Описание

Слушатели изучат специфику цифровой криминалистики в инфраструктуре АСУ ТП, от обнаружения реальных инцидентов до сбора данных в промышленных средах, их исследования, анализа и подготовки отчетов по инциденту, усвоят практические навыки и подходы, необходимые для квалифицированного расследования инцидентов АСУ ТП и их последствий.

Материалы курса подготовлены специалистами Лаборатории Касперского на основе опыта и знаний полученных при расследовании инцидентов на промышленных объектах, а также при изучении воздействия обнаруженного вредоносного ПО на АСУ ТП.

Целевая аудитория

Курс обучения предназначен для специалистов в области информационной безопасности ИТ и АСУ ТП-систем, экспертов, занимающихся расследованием мошеннических схем, аудиторов, аналитиков групп по реагированию на компьютерные инциденты (CSIRT) и оперативных центров безопасности (SOC), желающих приобрести квалификацию специалистов в области цифровой криминалистики в АСУ ТП и понять ключевые различия между стратегией криминалистических расследований в ИТ-средах и инфраструктуре АСУ ТП. Кроме того, данный курс будет чрезвычайно полезен сотрудникам полиции и военным, а также всем специалистам по безопасности, участвующим в расследованиях киберинцидентов в инфраструктуре АСУ ТП. Участники курса должны обладать практическими знаниями в области системного администрирования, сетевых технологий и обеспечения безопасности. Необходимы навыки администрирования систем под управлением Windows, Linux, а также систем виртуализации.

Программа
  • Обзор проблемной области, основы цифровой криминалистики

    Криминалистический анализ: цели, задачи, приемы и методика

    Определения и типы криминалистического анализа

    Основы и методы планирования реагирования на инциденты

    Сбор энергозависимых и энергонезависимых данных в качестве улик

    Практические вопросы, решаемые в ходе анализа

    Минимизация потери данных при сборе цифровых улик

    Автоматизированные системы управления технологическим процессом: основные сведения и определения

    Типы систем АСУ ТП и области их применения

    Компоненты АСУ ТП и их функции

    Подготовка плана цифрового криминалистического расследования

    Методы сбора и сохранения улик

    Создание цифровой криминалистической лаборатории

    Взаимодействие с клиентами и подготовка отчетов

    Базовая модель криминалистического анализа для систем АСУ ТП

    Различия между криминалистическим анализом в IT-системах и АСУ ТП на физическом уровне

    Список «запретных» действий для инфраструктуры АСУ ТП

    Типовые рекомендации и передовые методы в криминалистическом анализе АСУ ТП

    Криминалистический анализ компонентов систем SCADA

    Модели угроз для систем АСУ ТП

    Криминалистический анализ баз данных

    Криминалистический анализ ПЛК

    Сбор информации

    Обнаружение улик

    Факты и обстоятельства инцидента

    Сбор информации о целевых системах

    Типичные мишени атак в инцидентах, в которых задействованы АСУ ТП

    Типичные схемы атак на АСУ ТП

  • Теория криминалистического анализа систем АСУ ТП

    Подготовка к сбору улик и их анализу в режиме реального времени

    Инструментарий цифровой криминалистики

    Использование блокировщиков записи

    Вопросы организации хранения данных

    Анализ энергозависимых данных

    Определение границ и временной шкалы

    Инструменты для построения временной шкалы

    Определение целей для анализа используя подход высокоуровневой проверки

    Анализ бизнес-процессов, отношений и возможных последствий анализа

    Анализ зрелости процессов обеспечения безопасности, используемых заказчиком

    Анализ предшествующих инцидентов, моделей угроз и требований к обеспечению безопасности

    Определение мест и порядка выполнения работ

    Сбор данных о целевой системе

    Различные подходы к анализу данных сетевого взаимодействия

    Сетевые протоколы и архитектура (в т.ч. протоколы, используемые АСУ ТП)

    Определение масштаба инцидента

    Различия в сборе информации на серверах и рабочих станциях

    Определение вектора атаки

    Обзор типичных векторов атак на АСУ ТП

    Анализ уязвимостей

    Классификация вредоносного ПО

    Сложное вредоносное ПО

    Анализ улик и причины, по которым анализ улик необходимо проводить немедленно

    Характерные признаки активности вредоносного ПО

    Автоматические методы, применяемые для обнаружения вредоносного ПО на целевых системах

    Типичные улики, помогающие обнаружить вредоносное ПО вручную, и где их можно найти

    Анализ вредоносной активности

    Роль вредоносной активности в реагировании на инциденты

    Лечение систем и повышение качества защиты

  • Практические упражнения: криминалистический анализ АРМ оператора АСУ ТП, ПЛК и сетевого трафика

    Сбор данных в системном реестре Windows

    Системный реестр Windows: основные факты и структура

    Анализ файлов системного реестра Windows

    Извлечение кустов системного реестра

    Метки времени в системном реестре Windows

    Какую информацию можно получить с помощью анализа системного реестра Windows?

    Как устроены файловые системы

    Различные способы восстановления файлов

    Анализ файлов

    Корзина Windows и ее структура

    LNK-файлы

    Файлы Thumbs.db и Thumbcache в Windows

    Prefetch-файлы в Windows

    Метки времени в Windows

    Задачи Windows

    Журналы Windows

    Анализ OLE-документов

    Криминалистический анализ браузеров и артефакты

    Мессенджеры

    Почтовые клиенты

    Изменения, вносимые в легитимные программы вредоносным кодом

    Общий обзор устройства и функционирования ПЛК

    Сбор данных с полевых устройств

    Сбор данных сетевого взаимодействия в АСУ ТП

    Файлы конфигурации АСУ ТП

    Обновление прошивки устройств АСУ ТП

    Оперативная память устройств АСУ ТП

    Журналы беспроводного обмена данными в АСУ ТП

    Журналы OPC

    Сложные моменты и трудности

    Недостаточность криминалистических инструментов

    Анализ данных ПЛК. Пример №1: Rockwell

    Анализ данных ПЛК. Пример №2: Siemens

    Подведение итогов курса

  • Лабораторные работы

    В эту часть обучения входят следующие лабораторные работы:

    Работа №1: Планирование криминалистической экспертизы в инфраструктуре конкретной АСУ ТП

    Работа №2: Расследование атаки на электрическую подстанцию

    Работа №3: Сбор криминалистических данных на ПЛК Siemens S7

    Итоговая аттестация