Velkommen til 20TD02X Monitorering og digital etterforskning! Dette emnet gir deg en grundig innføring i overvåking og analyse av IT-systemer, samt teknikker for digital etterforskning av sikkerhetshendelser. Du vil lære å bruke verktøy og metoder for å oppdage, analysere og respondere på sikkerhetstrusler.

Fagområde: Datateknikk Emnekode: 20TD02X Studieprogram: IT-drift og sikkerhet Studiepoeng: 5 Startsemester: 2024 Høst

Emnets innhold:

• Monitorering:

  • Strategi for overvåking: Utarbeide og implementere effektive overvåkingsstrategier for å beskytte IT-systemer.
  • Identifisere sikkerhetsbrudd: Lære å gjenkjenne tegn på sikkerhetsbrudd og uautorisert aktivitet.
  • Verktøy for overvåking: Bli kjent med ulike verktøy for å overvåke nettverkstrafikk, logger, systemytelse og sikkerhetshendelser.
  • Presentasjon av resultater: Lære å presentere overvåkingsdata på en klar og forståelig måte for ulike interessenter.
  • Analyse av data: Bruke analyseverktøy for å identifisere mønstre, trender og avvik i overvåkingsdata.

• Digital etterforskning:

  • IDS/IPS (Intrusion Detection/Prevention Systems): Forstå hvordan IDS/IPS fungerer og hvordan de kan brukes til å oppdage og forhindre angrep.
  • Verktøy for sikkerhetsanalyse: Lær å bruke verktøy som Wireshark, SIEM-løsninger og loggaggregeringsverktøy for å analysere sikkerhetshendelser.
  • Tiltaksanalyse: Vurdere effekten av sikkerhetstiltak og justere strategier basert på funn.
  • Verktøy for å analysere sikkerhetsbrudd: Bruke spesialiserte verktøy for å undersøke og analysere sikkerhetsbrudd.

• Terminologi og strategi: Forståelse av fagterminologi, strategier og beste praksis innen overvåking og digital etterforskning.
• Verktøy: Kunnskap om ulike verktøy som brukes til overvåking, sikkerhetsanalyse og digital etterforskning.
• Teori og prosesser: Forståelse av teorier, prosesser og systemer som er relevante for digital sporsikring og etterforskning.

• Verktøybruk: Kunne bruke og instruere andre i bruken av relevante verktøy for overvåking og sikkerhetsanalyse.
• Situasjonsanalyse: Kunne kartlegge en situasjon, identifisere problemer og behov for tiltak.
• Refleksjon og justering: Kunne reflektere over egen praksis og justere tilnærmingen basert på tilbakemeldinger og erfaringer.
• Informasjonsinnhenting: Kunne finne og henvise til relevant informasjon om sporsikring og etterforskning.

• Planlegging og gjennomføring: Kunne delta i planlegging, gjennomføring og presentasjon av overvåkingssystemer.
• Sporsikring og etterforskning: Kunne planlegge og gjennomføre digital sporsikring og etterforskning, både alene og i team.
• Kommunikasjon og samarbeid: Kunne delta i faglige diskusjoner og utveksle synspunkter med andre innen fagfeltet.

• Overvåkingsverktøy:
  • Nagios: En åpen kildekode-løsning for overvåking av nettverk og servere.
  • Zabbix: Et annet populært åpen kildekode-verktøy for overvåking.
  • Prometheus: Et moderne overvåkingssystem med fokus på skalerbarhet og fleksibilitet.
  • Grafana: Et visualiseringsverktøy som kan brukes sammen med Prometheus og andre overvåkingssystemer.
• Sikkerhetsanalyse-verktøy:
  • Wireshark: Et kraftig verktøy for å analysere nettverkstrafikk.
  • SIEM-løsninger (Security Information and Event Management): Splunk, Elasticsearch, LogRhythm.
  • Logg-aggregeringsverktøy: Graylog, Fluentd.
• Digital etterforskningsverktøy:
  • Autopsy: Et digitalt etterforskningsverktøy for å analysere harddisker og andre lagringsmedier.
  • FTK Imager: Et verktøy for å lage rettsgyldige kopier av disker og andre bevismateriale.
• Nettressurser:
  • SANS Institute: Tilbyr en rekke kurs og sertifiseringer innen cybersikkerhet.
  • Offensive Security: Tilbyr kurs og sertifiseringer innen penetrasjonstesting.
  • The Hacker News: Nyhetsnettsted med fokus på cybersikkerhet.

Bash-skript for å overvåke diskbruk:

#!/bin/bash

threshold=80  # Terskelverdi for diskbruk i prosent

usage=$(df -h | awk '$NF=="/"{printf "%d", $5}')

if [ "$usage" -gt "$threshold" ]; then
    echo "Diskbruken er over $threshold%!"
    # Send varsel via e-post eller annen metode
fi

Python-skript for å analysere en loggfil:

import re

log_file = 'auth.log'
pattern = r'Failed password for invalid user'

with open(log_file, 'r') as f:
    for line in f:
        if re.search(pattern, line):
            print(line.strip())

• Praktisk erfaring: Sett opp et testmiljø for å øve på overvåking, analyse og etterforskning av sikkerhetshendelser.
• Delta i CTF-konkurranser: Capture The Flag-konkurranser er en morsom og lærerik måte å teste dine ferdigheter på.
• Les blogger og nyhetskilder: Hold deg oppdatert på de siste truslene og trendene innen cybersikkerhet.
• Delta i nettforum: Diskuter faglige spørsmål og del erfaringer med andre.

Lykke til med studiet av monitorering og digital etterforskning!

