GIAC Penetration Tester (GPEN)
Ziele
In dieser 4-tägigen Schulung "GIAC Penetration Tester (GPEN)" erhalten Sie ein umfassendes Training, das sich auf die Techniken und Methoden des Unternehmens-Penetrationstestens konzentriert. Dabei werden Ihnen die notwendigen Kenntnisse und Fähigkeiten vermittelt, um die Sicherheit von Unternehmensnetzwerken zu bewerten und Schwachstellen zu identifizieren.
Im Rahmen des Kurses lernen Sie die verschiedenen Phasen eines Penetrationstests kennen, angefangen bei der Informationsbeschaffung und -aufklärung bis hin zur erfolgreichen Ausnutzung von Sicherheitslücken. Sie werden mit den neuesten Tools und Techniken vertraut gemacht, die von Penetrationstestern eingesetzt werden, um Netzwerke zu testen und Sicherheitsrisiken zu identifizieren. Sie lernen, wie Sie Sicherheitslücken in Netzwerken, Webanwendungen und Betriebssystemen erkennen und ausnutzen können, um Schwachstellen zu demonstrieren und Empfehlungen zur Behebung zu geben.
Der GPEN-Kurs bietet Ihnen eine umfangreiche Schulung, um Ihre Kenntnisse und Fähigkeiten im Bereich des Unternehmens-Penetrationstestens zu erweitern und somit zur Stärkung der Sicherheit von Unternehmensnetzwerken beizutragen.
Zielgruppe
- System Administratoren
- Security Administratoren
- Junior Penetration Tester
Voraussetzungen
Für eine optimale Teilnahme am Kurs empfehlen wir folgende Vorkenntnisse:
- Erste Erfahrungen mit Kali oder Parrot OS
- Kenntnis bekannten Netzwerkprotokolle
- Erste Erfahrungen mit Python
Lernmethodik
Die Schulung bietet Ihnen eine ausgewogene Mischung aus Theorie und Praxis in einer erstklassigen Lernumgebung. Profitieren Sie vom direkten Austausch mit unseren projekterfahrenen Trainern und anderen Teilnehmern, um Ihren Lernerfolg zu maximieren.
Agenda
Einführung in den Penetrationstest
- Überblick über Penetration Testing: Definition, Ziele und Bedeutung in der modernen Cybersicherheit
- Unterschiede zwischen den verschiedenen Arten von Penetrationstests: Black-Box, White-Box und Gray-Box Tests
- Rechtliche und ethische Überlegungen: Bedeutung der Zustimmung und der Grenzen bei Penetrationstests
- Der Penetration-Testing-Lebenszyklus: Von der Planung bis zur Berichterstattung
- Rollen und Verantwortlichkeiten eines Penetrationstesters im Kontext einer Sicherheitsüberprüfung
Informationsbeschaffung und -aufklärung
- Einführung in die Informationsbeschaffung: Warum ist das Sammeln von Informationen der erste Schritt in einem Penetrationstest?
- Techniken zur passiven und aktiven Informationsbeschaffung: Unterschiede und Einsatzgebiete
- Verwendung von Tools zur Informationsbeschaffung wie Nmap, Maltego und OSINT (Open Source Intelligence)
- Identifizierung von Netzwerk- und Systeminformationen, wie IP-Adressen, Domain-Namen und Betriebssysteme
- Analyse der gesammelten Daten, um Schwachstellen und Angriffsmöglichkeiten zu identifizieren
Schwachstellenanalyse und -bewertung
- Definition und Bedeutung der Schwachstellenanalyse in einem Penetrationstest
- Methoden zur Identifizierung von Schwachstellen: Manuelle Tests versus automatisierte Tools
- Überblick über gängige Schwachstellenscanner wie Nessus, OpenVAS und Qualys
- Bewertung und Priorisierung von Schwachstellen basierend auf ihrem Risiko und ihrer Ausnutzbarkeit
- Dokumentation der Schwachstellen und Vorbereitung auf den Exploitationsprozess
Exploitation von Sicherheitslücken
- Was ist Exploitation? Ziel und Risiken der Ausnutzung von Schwachstellen
- Auswahl und Anwendung von Exploits: Kriterien für die Auswahl der besten Exploit-Methoden
- Einführung in Exploit-Frameworks wie Metasploit: Struktur, Funktionen und Anwendung
- Techniken zur Umgehung von Sicherheitsmaßnahmen wie Firewalls und Intrusion Detection Systems (IDS)
- Nachvollziehbarkeit und Sicherheit beim Exploitation: Minimierung von Schäden und Vermeidung von Systemausfällen
Webanwendungstests
- Besonderheiten von Webanwendungstests im Rahmen eines Penetrationstests
- Identifizierung und Ausnutzung typischer Webanwendungsschwachstellen wie SQL-Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF)
- Einsatz von Tools wie Burp Suite, OWASP ZAP und Nikto zur Analyse von Webanwendungen
- Analyse und Testen von APIs: Sicherheitsrisiken und typische Angriffsmuster
- Absicherung und Best Practices für die Sicherheit von Webanwendungen
Wireless-Netzwerktests
- Grundlagen der drahtlosen Netzwerksicherheit und typische Angriffsvektoren
- Durchführung von Wireless-Penetrationstests: Werkzeuge und Techniken zur Analyse und Ausnutzung von Schwachstellen
- Testen von WLAN-Sicherheitsprotokollen wie WEP, WPA, WPA2 und WPA3
- Durchführung von Man-in-the-Middle-Angriffen und Rogue Access Point Tests
- Maßnahmen zur Absicherung drahtloser Netzwerke und Best Practices
Social Engineering-Techniken
- Einführung in Social Engineering: Definition und Bedeutung in der Cybersicherheit
- Verschiedene Arten von Social Engineering-Angriffen: Phishing, Spear-Phishing, Pretexting und Tailgating
- Techniken zur Durchführung von Social Engineering-Tests und zur Bewertung der menschlichen Schwachstellen in einer Organisation
- Einsatz von Tools und Methoden zur Durchführung sicherer und kontrollierter Social Engineering-Angriffe
- Schulung und Bewusstseinsschaffung als wichtigste Verteidigungsmaßnahme gegen Social Engineering
Post-Exploitation und Berichterstattung
- Ziele und Methoden der Post-Exploitation-Phase: Aufrechterhaltung des Zugriffs und Ausnutzung gefundener Daten
- Techniken zur Privilegienerweiterung und lateralem Bewegen innerhalb des Netzwerks
- Analyse der Auswirkungen eines erfolgreichen Exploits auf die Organisation
- Erstellung eines umfassenden Berichts: Dokumentation der gefundenen Schwachstellen, durchgeführten Exploits und Empfehlungen zur Behebung
- Abschlussbesprechungen mit Stakeholdern und Sicherheitsverantwortlichen: Präsentation der Ergebnisse und Diskussion der nächsten Schritte zur Risikominderung
Open Badge - Ihr digitaler Kompetenznachweis
Durch die erfolgreiche Teilnahme an einem Kurs bei IT-Schulungen.com erlangen Sie nicht nur Fachkenntnisse und Fähigkeiten, sondern bekommen zusätzlich zu Ihrem Teilnahmezertifikat ein Open Badge als digitalen Nachweis Ihrer Kompetenz.
Sie können diesen in Ihrem persönlichen und kostenfreien Mein IT-Schulungen.com Konto abrufen. Ihre verdienten Badges lassen sich problemlos in sozialen Netzwerken integrieren und weitergeben.
Kurz vor Durchführung
Termin | Standort | Aktion |
---|---|---|
17.09. - 20.09.2024 | Hamburg | |
22.10. - 25.10.2024 | München | |
12.11. - 15.11.2024 | Köln | |
17.12. - 20.12.2024 | Nürnberg |