Цифровой криминалистический анализ в АСУ ТП для профессионалов в Академия Информационных Систем

Описание

Слушатели изучат специфику цифровой криминалистики в инфраструктуре АСУ ТП, от обнаружения реальных инцидентов до сбора данных в промышленных средах, их исследования, анализа и подготовки отчетов по инциденту, усвоят практические навыки и подходы, необходимые для квалифицированного расследования инцидентов АСУ ТП и их последствий.

Материалы курса подготовлены специалистами Лаборатории Касперского на основе опыта и знаний полученных при расследовании инцидентов на промышленных объектах, а также при изучении воздействия обнаруженного вредоносного ПО на АСУ ТП.

Целевая аудитория

Курс обучения предназначен для специалистов в области информационной безопасности ИТ и АСУ ТП-систем, экспертов, занимающихся расследованием мошеннических схем, аудиторов, аналитиков групп по реагированию на компьютерные инциденты (CSIRT) и оперативных центров безопасности (SOC), желающих приобрести квалификацию специалистов в области цифровой криминалистики в АСУ ТП и понять ключевые различия между стратегией криминалистических расследований в ИТ-средах и инфраструктуре АСУ ТП. Кроме того, данный курс будет чрезвычайно полезен сотрудникам полиции и военным, а также всем специалистам по безопасности, участвующим в расследованиях киберинцидентов в инфраструктуре АСУ ТП. Участники курса должны обладать практическими знаниями в области системного администрирования, сетевых технологий и обеспечения безопасности. Необходимы навыки администрирования систем под управлением Windows, Linux, а также систем виртуализации.

Программа

Обзор проблемной области, основы цифровой криминалистики

Криминалистический анализ: цели, задачи, приемы и методика

Определения и типы криминалистического анализа

Основы и методы планирования реагирования на инциденты

Сбор энергозависимых и энергонезависимых данных в качестве улик

Практические вопросы, решаемые в ходе анализа

Минимизация потери данных при сборе цифровых улик

Автоматизированные системы управления технологическим процессом: основные сведения и определения

Типы систем АСУ ТП и области их применения

Компоненты АСУ ТП и их функции

Подготовка плана цифрового криминалистического расследования

Методы сбора и сохранения улик

Создание цифровой криминалистической лаборатории

Взаимодействие с клиентами и подготовка отчетов

Базовая модель криминалистического анализа для систем АСУ ТП

Различия между криминалистическим анализом в IT-системах и АСУ ТП на физическом уровне

Список «запретных» действий для инфраструктуры АСУ ТП

Типовые рекомендации и передовые методы в криминалистическом анализе АСУ ТП

Криминалистический анализ компонентов систем SCADA

Модели угроз для систем АСУ ТП

Криминалистический анализ баз данных

Криминалистический анализ ПЛК

Сбор информации

Обнаружение улик

Факты и обстоятельства инцидента

Сбор информации о целевых системах

Типичные мишени атак в инцидентах, в которых задействованы АСУ ТП

Типичные схемы атак на АСУ ТП
Теория криминалистического анализа систем АСУ ТП

Подготовка к сбору улик и их анализу в режиме реального времени

Инструментарий цифровой криминалистики

Использование блокировщиков записи

Вопросы организации хранения данных

Анализ энергозависимых данных

Определение границ и временной шкалы

Инструменты для построения временной шкалы

Определение целей для анализа используя подход высокоуровневой проверки

Анализ бизнес-процессов, отношений и возможных последствий анализа

Анализ зрелости процессов обеспечения безопасности, используемых заказчиком

Анализ предшествующих инцидентов, моделей угроз и требований к обеспечению безопасности

Определение мест и порядка выполнения работ

Сбор данных о целевой системе

Различные подходы к анализу данных сетевого взаимодействия

Сетевые протоколы и архитектура (в т.ч. протоколы, используемые АСУ ТП)

Определение масштаба инцидента

Различия в сборе информации на серверах и рабочих станциях

Определение вектора атаки

Обзор типичных векторов атак на АСУ ТП

Анализ уязвимостей

Классификация вредоносного ПО

Сложное вредоносное ПО

Анализ улик и причины, по которым анализ улик необходимо проводить немедленно

Характерные признаки активности вредоносного ПО

Автоматические методы, применяемые для обнаружения вредоносного ПО на целевых системах

Типичные улики, помогающие обнаружить вредоносное ПО вручную, и где их можно найти

Анализ вредоносной активности

Роль вредоносной активности в реагировании на инциденты

Лечение систем и повышение качества защиты
Практические упражнения: криминалистический анализ АРМ оператора АСУ ТП, ПЛК и сетевого трафика

Сбор данных в системном реестре Windows

Системный реестр Windows: основные факты и структура

Анализ файлов системного реестра Windows

Извлечение кустов системного реестра

Метки времени в системном реестре Windows

Какую информацию можно получить с помощью анализа системного реестра Windows?

Как устроены файловые системы

Различные способы восстановления файлов

Анализ файлов

Корзина Windows и ее структура

LNK-файлы

Файлы Thumbs.db и Thumbcache в Windows

Prefetch-файлы в Windows

Метки времени в Windows

Задачи Windows

Журналы Windows

Анализ OLE-документов

Криминалистический анализ браузеров и артефакты

Мессенджеры

Почтовые клиенты

Изменения, вносимые в легитимные программы вредоносным кодом

Общий обзор устройства и функционирования ПЛК

Сбор данных с полевых устройств

Сбор данных сетевого взаимодействия в АСУ ТП

Файлы конфигурации АСУ ТП

Обновление прошивки устройств АСУ ТП

Оперативная память устройств АСУ ТП

Журналы беспроводного обмена данными в АСУ ТП

Журналы OPC

Сложные моменты и трудности

Недостаточность криминалистических инструментов

Анализ данных ПЛК. Пример №1: Rockwell

Анализ данных ПЛК. Пример №2: Siemens

Подведение итогов курса
Лабораторные работы

В эту часть обучения входят следующие лабораторные работы:

Работа №1: Планирование криминалистической экспертизы в инфраструктуре конкретной АСУ ТП

Работа №2: Расследование атаки на электрическую подстанцию

Работа №3: Сбор криминалистических данных на ПЛК Siemens S7
Итоговая аттестация