Hvad er dette?
Dette forløb er udviklet som en del af undervisningen i Computer- og Netværksarkitektur og på PBA i Cybersikkerhed, Erhvervsakademi Aarhus. Formålet er at give studerende en autentisk, praksisnær erfaring med cloud-infrastruktur, SSH-baseret adgangsstyring og analyse af systemlogfiler.
I stedet for isolerede øvelser er forløbet konstrueret som et sammenhængende sikkerhedsscenarie der udspiller sig over flere dage. De studerende optræder som freelance sikkerhedsanalytikere tilknyttet et fiktivt dansk energiselskab der er medlem af SektorCERT – det sektorspecifikke cybersikkerhedscenter for den danske energisektor.
Scenariet eskalerer gradvist: trusselsniveauet hæves, kommunikationen klassificeres efter Traffic Light Protocol (TLP), og de studerende skal til sidst udarbejde en formel efterforskningsrapport om et konkret sikkerhedsbrud på deres cloud-server.
"God sikkerhed handler ikke altid om at bygge højere mure – det handler om at gøre den nemme vej umulig."
Pædagogisk rationale
Udgangspunktet for forløbet er et enkelt observeret mønster: studerende husker og forstår bedre, når de har en rolle at spille og en reel situation at reagere på – fremfor at løse abstrakte opgaver.
Forløbet er bygget op om tre pædagogiske principper:
Autenticitet
Teknologier, protokoller og arbejdsmetoder er valgt fordi de anvendes i virkeligheden. UpCloud frem for Linode fordi security-by-design er en konkret, diskuterbar designbeslutning. TLP fordi det er den faktiske standard for informationsdeling i dansk kritisk infrastruktur.
Eskalering
Scenariet er ikke statisk. Trusselsniveauet hæves, nye oplysninger tilgår, og de studerende skal tilpasse sig løbende. Det afspejler hvordan sikkerhedshændelser faktisk forløber i praksis.
Tværfaglighed
Forløbet kobler bevidst til viden fra Datasikkerhedsfaget – asymmetrisk kryptografi og nøglepar møder de studerende der som teori og her som operationelt værktøj. Sammenhængen giver forståelse der rækker ud over begge fag.
Path of least resistance
Et centralt begreb i forløbet: angribere vælger altid den letteste vej. Forløbet giver de studerende en konkret oplevelse af hvad det betyder – og hvad det kræver at lukke den vej.
Fra TLP:GREEN til TLP:CLEAR
Forløbet er opdelt i seks faser med eskalerende trusselsniveau og klassifikation.
Opsætning og introduktion
SSH-nøglepar genereres, public keys deles via Canvas, servere oprettes på UpCloud. Første login og introduktion til auth.log-analyse.
Daglig observation – check-in
Studerende logger dagligt ind og rapporterer observationer fra auth.log uformelt i Canvas-grupperummet. Første møde med automatiserede angreb fra bots verden over.
Trusselsniveau hæves
CTI-afdelingen rapporterer om koordinerede angreb mod dansk energiinfrastruktur i kølvandet på udskrevet folketingsvalg. Al kommunikation klassificeres TLP:AMBER.
Sikkerhedshændelse – efterforskning
Kompromittering observeret i andre dele af
organisationen med brugernavnene
jubjubbird
og
sprocket. Studerende efterforsker egne servere og
udarbejder formel rapport.
Ø-drift og nedklassificering
Serverne overgår til ø-drift. Auth.log-backup uploades til Canvas. Trusselsniveauet nedklassificeres til GRØN og forløbet afsluttes formelt.
Opsamling og refleksion
Fælles gennemgang i klassen. Hvem var JubJub Bird og Sprocket? Hvad så I i logfilerne? Hvad fortæller path-of-least-resistance-begrebet os om sikkerhedsdesign?
Hvad arbejder de studerende med?
Forløbet er bygget op om en håndfuld konkrete tekniske kompetencer der øves i en meningsfuld sammenhæng fremfor som isolerede øvelser.
SSH & nøglepar
Ed25519-nøglepar genereres med ssh-keygen. Studerende forstår asymmetrisk kryptografi operationelt frem for teoretisk.
Cloud & UpCloud
Ubuntu-servere på europæisk cloud-infrastruktur. Security-by-design diskuteres konkret via UpClouds krav om public key ved oprettelse.
Log-analyse
cat, tail, grep, awk, sort, uniq kombineres til efterforskning af auth.log. Kommandopipelines forstås ved at bryde dem ned.
SFTP & filoverførsel
Logfiler overføres til lokal maskine med SFTP til offline-analyse og sikring af bevismateriale.
Threat Intelligence
IP-adresser undersøges i AbuseIPDB og ipinfo.io. Studerende erfarer hvad CTI-arbejde indebærer i praksis.
TLP & SektorCERT
Traffic Light Protocol anvendes gennem hele forløbet. Studerende forstår informationsklassificering som en praktisk disciplin.
Hvad skal de studerende kunne?
Forstå cloud-arkitektur i praksis – herunder IaaS, PaaS og SaaS – og reflektere over sikkerhedsperspektivet ved brug af cloud-tjenester.
Opsætte og anvende operativsystemer i virtuelle og cloud-baserede miljøer samt mestre installation af SSH-baseret adgangsstyring.
Håndtere komplekse og udviklingsorienterede situationer i forbindelse med opsætning af et labmiljø til cybersikkerhedsmæssig undersøgelse.
Vurdere sikkerhedskrav til netværk og begrunde valg af løsningsmodeller – herunder i cloud- og hybridmiljø med fokus på adgangskontrol.
Selvstændigt indgå i fagligt samarbejde og påtage sig ansvar i relation til design, opsætning og konfiguration af cloud-baserede netværk.
Identificere egne læringsbehov og udvikle viden om protokoller, netværksarkitektur og sikkerhedsovervågning i praksis.