Her er en disposisjon for en hovedoppgave i 20TD02X Monitorering og digital etterforskning, med integrering av Blooms taksonomi og vurderingskriterier tilpasset emnets læringsmål:

1. Innledning:

   • Problemstilling: Definere en klar og relevant problemstilling innenfor monitorering og/eller digital etterforskning. (Blooms: Forstå)
   • Målsetting: Beskrive hva prosjektet skal oppnå, både når det gjelder konkrete resultater og hvilken nytteverdi det har for bedrifter eller samfunnet. (Blooms: Anvende)
   • Avgrensning: Definere prosjektets omfang og begrensninger. (Blooms: Analysere)
   • Relevans: Forklare hvorfor problemstillingen er viktig og aktuell. (Blooms: Evaluere)

2. Teoretisk bakgrunn:

   • Monitorering:
     • Grunnleggende sikkerhetsprinsipper og overvåkingsstrategier. (Blooms: Huske)
     • Ulike typer overvåking (nettverk, logger, ytelse). (Blooms: Forstå)
     • Verktøy og teknologier for overvåking (SIEM, IDS/IPS, etc.). (Blooms: Anvende)
     • Analyse av overvåkingsdata (mønstergjenkjenning, anomalideteksjon). (Blooms: Analysere)
   • Digital etterforskning:
     • Prosessen med digital etterforskning (identifisering, innhenting, analyse, presentasjon av bevis). (Blooms: Huske)
     • Ulike typer digitale bevis (logger, filer, nettverkstrafikk). (Blooms: Forstå)
     • Verktøy for digital etterforskning (EnCase, FTK, Autopsy). (Blooms: Anvende)
     • Juridiske og etiske aspekter ved digital etterforskning. (Blooms: Evaluere)

3. Metode:

   • Forskningsdesign: Beskrive hvordan du vil gå frem for å besvare problemstillingen. (Blooms: Anvende)
   • Datainnsamling: Forklare hvordan du vil samle inn data (intervjuer, spørreundersøkelser, eksperimenter, etc.). (Blooms: Anvende)
   • Analysemetoder: Beskrive hvilke metoder du vil bruke for å analysere dataene. (Blooms: Anvende)

4. Resultater:

   • Presentasjon av funn: Presenter resultatene av undersøkelsen/analysen din på en klar og oversiktlig måte, gjerne med bruk av visualiseringer. (Blooms: Anvende)
   • Drøfting: Diskuter resultatene i lys av problemstillingen og den teoretiske bakgrunnen. (Blooms: Analysere)
   • Konklusjon: Oppsummer hovedfunnene og besvar problemstillingen. (Blooms: Evaluere)

5. Diskusjon:

   • Refleksjon: Reflekter over prosjektets styrker og svakheter, og diskuter mulige forbedringer. (Blooms: Evaluere)
   • Videre arbeid: Foreslå mulige retninger for videre forskning eller utvikling. (Blooms: Skape)

6. Konklusjon:

   • Oppsummer hovedfunnene og bidragene til prosjektet. (Blooms: Evaluere)

Vurderingskriterier:

• Faglig innhold:

  • Demonstrerer studenten god forståelse av sentrale begreper og teorier innen monitorering og digital etterforskning?
  • Er problemstillingen relevant og godt definert?
  • Er valg av metode og verktøy hensiktsmessig?
  • Er analysen grundig og nøyaktig?
  • Er konklusjonene godt underbygget av resultatene?

• Praktiske ferdigheter:

  • Kan studenten bruke relevante verktøy for monitorering og sikkerhetsanalyse?
  • Kan studenten planlegge og gjennomføre en digital etterforskning?
  • Kan studenten presentere resultatene på en klar og overbevisende måte?

• Generell kompetanse:

  • Viser studenten evne til kritisk tenkning, refleksjon og selvstendig arbeid?
  • Kan studenten kommunisere faglig innhold på en forståelig måte?
  • Har studenten en etisk bevissthet rundt arbeidet med monitorering og digital etterforskning?

Ved å bruke denne disposisjonen og fokusere på Blooms taksonomi i arbeidet med hovedprosjektet, kan studenten sikre seg en grundig og helhetlig tilnærming til emnet, og samtidig demonstrere et høyt nivå av faglig kompetanse.

Her er et eksempel på en hovedprosjektbesvarelse innen 20TD02X Monitorering og digital etterforskning, strukturert etter den tidligere definerte disposisjonen, og med fokus på å oppfylle læringsmålene og vurderingskriteriene:

Problemstilling: Industrielle kontrollsystemer (ICS) er stadig mer utsatt for cyberangrep, noe som kan ha alvorlige konsekvenser for kritisk infrastruktur. Tradisjonelle signaturbaserte inntrengningsdeteksjonssystemer (IDS) er ofte utilstrekkelige for å oppdage avanserte angrep. Hvordan kan anomalibasert inntrengningsdeteksjon (anomaly-based IDS) implementeres effektivt i ICS-miljøer for å forbedre sikkerheten?

Målsetting:

1. Evaluere ulike anomalibaserte IDS-teknikker for ICS-miljøer.
2. Utvikle og implementere en prototype av et anomalibasert IDS for et spesifikt ICS.
3. Teste prototypens evne til å oppdage kjente og ukjente angrep.
4. Vurdere systemets ytelse, nøyaktighet og praktiske anvendelighet i et ICS-miljø.

Avgrensning:

Prosjektet vil fokusere på anomalibasert nettverkstrafikk-analyse i et spesifikt ICS-miljø (f.eks. et vannbehandlingsanlegg). Det vil ikke dekke alle typer anomalibasert deteksjon (f.eks. logganalyse eller systematferd).

Relevans:

ICS er avgjørende for samfunnskritiske funksjoner som strømforsyning, vannforsyning og transport. Å sikre disse systemene mot cyberangrep er av stor betydning for samfunnssikkerheten. Anomalibasert IDS kan være et viktig verktøy for å oppdage og forhindre slike angrep.

Monitorering:

• Grunnleggende sikkerhetsprinsipper: Konfidensialitet, integritet og tilgjengelighet (CIA-triaden) er sentrale prinsipper i ICS-sikkerhet. Monitorering er avgjørende for å opprettholde disse prinsippene.
• Overvåkingsstrategier: Kontinuerlig overvåking av nettverkstrafikk, systemlogger og enhetsatferd er nødvendig for å oppdage avvik og potensielle trusler.
• Verktøy og teknologier: SIEM-løsninger, IDS/IPS, nettverksovervåkingsverktøy og loggaggregeringsverktøy er viktige for effektiv monitorering.

Digital etterforskning:

• Prosessen med digital etterforskning: Involverer identifisering, innhenting, analyse og presentasjon av digitale bevis.
• Digitale bevis: Nettverkstrafikk, systemlogger, filer og annen digital informasjon kan være verdifulle bevis i en etterforskning av et sikkerhetsbrudd.
• Verktøy: Wireshark, tcpdump, EnCase, FTK Imager og andre spesialiserte verktøy brukes til å analysere digitale bevis.

Anomalibasert inntrengningsdeteksjon:

• Prinsipper: Anomalibasert IDS bygger på å etablere en normalprofil for systemets atferd og deretter identifisere avvik fra denne profilen som potensielle angrep.
• Teknikker: Ulike teknikker som statistiske modeller, maskinlæring og regelbaserte systemer kan brukes for å oppdage anomalier.
• Utfordringer: Anomalibasert IDS kan være komplekst å implementere og krever nøye justering for å unngå falske positiver.

Forskningsdesign:

Prosjektet vil følge en eksperimentell tilnærming. En prototype av et anomalibasert IDS vil bli utviklet og testet i et simulert ICS-miljø.

Datainnsamling:

• Normal trafikk: Nettverkstrafikk fra det simulerte ICS-miljøet vil bli samlet inn over en periode for å etablere en normalprofil.
• Angrepstrafikk: Kjente angrep mot ICS (f.eks. Stuxnet, Havex) vil bli simulert for å generere angrepstrafikk.

Analysemetoder:

• Statistisk analyse: Statistiske modeller vil bli brukt til å analysere normaltrafikken og identifisere avvik.
• Maskinlæring: Maskinlæringsalgoritmer (f.eks. k-nærmeste naboer, support vector machines) vil bli trent på normaltrafikken og brukt til å klassifisere ny trafikk som normal eller ondartet.

Presentasjon av funn:

Resultatene vil bli presentert i form av:

• Grafer og diagrammer: Visualisering av normaltrafikk og angrepstrafikk.
• Tabeller: Sammenligning av ulike anomalibaserte IDS-teknikker med hensyn til nøyaktighet, deteksjonsrate og falske positiver.
• Tekstlig beskrivelse: Detaljert analyse av resultatene og diskusjon av funnene.

Drøfting:

Resultatene vil bli drøftet i lys av problemstillingen og den teoretiske bakgrunnen. Styrker og svakheter ved ulike anomalibaserte IDS-teknikker vil bli vurdert, og det vil bli diskutert hvordan de kan tilpasses og optimaliseres for ICS-miljøer.

Konklusjon:

Prosjektet vil konkludere med anbefalinger om hvilke anomalibaserte IDS-teknikker som er mest effektive for å oppdage angrep i ICS-miljøer, samt forslag til videre forskning og utvikling.

Refleksjon:

Prosjektet vil reflektere over utfordringene og begrensningene ved å implementere anomalibasert IDS i ICS-miljøer. Det vil også diskutere etiske problemstillinger knyttet til overvåking og datainnsamling.

Videre arbeid:

Mulige retninger for videre arbeid kan inkludere:

• Utvikling av mer avanserte anomalibaserte IDS-teknikker som tar hensyn til den spesifikke konteksten til ICS-miljøer.
• Integrering av anomalibasert IDS med andre sikkerhetsløsninger, som brannmurer og inntrengningstesting.
• Evaluering av systemets ytelse i et større og mer komplekst ICS-miljø.

Hovedprosjektet har bidratt til å øke forståelsen av anomalibasert inntrengningsdeteksjon i industrielle kontrollsystemer. Resultatene viser at anomalibasert IDS kan være et effektivt verktøy for å oppdage både kjente og ukjente angrep, men krever nøye tilpasning til det spesifikke miljøet. Videre forskning og utvikling er nødvendig for å forbedre nøyaktigheten og redusere falske positiver.

Her er kodeeksempler og teknikker som kan brukes i et hovedprosjekt om monitorering og digital etterforskning, med fokus på å oppfylle læringsmålene og vurderingskriteriene:

Kodeeksempler:

• Python (Dataanalyse og visualisering):

  import pandas as pd
  import matplotlib.pyplot as plt
  
  # Les inn loggdata fra en CSV-fil
  logs = pd.read_csv('logs.csv')
  
  # Analyser dataene for å finne antall hendelser per type
  event_counts = logs['event_type'].value_counts()
  
  # Visualiser resultatene i et stolpediagram
  plt.figure(figsize=(10, 6))
  event_counts.plot(kind='bar')
  plt.title('Antall sikkerhetshendelser per type')
  plt.xlabel('Hendelsestype')
  plt.ylabel('Antall')
  plt.show()

  • Forklaring: Dette skriptet leser inn loggdata, analyserer dem for å finne antall hendelser per type, og visualiserer resultatene i et stolpediagram. Dette kan brukes til å identifisere mønstre og trender i sikkerhetshendelser.

• Svelte (Interaktivt dashboard):

  <script>
    import { onMount } from 'svelte';
    import { Chart } from 'chart.js';
  
    let networkTrafficData = [];
  
    onMount(async () => {
      const response = await fetch('/api/network_traffic');
      networkTrafficData = await response.json();
  
      new Chart(document.getElementById('trafficChart'), {
        type: 'line',
        data: {
          labels: networkTrafficData.map(item => item.timestamp),
          datasets: [{
            label: 'Nettverkstrafikk',
            data: networkTrafficData.map(item => item.bytes)
          }]
        }
      });
    });
  </script>
  
  <canvas id="trafficChart"></canvas>

  • Forklaring: Dette Svelte-skriptet henter nettverkstrafikkdata fra en API og visualiserer dem i en linjegraf. Dashboardet kan utvides til å vise andre typer overvåkingsdata og gi mulighet for interaktiv utforskning av dataene.

• Wireshark (Nettverksanalyse):

  • Bruk Wireshark til å fange og analysere nettverkstrafikk i sanntid.
  • Filtrer pakker basert på protokoll, IP-adresse, port, etc.
  • Inspiser innholdet i pakkene for å identifisere mistenkelig aktivitet.

