Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS tanfolyamok és minősítések V

ICS 515: Active Defense and Incident Response

Facebook Tumblr Tweet Pinterest Tetszik
0
2017. augusztus 26. - icscybersec

A SANS ICS rendszerekhez kialakított képzésének haladó kurzusa (amint már a tanfolyam sorszámában az 500-as előtag is mutat) jelentős részben a Robert M. Lee által kidolgozott Active Cyber Defense Cycle (ACDC) köré épül. A tanfolyam, aminek jelenlegi (2017 nyár) tematikáját is Rob dolgozta ki, négy nagy fejezetre oszlik, amiket az egy hetes képzés első négy napjának programját adja. Az elméleti oktatás mellett mindegyik tanfolyami napon hangsúlyos a labor környezetben végzett gyakorlatok szerepe is.

Az első napon az ACDC alapvető bemutatása fenyegetésekkel kapcsolatos információgyűjtés különböző módszereit és az ICS rendszerek információgyűjtéssel kapcsolatos támadási fejezeteit mutatja be. A nap laborjai során fel kell építeni a tanfolyamon kapott CYBATIworks PLC-t (ami egy apró útkereszteződést szimuláló eszköz kicsi jelzőlámpákkal, de van Shodan keresőmotorral történő ICS információgyűjtés is.

A második nap az aktív védelmi intézkedések "egyszerűbb" lépéseivel, az ICS rendszerek eszközeinek azonosításával és hangsúlyosan a hálózatbiztonsági monitoring feladataival foglalkozik. A nap laborjai között az IDS-ekkel és a hálózati (napló?)elemzéssel kapcsolatos feladatok is vannak.

A harmadik napon az incidenskezelés és az incidensek során történő nyomrögzítés (forensics) mellett külön fejezet tárgyalja, hogyan célszerű egy ICS incidenskezelő csoportot felépíteni, továbbá a folyamatvezérlő rendszerek üzembiztonságának és az incidenskezelés kapcsolatának kérdései is saját szekciót kapnak. A labor témái között megjelenik az ICS rendszerekben üzem közben történő adatgyűjtés, az összegyűjtött adatok ellenőrzésének és elemzésének és az IoC-knek a témái is.

A negyedik nap témája az ICS rendszerek és környezetek fenyegetéseinek mélyebb megértése köré épül. A korábban összegyűjtött bizonyítékok és a malwere-ek elemzése mellett szóba kerülnek a kompromittálás felismerését segítő jelzések (IoC-k) felismerésének módszerei is. A negyedik nap gyakorlatai között memóriából kinyert adatok elemzését és YARA szabályok írását lehet gyakorolni.

Az ötödik egyben utolsó nap egy egész napos gyakorlat köré épül, két forgatókönyvön keresztül az előző négy napon áttekintett elméleti és gyakorlati tudás alkalmazására ad lehetőséget a tanfolyam résztvevőinek.

A tanfolyamhoz 2017. július 7-e óta tartozik a GIAC (jelenleg) legújabb vizsgája és minősítése, a GRID (GIAC Response and Industrial Defense), amiről terveim szerint a közeli jövőben fogok egy rövid áttekintést adni.

Szólj hozzá!
tanfolyamok ICS biztonság SANS

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1112701541

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása