Training Defend Against Modern Targeted Attacks

Date
11.12 — 13.12.2018
Location
Utrecht

Deze kennisintensieve training gaat over de tools en technieken die de moderne aanvallers gebruiken, en traint je om je hier goed tegen te wapenen. Gebaseerd op hun jarenlange ervaring met Red Teaming, Incident Response en trainingen aan SOCs, delen de trainers de belangrijkste zaken in deze 3-daagse training.

Intensieve training

Welke technieken gebruiken cybercriminelen om een organisatie aan te vallen? Vergeet dingen zoals NMap, Nessus en de regels uit je SIEM die veelal meer ruis dan bruikbare informatie opleveren. Deze kennisintensieve training gaat juist over de tools en technieken die de moderne aanvallers wel gebruiken, en traint je hier goed tegen te wapenen. Gebaseerd op hun jarenlange ervaring met Red Teaming, Incident Response en trainingen aan SOCs, delen de trainers de belangrijkste zaken in deze 3-daagse training. Gecombineerd met de ruime gelegenheid om hands-on ervaring op te doen in een groot en representatief testlab, keer je vol met nieuwe inzichten en direct te implementeren oplossingen terug.

Opzet training

De training ‘Defend Against Modern Targeted Attacks’ is een technische training die deelnemers bijbrengt hoe cybercriminelen een organisatie aanvallen, hoe verschillende aanvalstechnieken werken en hoe je effectief je organisatie hiertegen kunt wapenen.

Wat kun je van de training verwachten?
Het leren aanvallen maakt je een betere verdediger.
Theoretische kernbegrippen zoals The Cyber Kill Chain, de Course of Action Matrix en de Pyramid of Pain worden uitgebreid toegelicht.
Veel aandacht voor de meest recente ontwikkelingen in hacking- en detectietechnieken.
Naast theorie ook veel aandacht voor ‘leren door te doen’ in een lab-omgeving. Grofweg 50% van de tijd wordt doorgebracht in het lab.
De Lab-omgeving is representatief voor IT-netwerken in de echte wereld.
Hands-on ervaring opdoen met diverse hacking tools, gecombineerd met tools voor detectie en onderzoek.
Deelnemers krijgen tools en scripts mee om direct na de training aan de slag te kunnen.
Deelnemers krijgen een Lab-handleiding met de opgaven uitgeschreven voor duidelijkheid en efficiëntie.
3 Trainers met ieder hun eigen expertise zorgen voor een breed scala aan onderwerpen, en veel ruimte voor persoonlijke aandacht.

Voor wie?

De training is geschikt voor deelnemers met een achtergrond in technische IT en IT-beveiliging. De training is zodanig opgezet dat zowel ervaren professionals als starters veel kunnen leren. Naast Blue-team en CERT-leden is de training ook relevant voor alle IT-professionals met technische IT-security werkzaamheden.

Programma

Dag 1
Theoretische kernbegrippen over aanvallen en verdedigen, e.g. SIEM, SOC, Pyramid of Pain, TTPs, MITRE ATT&CK, Intruder’s dilemma, Attacker’s Pplayground, Assume Compromise, Kill Chain, lateral movement.
Lab 1: opzetten toegang naar offensieve en defensieve labs. Recon van je doelwit, en maak een aanvalsplan.
Theorie van aanvalsvectoren, e.g. watering hole, phishing, aanvalsmethoden met Microsoft Office.
Lab 2: maken, editen en reviewen van malafide Office-documenten.
Theorie infrastructuuropzet en -technieken van de moderne aanvaller, e.g. C2, redirectors, low and slow principle, beacon traffic, Domain Fronting, Cobalt Strike als platform.
Lab 3: setup van je aanvallers infrastructuur, en deploy je malware.

Dag 2
Theorie van ‘Malware prevention and investigation’, e.g. anti-virus, anti-spam evasion, C2 basics, drive-by downloads, HTA, Java and Jscript, application whitelisting, End-Point Detection & Response.
Lab 4: Forensics: onderzoek van een gecompromitteerd werkstation d.m.v. Endpoint Detection and Response tooling, malware sandboxes en yara.
Theorie van ‘Privilege Escalation and Lateral Movement.
Windows en Active Directory vanuit het perspectief van de aanvaller en de verdediger. Aandacht voor kernonderwerpen zoals Wdigest, NETNTLM vs NTLM hashing, Sharphound, WMI, Psexec, Remote PowerShell, Golden and Silver Tickets, SPNs, Kerberos, LLMNR, etc.
Lab 5: Offensief: gebruik de eerder verkregen toegang tot je target om verdere toegang in het netwerk te krijgen. Gebruik de zojuist geleerde technieken, en een aantal bekende tools zoals Cobalt Strike, PowerView en Mimikatz en een aantal minder bekende tools gaandeweg.

Dag 3
Theorie van ‘Detection & Incident Response’, e.g. centrale logging d.m.v. Windows Event Forwarding, Sysmon, shim caches, NetFlow, belang en details van templates bij incident response, methodes voor containment.
Lab 6: Detection, Hunting and Investigation. Gebruik de SIEM van het lab om een complexe aanval te analyseren.
Theorie ‘Mitigation & Improvment’: ASD Top 35, voorname papers en defensieve concepten van Microsoft (LAPS, AppLocker, Privileged Access Management) en anderen.
Lab 7: verrassings-lab

Data

11 december 2018
12 december 2018
13 december 2018

Deze training wordt ook in juli 2019 georganiseerd.

Voor meer informatie over het programma en inschrijving kijk op de website van SURF.

Read more