Teknikker:

• Logganalyse: Samle inn og analyser logger fra ulike kilder (brannmur, IDS/IPS, servere, applikasjoner) for å identifisere sikkerhetshendelser og avvik.
• Nettverksanalyse: Bruk verktøy som Wireshark til å analysere nettverkstrafikk for å oppdage mistenkelig aktivitet, som port-scanning, malware-trafikk eller dataeksfiltrering.
• Anomalideteksjon: Bruk statistiske metoder eller maskinlæring for å identifisere unormal atferd i nettverkstrafikk eller systemlogger.
• Hendelseskorrelasjon: Kombiner data fra ulike kilder for å få et helhetlig bilde av sikkerhetssituasjonen og identifisere sammenhenger mellom ulike hendelser.
• Digital etterforskning: Bruk spesialiserte verktøy for å undersøke og analysere digitale bevis i forbindelse med sikkerhetshendelser.

• Automatisering: Implementering av automatiserte overvåkingsløsninger for å oppdage uregelmessigheter i sanntid.
• Varsling: Konfigurere avanserte varslingssystemer for å varsle om mistenkelige aktiviteter eller sikkerhetsbrudd.
• Bruk av AI og Maskinlæring: Implementering av AI og maskinlæring for forbedret overvåking og deteksjon av trusler.

• Elasticsearch, Logstash, Kibana (ELK Stack): Bruk av ELK Stack for å samle inn, analysere og visualisere loggdata.
• Splunk: Bruk av Splunk for innsamling og analyse av store mengder data fra forskjellige kilder.
• Prometheus og Grafana: Bruk av Prometheus for datainnsamling og Grafana for visualisering av overvåkingsdata.

• Systemytelse: Overvåke CPU-bruk, minnebruk, disk I/O og nettverkstrafikk for å identifisere ytelsesproblemer.
• Applikasjonsytelse: Bruk av Application Performance Management (APM) verktøy for å overvåke applikasjonsytelse og oppdage flaskehalser.

• Utvikling av Incident Response Plan (IRP): Lage og implementere en effektiv IRP som dekker identifisering, respons, gjenoppretting og etterforskning.
• Teamroller og Ansvarsområder: Definere roller og ansvar for teammedlemmer under en hendelsesrespons.
• Hendelseslivssyklus: Forstå de ulike fasene i en sikkerhetshendelses livssyklus, fra deteksjon til gjenoppretting.

• Sanntidsdeteksjon: Bruk av SIEM-løsninger for sanntidsdeteksjon av sikkerhetshendelser.
• Hendelseshåndtering: Effektive metoder for å håndtere og respondere på oppdagede hendelser.
• Rettsmedisinsk Analyse: Utføre digital rettsmedisinsk analyse for å undersøke og forstå hendelser.

• Bevisinnsamling: Sikring og innsamling av digitale bevis uten å kompromittere integriteten til dataene.
• Analysemetoder: Bruk av spesialiserte verktøy og metoder for å analysere innsamlede bevis.
• Rapportering: Dokumentere funn og lage rapporter som kan brukes til å forbedre sikkerhetsstrategier og presenteres i rettslige sammenhenger.

Kandidaten:

• Har avansert kunnskap om automatiserte overvåkingsmetoder og bruk av AI og maskinlæring i sikkerhetsarbeid.
• Forstår hvordan man utvikler og implementerer en effektiv Incident Response Plan.
• Kjenner til verktøy og teknologier for avansert overvåking og hendelsesrespons.

Kandidaten:

• Kan konfigurere og bruke avanserte overvåkings- og varslingssystemer.
• Kan planlegge og lede responsen på sikkerhetshendelser, inkludert innsamling og analyse av digitale bevis.
• Kan bruke AI og maskinlæring for å forbedre overvåking og deteksjon av sikkerhetstrusler.

Kandidaten:

• Kan utvikle og implementere strategier for overvåking og hendelsesrespons som beskytter organisasjonens IT-systemer.
• Kan lede arbeidet med å håndtere og etterforske sikkerhetshendelser på en effektiv og profesjonell måte.
• Kan kommunisere funn og anbefalinger klart og tydelig til ulike interessenter.

Automatisert Overvåking:

• Elasticsearch, Logstash, Kibana (ELK Stack): ELK Stack Documentation
• Splunk: Splunk Documentation
• Prometheus og Grafana: Prometheus, Grafana

Incident Response:

• SANS Institute: Ressurser og rammeverk for hendelsesrespons SANS Incident Response
• NIST SP 800-61: Retningslinjer for hendelseshåndtering NIST Incident Handling Guide
• OpenIOC: Verktøy for å lage og dele indikatorer på kompromittering OpenIOC

# Logstash Configuration
input {
  file {
    path => "/var/log/syslog"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:host} %{DATA:process}:\s%{GREEDYDATA:message}" }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
  }
}

// Kibana Visualization
{
  "title": "Syslog Messages",
  "type": "table",
  "params": {
    "perPage": 10,
    "showMeticsAtAllLevels": false,
    "sort": {
      "columnIndex": 0,
      "direction": "desc"
    }
  },
  "aggs": [
    {
      "type": "terms",
      "schema": "bucket",
      "params": {
        "field": "process.keyword",
        "size": 10,
        "order": "desc"
      }
    }
  ]
}

## Incident Response Plan

### 1. Purpose
Beskriv hensikten med IRP og dens mål.

### 2. Scope
Definer omfanget av planen, inkludert hvilke systemer og data den dekker.

### 3. Incident Response Team
Liste over teammedlemmer og deres roller.

### 4. Incident Classification
Kategorisering av hendelser etter alvorlighetsgrad.

### 5. Detection and Analysis
Beskriv prosedyrene for å oppdage og analysere sikkerhetshendelser.

### 6. Containment, Eradication, and Recovery
Detaljer om hvordan hendelser skal begrenses, fjernes og gjenopprettes fra.

### 7. Post-Incident Activity
Beskrivelse av etterforskning, rapportering og forbedringsprosesser etter en hendelse.

### 8. Communication Plan
Protokoller for intern og ekstern kommunikasjon under en hendelse.

### 9. Training and Testing
Plan for regelmessig trening og testing av IRP.

• Automatiser deteksjon og varsling: Bruk automatiseringsverktøy for å sikre rask deteksjon og respons på sikkerhetshendelser.
• Hold IRP oppdatert: Sørg for at Incident Response Plan alltid er oppdatert og kjent blant alle relevante parter.
• Tren regelmessig: Gjennomfør regelmessige øvelser for å teste og forbedre hendelsesrespons.
• Dokumenter grundig: Dokumenter alle hendelser og responser nøye for å lære og forbedre fremtidige strategier.

Lykke til med å utforske avanserte overvåkingsmetoder og effektiv hendelsesrespons i IT-systemer!

Selvfølgelig, her er forslag til titler og beskrivelser for de resterende delene for emnet "20TD02X Monitorering og digital etterforskning":

Tittel: Sikkerhetsovervåking og Hendelseshåndtering: Fra Deteksjon til Respons

Beskrivelse: Denne delen fokuserer på deteksjon og håndtering av sikkerhetshendelser gjennom avansert overvåking og responsstrategier. Du vil lære hvordan du identifiserer trusler, håndterer sikkerhetshendelser og gjenoppretter systemer etter et brudd.

Innhold:

• Deteksjon av Trusler: Implementering av teknikker for å oppdage sikkerhetstrusler i sanntid.
• Hendelseshåndtering: Metoder for effektiv håndtering av oppdagede hendelser.
• Gjenoppretting: Strategier for å gjenopprette systemer og data etter sikkerhetsbrudd.
• Verktøy for Hendelseshåndtering: Bruk av verktøy som SIEM, IDS/IPS og SOAR (Security Orchestration, Automation, and Response).
• Rapportering og Dokumentasjon: Dokumentering av hendelser og opprettelse av rapporter for å informere interessenter og forbedre fremtidige sikkerhetsstrategier.

Tittel: Rettsmedisinsk Analyse og Digital Etterforskning: Fra Spor til Bevis

Beskrivelse: Denne delen gir en dypere forståelse av rettsmedisinsk analyse og teknikker for digital etterforskning. Du vil lære hvordan du samler inn, analyserer og presenterer digitale bevis på en rettslig gyldig måte.

Innhold:

• Innsamling av Digitale Bevis: Metoder for sikker innsamling av bevis uten å kompromittere integriteten.
• Rettsmedisinsk Analyse: Bruk av verktøy som EnCase, FTK og Autopsy for å analysere digitale bevis.
• Juridiske Aspekter: Forståelse av juridiske krav og beste praksis for å sikre at digitale bevis er akseptable i rettssystemet.
• Etikk i Digital Etterforskning: Diskusjon om etiske dilemmaer og ansvar i digital etterforskning.
• Case Studies: Analyse av virkelige tilfeller for å forstå praktisk anvendelse av rettsmedisinsk analyse.

Tittel: Trusselintelligens og Proaktiv Sikkerhet: Forutse og Forhindre Angrep

Beskrivelse: Denne delen utforsker trusselintelligens og proaktive sikkerhetsstrategier for å forutse og forhindre angrep. Du vil lære hvordan du samler inn, analyserer og bruker trusselintelligens til å forbedre sikkerheten.

Innhold:

• Trusselintelligens: Innsamling og analyse av data for å identifisere trusler og sårbarheter.
• Proaktive Sikkerhetsstrategier: Utvikling av strategier for å forhindre sikkerhetsbrudd før de skjer.
• Adversarial Tactics, Techniques, and Procedures (TTPs): Forståelse av TTPs brukt av angripere for å bedre forsvaret.
• Verktøy for Trusselintelligens: Bruk av verktøy som Threat Intelligence Platforms (TIPs) og Threat Feeds.
• Implementering av Proaktive Tiltak: Gjennomføring av tiltak som trusseljakt (threat hunting) og sårbarhetsskanning.

Tittel: Overvåkingssystemer og Ytelsesoptimalisering: Sikre Effektiv Drift

Beskrivelse: Denne delen dekker oppsett, drift og optimalisering av overvåkingssystemer for å sikre effektiv drift og rask respons på sikkerhetshendelser. Du vil lære hvordan du konfigurerer og vedlikeholder overvåkingssystemer for optimal ytelse.

Innhold:

• Oppsett av Overvåkingssystemer: Konfigurasjon av overvåkingsverktøy som Nagios, Zabbix og Prometheus.
• Ytelsesoptimalisering: Teknikker for å forbedre ytelsen til overvåkingssystemer og sikre rask respons.
• Skalerbarhet: Implementering av skalerbare overvåkingsløsninger som kan håndtere vekst i systemressurser og nettverkstrafikk.
• Integrasjon med andre Systemer: Integrasjon av overvåkingssystemer med andre ITSM (IT Service Management) verktøy.
• Feilsøking og Vedlikehold: Lære å feilsøke og vedlikeholde overvåkingssystemer for å sikre kontinuerlig drift.

Tittel: Risikoanalyse og Sikkerhetsvurdering: Identifisere og Mitigere Risiko

Beskrivelse: Denne delen fokuserer på risikoanalyse og sikkerhetsvurdering for å identifisere og mitigere risikoer i IT-systemer. Du vil lære hvordan du utfører risikoanalyser og sikkerhetsvurderinger for å forbedre organisasjonens sikkerhetsstilling.

Innhold:

• Risikoanalyse: Metoder for å identifisere, vurdere og prioritere risikoer i IT-systemer.
• Sikkerhetsvurdering: Gjennomføring av sikkerhetsvurderinger for å identifisere sårbarheter og anbefale tiltak.
• Verktøy for Risikoanalyse: Bruk av verktøy som OCTAVE, FAIR og NIST SP 800-30 for risikoanalyse.
• Utvikling av Risikostyringsstrategier: Utforming av strategier for å redusere risiko og forbedre sikkerheten.
• Samsvar og Revisjon: Sikre at systemer oppfyller regulatoriske krav og bestå revisjoner.

