Als Absolvent*in des IHK-Zertifikatslehrgangs „Junior Penetration Tester“ erhalten Sie eine spezielle Qualifizierung im Bereich der IT-Sicherheit: die praktische Befähigung, Ermittlungen von IT-infrastrukturellen Schwachstellen innerhalb eines Unternehmens aufzunehmen. Beim Junior Penetration Tester (IHK) können Sie unterstützende Tätigkeiten innerhalb eines Penetration Tests übernehmen. Dies wird durch eine praxisorientierte Vermittlung und dem selbstständigen Anwenden der Lerninhalte realisiert.
Als Junior Penetration Tester (IHK) beherrschen Sie das standardmäßige Vorgehen eines Penetration Tests. Sie lernen gesetzliche Grundlagen und Standards sowie eine Auswahl unterschiedlicher Karrierepfade kennen und können diese bei Bedarf nennen und kategorisieren. Sie sind in der Lage, eigenständig oberflächliche Reconnaissance durchzuführen und offensichtliche Schwachstellen zu erkennen. Ihnen werden die Grundlagen der Ausnutzung von Schwachstellen zum Erlangen eines Footholds vermittelt
Unterschiede von Exploit-Frameworks zu manuellem Vorgehen, deren Vor- und Nachteile sowie das Troubleshooting nicht funktionsfähiger Exploits sind Ihnen bekannt. Sie lernen unterschiedliche Arten der Privilege Escalation und des Lateral Movement kennen und können diese unter Anleitung anwenden. Sie können gefundene Schwachstellen angemessen und zielgruppengerecht aufbereiten und dokumentieren.
Kursinhalte:
1. Grundlagen und Rahmenbedingungen
- Schutzziele, Säulen der IT-Sicherheit
- Arten von Hackern
- Gesetze und Richtlinien, KRITIS
- Standards und Methoden
- Karrierepfade & IT-Security-Berufe
- Einschlägige Zertifizierungen, Weiterbildungsmöglichkeiten, Trainingslabs
- Projektmanagement (Wasserfall vs. Agile)
- Red Teaming vs. Pentesting vs. Schwachstellenanalyse
- CTF vs. Pentesting
- Phasen eines Angriffes/Kill Chain, Lockheed Martin, PTES, MITRE etc.
2. Aufbau und Ablauf eines Penetration Tests
- Phasen/Ablauf eines Penetration Tests
- Ziel und Ergebnis eines Penetration Tests
- Dokumentation von Schwachstellen
- Planung/Initiierung eines Penetration Tests)
- Risiken und common mistakes (aus der Praxis für die Praxis)
- Scoping
- Ergebnispräsentationen für IT & Management
3. Durchführung eines Penetration Tests
- KickOff
- Information Gathering/Active /Passive Reconnaissance
- Grundlagen Gegenmaßnahmen (FW, IDS, IPS, WAF, EPP, Logging, SIEM) & Security Operations (SOC, CERT, Blue Team etc.)
- Vulnerability Analysis und Schwachstellen Klassifizierung (CVE, CVSS, Ausnutzbarkeit und Kritikalität)
- Umgang mit 0-Day’s Disclosure Arten (Responsible, Full)
- Exploitation/Low Hanging Fruits (Common Attack Paths wie SQL/Command Injection, Basic Buffer-Overflow, Misconfigurations, etc.)
- Post Exploitation Basic Privilege Escalation Looting, Persistence and Lateral-Movement/ Low Hanging Fruits
Die Teilnehmenden erhalten während der Veranstaltung und dem kursinternen Abschlusstest Zugang zu einem eigens hierfür entwickelten virtuellen E-LAB, mit dem die Kursinhalte vermittelt und geprüft werden. Dabei steht die praktische Umsetzung der unterschiedlichsten Angriffstechniken im Vordergrund.
Video-Introduction des Lehrgangs: https://youtu.be/VoEt4msIjC0
Der Kurs wird in Kooperation mit dem IT-Security Unternehmen ProSec GmbH durchgeführt. Das Unternehmen bietet Premium IT-Sicherheitsdienstleistungen, Penetrationtests, sowie Security Consulting und betreibt aktiv Zero-Day Research.