de it fr

681 Angriffe auf ICT-Infrastrukturen detektieren und abwehren

Modul
Angriffe auf ICT-Infrastrukturen detektieren und abwehren
Kompetenz
Wählt geeignete technische Überwachungs- und Schutzlösungen zur Erkennung und Abwehr von Angriffen auf Systeme, Netzwerke und Applikationen einer Organisation aus und nimmt diese in Betrieb.
Handlungsziele
1 Definiert unter Berücksichtigung der Bedrohungslage die relevanten Indikatoren, Signaturen und Muster zur Erkennung von Angriffen auf die ICT-Infrastruktur der Organisation.
  Handlungsnotwendige Kenntnisse:
1 Kennt unterschiedliche Bedrohungsformen und Angriffsvektoren (z. B. Malware, Advanced Peristent Threats APT, Ransomware, DDoS-Attacken, Spoofing, Phishing, DNS-Attacken, Bots und Botnetze, Script-Injection, Session-Hijacking, Social Engineering, Spam) und kann diese hinsichtlich Angriffsweg, Angriffstechnik und Angriffsziel (z.B. Systemausfall, Systemmissbrauch, Diebstahl, Betrug, Erpressung) erläutern.
2 Kennt grundlegende Konzepte zur Erkennung von Angriffen (z. B. muster- oder regelbasierte Suche, Erkennung von Anomalien, Paket- und Inhaltsprüfung, Integritätsprüfung von Dateien, Prozess-Monitoring, Log-Monitoring).
3 Kennt die Bedeutung der Tactics, Techniques and Procedures (TTPs), Indicators of Attack (IoA) und Indicators of Compromise (IoC) für die Erkennung von Angriffen.
 
2 Wählt geeignete Überwachungs- und Schutzlösungen zur netzwerkbasierten Erkennung und Abwehr von Angriffen aus und nimmt diese in Betrieb.
  Handlungsnotwendige Kenntnisse:
1 Kennt gängige Netzwerkstandards (IEEE 802) für lokale Netzwerke (LAN), Drahtlosnetzwerke (WLAN), drahtgebundene und drahtlose persönliche Netzwerke (PAN, WPAN) und kann deren Merkmale erläutern.
2 Kennt gängige Anwendungsprotokolle in TCP/IP-Netzwerken (z. B. HTTP, Mailprotokolle, DHCP, DNS, Verzeichnisdienste, Dateitransferprotokolle, Netzwerkmanagementprotokolle).
3 Kennt gängige Netzwerk- und Transportprotokolle zur Verschlüsselung (z. B. IPSec, TLS) und deren Anwendung bei der sicheren Datenübertragung (z. B. HTTPS, SMTPS, SIPS, FTPS, SFTP, LDAPS).
4 Kennt Konzepte zur physischen oder logischen Trennung von Netzwerken auf unterschiedlichen OSI-Layern (z. B. Spanning Tree STP, Layer 2 und 3 Switching, Subnetting, VLAN, Firewall, DMZ, Reverse Proxy, Web Entry Server WES, netzwerkbasierte WAF, Load-Balancing) und kann deren Funktion erläutern.
5 Kennt geeignete Werkzeuge zur Überwachung des Netzwerkverkehrs (z. B. Wireshark, MRTG, Nmap, Nagios, relevante Kommandozeilenbefehle).
6 Kennt die Funktionen, Möglichkeiten und Grenzen von netzwerkbasierten Intrusion Detection und Prevention Systemen (NIDS/NIPS) und kann gängige Werkzeuge nennen (z. B. Snort, Suricata).
7 Kennt die Bedeutung und das Funktionsprinzip von Tarpits bei der Bekämpfung von Spam und Würmern und kann gängige Werkzeuge nennen (z. B. LaBrea, netfilter).
 
3 Wählt geeignete Schutzlösungen und Härtungsmassnahmen zur host- und anwendungsbasierten Erkennung und Abwehr von Angriffen aus und nimmt diese in Betrieb.
  Handlungsnotwendige Kenntnisse:
1 Kennt grundlegende Konzepte der Systemhärtung (z. B. Benutzerverwaltung und Authentisierung, Zugriffssteuerung, Deaktivierung oder Einschränkung von Diensten, Festplattenverschlüsselung) und kann Quellen von Best Practices zur Härtung gängiger Betriebssysteme (z. B. Windows, Unix/Linux, Mac OS, iOS, Android) nennen.
2 Kennt Quellen für gängige Standards und Leitlinien zur Härtung von spezifischen Systemen und Applikationen (z. B. CIS Benchmarks, OpenSCAP, Microsoft Security Baselines, STIGs der DISA, produktespezifische Security Hardening Guides).
3 Kennt die Funktionen, Möglichkeiten und Grenzen von hostbasierten Intrusion Detection und Prevention Systemen (HIDS/HIPS) und kann gängige Werkzeuge nennen (z. B. Open Source Tripwire. IDDS, Botshield, Samhain, Cyberarms).
4 Kennt die Funktionen, Möglichkeiten und Grenzen von relevanten anwendungsbasierten Schutzlösungen (z. B. hostbasierte WAF, Spam-Filter) und kann gängige Werkzeuge nennen (z. B. ModSecurity, Fortinet, SpamAssassin, RSPAMD).
 