Tittel: Fremtidens Overvåking og Etterforskning: Teknologier og Trender

Beskrivelse: Denne delen ser på fremtidige teknologier og trender innen overvåking og digital etterforskning. Du vil utforske nye verktøy og metoder som kan revolusjonere sikkerhetsovervåking og etterforskning.

Innhold:

• Fremvoksende Teknologier: Utforske nye teknologier som blockchain, kvantekryptering og AI-drevne sikkerhetsløsninger.
• Trender i Sikkerhetsovervåking: Diskusjon om trender som Zero Trust Architecture, XDR (Extended Detection and Response) og SASE (Secure Access Service Edge).
• Fremtidens Etterforskningsverktøy: Utvikling av nye verktøy for digital etterforskning, inkludert avanserte analyser og automatisering.
• Innovasjon i Sikkerhetsstrategier: Hvordan organisasjoner kan bruke innovative tilnærminger for å forbedre sikkerheten.
• Case Studies og Forskningsmuligheter: Analyse av fremtidige scenarioer og forskningsmuligheter innen sikkerhetsovervåking og etterforskning.

Disse delene vil dekke hele spekteret av emnet "Monitorering og digital etterforskning" og gi studentene en omfattende forståelse av de forskjellige aspektene ved overvåking, hendelseshåndtering, risikoanalyse og fremtidige trender.

Denne lenkesamlingen er tilpasset hvert kapittel av emnet, og inneholder relevante ressurser for å utvide kunnskapen og ferdighetene innenfor monitorering og digital etterforskning.

• Nasjonal strategi for digital sikkerhet: Les mer
• Skatteetaten - Vær på vakt mot svindel: Les mer
• Iverksette styringssystem for informasjonssikkerhet: Les mer
• NSM Veiledere og råd: Les mer
• NSMs grunnprinsipper for IKT-sikkerhet: Les mer
• Fokus 2020 - Etterretningstjenestens åpne vurdering: Les mer
• NSMs årlige risikovurdering: Les mer
• Stuxnet analysis by Langner: Les mer
• 2017 cyberattacks on Ukraine: Les mer
• 2020 United States federal government data breach: Les mer
• Cryptii Enigma simulator: Les mer
• Cryptii Caesar simulator: Les mer
• Fileformat.info hash-funksjon utregning: Les mer
• AES Encryption and Decryption Online Tool: Les mer
• Nettvett: Les mer
• Datasikkerhet for ledere: Les mer
• Barn på nett - En veileder for foreldre og lærere: Les mer

• NorSIS rapporter om digital sikkerhetskultur: Les mer
• Digitaliseringsdirektoratet om digital sikkerhetskultur: Les mer
• Michele Gelfand - Rule Makers, Rule Breakers: Les mer
• Ashley Madison data breach: Les mer
• Du Bestemmer (Utdanningsdirektoratet og Datatilsynet): Les mer
• Ung.no (Bufdir): Les mer
• Slettmeg.no (NorSIS): Les mer

• Elasticsearch, Logstash, Kibana (ELK Stack): Les mer
• Splunk: Les mer
• Prometheus og Grafana: Prometheus, Grafana
• SANS Institute: SANS Incident Response
• NIST SP 800-61: NIST Incident Handling Guide
• OpenIOC: Les mer

• Autopsy: Les mer
• FTK Imager: Les mer
• Wireshark: Les mer
• EnCase: Les mer
• Digital forensics: Les mer

• Grunnlovens §102: Les mer
• EMK Artikkel 8: Les mer
• Nettvett - sikkerhet og Internett: Les mer
• Id-tyveri og forebygging: Nettvett, Politiet
• The Tor project: Les mer
• Tails: Les mer
• Qubes OS: Les mer
• Vitenskaplige artikler om anonymitet: Les mer

• Crowdstrike - What Is an Advanced Persistent Threat?: Les mer
• Politiets sikkerhetstjeneste (PST) - Trusselvurdering: Les mer
• NSM og KRIPOS - Løsepengevirus temarapport: Les mer
• FireEye Threat Research Blog: Les mer
• Amnesty International - Forensic Methodology Report: Les mer
• Darknet Diaries (podcast): Les mer
• Wi-fi sårbarheter: Key Reinstallation Attacks (WPA2), Dragonblood (WPA3), Fragmentation and Aggregation Attacks

• Nagios: Les mer
• Zabbix: Les mer
• Prometheus: Les mer
• Grafana: Les mer
• Azure Monitor: Les mer
• AWS CloudWatch: Les mer
• Google Cloud Operations Suite: Les mer

Crowdstrike - What Is an Advanced Persistent Threat?: Les mer

• Politiets sikkerhetstjeneste (PST) - Trusselvurdering: Les mer
• Lockheed Martin - The Cyber Kill Chain: Les mer
• US-CERT - CISA: Les mer
• The Diamond Model of Intrusion Analysis: Les mer
• MITRE ATT&CK: Les mer
• Common Vulnerability Scoring System (CVSS): Les mer
• National Vulnerability Database (NVD): Les mer
• Common Vulnerabilities and Exposures (CVE): Les mer

• Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser: Les mer
• Kommunerevisjonen - Kunne dette skjedd hos oss?: Les mer
• Rekordbot for slurv med personvern: Les mer
• Foreningen Kommunal Informasjonssikkerhet (KiNS) - Maler for databehandleravtaler: Les mer
• Gartner Top Strategic Technology Trends for 2021: Les mer
• NHO om små og mellomstore bedrifter (SMB): Les mer
• SSB om statistikk for virksomheter i Norge: Les mer
• Ofte stilte spørsmål om sky og tjenesteutsetting: Les mer
• Datatilsynet - Avvikshåndtering: Les mer
• Nasjonalt cyberkrimsenter (NC3): Les mer
• NSM kvalitetsordning for leverandører som håndterer IKT-hendelser: Les mer
• The Market for Lemons: Les mer
• DOFFIN - Database for offentlige innkjøp: Les mer
• NOU 2018: 14 - IKT-sikkerhet i alle ledd: Les mer

• Building Security In Maturity Model (BSIMM): Les mer
• Gary McGraw personlig hjemmeside: Les mer
• Silver Bullet Podcast with Security Gurus: Les mer
• SAFECode: Les mer
• OWASP Software Assurance Maturity Model (SAMM): Les mer
• Threat Dragon - open-source threat modeling tool from OWASP: Les mer
• Utvalgte sammendrag fra faget "Informasjons- og programvaresikkerhet": Les mer
• Microsoft Threat Modeling Tool: Les mer

Denne utvidede lenkesamlingen gir et omfattende grunnlag for å utforske temaene innen monitorering og digital etterforskning. Den inkluderer relevante dokumenter, verktøy, rapporter og ressurser som er avgjørende for å forstå og implementere beste praksis innen dette fagområdet.

Jeg kunne ikke få tilgang til nettstedet på grunn av begrensninger i robots.txt-filen. Men jeg kan likevel gi deg en oversikt over typiske temaer som dekkes i informasjonssikkerhet basert på hva slike ressurser vanligvis inkluderer.

1. Grunnleggende Prinsipper: Konfidensialitet, integritet og tilgjengelighet.
2. Trussellandskap: Ulike typer cybertrusler som malware, phishing, og DDoS-angrep.
3. Sikkerhetsteknologier: Brannmurer, IDS/IPS, kryptering, og autentiseringsteknologier.
4. Rammeverk og Standarder: ISO 27001, NIST, GDPR.
5. Sikkerhetsstrategier: Risikostyring, hendelseshåndtering, sikkerhetsopplæring.
6. Rettsmedisinsk Analyse: Metoder og verktøy for å analysere og etterforske sikkerhetshendelser.

For en mer detaljert oversikt, kan du besøke siden direkte: Informasjonssikkerhet ved UiO.

Her er en oppsummering av presentasjonene som dekker ulike aspekter av informasjonssikkerhet:

• Hovedpunkter: Definisjoner av sikkerhet og informasjonssikkerhet, kilder til krav om sikkerhet, trusler, sårbarheter, hendelser, risiko, sikkerhetsmålsettinger og sikkerhetstiltak.
• Ressurser: Nasjonal strategi for digital sikkerhet

• Hovedpunkter: Beskriver ulike angrepsvektorer og typer skadevare, inkludert virus, ormer, trojanere og ransomware.
• Ressurser: Stuxnet analysis by Langner

• Hovedpunkter: Systemarkitektur, sikkerhetsoppdateringer, privilegienivåer, buffer-overflow, virtualiseringsarkitektur, sikker oppstart, sidekanaler og skjulte kanaler.
• Ressurser: 2017 cyberattacks on Ukraine

• Hovedpunkter: Historie og utvikling av kryptografi, symmetriske og asymmetriske algoritmer, hash-funksjoner, digital signatur, postkvantekryptografi, kryptografi i blokkjeder.
• Ressurser: AES Encryption and Decryption Online Tool

• Hovedpunkter: Utfordringer med nøkkelhåndtering, nøkkelhåndtering og kryptoperioder, PKI, tillitsmodeller for PKI, sertifikater for offentlige nøkler.
• Ressurser: Nøkkelhåndtering og PKI - Universitetsforlaget

• Hovedpunkter: Grunnleggende nettverksarkitektur, kommunikasjonssikkerhet, sikkerhetsprotokoller, VPN, datanettsikkerhet, brannmurer, inntrengingsdeteksjon, TLS-inspeksjon.
• Ressurser: Wireshark

• Hovedpunkter: Radiokommunikasjon, sikkerhet i wifi, blåtann og mobilnett.
• Ressurser: The Tor project

• Hovedpunkter: Metoder for autentisering, passord, brikker, biometri, rammeverk for autentisering.
• Ressurser: Datasikkerhet for ledere

• Hovedpunkter: Silomodellen, fødererte modeller for identitetshåndtering, OpenIdConnect, OAuth, tilgangskontroll.
• Ressurser: Identitets- og tilgangshåndtering - Universitetsforlaget

• Hovedpunkter: Personvern i den digitale tidsalderen, personverninvaderende teknologier, blokkering av sporing, GDPR, personopplysningsloven, DPIA, varsling ved brudd på personvern.
• Ressurser: Personvern - Universitetsforlaget

• Hovedpunkter: Innebygd informasjonssikkerhet og personvern, de syv fasene for innebygd sikkerhet, applikasjonssikkerhet, sikkerhet i skyen.
• Ressurser: Innebygd informasjonssikkerhet - Universitetsforlaget

• Hovedpunkter: Styring og ledelse av informasjonssikkerhet, ISMS, standarder og rammeverk, modenhet i styring.
• Ressurser: Styring og ledelse av informasjonssikkerhet - Universitetsforlaget

• Hovedpunkter: Bygging av sikkerhetskultur, innsidertrusselen, ledelsens ansvar, personlig integritet, sosial manipulering.
• Ressurser: Sikkerhetskultur - Universitetsforlaget

• Hovedpunkter: Risiko og risikostyring, prosess for risikostyring, risikovurdering, risikoanalyse, risikohåndtering.
• Ressurser: Risikostyring for informasjonssikkerhet - Universitetsforlaget

• Hovedpunkter: Regelverk om informasjonssikkerhet, sentrale lover, grunnleggende begreper.
• Ressurser: Lover og regelverk for informasjonssikkerhet - Universitetsforlaget

• Hovedpunkter: Beredskapsprinsippene, tekniske beredskapsbegreper, beredskapsplanlegging, hendelsesrespons, NCSC, sektorvise responsmiljøer, digital etterforskning.
• Ressurser: Beredskap og hendelsesrespons - Universitetsforlaget

• Hovedpunkter: Avanserte cybertrusler, digital trusseletterretning, sikkerhetstesting, cyberkrigføring.
• Ressurser: Cyberoperasjoner - Universitetsforlaget

• Nasjonal strategi for digital sikkerhet
• Stuxnet analysis by Langner
• AES Encryption and Decryption Online Tool
• Wireshark
• The Tor project
• Datasikkerhet for ledere
• Personvern - Universitetsforlaget

Her er en oppsummering og beskrivelse av læringsutbyttet for de relevante presentasjonene fra "Informasjonssikkerhet: Teori og praksis":

Innhold:

• Definisjoner av sikkerhet og informasjonssikkerhet.
• Trusler, sårbarheter, hendelser og risiko.
• Sikkerhetsmålsettinger og sikkerhetstiltak.

