Цифровая криминалистика и расследование инцидентов в АСУ ТП

  • О чём

    О чём

    Systematic analysis of IoT devices to identify vulnerabilities

  • Навыки

    Навыки

    Уou will be able to analyze and exploit the hardware and software attack surface of IoT devices

  • Для кого

    Для кого

    People with a security background

Последствия кибератаки на промышленное предприятие могут быть неожиданными и тяжёлым для пострадавшей компании. Например, простой систем АСУ ТП в случае киберинцидента может вести не только к прямым финансовым потерям, связанным с перерывом в производстве и невыполнением обязательств по контракту, но и приводить к порче сырья и выходу из строя дорогостоящего оборудования.

Как можно быстрее вернуть контроль над инфраструктурой и обеспечить её нормальное функционирование – особенно важно для промышленного объекта.  Для этого команда реагирования на киберинциденты должна уметь оперативно и качественно решать многие технические и организационные задачи:

  • Найти, изучить и обезвредить весь использованный в атаке вредоносный арсенал. Часть его может не обнаруживаться в начале расследования, что потребует обновления средств защиты или использования специальных средств обнаружения
  • Исследовать возможности негативного влияния обнаруженного вредоносного инструментария на работу систем технологической сети и изучить связи атаки со сбоями в работе оборудования, если такие наблюдались 
  • Идентифицировать и тщательным образом исследовать все скомпрометированные системы, оперативно разработать и принять меры, лишающие злоумышленников точек присутствия в сети
  • Безопасным для работы предприятия способом обнаружить и собрать информацию, содержащую следы вредоносной активности, как с IT- так и с ОT-систем
  • Оперативно проанализировать всю собранную информацию и оценить масштаб нанесённого ущерба
  • Определить цели злоумышленников, спрогнозировать возможности дальнейшего развития ситуации и выбрать стратегию предотвращения реализации наиболее негативных сценариев
  • Восстановить картину происшествия, включая все его обстоятельства и максимально точный временной график развития атаки, и выяснить, какими проблемами безопасности предприятия воспользовались злоумышленники
  • Оперативно защитить предприятие от развития атаки и разработать перечень мер для предотвращения подобных ситуаций в будущем

Инструменты и методы, применяемые в расследовании инцидентов в ИТ-системах, часто не подходят для АСУ ТП. Так, например, поиск и сбор улик требует особой осторожности – стандартные для IT-сегмента методы могут приводить к отказу в обслуживании систем АСУ ТП. Поэтому реагирование на инциденты информационной безопасности, нацеленные на АСУ ТП (или способные затронуть их), требует дополнительных знаний и навыков.

Что мы предлагаем

Подготовим экспертов по цифровой криминалистике в АСУ ТП. Имея собственных специалистов по цифровой криминалистике, вы сможете более оперативно реагировать на киберинциденты, минимизируя тем самым негативные последствия для организации, а также сэкономите, привлекая внешних экспертов только в сложных ситуациях.

Для кого предназначен тренинг

Тренинг рассчитан на специалистов по информационной безопасности: аналитиков из команд реагирования на инциденты (CSIRT), центров обеспечения безопасности (SOC), частных и национальных  команд быстрого реагирования на вызовы кибербезопасности (CERT), сотрудников правоохранительных органов, участвующих в расследованиях киберпреступлений, и прочих специалистов, которые хотят разобраться в особенностях расследования инцидентов в АСУ ТП.

Основные темы тренинга

  1. Основы реагирования на инциденты и отличия цифровой криминалистики в ИТ и АСУ ТП
  2. Устройство сетевых протоколов и архитектура решений, применяемых в АСУ ТП
  3. Активный поиск угроз (threat hunting) в промышленных сетях
  4. Цифровая криминалистика для рабочих станций и серверов с фокусом на ПО, угрозы и риски, специфичные для АСУ ТП
  5. Цифровая криминалистика, ориентированная на компоненты АСУ ТП (рабочие станции, сервера, специализированное ПО и оборудование)
  6. Лабораторная работа, имитирующая расследование инцидента в АСУ ТП

Программа тренинга может быть доработана в соответствии с пожеланиями заказчика.

