Vom 5. bis 17. Oktober 2015 organisiert das SANS Institut in Prag wieder seinen Summit sowie Trainings zum Thema Digitale Forensik und Incident Response Management. Unter den acht Kursen, die Teilnehmer im Rahmen der Veranstaltung besuchen können, findet sich auch der Kurs FOR578: Cyber Threat Intelligence, der Ermittler im Umgang mit digitalen Bedrohungen schult. Das weltweit bereits erfolgreiche Training von Autor Robert M. Lee wird somit erstmals im europäischen Raum angeboten.
Moderne Netzwerk-Verteidigung und Incident-Response besteht zu einem Großteil aus Intelligenz (=Intelligence) und Spionageabwehr. Ziel des Kurses ist, Security-Analysten ein Verständnis dieser Komplexe zu vermitteln und so Computer, Netzwerke und persönliche Daten im Unternehmensumfeld besser schützen zu können. An den fünf Kurstagen vom 12. – 16. Oktober erwerben Network Defender und Incident Responder unter dem Motto „Es gibt keinen besseren Lehrer als den Feind“ umfangreiches Wissen über hartnäckige Gefahren. Sie lernen, Threats aufzuspüren, auf sie zu reagieren und sie abzuwehren. Nach dem Kurs sind sie imstande, sämtliche Eingriffe von professionellen Hackern zu analysieren sowie um Intrusion Kampagnen und die dahinter stehenden Angreifer in den richtigen Zusammenhang zu setzen. Sie wissen, wie sie auf bestehendes Wissen aufbauen können, um Profile von Angreifer-Gruppen zu erstellen und vieles mehr.
FOR578 wappnet Organisationen gegen die immer fortschrittlicheren Mittel von Kriminellen, mit denen diese die meisten konventionellen Verteidigungsmechanismen umgehen, unentdeckt in das Netzwerk eindringen und dort oft über Monate oder sogar Jahre hinweg frei agieren. Robert M. Lee will seinen Studenten vermitteln, wie sie „den Eindringlingen an Wissen überlegen“ sind, damit sie die Möglichkeiten der Response- und Detection-Programme besser nutzen können. Informationen zu FOR578 finden Sie hier: https://www.sans.org/event/dfir-prague-2015/course/cyber-threat-intelligence
Ein gut ausgebildeter Incident Handler ist oft die einzige Instanz des Unternehmens gegen Angriffe von außen. Diese Rolle verantwortungsvoll auszufüllen, verlangt von den Experten ausgeprägte Fähigkeiten zur Angriffsabwehr und digitalen Spurensuche. Um diese auf den neuesten Wissensstand zu bringen, vermittelt das Curriculum des Events in sieben weiteren Kursen aktuellstes Know-How. Die Absolventen von FOR 408 Windows Forensis Analysis lernen etwa bei Trainer Rob Lee, der sich auch als Curriculum Lead für die Trainingsentwicklung im Bereich Forensik verantwortlich zeichnet, fundiertes Wissen in Microsoft Windows. Bisher sind die meisten Analysten aber nur mit Windows-Betriebssystemen vertraut, jedoch sind Apple Macs durch die beliebten iDevices inzwischen immer verbreiteter. Um diese Wissenslücke zu füllen, stattet Sarah Edwards ihre Studenten in FOR518 Mac Forensic Analysis mit den nötigen Werkzeugen und Techniken aus, einen Mac-Fall problemlos zu lösen. Durch Ausbildung im Umgang mit HFS+ File Systems, Mac-Applikationen und vielen weiteren nur bei Mac auftauchenden Features, möchte sie perfekte Detektive in einer bisher auf Windows basierenden Ermittlungslandschaft schaffen. Die inzwischen völlig selbstverständliche Verwendung von smarten Mobiltelefonen im beruflichen und privaten Alltag führt darüber hinaus zu einer zunehmenden Verbreitung von für die digitale Forensik relevanten Plattformen wie Android, Blackberry, iOS oder Windows Phone, die in den meisten Untersuchungen von größter Relevanz sind. Hier schult der Kurs FOR585: Advanced Smartphone Forensics die Untersuchung von Smartphones, in denen sich häufig Malware und Artefakte der digitalen Forensik finden.
Aber nicht nur das momentane Geschehen im Netzwerk und auf verschiedenen Betriebssystemplattformen ist wichtig, Hacker hinterlassen auch Spuren auf dem RAM eines Systems. Diese nicht zu beachten ist, als würde man Beweismaterial am Tatort zurücklassen. FOR526 Memory Forensics In-Depth bei Alissa Torres zeigt, wie man gesicherte Speicherstände physikalisch und digital untersucht. Getreu dem Wahlspruch „Malware kann sich verstecken, aber sie muss sich beeilen“, bedient sich der Kurs praktischer Tipps von Experten und hilft Ermittlern, die Absichten von Hackern und vermeintlichen Vertrauenspersonen zu durchschauen. „Extremer Wissensvorsprung, großartige Menschen“, urteilte ein Teilnehmer des letzten DFIR im Jahr 2014. Die Veranstalter sind fest entschlossen, an dieses Feedback anzuschließen. Das Kursprogramm sowie Informationen zu dem in das Trainingsevent eingebetteten Kongress finden Sie hier: https://www.sans.org/event/dfir-prague-2015