleiner Maxbox gratis PDF [3] Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code. Ligh et al. Michael Hale Ligh, Marcus Pinto, Dafydd Stuttard John Wiley & Sons 2014 ISBN: 978-1-118-90673-6 [4] Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software, Sikorski et al. Andrew Honig, Michael Sikorski No Starch Inc. 2012 ISBN: 978-1-59327-290-6 [5] Assembly Language for Intelbased Computers (Insbesondere Kap. 1-4, 6-7) Kip R. Irvine Prentice Hall 2007 ISBN: 0132383101, 9780132383103 [6] X86 Assembly Wikibooks Wikibooks 2013 Openbook [7] ENISA (European Network and Information Security Agency): Good Practice Guide for Incident Management ENISA 2014 Gratis Guide 14 Termine Stundenplan CAS SIM siehe Web Organisation Durchführungsdaten Herbst 2014. Study Guide Security Incident Management Herbstsemester 2014 20/21

15 Dokumenteninformation CAS SIM-HS14 2014-09-03 Die Inhalte und Angaben in diesem Study Guide können sich bis zum Studienstart noch verändern. Berner Fachhochschule Technik und Informatik Weiterbildung Wankdorffeldstrasse 102 CH-3014 Bern Telefon +41 31 848 31 11 Email: office.ti-be@bfh.ch ti.bfh.ch/weiterbildung ti.bfh.ch/cas-sim Study Guide Security Incident Management Herbstsemester 2014 21/21