Digital forensics og incident response

Lær, hvordan du kan håndtere hackerangreb i virksomheden.

Faget Digital forensics og incident response (DFIR) er målrettet de virksomheder, som skal i gang med at lave en beredskabsplan indenfor it-sikkerhed eller søger inspiration til arbejdet med en eksisterende beredskabsplan.

Faget giver et indblik i hackerangreb og hvad der sker i en virksomhed under et angreb. Du får inspiration til, hvordan du kan håndtere hackerangreb i virksomheden.

Hændelses- og trusselshåndtering tager udgangspunkt i virksomhedens eksisterende it-strukturer og it-sikkerhedsdokumenter. For at kunne reagere korrekt på hackerangreb, skal du have viden om de tekniske strukturer og værktøjer, der allerede er i din virksomhed.

Faget hænger tæt sammen med andre fag i uddannelsen Diplom i It-sikkerhed, som kan være med til at give dig den nødvendige viden til at håndtere hackerangreb. Her kan nævnes Videregående sikkerhed i it-governance, SIEM og loganalyse, Systemsikkerhed samt Netværks- og kommunikationssikkerhed, som til sammen danner de fysiske rammer for, hvilke data man har til rådighed i en SIR situation (Security Incident Response).

Best practise og open source

Faget er baseret på best practises og værktøjer, som er frit tilgængelige eller Open source.

Da der ikke er nogen facitliste, lægges der op til, at du bruger værktøjer og viden ud fra de behov, der er i din virksomhed.

Det lærer du på kurset

På faget lærer du om vigtigheden af de forskellige roller I skal have klar i en it-sikkerhedsberedskabsplan (kommunikation, analyse og beslutningstager, samt indsamling af dokumentation).

Du vil stifte bekendtskab med en række metoder og værktøjer bl.a. til hvordan man indsamler data efter best practise og efter principperne i chain of custody.

Du vil få undervisning indenfor disse emner, teorier og værktøjer:

Hvordan du kan udarbejde et trusselsbillede mod virksomheden og en informationsindsamling af trusler baseret på frit tilgængelige data
Hvordan du opretter og implementerer en beredskabsplan for hændelser i egen organisation
Relevant dokumention før og under angrebet, samt hvordan du kan udarbejde en Incident response rapport.

Hvad en jumpbag fx skal indeholde og hvad du/I skal have klar
Hvordan der kan arbejdes med at analysere indsamlede artefakter og identificere årsagen til en hændelse.

Derudover lærer du om, hvordan du udfører bevisindsamling og håndtere beviserne korrekt, så du sikrer den rette beviskæde i virksomheden og hos myndighederne fx i forhold til:

Anmeldelse af hackerangrebet til myndigheder (Datatilsynet og Politiet)
Hvordan man opstiller labs til analyse af netværkstrafik (PCAP og DNS) og malware analyse
Relevante værktøjer som fx FTK, KAPE, Volatility, Autopsy VMware eller virtualbox

Det bliver du bedre til

Du vil få kendskab til strategier og værktøjer, der kan hjælpe dig med at håndtere angreb imod virksomheden. Du bliver desuden introduceret til, hvad du skal have forberedt i "fredstid".

Du lærer om oprettelse af beredskabsplan og beredskabsplanens faser:

Analysearbejde i forbindelse med de indsamlede data (analyse af netværkstrafik, artefakter/filer og logs). Herunder Online vs. Offline analyse.
Hvordan ovenstående skal beskrives i en Security Incident Response rapport
Hvordan man hæmmer spredningen af hackerangrebet / malware baseret på ovenstående analyse.
Trusselsoverblik

Kort sagt, med denne nye viden vil du være i stand til at oprette og håndtere it-sikkerhedshændelser i virksomheden.

Hold dig opdateret om efteruddannelse

Gå ikke glip af faglig inspiration

Omstillingsfonden

Få op til 10.000 kroner til din efteruddannelse

Sådan gør du

Fakta om kurset

"Digital forensics og incident response" er et valgfrit fag på diplomuddannelsen i IT-sikkerhed. Faget svarer til 10 ECTS.
Du kan tage faget som et enkeltstående kursus eller som en del af en hel uddannelse.

Nedenfor kan du finde svar på nogle af de mest stillede spørgsmål og finde praktiske informationer.

Hvad er adgangskravene?

Når du søger om optagelse, skal du uploade dokumentation for, at du opfylder adgangskravet:

Uddannelsesbevis for relevant adgangsgivende uddannelse
CV med 2 års relevant erhvervserfaring

Relevant uddannelse

For at blive optaget på diplom i IT-sikkerhed skal du have gennemført en af nedenstående uddannelser:

erhvervsakademiuddannelse som datamatiker
erhvervsakademiuddannelse som IT-teknolog
eller en tilsvarende uddannelse på samme eller højere uddannelsesniveau

Relevant erhvervserfaring

Du skal have mindst to års relevant erhvervserfaring indenfor ovenstående arbejdsområder. Du skal have opnået erhvervserfaringen efter, du har gennemført den adgangsgivende uddannelse. Du skal dokumentere erhvervserfaringen overfor EK via dit CV.

Hvis du ikke opfylder kravene, kan du muligvis optages på baggrund af en realkompetencevurdering. Kontakt vores studievejleder, hvis du vil vide mere.

Skal jeg til eksamen?

Hvordan foregår undervisningen?

Er kurset relevant for mig?

Kurset "Digital forensics og incident response" henvender sig til medarbejdere som arbejder med IT-sikkerhed, SOC (Security Operations Center) eller som er i gang med fx diplomuddannelsen i IT-sikkerhed.

Du kan også tage faget, hvis du arbejder med IT og vil lære, hvordan du kan håndtere hackerangreb i din virksomhed.

For at deltage skal du have kendskab til Linux og virtualiseringsteknologier for at få mest mulig udbytte af kurset.

Diplomuddannelsen i IT-sikkerhed

Diplomuddannelsen i IT-sikkerhed er for dig, der gerne vil arbejde med IT-sikkerhed og som allerede har erfaring indenfor IT.

Du kan fx være IT-supporter eller have arbejdet med drift indenfor IT på anden måde, fx drift af IT-systemer og databaser. Du kan komme både fra en IT-afdeling i det offentlige eller på det private arbejdsmarked.

Kan jeg få økonomisk tilskud til kurset?

Efteruddannelse og kurser