4 Wählt unter Berücksichtigung der betrieblichen Vorgaben zur Klassifizierung von Informationen geeignete Lösungen zum Schutz von sensitiven Daten vor unerlaubter Verbreitung und nimmt diese in Betrieb.
  Handlungsnotwendige Kenntnisse:
1 Kennt die betrieblichen Vorgaben zur Klassifizierung von Informationen hinsichtlich Vertraulichkeit (z. B. geheim, vertraulich, eingeschränkt, intern und öffentlich) und Integrität (z. B. vital, wichtig, normal) und kann deren Relevanz für den Schutz von sensitiven Daten erläutern.
2 Kennt technische Möglichkeiten zum Schutz von Daten bei der Übertragung (data in motion) auf unterschiedlichen Kanälen (z. B. Web, E-Mail, Shares).
3 Kennt technische Möglichkeiten zum Schutz von Daten in Bearbeitung (data at use).
4 Kennt technische Möglichkeiten zum Schutz von gespeicherten Daten (data at rest) auf unterschiedlichen Speichermedien (magnetisch, optisch und elektronisch) und in unterschiedlichen Speicherarchitekturen (z. B. NAS, SAN, Cloud).
5 Kennt unterschiedliche Architekturen und typischen Funktionen von Schutzlösungen im Bereich Data Loss Prevention (DLP).
 
5 Wählt bei Bedarf geeignete Lösungen zur Täuschung von Angreifern aus und nimmt diese in Betrieb.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Bedeutung von Honeypots und Honeynets für die Täuschung von Angreifern und die Analyse von Angriffen und kann deren Merkmale hinsichtlich Architektur (Client/Server, physisch/virtuell) und Interaktion (low-/high-interaction) erläutern.
2 Kennt gängige Werkzeuge für Honeyserver (z. B. honeyd, HoneyTrap, Argos) und Honeyclients (z. B. PhoneyC, mapWOC).
3 Kennt den Zweck von Honeylinks in Webapplikationen und kann deren Behandlung in Web Application Firewalls (WAF) erläutern.
 
6 Konfiguriert unter Berücksichtigung der gesetzlichen Vorgaben zum Persönlichkeits- und Datenschutz die Protokollierung der relevanten Daten auf den Überwachungs- und Schutzlösungen.
  Handlungsnotwendige Kenntnisse:
1 Kennt die gesetzlichen Vorgaben an personenbezogene Verhaltensüberwachungen aus dem Arbeits- und Datenschutzgesetz.
2 Kennt die gesetzlichen Vorgaben des Datenschutzes an die Pseudonymisierung und Anonymisierung von personenbezogenen Daten und kann die Gewährleistung der Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung und Transparenz mit typischen Anwendungsbeispielen erläutern.
 
7 Testet die Funktion und Wirksamkeit von Überwachungs- und Schutzlösungen regelmässig und korrigiert bei Bedarf die Konfiguration.
  Handlungsnotwendige Kenntnisse:
1 Kennt Techniken und geeignete Werkzeuge zur Simulation von Angriffen (z. B. Portscanner, Exploit-Skripts, Nutzlast-Generatoren, SYN-Flood und Stresstest-Generatoren, False Positive Generatoren).
2 Kennt die Bedeutung von False Positives bei Überwachungs- und Schutzlösungen und kann Möglichkeiten zur deren Erkennung und Reduktion erläutern.
3 Kennt die wesentlichen Elemente zur Beschreibung von Testfällen (z. B. Identifikation, Voraussetzungen, Testanweisungen, Verfahren und Werkzeuge, erwartetes Verhalten) und eines nachvollziehbaren Testprotokolls (z. B. Zuständigkeit, Zeitstempel der Testdurchführung, Testergebnisse, Fehlerbehandlungen und Massnahmen).
 
8 Integriert Überwachungs- und Schutzlösungen in ein übergeordnetes System für das Sicherheitsinformations- und Ereignismanagement (SIEM).
  Handlungsnotwendige Kenntnisse:
1 Kennt die grundlegenden Funktionen von SIEM-Systemen (Sammlung und Aggregation von Daten mittels Kollektoren/Agenten, Darstellung der Ergebnisse, Alarmierung, Durchsetzung von Regeln, Archivierung von Daten) und kann gängige Werkzeuge nennen (z. B. ELK-Stack, Apache Metron, OSSEC, AlienVault OSSIM, Splunk).
2 Kennt gängige Formate für den maschinenlesbaren Datenaustausch zwischen unterschiedlichen Clients und dem SIEM (z. B. Interface for Metadata Access Points IF-MAP, Common Event Format CEF, Syslog Formate, CSV, XML, Key-Value).
 
Kompetenzfeld
System Management
Objekt
Organisation mit komplexer ICT-Infrastruktur.
Niveau
5
Voraussetzung
Netzwerk betreiben und erweitern (145); Systemsicherheit implementieren (182); Applikationssicherheit implementieren (183); Netzwerksicherheit implementieren (184)
Anzahl Lektionen
40
Anerkennung
Eidg. Fachausweis
Publiziert: 21.05.2019 08:29:14
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück