Junior Penetration Tester (IHK)

1. Grundlagen und Rahmenbedingungen

• Schutzziele, Säulen der IT-Sicherheit
• Arten von Hackern
• Gesetze und Richtlinien, KRITIS
• Standards und Methoden
• Karrierepfade & IT-Security Berufe
• Einschlägige Zertifizierungen, Weiterbildungsmöglichkeiten, Trainingslabs
• Projektmanagement (Wasserfall vs. Agile)
• RedTeaming vs Pentesting vs Schwachstellenanalyse
• CTF vs Pentesting
• Phasen eines Angriffes / Kill Chains, Lockheed Martin, PTES, MITRE etc.

2. Aufbau und Ablauf eines Penetrationstestes

• Phasen/Ablauf eines Penetrationstests
• Ziel und Ergebnis eines Penetrationstests
• Dokumentation von Schwachstellen
• Planung / Initiierung eines Pentests)
• Risiken und common-mistakes (aus der Praxis für die Praxis) Scoping
• Ergebnispräsentationen für IT & Management

3. Durchführung eines Penetrationtestes

• KickOff
• Information Gathering / Active / Passive Reconnaissance
• Grundlagen Gegenmaßnahmen (FW, IDS, IPS, WAF, EPP, Logging, SIEM) & Security Operations (SOC, CERT, Blue Team etc.)
• Vulnerability Analysis und Schwachstellen Klassifizierung (CVE, CVSS, Ausnutzbarkeit und Kritikalität)
• Umgang mit 0-Day’s Disclosure Arten (Responsible, Full)
• Exploitation / Low Hanging Fruits (Common Attack Paths,wie SQL/Command Injection, Basic Buffer-Overflow, Misconfigurations, etc.)
• Post Exploitation Basic Privilege Escalation Looting, Persistence and Lateral-Movement / Low Hanging Fruits
• Unterschiede On-Premise vs Cloud

Die Teilnehmer erhalten während der Veranstaltung und der Prüfung Zugang zu einem eigens hierfür entwickelten realitätsnahen, virtuellen E-LAB, mit dem die Kursinhalte vermittelt und geprüft werden, wobei die praktische Umsetzung der unterschiedlichsten Angriffstechniken im Vordergrund steht.

Video-Introduction des Lehrgangs: https://youtu.be/VoEt4msIjC0

Kurskonzeption in Kooperation mit Tim Schughart, einem der führenden Sicherheitsexperten im IT-Security Umfeld.

Er ist Founder und CEO des IT-Security Unternehmens ProSec GmbH 

Das Unternehmen bietet Premium IT-Sicherheitsdienstleistungen, Penetrationtests, sowie Security Consulting und betreibt aktiv Zero-Day Research.