Kurs 7: Erkennung von und Reaktion auf Vorfälle Willkommen zu Kurs sieben, Erkennung von und Reaktion auf Vorfälle. Wenn ein Eindringling monatelang unbemerkt von Ihren Systemen, Administratoren, Sicherheitsspezialisten und Endbenutzern in Ihre Systeme eingedrungen ist, kommt dies einer Übergabe der Schlüssel zu Ihrem Unternehmen oder Ihrer Organisation an den Eindringling gleich. In vielen Fällen stellen Unternehmen fest, dass sie Opfer einer Datenpanne geworden sind, wenn sie von anderen erfahren, dass ihre privaten Daten im Dark Web zum Verkauf angeboten wurden. Viele führende Stimmen in der Sicherheitsbranche sagen, dass wir alle mehr tun müssen, um die Eindringlinge in unseren Mythen zu erkennen. Viele sagen sogar, dass das Aufspüren von Eindringlingen die Priorität für Sicherheitsexperten sein sollte. Ransomware-Angriffe sind zu einem großen Geschäft geworden, bei dem es nicht nur um groß angelegte Erpressungsangriffe geht, sondern auch um den Verkauf von Ransomware-Angriffswerkzeugen und -diensten sowie um die Verwertung von Daten, die während des Einbruchs exfiltriert wurden. Regierungsbeamte und Branchenexperten auf der ganzen Welt haben sich zu dieser neuen und sehr beunruhigenden Variante des Geschäftsmodells von Advanced Persistent Threats oder APT-Angreifern geäußert. In diesem Kapitel werden wir uns auf die Erkennung von Eindringlingen und Vorfällen konzentrieren. Viele der Tools, Techniken, Technologien und Ideen, die Sie hier sehen werden, wurden bereits in früheren Kapiteln behandelt. Dieser Kurs führt sie zusammen und beginnt mit der Erörterung des zentralen Themas der Erkennung des Eindringlings. Modell eins verwendet die Konzepte der Vorboten und Indikatoren, also der Signale, die uns eine Vorwarnung und einen echten Alarm über ein Risikoereignis geben, und des Konzepts der Kompromittierungsindikatoren, also der Signale, von denen wir sicher sind, dass sie nur bedeuten können, dass ein feindlicher Agent sich Zugang verschafft hat. In Modul zwei werden diese Ideen und Konzepte um die Frage erweitert, was zu tun ist, nachdem Sie ein mögliches Eindringen entdeckt haben, und so Ihr Verständnis für die Reaktion auf einen Vorfall erweitert. In Modul drei geht es weiter mit einem tieferen Einblick in die Unterstützung forensischer Untersuchungen. Forensik ist ein auf Beweisen basierender Prozess, bei dem logisch und leidenschaftslos über eine Situation oder ein Ereignis nachgedacht wird. Es ist Ihr inneres Kind, das sich etwas ansieht und Fragen stellt. Dann stellen Sie nach jeder dieser Fragen weitere Fragen und lassen die Fakten, die Sie finden, Ihr wachsendes Verständnis dessen, was passiert ist, wie, warum und wo, wer es getan hat und welche Auswirkungen es haben könnte, einrahmen und formen. Wenn Sie diese Fragen beantwortet haben, können Sie die Kontrollen zur Risikominderung erneut überprüfen, um festzustellen, welche Kontrollen gegebenenfalls geändert, ersetzt oder ergänzt werden müssen.
Erkennung von und Reaktion auf Vorfälle
Dieser Kurs ist Teil von (ISC)² Zertifizierter Praktiker für Systemsicherheit (SSCP)
Unterrichtet auf Englisch
Einige Inhalte können nicht übersetzt werden
Dozent: (ISC)² Education & Training
4.676 bereits angemeldet
Kurs
(34 Bewertungen)
Empfohlene Erfahrung
Kompetenzen, die Sie erwerben
- Kategorie: Erkennung von und Reaktion auf Vorfälle
Wichtige Details
Zu Ihrem LinkedIn-Profil hinzufügen
10 Quizzes
Kurs
(34 Bewertungen)
Empfohlene Erfahrung
Erfahren Sie, wie Mitarbeiter führender Unternehmen gefragte Kompetenzen erwerben.
Erweitern Sie Ihre Fachkenntnisse
- Lernen Sie neue Konzepte von Branchenexperten
- Gewinnen Sie ein Grundverständnis bestimmter Themen oder Tools
- Erwerben Sie berufsrelevante Kompetenzen durch praktische Projekte
- Erwerben Sie ein Berufszertifikat zur Vorlage
Erwerben Sie ein Karrierezertifikat.
Fügen Sie diese Qualifikation zur Ihrem LinkedIn-Profil oder Ihrem Lebenslauf hinzu.
Teilen Sie es in den sozialen Medien und in Ihrer Leistungsbeurteilung.
In diesem Kurs gibt es 4 Module
In Kapitel 5 haben wir die Entwicklung von der einfachen Host-basierten Intrusion Detection über die netzwerkbasierte Intrusion Prevention bis hin zu integrierten SIEM-Systemen (Security Information and Event Management) gesehen. Bei jedem Schritt auf diesem Weg wurde versucht, alle möglichen Signale aus allen Elementen der IT- und OT-Architekturen eines Unternehmens zusammenzutragen und diese Signale dann zu analysieren und zu nutzen, um festzustellen, ob sie auf einen möglichen Angriff oder ein Eindringen hindeuten.das Ziel einer solchen Reihe von Prozessen, das Ziel des Sammelns, Zusammenstellens und Auswertens all dieser Informationen, ist der Versuch, drei Fragen zu beantworten:was ist gerade mit uns passiert?was ist uns vor einiger Zeit passiert, aber wir haben es nicht bemerkt?ist es in beiden Fällen zu spät, etwas dagegen zu unternehmen?ein Teil dieser Entwicklung hin zu SIEMs und der nächsten Generation von Intrusion Detection and Response Systemen (und der übernächsten Generation) ist die Idee der All-Source Intelligence als Input und Prozess. Die Idee, alle möglichen Daten aus den unwahrscheinlichsten Kanälen zu nutzen, ist nicht neu: Geschäftsprognosen und Marktanalysen, nationale Wetterdienste und natürlich auch das Militär und nationale Sicherheitsorganisationen tun dies schon seit Jahren. Diese und viele andere Berufsgruppen wissen, dass die Umwandlung von Informationen in verwertbare Informationen, d.h. die Art von Schlussfolgerungen und Behauptungen, auf die sich Führungskräfte und Manager bei ihren Entscheidungen stützen können, ein ebenso breites Spektrum an Analyseansätzen und Ideen erfordert wie die Bandbreite der beobachteten Quellen.all-Source Intelligence als Cybersicherheitsoperation umfasst weit mehr als nur Überwachung.bei der Überwachung geht es im Allgemeinen darum, die Dinge zu beobachten, die Sie bereits kennen: die Systeme, die Endpunkte, die Personen, die sie benutzen und den Datenverkehr in den Netzwerken. Bei der Überwachung geht es oft darum, Beobachtungen mit Schwellenwerten oder Alarmschwellen zu vergleichen. Wie wir sehen werden, geht der Prozess der All-Source-Intelligence über die Überwachung hinaus, aber er spielt eine wichtige Rolle bei der Verbesserung der Überwachungsfunktion, die immer noch gut ausgeführt werden muss.keine Untersuchung der Überwachung oder der Erkennung von Vorfällen wäre vollständig, ohne einen Blick auf die damit verbundenen Compliance-Anforderungen zu werfen, und wir werden dieses Thema nutzen, um die vielen Fäden dieses Moduls zusammenzuführen.
Das ist alles enthalten
18 Videos6 Lektüren4 Quizzes
Ein Informationssicherheitsvorfall ist eine Reihe von einem oder mehreren Ereignissen oder Veränderungen im Zustand eines Informationssystems, einer Anlage oder einer Architektur, die sofortige und unmittelbare Sicherheitsmaßnahmen zur Bewertung, Eindämmung, Reaktion und Wiederherstellung erfordern.gut vorbereitete Unternehmen können mit etwas Geschick und Glück die Schäden an Vermögenswerten und die Unterbrechung von Geschäftsprozessen begrenzen, die ein Vorfall sonst verursachen könnte.schlecht vorbereitete Unternehmen machen bei der Charakterisierung und Behandlung eines Vorfalls mit größerer Wahrscheinlichkeit schwerwiegende Fehler und fügen sich dabei möglicherweise selbst größeren Schaden zu.der richtige Umgang mit Vorfällen im Bereich der Informationssicherheit hängt ebenso sehr von den täglichen Geschäftsprozessen ab wie von den Besonderheiten der Reaktionsprozesse auf Vorfälle.die Erkennung eines Vorfalls, die Bewertung, Eskalation, Kommunikation, Wiederherstellung und das Lernen aus dem Vorfall sind Aktivitäten, die typischerweise in den Prozess der Reaktion auf einen Vorfall in einem Unternehmen integriert sind. Die Klärung der Frage, wer was bei einem Vorfall und unter welchen Umständen tut, wird dem Unternehmen bei der Wiederherstellung seiner Geschäftsfunktionen sehr helfen.der Sicherheitsexperte sollte seine rechtlichen und organisatorischen Verantwortlichkeiten für das Incident Management kennen und in der Lage sein, die Aktivitäten und die allgemeine Effektivität der Incident Response-Praxis des Unternehmens zu bewerten.
Das ist alles enthalten
9 Videos4 Lektüren2 Quizzes
Die Untersuchung digitaler Forensik als Prozess und als Studienfach ist eine faszinierende und aufregende Kombination von Herausforderungen. Diejenigen, die an solchen Untersuchungen beteiligt sind, stellen fest, dass ihre kreativen Fähigkeiten, ihre Aufmerksamkeit für Details und ihre angeborene Neugier bis an die Grenzen gefordert werden, wenn sie versuchen, die menschlichen, organisatorischen und technischen Aspekte eines Vorfalls im Bereich der Informationssicherheit zu erfassen. Diejenigen, die die Ermittler entweder vor oder während der Untersuchung unterstützen, sind ebenso gefordert, allerdings auf ganz andere Weise. Das Support-Team hat Aufgaben, die es im Rahmen der Bereitstellung von Dienstleistungen für die Ermittler, die Führungskräfte und Manager des Unternehmens und die Endbenutzer im Unternehmen erfüllen muss, und es muss diese Aufgaben mit felsenfester Zuverlässigkeit und Verlässlichkeit nach bestem Wissen und Gewissen ausführen. Einfach ausgedrückt: Sie müssen Verfahren befolgen und sicherstellen, dass alle erforderlichen Prozesse Schritt für Schritt und im Detail eingehalten werden.modul 2 betonte die Notwendigkeit einer soliden Vorbereitung und Planung, bevor der erste Zwischenfall eintritt, und einer flexiblen, reaktionsschnellen und agilen Denkweise, um diese Pläne anzupassen, wenn der erste Zwischenfall eintritt und zeigt, dass die Pläne geändert werden müssen. Die Vorbereitung auf die Untersuchung von Vorfällen ist ein wichtiger Teil der Aufgaben, die das Sicherheitsteam erfüllen muss.um diese Vorbereitung ins rechte Licht zu rücken, werden wir in diesem Modul den Untersuchungsprozess selbst genauer betrachten. Dabei werden wir Möglichkeiten aufzeigen, wie vorausschauende Sicherheitsexperten das Unternehmen, seine Benutzer, seine IT- und OT-Mitarbeiter sowie seine Manager und Führungskräfte darauf vorbereiten können, verschiedene Arten von forensischen Untersuchungen zu unterstützen, wenn diese notwendig werden.in Modul 3 werden einige der Techniken einer digitalen forensischen Untersuchung vorgestellt. Diese Techniken werden Ihnen vielleicht nützlich sein, wenn Sie einen Vorfall untersuchen, an dem ältere Technologiesysteme (z.B. in OT-Architekturen) oder kleinere, lokal gehostete SOHO- oder SMB-Umgebungen beteiligt sind. Die gleichen grundlegenden Konzepte gelten auch in der Cloud und in der Welt von Big Data, aber die Skalierung auf diese Ebene erfordert einen ganz anderen Ansatz und eine andere Denkweise in Bezug auf die Forensik. Lassen Sie uns einen genaueren Blick darauf werfen.
Das ist alles enthalten
6 Videos2 Lektüren3 Quizzes
Dieses Kapitel hat gezeigt, wie sich der Schwerpunkt, die Perspektive und die Betonung der Erkennung von und der Reaktion auf Vorfälle in den letzten zehn Jahren verändert haben, und zwar dramatisch verändert. Früher konzentrierten sich Sicherheitsexperten auf die Identifizierung, Aufzählung und Sicherung von Vermögenswerten; sie konzentrierten sich auf die Absicherung von Systemen und Netzwerken. Diese Anstrengungen waren notwendig, aber sie bedeuteten manchmal, dass die Aufdeckung eines Einbruchs oder eines Eindringens eine geringere Priorität hatte. Viele der Schlagzeilen machenden Cyberverletzungen und Lösegeldangriffe der letzten Jahre zeigen, dass die Angreifer die sechs bis acht Monate ausgenutzt haben, die ein durchschnittliches Unternehmen braucht, um zu bemerken, dass ein Eindringling in seine Systeme eingedrungen ist (Vergangenheitsform). Das muss sich ändern. All-Source-Intelligence als Mittel zur Identifizierung und Charakterisierung möglicher Eindringlinge erweist sich als leistungsfähige Methode, um Einblicke in Ihre Systeme zu gewinnen und Eindringlinge (oder Versuche, in sie einzudringen) zu erkennen. In Kombination mit der Analyse von Sicherheitsdaten stellt dies auch eine bewährte Praxis auf den Kopf, bei der man sehr selektiv vorging, welche Ereignisse Protokollsignale erzeugen, welche Signale protokolliert werden (und wie oft) und wie Protokolldateien verwaltet, zusammengestellt und analysiert werden. Der Sicherheitsexperte von heute muss ein bisschen mehr Datenwissenschaftler sein als früher und vielleicht auch mehr Datenanalyst. Wir haben uns auch mit digitaler Forensik beschäftigt, allerdings eher aus der Perspektive kleiner Systeme als aus der Perspektive von in der Cloud gehosteten, großen Unternehmensumgebungen. So oder so, in den meisten Fällen überlässt man die eigentliche Untersuchung und die Analyse der Beweise am besten den zertifizierten, geschulten, fachkundigen Computersystemprüfern. Aber als Sicherheitsexperte vor Ort kann es Ihnen helfen, ein wenig Hintergrundwissen darüber zu haben, was digitale Beweise sein könnten, wie sie analysiert werden könnten und was man daraus lernen könnte, um das Unternehmen besser darauf vorzubereiten, wenn es die Ermittler einschalten muss.
Das ist alles enthalten
1 Lektüre1 Quiz1 peer review
Dozent
von
Empfohlen, wenn Sie sich für Sicherheit interessieren
Warum entscheiden sich Menschen für Coursera für ihre Karriere?
Neue Karrieremöglichkeiten mit Coursera Plus
Unbegrenzter Zugang zu über 7.000 erstklassigen Kursen, praktischen Projekten und Zertifikatsprogrammen, die Sie auf den Beruf vorbereiten – alles in Ihrem Abonnement enthalten
Bringen Sie Ihre Karriere mit einem Online-Abschluss voran.
Erwerben Sie einen Abschluss von erstklassigen Universitäten – 100 % online
Schließen Sie sich mehr als 3.400 Unternehmen in aller Welt an, die sich für Coursera for Business entschieden haben.
Schulen Sie Ihre Mitarbeiter*innen, um sich in der digitalen Wirtschaft zu behaupten.
Häufig gestellte Fragen
Der Zugang zu Vorlesungen und Aufgaben hängt von der Art Ihrer Einschreibung ab. Wenn Sie einen Kurs im Prüfungsmodus belegen, können Sie die meisten Kursmaterialien kostenlos einsehen. Um auf benotete Aufgaben zuzugreifen und ein Zertifikat zu erwerben, müssen Sie die Zertifikatserfahrung während oder nach Ihrer Prüfung erwerben. Wenn Sie die Prüfungsoption nicht sehen:
Der Kurs bietet möglicherweise keine Prüfungsoption. Sie können stattdessen eine kostenlose Testversion ausprobieren oder finanzielle Unterstützung beantragen.
Der Kurs bietet möglicherweise stattdessen die Option 'Vollständiger Kurs, kein Zertifikat'. Mit dieser Option können Sie alle Kursmaterialien einsehen, die erforderlichen Bewertungen abgeben und eine Abschlussnote erhalten. Dies bedeutet auch, dass Sie kein Zertifikat erwerben können.
Wenn Sie sich für den Kurs einschreiben, erhalten Sie Zugang zu allen Kursen des Zertifikats und Sie erhalten ein Zertifikat, wenn Sie die Arbeit abgeschlossen haben. Ihr elektronisches Zertifikat wird Ihrer Erfolgsseite hinzugefügt - von dort aus können Sie Ihr Zertifikat ausdrucken oder zu Ihrem LinkedIn-Profil hinzufügen. Wenn Sie die Kursinhalte nur lesen und ansehen möchten, können Sie den Kurs kostenlos besuchen.
Wenn Sie ein Abonnement abgeschlossen haben, erhalten Sie eine kostenlose 7-tägige Testphase, in der Sie kostenlos kündigen können. Danach gewähren wir keine Rückerstattung, aber Sie können Ihr Abonnement jederzeit kündigen. Siehe unsere vollständigen Rückerstattungsbedingungen.