Merge pull request #1 from HSR-Cheat-Sheets/dev

Merge dev into main

.github/workflows/branch-ci.yml

@@ -18,11 +18,11 @@ jobs:
             root_file: main.tex
 
         - name: Rename output
-          run: mv main.pdf CyDef_Hacking-Lab_Summary.pdf
+          run: mv main.pdf IncResp_Summary.pdf
 
         - name: Upload pdf
           uses: actions/upload-artifact@v2
           with:
-            name: CyDef_Hacking-Lab_Summary
-            path: CyDef_Hacking-Lab_Summary.pdf
+            name: IncResp_Summary
+            path: IncResp_Summary.pdf
             retention-days: 7

.github/workflows/main-ci.yml

@@ -17,13 +17,13 @@ jobs:
             root_file: main.tex  
 
         - name: Rename output
-          run: mv main.pdf PFSec_Summary.pdf
+          run: mv main.pdf IncResp_Summary.pdf
 
         - name: Upload pdf
           uses: actions/upload-artifact@v2
           with:
-            name: PFSec_Summary
-            path: PFSec_Summary.pdf
+            name: IncResp_Summary
+            path: IncResp_Summary.pdf
             retention-days: 14
 
         - name: Create new Release
@@ -44,6 +44,6 @@ jobs:
             GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
           with:
             upload_url: ${{ steps.create_release.outputs.upload_url }} # This pulls from the CREATE RELEASE step above, referencing it's ID to get its outputs object, which include a `upload_url`. See this blog post for more info: https://jasonet.co/posts/new-features-of-github-actions/#passing-data-to-future-steps 
-            asset_path: ./PFSec_Summary.pdf
-            asset_name: PFSec_Summary.pdf
+            asset_path: ./IncResp_Summary.pdf
+            asset_name: IncResp_Summary.pdf
             asset_content_type: application/zip

content/01-grundlagen.tex

@@ -0,0 +1,51 @@
+\section{Incident Response Grundlagen}
+
+\subsection{Definition}
+Incident Response are actions taken to mitigate or resolve an information security incident, including those taken to protect and restore the normal operational conditions of an information system and the information stored in it.
+
+\begin{itemize}
+    \item Incident Response ist die Aktivität einen Informationssicherheitsvorfall zu behandeln
+    \item Ein Vorfall ist ein oder mehrere Informationssicherheitsereignisse, die (wahrscheinlich) zu einem Schaden für die Organisation führen
+    \item Ein Ereignis verletzt die Aktivitäten eines Unternehmens zur Sicherstellung der Informationssicherheit
+    \begin{itemize}
+        \item nicht nur FW deaktivieren etc. $\rightarrow$ MA, welcher NB entsperrt liegen lässt kann auch ein Security Incident werden
+    \end{itemize}
+    \item Incident Response ist die Bewältigung einer Verletzung der Informationssicherheit
+%! Author = Gian Flütsch
+%! Date = 21. Jun 2022
+%! Project = IncResp Zusammenfassung
+
+\end{itemize}
+
+\subsection{Information Security Incident (Informationssicherheitsvorfall)}
+Einzelnes oder eine Reihe von ungewollten oder unerwarteten Informationssicherheitsereignissen, die eine erhebliche Wahrscheinlichkeit besitzen, Geschäftstätigkeiten zu gefährden und die Informationssicherheit zu bedrohen.
+
+\subsection{Information Security Event (Informationssicherheitserreignis)}
+Erkanntes Auftreten eines Zustands eines Systems, Dienstes oder Netzwerks, der eine mögliche Verletzung der Politik oder die Unwirksamkeit von Maßnahmen oder eine vorher nicht bekannte Situation, die sicherheitsrelevant sein kann, anzeigt.
+
+Bei einem \textbf{\textcolor{OSTPink}{Ereignis}} kann etwas vorhanden sein (z.B. AV Meldung $\rightarrow$ true positive oder falscher Alarm?) $\rightarrow$ falls Mimikatz in AV Report steht $\rightarrow$ befindet man sich schon im \textbf{\textcolor{OSTPink}{Event}} und nicht mehr im \textbf{Ereignis}
+
+Bei einem \textbf{\textcolor{OSTPink}{Event}} ist wirklich etwas (effektiver Security Vorfall)!.
+
+\subsection{Ziel Informationssicherheit}
+CIA Triad $\rightarrow$ Confidentiality, Integrity, Availability
+
+\subsubsection{Confidentiality}
+Information wird unbefugten nicht verfügbar gemacht oder offengelegt.
+
+\subsubsection{Integrity}
+Information ist richtig und vollständig.
+
+\subsubsection{Availability}
+Information ist für eine befugte Entität bei Bedarf zugänglich.
+
+\subsection{Schützenswerte Daten}
+\begin{itemize}
+    \item Kundendaten $\rightarrow$ DSG (Datenschutz Gesetz)/ GDPR
+    \item Mitarbeiterdaten $\rightarrow$ DSG
+    \item PII/ PHI $\rightarrow$ DSG
+    \item Backups
+    \item Trade Secrets
+\end{itemize}
+
+% TODO: siehe Übung W01 + Quiz 1

