SecOps: Operative Informationssicherheit

Tag 1

Umgang mit zielgerichteten Angriffen
Dr. Simon Hoff, ComConsult GmbH 

• Wie zielgerichtete Angriffe bzw. Advanced Persistent Threats (APTs) funktionieren und welche Bedrohungen davon ausgehen.
• Welche Angriffsmethoden werden genutzt und wie sieht ein typischer Werkzeugkasten eines Angreifers aus?
• Analyse von bekannten Angriffen: Warum sind system-und anwendungsübergreifende Strategien notwendig?
• Wie können Symptome von Angriffen erkannt werden und welche Rolle spielen Protokollierung, Next-Gen SIEM und Big Data?
• Sicherheitsgateways im Netzwerk zur Abwehr von Angriffen
• Notwendigkeit einer effektiven und effizienten operativen Informationssicherheit
• Entscheidende Grundlage: Security by Design
• Bedeutung eines Information Security Management System (ISMS) für den Umgang mit zielgerichteten Angriffen
• Sensibilisierung der Nutzer und Administratoren

Elemente der operativen Informationssicherheit
Dr. Simon Hoff, ComConsult GmbH 

• Anforderungen in Standards: ISO 27001 und BSI IT-Grundschutz-Kompendium
• Wie unterscheiden sich spezielle Bereiche wie z.B. Industrial IT und gibt es besondere Anforderungen für Kritis-Bereiche?
• Absicherung von Administration und Monitoring der IT
• Privileged Access Management (PAM): Kontrolle und Protokollierung administrativer Zugriffe
• Aufbau eines Security Operation Center (SOC)
• Prozesse der operativen Informationssicherheit
• Systematisches Schwachstellen-Management und zugehöriger Werkzeugkasten
• Security by Design: Integration der operativen Informationssicherheit in den Lebenszyklus von IT-Komponenten
• Security Testing und Penetration Testing
• Welche Anforderungen an Security Tests gibt es in Standards zur Informationssicherheit und zur Softwareentwicklung?
• Kernelement Security Incident Management / Prozess zur Behandlung von Sicherheitsvorfällen
• Von Change Management über das Incident Management bis zum Notfallmanagement: Schnittstellen zu IT-Prozessen
• Ohne Risikomanagement geht es nicht

Tag 2

Schwachstellen-Scanner und andere Testwerkzeuge
Dr. Markus Ermes 

• Wie Schwachstellen-Scanner funktionieren und welche Möglichkeiten sie bieten
• Scanning auf Netzwerk-, Betriebssystem- und Anwendungsebene
• Scanning und Security Testing von Web-Anwendungen und Web-Services
• Produktbeispiele: Nessus, OpenVAS, Burp, ZAP und andere Werkzeuge
• Automatisiertes Schwachstellen-Scanning
• Integration von Schwachstellen-Scannern in internes Netz und in den DMZ-Bereich
• Werkzeuge und Vorgehensweisen für Penetration Tests
• Risiken beim Schwachstellen-Scanning und Penetration Testing
• Elemente eines Konzepts für Schwachstellen-Scanning, Security Testing und Penetration Testing
• Festlegung von Scan-Zielen und Vorgaben zu Scan-Methode, Testtiefe, Testfrequenz
• Auswertung von Scan- bzw. Testergebnissen und zugehöriges Berichtswesen

Security Information and Event Management (SIEM)
Simon Oberem, ComConsult GmbH 

• Architektur, Funktionsweise von SIEM-Lösungen und Abgrenzung zu Log Management
• Welchen Mehrwert bietet ein SIEM für den Nutzer?
• Typische Anforderungen an eine SIEM-Lösung
• Wie funktioniert die Anbindung der IT an ein SIEM?
• Schnittstellen zu Ticketing-Systemen und Systemen der operativen Informationssicherheit
• Wie funktioniert eine anwendungs- und systemübergreifende Erkennung von Anomalien und Angriffen?
• Besondere Bedeutung von Künstlicher Intelligenz
• Forensische Analyse: Warum das Gedächtnis eines SIEM durchaus mehr als nur ein paar Monate umfassen sollte und welche Storage-Anforderungen sich hieraus ergeben.
• Welche Produkte sind am Markt verfügbar und was leisten sie?
• Ist ein SIEM nur passiv oder könnte auch aktiv und selbständig ein Sicherheitsvorfall beseitigt werden?
• Ausschreibung, Planung und Einführung eines SIEM
• SIEM as a Service und Managed SIEM: Betriebsformen, Möglichkeiten und Grenzen des Outsourcing
• Prozesse, typische Organisationsformen und notwendige Kompetenzen für Betrieb und Nutzung eines SIEM
• False Positives und andere Risiken: Worauf ist beim Betrieb eines SIEM zu achten?

Automatisierte Abwehr von Angriffen und anderen Sicherheitsvorfällen
Simon Oberem, Daniel Prinzen, ComConsult GmbH 

• Network Access Control (NAC): Einsatz von Profiling-Techniken
• Next Generation NAC und Compliance Checks
• Dynamische Netzsegmentierung: SDN-basierte Konzepte, Mikrosegmentierung mit VMware NSX und Cisco SDA
• Interaktion zwischen Sicherheitskomponenten zur Erkennung und Abwehr von Angriffen
• User and Entity Behavior Analytics in Verbindung mit dynamischen Policies auf Sicherheitskomponenten
• Auslösen von Aktionen auf Sicherheitskomponenten durch ein SIEM

Praxisdemonstrationen
Dr. Markus Ermes, Daniel Prinzen, ComConsult GmbH 

Tag 3

Rechtliche Aspekte und Datenschutz in der operativen Informationssicherheit
Ulrich Emmert, esb Rechtsanwälte 

• Welche Elemente der operativen Informationssicherheit leiten sich aus dem IT-Sicherheitsgesetz ab und welche Vorgaben müssen Betreiber kritischer Infrastrukturen hier beachten?
• Schwachstellen-Scanning, Penetration Testing und andere ggf. destruktive Tests: Haftungsrisiken, wenn tatsächlich etwas kaputtgeht
• Welche Auswirkungen hat die DSGVO auf das Security Testing und welche anderen gesetzlichen Rahmenbedingungen sind hier zu berücksichtigen?
• Wann ist Security Testing eine Auftragsverarbeitung und welche technischen und organisatorischen Maßnahmen sind zu empfehlen?
• Log Management und SIEM: Wie sollte hier mit protokollierten Personendaten umgegangen werden und wann ist Protokollierung eine Auftragsverarbeitung?
• Welche anderen gesetzlichen Rahmenbedingungen sind bei Log Management und SIEM zu beachten?
• Unterschiede Pseudonymisierung und Anynomisierung
• Warum bei Log Management und SIEM Anonymisierung nicht sinnvoll ist und dagegen eine Pseusdonymisierung notwendig ist.
• Pflichten zur Verwendung von Pseudonymisierung und Verschlüsselung
• Kriterien für Pseudonymisierung und Depseudonymisierung von Logdaten
• Überwachung bei Einsatz von Datenverschlüsselung
• Welche Zusatzmaßnahmen bei einer Pseudonymisierung erforderlich sind.
• Protokollierung von (administrativen) Zugriffen aus der Perspektive von Betriebsrat und Personalrat
• Automatisierung in der operativen Informationssicherheit: Was ist zulässig und wann ist ein menschliches Korrektiv erforderlich?