top-image
Главная » Услуги и обучение » Информационная безопасность » Авторские курсы » Цифровой криминалистический анализ в АСУ ТП для профессионалов

Код: ID-166

Цифровой криминалистический анализ в АСУ ТП для профессионалов

Отправить нам заявку на участие в мероприятии Получить коммерческое предложение

Описание:

С точки зрения цифровой криминалистики работа с АСУ ТП сопряжена с большим количеством специфических сложностей и ограничений. Инструменты и технологии, созданные для IT-сред, часто неприменимы или бесполезны. Например, в среде АСУ ТП сбор улик может осуществляться только вручную. Кроме того, особое внимание должно уделяться быстрому восстановлению контроля и возврату системы или устройств в безопасное состояние.

Слушатели изучат специфику цифровой криминалистики в инфраструктуре АСУ ТП, от обнаружения реальных инцидентов до сбора данных в промышленных средах, их исследования, анализа и подготовки отчетов по инциденту, усвоят практические навыки и подходы, необходимые для квалифицированного расследования инцидентов АСУ ТП и их последствий.

Материалы курса подготовлены специалистами Лаборатории Касперского на основе опыта и знаний полученных при расследовании инцидентов на промышленных объектах, а также при изучении воздействия обнаруженного вредоносного ПО на АСУ ТП.

Целевая аудитория:

Курс обучения предназначен для специалистов в области информационной безопасности ИТ и АСУ ТП-систем, экспертов, занимающихся расследованием мошеннических схем, аудиторов, аналитиков групп по реагированию на компьютерные инциденты (CSIRT) и оперативных центров безопасности (SOC), желающих приобрести квалификацию специалистов в области цифровой криминалистики в АСУ ТП и понять ключевые различия между стратегией криминалистических расследований в ИТ-средах и инфраструктуре АСУ ТП. Кроме того, данный курс будет чрезвычайно полезен сотрудникам полиции и военным, а также всем специалистам по безопасности, участвующим в расследованиях киберинцидентов в инфраструктуре АСУ ТП.

 Участники курса должны обладать практическими знаниями в области системного администрирования, сетевых технологий и обеспечения безопасности. Необходимы навыки администрирования систем под управлением Windows, Linux, а также систем виртуализации.

Программа обучения:

 День 1: Обзор проблемной области, основы цифровой криминалистики

  • Криминалистический анализ: цели, задачи, приемы и методика
  • Определения и типы криминалистического анализа
  • Основы и методы планирования реагирования на инциденты
  • Сбор энергозависимых и энергонезависимых данных в качестве улик
  • Практические вопросы, решаемые в ходе анализа
  • Минимизация потери данных при сборе цифровых улик
  • Автоматизированные системы управления технологическим процессом: основные сведения и определения
  • Типы систем АСУ ТП и области их применения
  • Компоненты АСУ ТП и их функции
  • Подготовка плана цифрового криминалистического расследования
  • Методы сбора и сохранения улик
  • Создание цифровой криминалистической лаборатории
  • Взаимодействие с клиентами и подготовка отчетов
  • Базовая модель криминалистического анализа для систем АСУ ТП
  • Различия между криминалистическим анализом в IT-системах и АСУ ТП на физическом уровне
  • Список «запретных» действий для инфраструктуры АСУ ТП
  • Типовые рекомендации и передовые методы в криминалистическом анализе АСУ ТП
  • Криминалистический анализ компонентов систем SCADA
  • Модели угроз для систем АСУ ТП
  • Криминалистический анализ баз данных
  • Криминалистический анализ ПЛК
  • Сбор информации
  • Обнаружение улик
  • Факты и обстоятельства инцидента
  • Сбор информации о целевых системах
  • Типичные мишени атак в инцидентах, в которых задействованы АСУ ТП
  • Типичные схемы атак на АСУ ТП

День 2: Теория криминалистического анализа систем АСУ ТП

  • Подготовка к сбору улик и их анализу в режиме реального времени
  • Инструментарий цифровой криминалистики
  • Использование блокировщиков записи
  • Вопросы организации хранения данных
  • Анализ энергозависимых данных
  • Определение границ и временной шкалы
  • Инструменты для построения временной шкалы
  • Определение целей для анализа используя подход высокоуровневой проверки
  • Анализ бизнес-процессов, отношений и возможных последствий анализа
  • Анализ зрелости процессов обеспечения безопасности, используемых заказчиком
  • Анализ предшествующих инцидентов, моделей угроз и требований к обеспечению безопасности
  • Определение мест и порядка выполнения работ
  • Сбор данных о целевой системе
  • Различные подходы к анализу данных сетевого взаимодействия
  • Сетевые протоколы и архитектура (в т.ч. протоколы, используемые АСУ ТП)
  • Определение масштаба инцидента
  • Различия в сборе информации на серверах и рабочих станциях
  • Определение вектора атаки
  • Обзор типичных векторов атак на АСУ ТП
  • Анализ уязвимостей
  • Классификация вредоносного ПО
  • Сложное вредоносное ПО
  • Анализ улик и причины, по которым анализ улик необходимо проводить немедленно
  • Характерные признаки активности вредоносного ПО
  • Автоматические методы, применяемые для обнаружения вредоносного ПО на целевых системах
  • Типичные улики, помогающие обнаружить вредоносное ПО вручную, и где их можно найти
  • Анализ вредоносной активности
  • Роль вредоносной активности в реагировании на инциденты
  • Лечение систем и повышение качества защиты

День 3: Практические упражнения: криминалистический анализ АРМ оператора АСУ ТП, ПЛК и сетевого трафика

  • Сбор данных в системном реестре Windows
  • Системный реестр Windows: основные факты и структура
  • Анализ файлов системного реестра Windows
  • Извлечение кустов системного реестра
  • Метки времени в системном реестре Windows
  • Какую информацию можно получить с помощью анализа системного реестра Windows?
  • Как устроены файловые системы
  • Различные способы восстановления файлов
  • Анализ файлов
  • Корзина Windows и ее структура
  • LNK-файлы
  • Файлы Thumbs.db и Thumbcache в Windows
  • Prefetch-файлы в Windows
  • Метки времени в Windows
  • Задачи Windows
  • Журналы Windows
  • Анализ OLE-документов
  • Криминалистический анализ браузеров и артефакты
  • Мессенджеры
  • Почтовые клиенты
  • Изменения, вносимые в легитимные программы вредоносным кодом
  • Общий обзор устройства и функционирования ПЛК
  • Сбор данных с полевых устройств
  • Сбор данных сетевого взаимодействия в АСУ ТП
  • Файлы конфигурации АСУ ТП
  • Обновление прошивки устройств АСУ ТП
  • Оперативная память устройств АСУ ТП
  • Журналы беспроводного обмена данными в АСУ ТП
  • Журналы OPC
  • Сложные моменты и трудности
  • Недостаточность криминалистических инструментов
  • Анализ данных ПЛК. Пример №1: Rockwell
  • Анализ данных ПЛК. Пример №2: Siemens
  • Подведение итогов курса

День 4: Лабораторные работы

В эту часть обучения входят следующие лабораторные работы:

  • Работа №1: Планирование криминалистической экспертизы в инфраструктуре конкретной АСУ ТП
  • Работа №2: Расследование атаки на электрическую подстанцию
  • Работа #3: Сбор криминалистических данных на ПЛК Siemens S7
Оставить свой отзыв об этом мероприятии