Læringsutbytte:

• Forstå de grunnleggende konseptene og terminologien innen informasjonssikkerhet.
• Evne til å identifisere trusler og sårbarheter samt vurdere risikoer.
• Kunnskap om ulike sikkerhetstiltak og hvordan de kan implementeres for å beskytte informasjon.

Innhold:

• Forskjellige angrepsvektorer.
• Typer av skadevare og deres funksjoner.

Læringsutbytte:

• Forstå ulike måter et system kan bli angrepet på.
• Kjenne til forskjellige typer skadevare og hvordan de opererer.
• Evne til å identifisere og respondere på angrep ved hjelp av passende tiltak.

Innhold:

• Systemarkitektur og sikkerhetsoppdateringer.
• Buffer-overflyt, virtuelle arkitekturer og sikker oppstart.

Læringsutbytte:

• Forståelse av hvordan man kan sikre systemarkitekturer.
• Kunnskap om teknikker for å oppdatere og patch systemer for å forhindre sårbarheter.
• Evne til å implementere sikkerhetsmekanismer som beskytter mot vanlige angrep som buffer-overflyt.

Innhold:

• Grunnleggende nettverksarkitektur og kommunikasjonssikkerhet.
• Sikkerhetsprotokoller, VPN og brannmurer.
• Inntrengningsdeteksjon og nettverksarkitektur for sikkerhet.

Læringsutbytte:

• Forstå nettverksarkitekturen og hvordan kommunikasjon kan sikres.
• Kjenne til og kunne anvende ulike sikkerhetsprotokoller for å beskytte data i transitt.
• Evne til å implementere og administrere sikkerhetstiltak som brannmurer og VPN.

Innhold:

• Sikkerhet i wifi, blåtann og mobilnett.

Læringsutbytte:

• Kunnskap om sikkerhetsutfordringer i trådløse nettverk.
• Forståelse av hvordan man kan beskytte trådløse nettverk mot vanlige angrep.
• Evne til å implementere sikkerhetstiltak i forskjellige trådløse kommunikasjonsmiljøer.

Innhold:

• Metoder for autentisering som passord, brikker og biometri.
• Rammeverk for autentisering.

Læringsutbytte:

• Forstå ulike autentiseringsmetoder og deres styrker og svakheter.
• Evne til å implementere passende autentiseringsmekanismer basert på behov og risiko.
• Kunnskap om hvordan autentisering kan styrkes ved hjelp av multifaktorløsninger.

Innhold:

• Silomodellen og fødererte modeller for identitetshåndtering.
• Protokoller som OpenIdConnect og OAuth.
• Tilgangskontroll.

Læringsutbytte:

• Forstå hvordan identiteter håndteres og hvordan tilgang kan kontrolleres effektivt.
• Evne til å implementere IAM-løsninger som sikrer at kun autorisert personell får tilgang til ressurser.
• Kunnskap om moderne IAM-protokoller og deres anvendelse i sikre systemer.

Innhold:

• Personvern i den digitale tidsalderen, GDPR, DPIA.
• Terminologi og personvernivaderende teknologier.

Læringsutbytte:

• Forstå viktigheten av personvern og hvordan det beskyttes i lovgivningen som GDPR.
• Kunnskap om teknologier som kan invadere personvern og hvordan de kan kontrolleres.
• Evne til å gjennomføre vurderinger av personvernkonsekvenser (DPIA) og håndtere personvernbrudd.

Innhold:

• Bygging av sikkerhetskultur, innsiderisiko og sosial manipulering.

Læringsutbytte:

• Forstå viktigheten av en sterk sikkerhetskultur i organisasjoner.
• Kunnskap om hvordan man kan forhindre innsideangrep og sosial manipulering.
• Evne til å utvikle og opprettholde en kultur som fremmer sikker atferd blant ansatte.

Innhold:

• Risikoanalyse, risikohåndtering og prosess for risikovurdering.

Læringsutbytte:

• Forstå hvordan risikoer vurderes og håndteres innen informasjonssikkerhet.
• Evne til å gjennomføre risikoanalyser og utvikle strategier for risikohåndtering.
• Kunnskap om prosesser og metoder for effektiv risikostyring.

Innhold:

• Regelverk om informasjonssikkerhet, GDPR, og andre relevante lover.

Læringsutbytte:

• Forstå juridiske krav og regelverk relatert til informasjonssikkerhet.
• Evne til å sikre at organisasjonens sikkerhetspraksis overholder gjeldende lover og regler.
• Kunnskap om viktige lover som påvirker informasjonssikkerhetsarbeidet.

Innhold:

• Beredskapsplanlegging, hendelsesrespons, og digital etterforskning.

Læringsutbytte:

• Forstå hvordan man planlegger for og responderer på sikkerhetshendelser.
• Kunnskap om beredskapsprinsipper og hvordan de implementeres.
• Evne til å utføre digital etterforskning og håndtere sikkerhetsbrudd effektivt.

Innhold:

• Avanserte cybertrusler, digital trusseletterretning, og sikkerhetstesting.

Læringsutbytte:

• Forstå moderne cybertrusler og hvordan de kan identifiseres og motarbeides.
• Kunnskap om metoder for trusseletterretning og sikkerhetstesting av systemer.
• Evne til å gjennomføre offensive og defensive cyberoperasjoner for å beskytte informasjonssystemer.

Disse presentasjonene dekker bredt utvalg av emner innen informasjonssikkerhet og gir et godt fundament for både praktisk og teoretisk forståelse av fagområdet.