content/02-bedrohungslage.tex

@@ -0,0 +1,59 @@
+%! Author = Gian Flütsch
+%! Date = 21. Jun 2022
+%! Project = IncResp Zusammenfassung
+
+\section{Aktuelle Bedrohungslage}
+
+\subsection{Vishing}
+Beim Vishing (Voice Phishing) werden Personen mündlich zu Handlungen aufgefordert, von denen sie glauben, sie seien in ihrem Interesse. \href{https://www.kaspersky.de/resource-center/definitions/vishing}{Vishing} setzt oft da an, wo Phishing an seine Grenzen stößt.
+
+\subsection{Vishing + E-Mail Phishing}
+
+Oft fängt das ganze mit Phishing (z.B. via E-Mail) an und es weitet sich schlussendlich ins Vishing aus.\\
+
+\textbf{Beispiel:}\\
+Jemand besucht eine Social-Media-Plattform, klickt auf einen verlockenden Link – und schon erscheint ein blauer Bildschirm mit einer Warnmeldung und der Aufforderung, bei der angezeigten gebührenfreien Telefonnummer anzurufen, um ein ernsthaftes Problem mit dem Computer zu beheben.
+
+Am Telefon meldet sich ein freundlicher Techniker, der gerne bereit ist zu helfen – allerdings nur gegen Bezahlung. Nachdem für den Kauf der Software, mit der das Computerproblem behoben werden soll, die Kreditkartendaten zur Verfügung gestellt wurden, ist der Betrug komplett und kommt das Opfer teuer zu stehen.
+
+Die Software funktioniert nicht, und vom hilfsbereiten Techniker wird man nie wieder etwas hören. Der Benutzer ist ein weiteres Opfer der als „Vishing“ bezeichneten Betrugsmethode geworden.
+
+\subsection{Mögliche Folgen}
+\begin{itemize}
+    \item eBanking Trojaner wird installiert
+    \item Zukünftige eBanking-Aktivitäten können durch die Cyberkriminellen manipuliert werden
+    \begin{itemize}
+        \item Betrag ändern, Zielkonto ändern, SMS-Verifikation wird ausgehebelt
+    \end{itemize}
+    \item Aktuelle Antivirussoftware konnte die Schadsoftware nicht identifizieren
+    \item Hätte jede andere Schadsoftwareart sein können!
+\end{itemize}
+
+\subsection{Ransomware}
+\href{https://www.cert.govt.nz/business/guides/protecting-from-ransomware/}{How Ransomware works}!
+
+\subsubsection{Ransomware Angriffe}
+\begin{enumerate}
+    \item Kompromittierung
+    \item Sensible Daten entwenden
+    \item \textcolor{red}{Daten verschlüsseln (1. Erpressung)}
+    \item \textcolor{red}{Mit Veröffentlichung der Daten drohen (2. Erpressung)}
+    \item Optional: Öffentlich an den Pranger stellen
+    \item \textcolor{red}{Optional: Mit DDoS drohen (3. Erpressung)}
+    \item \textcolor{red}{Assoziierten Personen drohen (4. Erpressung)}
+    \item Optional: Business E-Mail Compromise (BEC), Phishing etc.
+    \item Optional: Veröffentlichung der gestohlenen Daten
+\end{enumerate}
+
+\subsection{Wie schützen wir uns}
+\begin{itemize}
+    \item Mehrere, nacheinander gelagerte Schutzmechanismen (Defense in depth)
+    \item Vertrauen nicht einem einzigen Produkt und Mechanismus (z.B. AV-SW, FW)
+    \item 100\% Sicherheit gibt es nicht, aber:
+    \begin{itemize}
+        \item Wir können die Kosten für Angreifer erhöhen
+        \item Wir können Angreifer verlangsamen
+        \item Wir können Angreifer erkennen
+        \item darum gibt es Incident Response
+    \end{itemize}
+\end{itemize}