دوره آموزشی SANS ICS 515

ICS515: ICS Visibility، Detection و Response به شما کمک می‌کند تا در شبکه‌های سیستم کنترل صنعتی (ICS)/فناوری عملیاتی (OT) خود، دید و شناسایی دارایی‌ها را به دست آورید، تهدیدات سایبری را رصد و شناسایی کنید، حملات سایبری ICS را برای استخراج درس‌های آموخته شده تخریب کنید، انجام دهید. واکنش به حادثه، و یک رویکرد مبتنی بر اطلاعات برای اجرای یک برنامه امنیت سایبری پیشرو ICS در جهان برای اطمینان از عملیات ایمن و قابل اعتماد اتخاذ کنید.

این دوره به دانش‌  پذیران این امکان را می‌دهد که محیط ICS شبکه‌ای خود را درک کنند، آن را از نظر تهدیدها رصد کنند، پاسخ حادثه را در برابر تهدیدات شناسایی‌شده انجام دهند و از تعامل با دشمن برای افزایش امنیت شبکه بیاموزند. این رویکرد برای مقابله با تهدیدات پیچیده مانند مواردی که در بدافزارها از جمله STUXNET، HAVEX، BLACKENERGY2، CRASHOVERRIDE، TRISIS/TRITON و باج افزار مشاهده می شود، مهم است. علاوه بر این، تلاش‌ها برای درک و اجرای یک محیط اتوماسیون پیچیده امجلسهی و دستیابی به تجزیه و تحلیل علت اصلی رویدادهای غیرمرتبط با سایبری که در شبکه ظاهر می‌شوند نیز حیاتی است. دانش پذیران می توانند انتظار داشته باشند که از این دوره با مهارت های اصلی لازم برای هر برنامه امنیت سایبری ICS بیرون بیایند.

این دوره از یک رویکرد عملی با مجموعه‌های داده‌های فنی متعدد از محدوده‌های ICS و تجهیزات با حملات شبیه‌سازی شده و بدافزارهای دنیای واقعی مستقر در محدوده‌ها برای تجربه بسیار شبیه‌سازی شده در شناسایی و پاسخ به تهدیدات استفاده می‌کند. دانش‌آموزان همچنین با یک کنترل‌کننده منطقی قابل برنامه‌ریزی (PLC)، کیت فیزیکی شبیه‌سازی عملیات سیستم الکتریکی در سطح تولید، انتقال و توزیع، و راه‌اندازی ماشین مجازی به‌عنوان رابط ماشین انسانی (HMI) و ایستگاه کاری مهندسی (EWS) تعامل دارند و نگه می‌دارند.

دانش‌آموزان تقریباً نیمی از دوره را صرف انجام مهارت‌های دستی در بیش از 25 تمرین تکنیکی و یک سنگ تمام جلسه فنی خواهند کرد. دانش‌آموزان درکی عملی و فنی از تعریف استراتژی امنیت سایبری ICS، بهره‌برداری از اطلاعات تهدید، انجام نظارت بر امنیت شبکه و انجام واکنش به حادثه به دست خواهند آورد. چارچوب‌هایی مانند ICS Cyber ​​Kill Chain، Collection Management Framework و Active Cyber ​​Defens

e Cycle آموزش داده می‌شود تا به دانش‌آموزان چارچوب‌ها و مدل‌های تکرارپذیر برای استفاده از کلاس‌های ارسالی اهرمی داده شود.

مهارت های استراتژیک و فنی ارائه شده در این دوره به عنوان مبنایی برای سازمان های ICS به دنبال نشان دادن اینکه دفاع ICS قابل انجام است است.

• نحوه انجام پاسخ حادثه ICS با تمرکز بر عملیات امنیتی و اولویت بندی ایمنی و قابلیت اطمینان عملیات.
• چگونه اطلاعات تهدید ICS تولید می شود و چگونه می توان از آنچه در جامعه در دسترس است برای پشتیبانی از محیط های ICS استفاده کرد. مهارت‌های تحلیلی که یاد می‌گیرید، شما را قادر می‌سازد تا اطلاعات گزارش‌های اطلاعاتی تهدید ICS را به طور منظم تجزیه و تحلیل و اعمال کنید.
• نحوه شناسایی دارایی های ICS و توپولوژی شبکه آنها و نحوه نظارت بر نقاط مهم ICS برای ناهنجاری ها و تهدیدها. این دوره متدولوژی هایی مانند نظارت بر امنیت شبکه ICS و رویکردهای کاهش چشم انداز تهدید سیستم کنترل را معرفی و تقویت می کند.
• نحوه تجزیه و تحلیل تهدیدات ICS و استخراج مهمترین اطلاعات مورد نیاز برای گسترش سریع محیط و درک ماهیت تهدید.
• نحوه عملیات از طریق حمله و به دست آوردن اطلاعات لازم برای آموزش به تیم ها و تصمیم گیرندگان در مورد اینکه آیا عملیات باید تعطیل شود یا اینکه پاسخ به تهدید و ادامه عملیات بی خطر است.
• نحوه استفاده از چندین رشته امنیتی به صورت پشت سر هم برای استفاده از یک دفاع فعال و حفاظت از یک ICS، که همگی با آزمایشگاه های عملی و مفاهیم فنی تقویت شده اند.

اهداف دوره SANS 515:

• تهدیدات ویژه ICS را تجزیه و تحلیل کنید و اقدامات مناسبی را برای دفاع از سیستم های کنترل صنعتی انجام دهید
• استراتژی های جمع آوری، شناسایی و پاسخ را برای شبکه های ICS خود ایجاد کنید
• از رویه های مناسب در هنگام پاسخ به حادثه ICS استفاده کنید

دوره SANS 515 شما را آماده می کند برای :

• بررسی شبکه های ICS و شناسایی دارایی ها و جریان داده های آنها به منظور درک اطلاعات شبکه مورد نیاز برای شناسایی تهدیدات پیشرفته
• از مفاهیم دفاعی فعال مانند مصرف اطلاعات تهدید، نظارت بر امنیت شبکه، تجزیه و تحلیل بدافزار و پاسخ به حادثه برای محافظت از ICS استفاده کنید.
• با استفاده از کیت دانشجویی SANS ICS515، کنترل‌کننده منطق قابل برنامه‌ریزی خود را بسازید، که پس از پایان کلاس آن را حفظ می‌کنید.
• کسب دانش عمیق در مورد تهدیدات و بدافزارهای مورد هدف ICS از جمله STUXNET، HAVEX، BLACKENERGY2، CRASHOVERRIDE، TRISIS/TRITON، و EKANS
• از ابزارهای فنی مانند Shodan، Wireshark، Zeek، Suricata، Volatility، FTK Imager، تحلیلگرهای PDF، نرم افزار برنامه نویسی PLC و غیره استفاده کنید.
• ایجاد شاخص های سازش (IOCs) در YARA
• از مدل هایی مانند مقیاس لغزشی امنیت سایبری، چرخه دفاع سایبری فعال، چارچوب مدیریت مجموعه، و زنجیره کشتار سایبری ICS برای استخراج اطلاعات از تهدیدات و استفاده از آن برای تشویق موفقیت بلندمدت امنیت شبکه ICS استفاده کنید.

آموزش عملی SANS 515

• با استفاده از کیت دانشجویی SANS ICS515 یک کنترلر منطقی قابل برنامه ریزی (PLC) بسازید
• اطلاعات موجود در مورد دارایی ها را به صورت آنلاین از طریق Shodan شناسایی کنید
• تجزیه و تحلیل فرضیه های رقیب را کامل کنید
• دریافت گزارش های اطلاعاتی تهدید
• شناسایی و استفاده از مهارت‌های جدید دفاعی فعال برای هدایت واکنش‌دهنده‌های حادثه به رابط ماشین انسانی (HMI) تحت تأثیر یک تهدید پایدار پیشرفته (APT) در شبکه آزمایشگاهی
• شناسایی سیستمی که تحت تأثیر بدافزار APT شناسایی شده در شبکه قرار گرفته است و نمونه ای از تهدید را که قابل تجزیه و تحلیل است جمع آوری کنید.
• از HMI آلوده و نمونه‌های بدافزار APT شناسایی شده، بدافزار را تجزیه و تحلیل کنید، اطلاعات را استخراج کنید و قوانین YARA را برای تکمیل دفاع فعال توسعه دهید.
• به سه سناریوی واقعی و عملی مختلف رسیدگی کنید، یکی شامل داده‌های زنده جمع‌آوری‌شده از نفوذ به کیت دانشجویی SANS ICS515، و دیگری شامل داده‌های جمع‌آوری‌شده از یک سیستم کنترل توزیع‌شده (DCS) آلوده به بدافزار است.

پیشنیاز دوره SANS 515:

• دوره SANS 410

ICS515.1: ICS Cyber Threat Intelligence

• Case Study: STUXNET
• Introduction to ICS Active Defense and Course Scenario
• Cyber Threat Intelligence Primer
• ICS Cyber Kill Chain
• Threat Intelligence Consumption
• ICS Threat Landscape

ICS515.2: Visibility and Asset Identification

• Case Study: Bhopal Disaster
• Asset Inventories and Collection Management Frameworks
• ICS Network Visibility and IT Discovery Protocols
• Case Study: Ransomware and Prevention Atrophy
• ICS Protocols
• Case Study: DRAGONFLY – HAVEX
• ICS Network Architectures and Topologies

ICS515.3: ICS Threat Detection

• Case Study: German Steelworks Attack
• ICS Threat Hunting
• Threat Detection Strategies
• Case Study: SANDWORM – BlackEnergy 2 and BlackEnergy 3
• ICS Network Security Monitoring
• Event Analysis and Physical Consequence

ICS515.4: Incident Response

• ase Study: SANDWORM – Ukraine 2015
• ICS Digital Forensics and Incident Response Overview
• Preparing an ICS Incident Response Team
• Case Study: ELECTRUM and CRASHOVERRIDE – Ukraine 2016
• Initial Compromise Vectors
• Forensic Data Sources in ICS

ICS515.5: Threat and Environment Manipulation.

• Case Study: XENOTIME – TRISIS
• ICS Threat and Environment Manipulation Goals and Considerations
• Threat Analysis and Malware Triaging
• YARA
• Mini-Capstone

ICS515.6: Capstone Day, Under Attack!