Теоретическая часть курса включает разбор реальных инцидентов на промышленных предприятиях – как на основании информации об инцидентах из открытых источников, так и с использованием технической информации из материалов расследований, проведенных «Лабораторией Касперского».

Практическая часть состоит из упражнений, которые позволяют закрепить теоретический материал каждого блока учебной программы выполнением практических заданий. Итоговый день курса посвящен индивидуальной лабораторной работе по самостоятельному расследованию инцидента на промышленном предприятии.

Предлагаемые сценарии инцидентов построены на результатах изучения реальных атак на промышленные предприятия и расследования инцидентов, а также исследований уязвимостей компонентов АСУ ТП. Предоставляемые к анализу материалы максимально приближены к реальным.

Приобретенные зания и навыки

Теоретические знания

  1. Мероприятия по подготовке к реагированию на инциденты, включая:
    1. Представление о требованиях к инфраструктуре для обеспечения оперативного реагирования на них
    2. Понимание требований к персоналу команды реагирования на инциденты в контуре OT
    3. Понимание сценариев использования информации Cyber Threat Intelligence, результатов обследований состояния защищённости предприятия, анализа уязвимостей и моделирования угроз для планирования и реализации мероприятий по предотвращению инцидентов и подготовке к ним
  2. Правильная организация процесса реагирования на инциденты в IT и OT-сетях промышленных предприятий, включая:
    1. Понимание ролей, зон ответственности сотрудников предприятия и работающих по контракту экспертов и организации эффективных коммуникаций между ними
    2. Понимание отличий в организации и выполнении расследования инцидентов в IT- и OT-сетях предприятия, требований к инструментарию и процедурам его использования
    3. Определение приоритетов расследования и создание плана по расследованию инцидентов в АСУ ТП
    4. Планирование мероприятий по предотвращению подобных инцидентов в будущем
  3. Типичные ошибки, допускаемые при подготовке к реагированию на инцидент и в ходе его расследования и способы их предотвращения

Практические навыки

  1. Выявление инцидентов в технологической сети промышленных предприятий, с использованием имеющегося инструментария, утилит, находящихся в открытом доступе, коммерческих продуктов и индикаторов компрометации
  2. Реагирование на инциденты в технологической сети промышленных предприятий, включая:
    1. Сбор и обработка цифровых доказательств
    2. Применение специальных инструментов и методов цифровой криминалистики для АСУ ТП
    3. Поиск следов вторжения на основе обнаруженных улик
    4. Восстановление картины инцидента в АСУ ТП с использованием временных меток
    5. Выбор мер и средств сдерживания и остановки развития инцидента, предотвращения и устранения его последствий
    6. Составление отчета о проведенном расследовании

Продолжительность и формат обучения (Course Duration)

Курс проводится очно

  • 5 дней – стандартный курс
  • 10 дней – курс с расширенной практической частью

Требования к слушателям (Course Prerequisites)

Курс адаптируется в соответствии с уровнем подготовки слушателей.

Уровень подготовки, достаточный для освоения базового материала курса:

  • Общие знания по сетевым технологиям
  • Навыки системного администрирования ОС Windows, Linux и систем виртуализации
  • Знания теоретических основ информационной безопасности
  • Практические навыки в области обеспечения информационной безопасности и защиты IT-активов
  • Базовые знания по реагированию на инциденты в IT

Уровень подготовки, необходимый для прохождения курса с усложненной программой:

  • Опыт анализа вредоносного ПО
  • Опыт обратного инжиниринга исполняемых файлов
  • Глубокие знания сетевых технологий и стеков сетевых протоколов
  • Опыт расследования инцидентов в IT-сетях
  • Опыт активного поиска угроз (threat hunting) в IT-сетях

Сертификация

Полученные знания закрепляются итоговой лабораторной работой. Участникам выдается сертификат о прохождении курса.

Наши клиенты

За последние три года мы провели более 10 тренингов в 5 странах по всему миру.

Наши тренеры

Посмотреть еще