c't Desinfec't 2023/24

Microsoft Azure Security. Bewährte Methoden, Prozesse und Grundprinzipien für das Entwerfen und Entwickeln sicherer Anwendungen in der Cloud. November 2023. Wenn wichtige Anwendungen und Workloads eines Unternehmens in die Microsoft Azure-Cloud verlagert werden, müssen sie gegen eine Vielzahl von ebenso unterschiedlichen wie gefährlichen Bedrohungen gewappnet werden. Um ihre Sicherheit zu optimieren, ist es erforderlich, dass Sie diese bereits zuverlässig in Ihre Entwürfe einbauen, bewährte Best Practices über die gesamte Entwicklung hinweg anwenden und verschiedene Azure-Dienste kombinieren.In diesem Buch zeigen Ihnen drei führende Azure-Sicherheitsexperten, wie Sie genau das tun. Auf der Grundlage ihrer umfangreichen Erfahrungen mit der Absicherung von Azure-Workloads geben die Autoren Ihnen eine praktische Anleitung zur Bewältigung unmittelbarer Sicherheitsherausforderungen an die Hand sowie eine umfassende Referenz, auf die Sie sich über Jahre hinweg verlassen können. Egal ob Softwarearchitektin, Softwareentwickler oder beim Testen: Integrieren Sie die wichtigsten Azure-Sicherheitstechnologien – von Entwurf und Entwicklung über Tests und Bereitstellung bis hin zu Governance und Compliance.In diesem Buch werden folgende Themen behandelt:Verbesserung der Anwendungs-/Workload-Sicherheit, Verringerung der Angriffsflächen und Implementierung von Zero Trust im Cloud-CodeAnwendung von Sicherheitsmustern zur einfacheren Lösung gängiger ProblemeFrühzeitige Modellierung von Bedrohungen, um wirksame Abhilfemaßnahmen zu planenImplementierung moderner Identitätslösungen mit OpenID Connect und OAuth2Azure-Monitoring, Protokollierung und Kusto-Abfragen optimal nutzenAbsicherung von Workloads mit den Best Practices von Azure Security Benchmark (ASB)Prinzipien für sicheren Code, defensiven Code schreiben, unsicheren Code reparieren und Codesicherheit testenNutzung von Azure-Kryptographie und Technologien für verschlüsselte DatenverarbeitungVerstehen von Compliance- und RisikoprogrammenSichere automatisierte CI/CD-Workflows und -PipelinesVerstärkung der Container- und NetzwerksicherheitMichael Howard ist Principal Security Program Manager im Bereich Security Engineering. Er ist einer der Architekten des Microsoft Security Development Lifecycle und hat einer Vielzahl von unterschiedlichen Kunden dabei geholfen, ihre Azure-Workloads zu sichern. Heinrich Gantenbein ist Senior Principal Consultant für Cybersicherheit bei Microsofts Industry Solutions Delivery. Mit über 30 Jahren Erfahrung im Softwareengineering und in der Beratung bringt er jede Menge praktisches Know-how in seine Rolle ein. Er ist auf Azure-Sicherheit, Bedrohungsmodellierung und DevSecOps spezialisiert.Simone Curzi ist Principal Consultant bei Microsofts Industry Solutions Delivery. Als anerkannter Experte für Bedrohungsmodellierung und den Microsoft Security Development Lifecycle tritt er regelmäßig als Speaker auf internationalen Konferenzen auf.Leseprobe (PDF-Link)

Hacking mit Post Exploitation Frameworks, September 2023.Um effektiv auf Cyber-Angriffe reagieren zu können, ist es unerlässlich, die aktuellen Angriffstechniken des Gegners zu kennen. Nur so ist es möglich, auf komplexe Angriffe adäquat zu reagieren und rechtzeitig geeignete Maßnahmen zu ergreifen. An dieser Stelle kommt die Phase der Post-Exploitation ins Spiel. Sie ist eine Phase des Penetrationstests, die voraussetzt, dass bereits eine Verbindung zwischen Angreifer und Ziel-IT besteht.Dieses Buch befasst sich mit der Installation und dem Einsatz von Post-Exploitation-Frameworks, die Penetrationstestern helfen, mögliche Angriffsszenarien in einer sicheren Umgebung zu simulieren und Systeme auf bestehende und potenzielle Schwachstellen zu überprüfen.Es führt durch den Aufbau eines Testsystems und stellt verschiedene Post-Exploitation-Tools wie Metasploit, Koadic, Empire, Covenant, Merlin, Sliver und Mythic vor. Jedes Kapitel gibt einen Überblick über die Eigenschaften, die Installation und den praktischen Einsatz des jeweiligen Frameworks anhand verschiedener Szenarien. Am Ende jedes Kapitels finden Sie Wiederholungsfragen, um Ihr Wissen zu festigen.Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches Frank Neugebauer ist seit über 25 Jahren in der IT-Sicherheit tätig und hat als Mitglied des Computer Emergency Response Teams der Bundeswehr maßgeblich an der Schwachstellenanalyse von Netzwerken der Bundeswehr mitgearbeitet. Unter anderem war er als Incident Handler im Zentrum für Cybersicherheit der Bundeswehr eingesetzt. Mittlerweile arbeitet er als externer Berater, bildet Cyberspezialisten für die Bundeswehr aus und schreibt Fachartikel für die Zeitschrift iX sowie Fachbücher. Er lebt und arbeitet in Euskirchen.Martin Neugebauer verfügt über 14 Jahre Erfahrung im IT-Bereich der Bundeswehr und hat ein tiefes Verständnis für die IT- und Netzwerkadministration. Seine umfassende Expertise in den Bereichen Netzwerkadministration, IT-Sicherheit und Betriebssysteme, einschließlich Linux und Windows, hat ihm eine zentrale Rolle bei der jährlichen NATO Interoperability Exercise (CWIX) eingebracht. Als wichtiger Akteur bei der Planung, dem Aufbau und der Wartung der Netzwerkinfrastruktur ist er auch für die IT-Sicherheit und den sicheren Betrieb der Systeme verantwortlich. Er lebt und arbeitet in Euskirchen.Leseprobe (PDF-Link)

Das Praxishandbuch für IT- und Systemverantwortliche. Deutsche Erstauflage aus September 2023.Dieses Buch ist der ultimative praktische Leitfaden, um eine Ransomware-Erpressung, ein Denial-of-Service und andere Formen der Cyber-Erpressung zu überleben.Anhand ihrer eigenen, bisher unveröffentlichten Fallbibliothek zeigen die Cybersicherheitsexperten Sherri Davidoff, Matt Durrin und Karen E. Sprenger Ihnen, wie Sie schneller reagieren, den Schaden minimieren, effizienter ermitteln, die Wiederherstellung beschleunigen ... und von vornherein verhindern, dass so etwas überhaupt erst passiert.Bewährte Checklisten helfen Ihnen und Ihren Sicherheitsteams dabei, während des gesamten Lebenszyklus schnell und effektiv zusammenzuarbeiten. Sie lernen Folgendes:Verschiedene Formen von Cyber-Erpressung und deren Entwicklung verstehenBedrohungen identifizieren, Angriffe eindämmen und »Patient Zero« ausfindig machenLösegeldverhandlungen erfolgreich führen und, wenn nötig, Lösegeldforderungen sicher bezahlenDas Risiko von Datenverlust und Neuinfektion verringernEin ganzheitliches Cybersicherheitsprogramm aufbauen, das Ihr Risiko, gehackt zu werden, minimiertDieser Leitfaden ist von unmittelbarem Nutzen für alle, die mit Prävention, Reaktion, Planung oder Richtlinien zu tun haben, insbesondere CIOs, CISOs, Sicherheitsexperten, Administratoren, Verhandlungsführer, Führungskräfte und Ermittler.Vorwort | Inhalt | Leseprobe (PDF-Links)Die Autoren:Sherri Davidoff ist CEO von LMG Security und Autorin des Buches Data Breaches: Crisis and Opportunity. Als anerkannte Expertin für Cybersicherheit wurde Sie von der The New York Times als „security badass“ tituliert. Sherri ist regelmäßige Dozentin bei den renommierten Black-Hat-Trainings und Fakultätsmitglied der Pacific Coast Banking School. Sie ist auch Koautorin des Buchs Network Forensics: Tracking Hackers Through Cyberspace (Addison-Wesley, 2012). Sherri ist GIAC-zertifizierte forensische Analytikerin (GCFA) und Pentesterin (GPEN) und besitzt einen Abschluss in Informatik und Elektrotechnik vom Massachusetts Institute of Technology (MIT).Matt Durrin ist Director of Training and Research bei LMG Security und Senior Consultant für das Unternehmen. Er ist Dozent der internationalen Black-Hat-USA-Konferenz, wo er Kurse zu Ransomware und Datensicherheit gehalten hat. Matt hat Seminare zu Cybersicherheit, Planspiele und Kurse mit tausenden Teilnehmern aus Banken, Handel, Gesundheitswesen und Behörden abgehalten.Als erfahrener Cybersicherheits- und IT-Profi hat sich Matt auf Response und Forschung für Ransomware spezialisiert sowie auf den Einsatz proaktiver Cybersicherheitslösungen. Matt hat einen Bachelor in Informatik von der University of Montana, und seine Malware-Forschung wurde bei NBC Nightly News vorgestellt.Karen Sprenger ist COO und Chefunterhändlerin für Ransomware bei LMG Security. Sie hat mehr als 25 Jahre Erfahrung mit Cybersicherheit und IT, ist anerkannte Expertin für Cybersicherheit, Rednerin und Trainerin. Karen ist GIAC Certified Forensics Examiner (GCFE), Certified Information Systems Security Professional (CISSP) und besitzt einen Bachelor of Music (Performance) (ja, wirklich). Sie spricht auf vielen Events wie der Wall Street Journal Cyber Pro, Fortinet, der Internal Legal Tech Association und dem Volunteer Leadership Council. In ihrer Freizeit betrachtet Karen „digitale Forensik“ als völlig legitime Antwort auf die Frage „Welches Hobby haben Sie?“. Sie lebt seit ihrer Geburt in Montana und wohnt mit einer Unmenge von Pudeln in Missoula.

c't Magazin für Computertechnik - Seit 1983 präsentiert c’t die aktuellen Entwicklungen im IT-Umfeld, gibt Hard- und Softwaretipps, testet neue Produkte auf Herz und Nieren und hält die Leserschaft in Sachen Datenschutz auf dem Laufenden. c’t ist bekannt für eine große Themenvielfalt, technische Kompetenz und eine unabhängige, seriöse Berichterstattung. Neben klassischen Grundlagenartikeln und Produkttests werden von dem Redaktionsteam um Chefredakteur Torsten Beeck auch politische und gesellschaftliche Auswirkungen technischer Entwicklungen beleuchtet. c’t richtet sich an alle, die sich für IT-Themen interessieren - von ambitionierten Computeranwendern und -entwicklern über Technik-Junkies und Gamer bis hin zu Administratoren und IT-Führungskräften. Seit 1997 erscheint c’t alle 14 Tage. Durch das kurze Erscheinungsintervall reagiert das Magazin schnell auf technische Entwicklungen und informiert seine Leser mit stets aktuellen Artikeln. Die herstellerunabhängigen Produkttests werden in eigenen Messlaboren durchgeführt. Mit den Ergebnissen erhält der Leser alle Informationen, um sich ein Bild von den Stärken und Schwächen der getesteten Produkte zu machen. So kann er eine individuelle Kaufentscheidung nach seinen Bedürfnissen fällen. Genießen Sie die Vorzüge eines Abonnements und sparen Sie gegenüber dem Einzelkauf.