In diesem Seminar werden alle relevanten Aspekte für die Nutzung von Schwachstellenscannern erläutert, von den Grundlagen und technischen Rahmenbedingungen bis hin zum Betrieb. Abgerundet wird das Seminar durch Demonstrationen und Praxisbeispiele.
Warum Sie diese Schulung besuchen sollten:
Sicherheitsrelevante Schwachstellen in Software sind allgegenwärtig. Man hört immer wieder von Datenlecks, Hacks und Notfall-Patches. Das ist nicht weiter verwunderlich. Software wird immer komplexer und mit zunehmender Komplexität steigt das Risiko, dass Fehler auftreten.
Da sich Schwachstellen nicht vermeiden lassen, muss man damit sinnvoll umgehen. Der erste und wichtigste Schritt dabei ist, die Schwachstellen zu kennen. Hier können diverse Tools unterstützen, von kommerziellen und einfach zu benutzenden Appliances bis hin zu Bibliotheken für komplexe Eigenentwicklungen, die für Spezialfälle relevant sein können.
Dieses Seminar beschäftigt sich genau mit dieser Technologie auf verschiedenen Ebenen. Dazu werden zunächst die notwendigen Grundlagen vermittelt, beispielsweise die Einstufung von Schwachstellen nach dem „Common Vulnerability Scoring System“ (CVSS) sowie Arten von Schwachstellen und Informationsquellen wie die CVE-Datenbank.
Ausgehend davon werden technische sowie betriebliche Aspekte von Schwachstellenscannern erläutert. Diese umfassen die verschiedenen Betriebsmodi, Netzwerkaspekte sowie Vorteile, Nachteile, Möglichkeiten und Einschränkungen. Es werden ebenfalls die Herangehensweisen der verbreitetsten kommerziellen und freien Tools beschrieben.
Des Weiteren wird die Schwachstellenanalyse bei (individualisierten) Web-Anwendungen betrachtet. Diese verhalten sich anders als typische Services und erfordern spezielle Tools und weiteres Know-how. Die Auswirkungen dieses Verhaltens und die gängigen Tools werden näher untersucht.
Nicht nur klassische „Scanner“ können genutzt werden, um Schwachstellen aufzudecken. Ein Angreifer wird typischerweise auch weitere, teilweise selbst entwickelte oder spezialisierte Tools verwenden. Einige der gängigsten Tools und Frameworks in diesem Umfeld werden erläutert sowie Möglichkeiten für die „defensive“ Nutzung dargestellt.
Das Seminar wird abgerundet durch eine Demonstration einiger der dargestellten Tools.