Forensique ICS
BT223
Sommaire
Description
Les infrastructures majeures sont essentielles au fonctionnement de la société. La santé, les trains, l’approvisionnement électrique ou énergétique et tous les systèmes industriels d’envergure sont aujourd’hui fortement informatisés et interconnectés sur le Cloud et sur Internet. Les systèmes de contrôle et d’acquisition de données (ICS/SCADA, Industrial Control System / Supervisory Control And Data Acquisition) pilotent et veillent au bon fonctionnement des procédés industriels. À ce titre, ces systèmes complexes et ouverts sont exposés aux cybermenaces, avec des conséquences potentiellement graves, c’est pourquoi ils doivent être encore mieux sécurisés afin de protéger la population.
Le cours Forensique ICS entraîne à la découverte des cybermenaces sur les systèmes ICS/SCADA ainsi qu’à la détection des faiblesses et des vulnérabilités intrinsèques et zero-day des automates programmables (PLC) et des unités terminales distantes (RTU) Les personnes qui suivent ce cours sont formées à l’aide d’exemples réels, de simulateurs et de scénarios réalistes dans le but de développer une stratégie de cybersécurité ICS/SCADA efficace à long te
Comment réussir au mieux ce cours
Pour réussir ce cours, il vous faudra :
- Participer à l’ensemble des labos
- Produire du travail personnel entre les cours
- Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.
Outre une participation active au cours, le participant doit fournir
au moins 10h de travail personnel durant la semaine de cours afin
d’acquérir une expérience pratique dans les domaines enseignés.
Le
participant doit également posséder un ordinateur personnel capable de
faire tourner un système virtuel avec une connexion Internet stable
(voir ci-dessous pour plus de détails).
Public cible
Le cours s’adresse à celles et ceux qui assument des responsabilités en exploitation des systèmes critiques et en cybersécurité.
Toute personne qui intervient en cas d’incident.
A celles et ceux qui participent aux enquêtes en cybercriminalité.
Objectifs
- Comprendre les réseaux d’ICS /SCADA en profondeur.
- Identifier les vulnérabilités ICS/SCADA
- Surveiller et analyser les activités des utilisateurs et des systèmes sur le réseau ICS afin de reconnaître les schémas d’attaques typiques
- Analyser les modèles d’activité anormaux.
- Suivre un processus établi de cybersécurité afin de protéger les infrastructures critiques.
Prérequis
- Cours ThinkCyber niveau 1
Syllabus
Description
- Architectures des réseaux ICS
- Protocoles connus de l’ICS
o Modbus
o DNP3
o Comment aborder la recherche sur les protocoles
o Fuzzing du protocole ICS - Aperçu de l’architecture de sécurité
o Aperçu de la configuration de l’hôte
o Aperçu de l’accès sans fil
o Aperçu de l’accès à distance - Cyber-sécurité pour les ICS
o Découverte du réseau
Découverte passive
Découverte active
Dénombrement passif
o Utilisation de la CSET
o Vue d’ensemble de la logique de l’échelle
o Utilisation du cadre Metasploit
o Techniques de piratage du Web
Description
Dans ce module, nous présenterons aux participants les moyens de planifier, concevoir et mettre en œuvre un programme efficace pour protéger les systèmes SCADA. Les participants acquerront une bonne compréhension des menaces, des vulnérabilités et des risques courants des systèmes de contrôle industriel (ICS).
Contenu technique
- Concepts de protection des ICS
- Défense des points terminaux
o Solutions passives
o Agents - Mises à jour et patches
- Configuration du durcissement
- Audit de la gestion des journaux
- Fondements du réseau
o Suite de protocoles TCP/IP
o Protocoles ICS sur TCP/IP - Pare-feu
- Construire un Honeypot ICS/SCADA
- Sécuriser le sans-fil dans les ICS
Description
L’analyse du réseau ICS s’articule autour de l’extraction, de l’analyse et de l’identification des activités en ligne d’un utilisateur ; les résultats comprennent des objets digitaux tels que des fichiers journaux et historiques, des cookies, du contenu en cache et tout reliquat d’information laissé dans la mémoire volatile de l’ordinateur. Au cours de ce module, les participants identifieront différents modèles de comportement des utilisateurs, même quand ils ont essayé de « couvrir leurs traces ». À l’issue de cette étape, ils seront en mesure d’effectuer une analyse forensique détaillée du trafic sur le réseau.
Contenu technique
- Analyse Wireshark
o Inspection de l’outil Wireshark
o Utilisation des filtres d’affichage
o Utilisation avancée
o Le format PCAP
o Extraction de fichiers à partir de fichiers PCAP
o Lecture de données cryptées avec Wireshark
o Analyse anticipée des attaques - Analyse avancée des paquets
o Bro
o Bro-Cut
o Outils à source ouverte - Identifier les attaques
o Scanner de réseau
o MiTM
o Brute-Force
o Injections
o Attaques de serveurs Web - Extraire le trafic réseau de la mémoire
o Vider la mémoire des appareils
o Utiliser la volatilité - Constatations concernant les pare-feu
Description
Dans ce module, les participants découvriront le monde des logiciels malveillants, dans lequel ils créeront un environnement virtuel pour étudier différents types de logiciels malveillants et voir comment ils fonctionnent. Nous montrerons comment fonctionne un antivirus et développerons une idée de la manière d’aborder un fichier malveillant et de l’endroit où le trouver. Des outils permettant d’analyser les logiciels malveillants seront également présentés au cours de ce module.
Contenu technique
- Les comportements des différents types de logiciels malveillants
o Analyse comportementale
o Analyse des codes
o Analyse de la mémoire
o Blocage du comportement des logiciels malveillants - Indicateur de compromis (IOC)
o Hash
o Séquence hexagonale
o Signatures des hôtes
o Signatures en réseau - Dossiers PE
- Les bacs à sable
- Bibliothèques et processus Windows
- Mettre en place un environnement sûr pour l’inspection des logiciels malveillants
o Machine virtuelle
o Systèmes réels
o Outils d’analyse des logiciels malveillants :
Hacker de processus
Process Monitor
Regshot
API Monitor
IDA - Lieux de dissimulation des logiciels malveillants
o Sur les systèmes en direct
o Sur les systèmes morts - Les logiciels malveillants sur le réseau
o Identifier les logiciels malveillants
o Sculpter les logiciels malveillants
o Analyser les fichiers PCAP malveillants
Labos
- Labo 1 Modbus
- Labo 2 CSET
- Labo 3 Protocoles du SCI
- Labo 4 Filtrer avec Bro
- Labo 5 Analyse des journaux
- Labo 6 Analyse statique
- Labo 7 Analyse dynamique
Etudes de cas réels
Type de Cours
Le participant peut bénéficier d’un des deux modes de cours :
- Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
- Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles. Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours. Tout le matériel de cours est mis à disposition du participant sous forme électronique, couvrant les syllabus, les labos, et les études de cas.
Groupe de cours:
ICS SCADA
Entre Pratique et Théorie
Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.
Équipement requis
Connexion réseau
Comme ce cours est essentiellement fondé sur un Learning Managament System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.
Apporter votre propre matériel
Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :
- L’audio et la vidéo
- 8 GB RAM
- 200 GB d’espace disque
- La capacité d’un environnement virtuel (capable de faire tourner la dernière version de Virtualbox ou un simulateur de machine virtuelle équivalent)
Et bien sûr un bon kit casque/micro. Plus de détails ici