Was bietet mir der Workshop?
Dieser Workshop vermittelt praxisorientiertes Wissen zur individuellen Einschätzung von Sicherheitslücken in Software. Die Teilnehmer lernen, wie sie das Risiko einer Schwachstelle für ihre eigene IT bestimmen, effizient den Überblick über mögliche Risiken durch Software-Vulnerabilities behalten und welche Maßnahmen zur Risikominderung sich ableiten lassen, wenn ein Patch nicht installiert werden kann.
Was lernen die Teilnehmer?
Am Ende des Workshops können die Teilnehmer:
- Öffentliche Schwachstellenmeldungen bezüglich des individuellen Risikos abschätzen.
- Aus Befunden von Pentests, Red Teaming Engagements und Vulnerability Scans konkrete Maßnahmen für ihre IT ableiten.
- Risiken durch die Software-Supply-Chain erheben und einordnen.
- Bei Beschaffungen und Neuinstallationen alles Notwendige für mögliche spätere Reaktionen vorbereiten.
- Einzelne Vulnerabilities selbst reproduzieren.
Für wen ist der Kurs geeignet?
- Administratoren
- IT-Anwendungsverantwortliche
- Sicherheitsbeauftragte
- Softwareentwickler geeignet, die Risiken von genutzten Komponenten einschätzen (Software-Supply-Chain)
- Alle, die sich mit Patchmanagement und Schwachstellen beschäftigen
Voraussetzungen für die Teilnahme
- Erfahrung im IT-Betrieb, IT-Anwendungsverantwortung und/oder Softwareentwicklung
- Erste Grundkenntnisse IT-Security und typische Schwachstellen
- Programmierkenntnisse sind für das Nachvollziehen der Lücken hilfreich, aber nicht notwendig
- PC/Notebook mit Headset und aktuellem Webbrowser für die Konferenzsoftware
Was erhalten die Teilnehmer?
- Live-Online-Seminar von 9–17 Uhr
- Aktuelle reale Beispiele für die Bewertung
- Praktische Übungen und interaktive Fallstudien
- Teilnahmebestätigung nach Abschluss
Warum dieser Workshop?
- Praxisorientierte Inhalte zur realistischen Bewertung von Risiken
- Dozent mit Erfahrung auf beiden Seiten: in der Schwachstellensuche und deren Meldung sowie als Informationssicherheitsbeauftragter und Security Consultant
- Reale Risikominimierung statt pauschaler Entscheidung nach CVSS-Wert.
Agenda der IT-Schulung
- Grundlagen Patchmanagement kurz und knapp
- Etablierte Systeme zu Schwachstellen: CVE, CVSS, CWE
- Informationsquellen, wenn der Hersteller schweigt
- Fallbeispiel von der Newstickermeldung zur Entscheidung
- Fehlerklassen und ihre Auswirkung je nach Umgebung
- Umgang mit Sicherheitslücken, die über die Software-Supply-Chain kommen
- Mitigierende Maßnahmen selbst entwickeln als Alternative zum Patch
- Vulnerabilities und Exploits reproduzieren
- Tools und Frameworks für die Analyse
- Aktuelles Praxisbeispiel zur gemeinsamen Bewertung und Reproduktion
Lernziele
- Besser an die eigene IT-Umgebung angepasste Risikoeinschätzungen für Sicherheitslücken in Software.
- Schnellere und maßvollere Reaktion auf Schwachstellenmeldungen.
- Größeren Mehrwert aus den Ergebnissen von Sicherheitstests ziehen.
- Fundiertere Diskussionen zum internen Umgang mit Vulnerabilities und Fehler über die Software-Supply-Chain
