de it fr

679 Informationen über Bedrohungen beschaffen und aufbereiten

Modul
Informationen über Bedrohungen beschaffen und aufbereiten
Kompetenz
Beschafft und analysiert im Rahmen der Cyber Threat Intelligence (CTI) einer Organisation laufend Informationen über mögliche Bedrohungen im Cyber-Raum und bereitet die Erkenntnisse anwendungs- und zielgruppengerecht auf.
Handlungsziele
1 Beschafft laufend, proaktiv und selbstgesteuert Informationen über aktuelle Bedrohungen im Cyber-Raum.
  Handlungsnotwendige Kenntnisse:
1 Kennt den Zweck der Cyber Threat Intelligence (CTI) und deren unterschiedliche Ebenen (z. B. strategische, taktisch und operative Ebene).
2 Kennt unterschiedliche Ursachen für Bedrohungen (z. B. vorsätzliche Handlung, Schwachstellen, technisches Versagen, menschliches Fehlverhalten, höhere Gewalt) und kann deren Relevanz in der Informations- und Cyber-Sicherheit erläutern.
3 Kennt interne und externe Informationsquellen über Bedrohungen (z. B. CERT-Organisationen, Gefährdungskataloge MELANI, ENISA und BSI, Mailing-Listen, Security Advisories von Herstellern und Drittanbietern, Sandbox-Reports, Erfahrungsaustausch im Beziehungsnetzwerk, OWASP Top 10, SANS Top 20).
4 Kennt unterschiedliche Bedrohungsformen und Angriffsvektoren (z. B. Malware, Advanced Peristent Threats APT, Ransomware, DDoS-Attacken, Spoofing, Phishing, DNS-Attacken, Bots und Botnetze, Script-Injection, Session-Hijacking, Social Engineering, Spam) und kann diese hinsichtlich Angriffsweg, Angriffstechnik und Angriffsziel (z.B. Systemausfall, Systemmissbrauch, Diebstahl, Betrug, Erpressung) erläutern.
 
2 Verifiziert und bewertet die Glaubwürdigkeit der Informationen.
  Handlungsnotwendige Kenntnisse:
1 Kennt Indikatoren zur Bewertung der Glaubwürdigkeit von Informationen (z. B. Autor, Herausgeber, Format, Quellenangaben, Aktualität, Verifizierbarkeit, Reproduzierbarkeit) und kann deren Relevanz für unterschiedliche Quellen erläutern.
 
3 Beurteilt das Risikopotenzial von Bedrohungen unter Berücksichtigung der Informationssicherheitsstrategie und der ICT-Infrastruktur einer Organisation.
  Handlungsnotwendige Kenntnisse:
1 Kennt die relevanten Elemente und Vorgaben aus der Informationssicherheitsstrategie einer Organisation (z. B. Risikoappetit, Risikotoleranz, strategische Sicherheitsziele, Inventar und Klassifizierung der Werte/Assets).
2 Kennt die ICT-Infrastruktur und Systemlandschaft einer Organisation und kann die Relevanz einer Bedrohung auf die spezifischen Systeme, Netzwerke und Applikationen einer Organisation erläutern.
3 Kennt gängige Modelle zur Bewertung von Risiken und Bedrohungen (z. B. Risikomatrix, OWASP Risk Rating Methodology, Common Vulnerability Scoring System CVSS).
 
4 Analysiert Informationen über Bedrohungen und dokumentiert die Erkenntnisse auf der taktischen und operativen Ebene der CTI.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Bedeutung der Beschreibung von Tactics, Techniques and Procedures (TTPs) und kann deren Nutzen für die Cyber-Sicherheit in einer Organisation erläutern.
2 Kennt die Bedeutung von Indikatoren eines Angriffs (Indicators of Attack, IoA) und kann typische Beispiele nennen (z. B. Auffälligkeiten im Netzwerkverkehr, Auffälligkeiten bei den Nutzungszeiten, verdächtige DNS-Anfragen, Umleitung der Anmeldung).
3 Kennt die Bedeutung von Indikatoren einer Kompromittierung (Indicators of Compormise IoC) und kann typische Beispiele nennen (z. B. Hashwerte, Signaturen, Domainnamen, IP-Adressen, URL, E-Mail-Adresse, X-Mailer, HTTP User Agent).
4 Kennt gängige Standards und Modelle zur Klassifizierung von Bedrohungen (z. B. CERT-Taxonomie, MISP-Taxonomie, eCSIRT-Taxonomie, Europol Common Taxonomy for LE and CSIRTs).
 
5 Bereitet Erkenntnisse aus der CTI auf und teilt diese zielgruppen- und stufengerecht mit internen und externen Anspruchsgruppen.
  Handlungsnotwendige Kenntnisse:
1 Kennt relevante interne und externe Anspruchsgruppen der CTI (z. B. Management, CISO, SOC-Analysten, Incident Response Team (CERT/CIRT), Schwachstellen- und Patchmanagement, Systemarchitekten, Systemadministratoren, Strafverfolgungsbehörde) und kann deren spezifische Informationsbedürfnisse erläutern.
2 Kennt unterschiedliche Kommunikationskanäle (z. B. schriftliche und mündliche Reports, Groupware, Wiki, Wissensdatenbank, Forum, Soziale Medien) und kann deren Unterschiede hinsichtlich Wirkung, Verbindlichkeit und Sicherheit erläutern.
3 Kennt gängige Plattformen und Frameworks zum Austausch von Informationen im Rahmen des CTI (z. B. Malware Information Sharing Platform MISP, Collective Intelligence Framework CIF, Collective Research Into Threats CRITS, Open Threat Exchange).
4 Kennt gängige Formate von CTI-Informationen (z. B. STIX, OpenIOC Format, Intrusion Detection Message Exchange Format IDMEF, Incident Object Description Exchange Format IODEF) und Standards für den maschinenlesbaren Austausch von CTI-Daten (z. B. TAXII).
 
Kompetenzfeld
Security/Risk Management
Objekt
Organisation mit komplexer ICT-Infrastruktur, mit vorgegebener Informationssicherheitsstrategie und mit definierter Aufbau- und Ablauforganisation für die Cyber Threat Intelligence (CTI).
Niveau
5
Voraussetzung
Systemsicherheit implementieren (182); Applikationssicherheit implementieren (183); Netzwerksicherheit implementieren (184)
Anzahl Lektionen
40
Anerkennung
Eidg. Fachausweis
Publiziert: 17.01.2020 16:09:39
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück