Forensique ICS

BT223

Sommaire

Description

Les infrastructures majeures sont essentielles au fonctionnement de la société. La santé, les trains, l’approvisionnement électrique ou énergétique et tous les systèmes industriels d’envergure sont aujourd’hui fortement informatisés et interconnectés sur le Cloud et sur Internet. Les systèmes de contrôle et d’acquisition de données (ICS/SCADA, Industrial Control System / Supervisory Control And Data Acquisition) pilotent et veillent au bon fonctionnement des procédés industriels. À ce titre, ces systèmes complexes et ouverts sont exposés aux cybermenaces, avec des conséquences potentiellement graves, c’est pourquoi ils doivent être encore mieux sécurisés afin de protéger la population.

Le cours Forensique ICS entraîne à la découverte des cybermenaces sur les systèmes ICS/SCADA ainsi qu’à la détection des faiblesses et des vulnérabilités intrinsèques et zero-day des automates programmables (PLC) et des unités terminales distantes (RTU) Les personnes qui suivent ce cours sont formées à l’aide d’exemples réels, de simulateurs et de scénarios réalistes dans le but de développer une stratégie de cybersécurité ICS/SCADA efficace à long te

Comment réussir au mieux ce cours

Pour réussir ce cours, il vous faudra :

  • Participer à l’ensemble des labos
  • Produire du travail personnel entre les cours
  • Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.

Outre une participation active au cours, le participant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).

Public cible

Le cours s’adresse à celles et ceux qui assument des responsabilités en exploitation des systèmes critiques et en cybersécurité.

Toute personne qui intervient en cas d’incident.

A celles et ceux qui participent aux enquêtes en cybercriminalité.

Objectifs

  • Comprendre les réseaux d’ICS /SCADA en profondeur.
  • Identifier les vulnérabilités ICS/SCADA
  • Surveiller et analyser les activités des utilisateurs et des systèmes sur le réseau ICS afin de reconnaître les schémas d’attaques typiques
  • Analyser les modèles d’activité anormaux.
  • Suivre un processus établi de cybersécurité afin de protéger les infrastructures critiques.

Prérequis

  • Cours ThinkCyber niveau 1

Syllabus

Description

Au cours de ce module, les participants aborderont le monde de la cybersécurité dans l’environnement des systèmes de contrôle industriel. Les participants apprendront comment un système de contrôle peut être attaqué à partir d’Internet et effectueront des sessions pratiques sur les techniques de découverte de réseau.

Contenu technique

  • Architectures des réseaux ICS
  • Protocoles connus de l’ICS
    o Modbus
    o DNP3
    o Comment aborder la recherche sur les protocoles
    o Fuzzing du protocole ICS
  • Aperçu de l’architecture de sécurité
    o Aperçu de la configuration de l’hôte
    o Aperçu de l’accès sans fil
    o Aperçu de l’accès à distance
  • Cyber-sécurité pour les ICS
    o Découverte du réseau
    ▪ Découverte passive
    ▪ Découverte active
    ▪ Dénombrement passif
    o Utilisation de la CSET
    o Vue d’ensemble de la logique de l’échelle
    o Utilisation du cadre Metasploit
    o Techniques de piratage du Web

Description

Dans ce module, nous présenterons aux participants les moyens de planifier, concevoir et mettre en œuvre un programme efficace pour protéger les systèmes SCADA. Les participants acquerront une bonne compréhension des menaces, des vulnérabilités et des risques courants des systèmes de contrôle industriel (ICS).

Contenu technique

  • Concepts de protection des ICS
  • Défense des points terminaux
    o Solutions passives
    o Agents
  • Mises à jour et patches
  • Configuration du durcissement
  • Audit de la gestion des journaux
  • Fondements du réseau
    o Suite de protocoles TCP/IP
    o Protocoles ICS sur TCP/IP
  • Pare-feu
  • Construire un Honeypot ICS/SCADA
  • Sécuriser le sans-fil dans les ICS

Description

L’analyse du réseau ICS s’articule autour de l’extraction, de l’analyse et de l’identification des activités en ligne d’un utilisateur ; les résultats comprennent des objets digitaux tels que des fichiers journaux et historiques, des cookies, du contenu en cache et tout reliquat d’information laissé dans la mémoire volatile de l’ordinateur. Au cours de ce module, les participants identifieront différents modèles de comportement des utilisateurs, même quand ils ont essayé de “couvrir leurs traces”. À l’issue de cette étape, ils seront en mesure d’effectuer une analyse forensique détaillée du trafic sur le réseau.

Contenu technique

  • Analyse Wireshark
    o Inspection de l’outil Wireshark
    o Utilisation des filtres d’affichage
    o Utilisation avancée
    o Le format PCAP
    o Extraction de fichiers à partir de fichiers PCAP
    o Lecture de données cryptées avec Wireshark
    o Analyse anticipée des attaques
  • Analyse avancée des paquets
    o Bro
    o Bro-Cut
    o Outils à source ouverte
  • Identifier les attaques
    o Scanner de réseau
    o MiTM
    o Brute-Force
    o Injections
    o Attaques de serveurs Web
  • Extraire le trafic réseau de la mémoire
    o Vider la mémoire des appareils
    o Utiliser la volatilité
  • Constatations concernant les pare-feu

Description

Dans ce module, les participants découvriront le monde des logiciels malveillants, dans lequel ils créeront un environnement virtuel pour étudier différents types de logiciels malveillants et voir comment ils fonctionnent. Nous montrerons comment fonctionne un antivirus et développerons une idée de la manière d’aborder un fichier malveillant et de l’endroit où le trouver. Des outils permettant d’analyser les logiciels malveillants seront également présentés au cours de ce module.

Contenu technique

  • Les comportements des différents types de logiciels malveillants
    o Analyse comportementale
    o Analyse des codes
    o Analyse de la mémoire
    o Blocage du comportement des logiciels malveillants
  • Indicateur de compromis (IOC)
    o Hash
    o Séquence hexagonale
    o Signatures des hôtes
    o Signatures en réseau
  • Dossiers PE
  • Les bacs à sable
  • Bibliothèques et processus Windows
  • Mettre en place un environnement sûr pour l’inspection des logiciels malveillants
    o Machine virtuelle
    o Systèmes réels
    o Outils d’analyse des logiciels malveillants :
    ▪ Hacker de processus
    ▪ Process Monitor
    ▪ Regshot
    ▪ API Monitor
    ▪ IDA
  • Lieux de dissimulation des logiciels malveillants
    o Sur les systèmes en direct
    o Sur les systèmes morts
  • Les logiciels malveillants sur le réseau
    o Identifier les logiciels malveillants
    o Sculpter les logiciels malveillants
    o Analyser les fichiers PCAP malveillants

Labos

Les labos suivants font partie du cours BT223 :
  • Labo 1 Modbus
  • Labo 2 CSET
  • Labo 3 Protocoles du SCI
  • Labo 4 Filtrer avec Bro
  • Labo 5 Analyse des journaux
  • Labo 6 Analyse statique
  • Labo 7 Analyse dynamique

Etudes de cas réels

Etude de cas #1 (ICF001)
Les pirates informatiques iraniens ont pu accéder à des logiciels de contrôle qui leur ont permis de manipuler des oléoducs ou des gazoducs aux États-Unis ; les chercheurs en sécurité soupçonnent un logiciel malveillant installé sur leurs systèmes. Vous avez été convoqué pour enquêter sur l'incident et identifier la source de l'attaque et pour renforcer le système de contrôle.
Reference
Etude de cas #2 (ICF002)
La société Honda Motor Company a publié cette semaine une déclaration selon laquelle elle a été contrainte d'interrompre sa production pendant plus de 24 heures dans l'une de ses usines au Japon après avoir découvert les infections de WannaCry dans ses réseaux informatiques. La société Honda Motor Company vous a engagé pour effectuer une analyse des logiciels malveillants sur le WannaCry en utilisant les outils que vous maîtrisez.
Reference
Diapositive précédente
Diapositive suivante
BT223

Type de Cours

Le participant peut bénéficier d’un des deux modes de cours :

  • Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
  • Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena

Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles. Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours. Tout le matériel de cours  est mis à disposition du participant sous  forme électronique, couvrant les syllabus, les labos, et les études de cas.

  Groupe de cours:
ICS SCADA

NIVEAU
0%
1
HEURES

Entre Pratique et Théorie

Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.

1 %
Pratique
1
Labos
1
Etudes de cas

Équipement requis

Connexion réseau

Comme ce cours est essentiellement fondé sur un Learning Managament System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.

Apporter votre propre matériel

Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :

  • L’audio et la vidéo
  • 8 GB RAM
  • 200 GB d’espace disque
  • La capacité d’un environnement virtuel (capable de faire tourner la dernière version de Virtualbox ou un simulateur de machine virtuelle équivalent)

Et bien sûr un bon kit casque/micro. Plus de détails ici

Inscription