Security Monitoring

Proaktive Abwehr, Angriffserkennung, reaktive Maßnahmen

Die Überwachung der eigenen Sicherheitslage ist eine enorme Herausforderung. Lernen Sie mehr darüber sowie über Technologien und Maßnahmen zur optimalen Bewältigung der Aufgaben. Tag 1: Anforderungslage und Elemente eines ganzheitlichen Security Monitoring

Umgang mit zielgerichteten Angriffen und Gefährdungslage

• Welche Angriffsmethoden werden genutzt und wie sieht ein typischer Werkzeugkasten auch im Zeitalter von Künstlicher Intelligenz eines Angreifers aus?

• Was sind zielgerichtete Angriffe und welche Rolle spielt Cyber Crime as a Service (CCaaS)?

• Analyse von bekannten Angriffen: Warum sind system- und anwendungsübergreifende Strategien notwendig?

• Wie können Symptome von Angriffen erkannt werden und welche Rolle spielt Security Monitoring?

Relevante Standards und Vorgaben für das Security Monitoring 

• Bedeutung eines Information Security Management System (ISMS) für den Umgang mit der Bedrohungslage durch Cyber-Angriffe

• Anforderungen in gängigen Standards und Regularien wie ISO/IEC 27001, BSI-IT-Grundschutz, BSI-Mindeststandards, IEC62443, NIS 2, etc.

• Rolle der Orientierungshilfe zu Systemen zur Angriffserkennung durch das BSI

Relevante Standards und Vorgaben

• Umgang mit Gefahren und Anforderungen durch standardisierte Sicherheitskomponenten

• Systematisches Schwachstellen-Management und zugehöriger Werkzeugkasten

• Absicherung von Administrations- und Monitoring-Umgebungen der IT

• MITRE ATT&CK und andere Frameworks (u.a. Security Intelligence als Outcome)

Aufbau eines SOC (1/2)

• Security Incident Management: Prozesse zur Behandlung von Sicherheitsvorfällen

• Von Change Management über das Incident Management bis zum Notfallmanagement: Schnittstellen zu IT-Prozessen

• Risikomanagement als unabdingbare Grundlage

Aufbau eines SOC (2/2)

• Aufbau eines Security Operation Center (SOC) mithilfe von

• Security-Event-and-Information-Management-(SIEM-)Systemen

• EDR, NDR, XDR,

• Next-Generation Firewalls

• Herausforderung Managed SOC

• Herausforderung begleitender Prozesse bei der Automatisierung

Tag 2: Details der Technik

Asset Discovery

• Definition Asset und Asset-Eigenschaften

• Systematische Erfassung von Assets als Grundlage für Compliance und Vulnerability Management

• Relevante Standards und Frameworks

• Generelle Methodik

• Technische Elemente

• Tools

Schwachstellenscanner – die eigenen offenen Flanken erkennen (1/2)

• Technische Grundlagen von Schwachstellenscannern

• Erkennung von unbekannten Geräten

• Erweiterte Funktionen

Schwachstellenscanner – die eigenen offenen Flanken erkennen (2/2)

• Integration in das eigene Netzwerk

• Web-Anwendungen scannen – eine Welt für sich

• Risiken und Datenschutz

SIEM – Security Information and Event Management (1/2)

• Abgrenzung Log-Management

• Architektur, Funktionsweise von SIEM-Lösungen

• Wie funktioniert eine anwendungs- und systemübergreifende Erkennung von Anomalien und Angriffen?

• Herausforderung Anbindung von Systemen und Vorfilterung von Informationen

• Besondere Bedeutung von Künstlicher Intelligenz

SIEM – Security Information and Event Management (2/2)

• Welche Produkte sind am Markt verfügbar und was leisten sie?

• Forensische Analyse: Warum das Gedächtnis eines SIEM durchaus mehr als nur ein paar Monate umfassen sollte und welche Storage-Anforderungen sich hieraus ergeben.

• Ist ein SIEM nur passiv oder könnte auch aktiv und selbständig ein Sicherheitsvorfall beseitigt werden?

SOAR – Security Orchestration, Automation and Response

• Technische Grundlagen (Use Cases, Playbooks, )

• Herausforderung bei der Automatisierung von Prozessen

• Braucht es menschliche Plausibilitätschecks?

• Beispiele automatisiert ausgelöster Reaktionen aus der Praxis

Lernziele

• welche Anforderungen anerkannte Standards stellen und mit welchen Techniken diese Anforderungen umgesetzt werden können,

• welche Kernprozesse für die operative Informationssicherheit notwendig und welche Schnittstellen zu anderen (IT-)Prozessen erforderlich sind,

• welche Werkzeuge in der operativen Informationssicherheit eingesetzt werden und welche rechtlichen Aspekte zu berücksichtigen sind,

• wie konform zur Datenschutzgrundverordnung (DSGVO) gearbeitet werden kann,

• welche rechtlichen Aspekte bei (ggf. sogar aggressiven) Security-Tests zu beachten sind und

• was bei der Protokollierung von Aktivitäten in der IT und bei Zugriffen auf diese Protokolle berücksichtigt werden muss.

Zielgruppen

• Betreiber

• Administratoren

• Projektleiter

• Planer

• Rechenzentrumsleiter

  Das Seminar richtet sich an alle, die sich mit der komplexen Welt der sicherheitsrelevanten Ereignisse auseinandersetzen müssen. Sie erhalten Einblicke in die Herangehensweisen für ein umfassendes Sicherheitsmonitoring und können sich davon inspirieren lassen. Teilnehmende sind sowohl Rechenzentrumsleiter als auch Administratoren, Planer und Projektleiter, die diese Aspekte in ihrer täglichen Arbeit berücksichtigen wollen oder müssen