«Лаборатория Касперского» провела в Китае тренинг по цифровой криминалистике и расследованию инцидентов в системах промышленной автоматизации

С 23 по 27 декабря 2019 года в Пекине Kaspersky ICS CERT совместно с China Industrial Control Systems Cyber Emergency Response Team (CIC) провели технический тренинг «Цифровая криминалистика и расследование инцидентов в системах промышленной автоматизации». Участниками тренинга стали практикующие специалисты в области информационной безопасности промышленных систем.

Тренинг вели эксперты Kaspersky ICS CERT – Вячеслав Копейцев и Павел Гриценко.

Со вступительным словом на открытии мероприятия выступил заместитель директора CIC Хэ Сяолун (He Xiaolong).

Также в первый день тренинга прочитали лекции Гонг Яфэн (Gong Yafeng), член Экспертно-консультативного комитета по промышленной информационной безопасности, и Ли Яобинг (Li Yaobing), инженер CIC.

В течение пяти дней эксперты Kaspersky ICS CERT знакомили слушателей с приемами и методами криминалистического анализа в системах промышленной автоматизации, а также инструментарием цифровой криминалистики.

В рамках теоретической части тренинга рассматривались особенности архитектуры систем промышленной автоматизации, типичные векторы атак на них и основные этапы реагирования на инциденты в системах промышленной автоматизации, включая создание эффективного плана расследования, сбор физических и цифровых улик и их анализ с целью обнаружения следов вторжения. Кроме того, тренеры рассказали слушателям о том, как подготовить организацию на случай возможных инцидентов, а также как сделать правильные выводы по итогам расследования для предотвращения инцидентов в будущем.

Практическая часть заключалась в выполнении упражнений, направленных на получение навыков проведения криминалистического анализа различных типов цифровых улик: копий носителей информации, дампов энергозависимой памяти, сетевого трафика, в том числе промышленных протоколов, а также данных, полученных с программируемых логических контроллеров (PLC).

Под руководством тренеров участники освоили различные методы и инструменты сбора информации как на уровне рабочих станций, так и на уровне промышленных устройств. При расследовании многих инцидентов в АСУ ТП задачу может осложнить большое количество анализируемых систем и их географическая распределённость, поэтому значительное внимание на тренинге было уделено решению соответствующих проблем.

В качестве финального экзамена участники тренинга выполняли лабораторную работу, суть которой заключается в имитации всех этапов расследования инцидента информационной безопасности на промышленном предприятии. Сценарий лабораторной работы основан на опыте реальных расследований, проведённых командой Kaspersky ICS CERT.

Все участники оценили высокий уровень технических знаний и навыков, полученных в рамках тренинга.

Проведённый тренинг является первым совместным проектом «Лаборатории Касперского» и CIC, реализованным в рамках российско-китайского сотрудничества после подписания соглашения о совместной работе в сфере информационной безопасности. Это образовательное мероприятие заложило хорошую основу для совместной подготовки специалистов в области промышленной информационной безопасности.

Подробная информация об образовательных курсах: Программа тренингов «Лаборатории Касперского» по промышленной кибербезопасности