ICS515: Visibilidade, detecção e resposta a incidentes em ICS

Este curso ajudará você a obter visibilidade e identificação de ativos em suas redes de Tecnologia Operacional e Sistemas de Controle Industrial, monitorar e detectar ameaças cibernéticas, desconstruir ataques cibernéticos ICS para extrair lições aprendidas, realizar resposta a incidentes e adotar uma abordagem impulsionada por inteligência para executar um competente programa de cibersegurança em ICS.O curso capacitará os alunos a compreender o ambiente de ICS em rede, monitorá-lo em busca de ameaças, realizar resposta a incidentes contra ameaças identificadas e aprender com as interações com o adversário para aprimorar a segurança da rede. Essa abordagem é importante para poder combater ameaças sofisticadas, como as vistas com malwares como STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE, TRISIS/TRITON e ransomware. Além disso, os esforços também são críticos para entender e executar um ambiente de automação complexo atual e alcançar a análise de causa raiz para eventos não relacionados à cibersegurança que se manifestam na rede. Os alunos podem esperar sair deste curso com habilidades fundamentais necessárias para qualquer programa de cibersegurança ICS.O curso utiliza uma abordagem prática com numerosos conjuntos de dados técnicos de ICS e equipamentos com ataques emulados e malwares do mundo real implantados nos conjuntos, para uma experiência simulada de detecção e resposta a ameaças. Os alunos também interagirão com e manterão um controlador lógico programável (PLC), kit físico que emula operações do sistema elétrico nos níveis de geração, transmissão e distribuição, e máquina virtual configurada como interface homem-máquina (HMI) e estação de trabalho de engenharia (EWS).

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.É necessário ter um sistema adequadamente configurado para participar totalmente deste curso. Se você não ler e seguir cuidadosamente estas instruções, provavelmente sairá insatisfeito da aula, pois não conseguirá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você venha com um sistema que atenda a todos os requisitos especificados para o curso.OBSERVAÇÃO: É fundamental que os alunos tenham acesso de administrador ao sistema operacional e a todo o software de segurança instalado. Alterações podem precisar ser feitas nos firewalls pessoais e em outro software baseado em host para que os laboratórios funcionem.Última versão do Windows 10, macOS 10.15.x ou posterior ou Linux, que também possa instalar e executar os produtos de virtualização VMware descritos abaixo.Processador de 64 bits com sistema operacional de 64 bitsPelo menos uma porta USBCapacidade de atualizar as configurações do BIOS para habilitar o suporte à virtualização (VT)VMware Workstation Pro 15.5.X+, VMware Player 15.5.X+ ou Fusion 11.5+Acesso a uma conta com permissões administrativas e a capacidade de desativar todo o software de segurança em seu laptop, como antivírus e/ou firewalls, se necessário para a aula.Pelo menos 160 GB de espaço livre em disco rígidoPelo menos 8 GB de RAM, 16 GB recomendadosEthernet sem fio 802.11 B/G/N/ACOBSERVAÇÃO: sistemas Apple que utilizam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados para este curso.

SEÇÃO 1: Inteligência em ameaças cibernéticas para ICSProfissionais de segurança de sistemas de controle industrial (ICS) devem ser capazes de aproveitar a inteligência de ameaças internas e externas para analisar criticamente ameaças, extrair indicadores de comprometimento (IOCs), documentar táticas, técnicas e procedimentos (TTPs) e orientar equipes de segurança a encontrar ameaças no ambiente. No primeiro dia deste curso, os alunos aprenderão como a inteligência de ameaças é gerada, como analisar criticamente relatórios e os princípios básicos de funções de defesa ativa. Os alunos se tornarão analistas melhores, aprendendo habilidades úteis nas operações diárias, independentemente de seus trabalhos e funções. Este dia apresenta cinco laboratórios práticos que incluem a construção de um controlador lógico programável (PLC), a identificação de informações disponíveis sobre ativos online através do Shodan, a conclusão de uma análise de hipóteses concorrentes, a visualização do espaço de ataque combinando Maltego e Shodan e a ingestão de relatórios de inteligência de ameaças para orientar suas práticas nos demais laboratórios do curso.SEÇÃO 2: Visibilidade e identificação de ativosEntender o ambiente de rede é a única maneira de defendê-lo completamente: você não pode defender o que não conhece. Este dia começa com a alavancagem do PLC para realizar operações do sistema elétrico de rede na tentativa de entender melhor as operações do ICS e que aspecto da identificação de ativos pode ajudar as operações. Os alunos irão analisar capturas de pacotes, protocolos ICS e topologias em quatro laboratórios práticos para aprender o que podem extrair das informações de rede para construir inventários de ativos, incluindo informações como equipamentos, modelos, firmware, números de série, portas, protocolos e endereçamento lógico.O dia é orientado em torno do conceito de um Framework de Gerenciamento de Coleção, ensinando aos alunos como construir uma estratégia de coleta e visibilidade adaptada às suas necessidades tanto para operações industriais quanto de segurança.SEÇÃO 3: Detecção de ameaças em ICSA detecção de ameaças é fundamental para se manter resiliente diante de ameaças direcionadas e não direcionadas aos sistemas de controle industrial (ICS). Nesta seção, os alunos aprenderão sobre os diferentes tipos de detecção e criarão uma estratégia de detecção para suas redes ICS/OT. Isso começará com instruções sobre o que é a caça às ameaças e como realizá-la com segurança no ICS. Os alunos passarão o dia em capturas de rede da faixa ICS do curso para identificar o início de um ataque no ambiente industrial e acompanhá-lo até a conclusão. Através de cinco laboratórios práticos, os alunos aprenderão a identificar a diferença entre intrusões e a primeira etapa das intrusões na Cadeia de Ataques Cibernéticos do ICS e, em seguida, investigar uma intrusão na segunda etapa, na qual o adversário está tentando manipular a lógica de um controlador.SEÇÃO 4: Resposta a incidentesA capacidade de se preparar e realizar a resposta a incidentes de Sistemas de Controle Industrial (ICS) é vital para a segurança e confiabilidade dos sistemas de controle. A resposta a incidentes de ICS é um conceito central da defesa ativa de ICS e requer que os analistas adquiram digitalmente evidências enquanto avaliam o ambiente em busca de ameaças e seu impacto nas operações. A resposta a incidentes de ICS é uma área jovem com muitos desafios, mas nesta seção, os alunos aprenderão táticas e ferramentas eficazes para coletar e preservar dados de qualidade forense. Os alunos então usarão esses dados para realizar análises forenses oportunas, aproveitando técnicas como análise de memória. Nesta seção, os cinco laboratórios práticos dos alunos aprenderão a adquirir dados com segurança, analisar vetores iniciais de infecção, como e-mails de phishing, realizar análise de memória e analisar a lógica PLC manipulada.SEÇÃO 5: Manipulação do ambiente e ameaçasCompreender a ameaça é fundamental para descobrir suas capacidades e seu potencial para afetar o ICS. A informação extraída das ameaças através de processos como análise de malware também é fundamental para ser capaz de fazer as mudanças necessárias no ambiente para reduzir a eficácia da ameaça. A informação obtida é vital para uma defesa ativa do ICS, que requer coleta interna de dados para criar e compartilhar inteligência de ameaças. Nesta seção, os alunos concluirão o cenário do curso para identificar a causa raiz da falha nas redes do ICS e criar uma regra YARA para o malware como um IOC. Durante metade do dia, os alunos passarão por um mini-capstone com outro cenário completo para colocar suas habilidades à prova em um cenário educacional guiado.SEÇÃO 6: Simulação de ataqueEsta seção é um simulação de dia inteiro, no qual os alunos completarão desafios que abrangem capturas de pacotes, lógica, imagens de memória e muito mais de ranges e equipamentos ICS comprometidos. Isso é destinado a fornecer uma experiência divertida e educacional tentando marcar a maior quantidade possível de pontos ao resolver desafios técnicos que preparam os alunos para cenários do mundo real em ICS e OT.

Profissionais com experiência em TI ou ICS terão sucesso neste curso. Antes de frequentar o curso, é recomendado que você participe do SANS ICS410, ICS456, ou de classes equivalentes essenciais de segurança cibernética, como SEC401, ou que tenha experiência fundamental em segurança cibernética. Os alunos não precisam ter experiência prévia em ICS, mas devem estar confortáveis com a terminologia e os sistemas ICS, como SCADA, DCS, PLCs e RTUs, e ter uma compreensão dos riscos distintos e das abordagens de mitigação em ambientes OT.

Ao final do curso, o (a) aluno (a) será capaz de: Analisar ameaças específicas de sistemas de controle industrial (ICS) e tomar as medidas adequadas para defender esses sistemas de controle industrial. Estabelecer estratégias de coleta, detecção e resposta para suas redes ICS. Usar procedimentos adequados durante a resposta a incidentes em ICS. Examinar as redes ICS e identificar os ativos e seus fluxos de dados para entender as informações necessárias da rede para identificar ameaças avançadas. Usar conceitos de defesa ativa, como consumo de inteligência de ameaças, monitoramento de segurança de rede, análise de malware e resposta a incidentes para proteger os sistemas ICS. Construir seu próprio Controlador Lógico Programável (PLC) usando o Kit do Aluno SANS ICS515, mantido após o término do curso. Obter conhecimento aprofundado sobre ameaças e malwares direcionados a ICS, incluindo STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE, TRISIS/TRITON e EKANS. Empregar ferramentas técnicas como Shodan, Wireshark, Zeek, Suricata, Volatility, FTK Imager, analisadores de PDF, software de programação PLC e outros. Criar indicadores de comprometimento (IOCs) em YARA. Aproveitar modelos como a Escala Deslizante de Cibersegurança, o Ciclo de Defesa Cibernética Ativa, o Framework de Gerenciamento de Coleta e a Cadeia de Ataques Cibernéticos ICS para extrair informações das ameaças e usá-las para alavancar o sucesso de longo prazo da segurança da rede ICS.