English | Join | Login | Contact us
ICS 능동적 방어 및 사고대응(ICS515) SANS 온디맨드신청
ICS515: ICS 능동적 방어 및 사고대응
GIAC GRID 자격증 | 30 CPE/CMU

개요

ICS515: 능동적 방어 및 사고대응 과정은 ICS 사이버공격 분석하고, 능동적 방어기술을 이용해서 ICS 시스템 위협에 대응하고, 사고대응 절차를 이용하여 ICS 시스템 운영의 안전성과 신뢰성을 지킬 수 있도록 합니다.

수강생들은 ICS515: ICS 능동적 방어 및 사고대응 과정을 통해 네트워크로 연결된 산업제어시스템 환경을 이해하고, 위협을 모니터링하고, 확인된 위협에 대해 사고대응을 하고, 공격자와의 상호 작용을 통해 네트워크 보안을 향상시킬 수 있습니다. 내외부 위협 모니터링, 대응 및 학습으로 이어지는 이 과정은 능동적 방어로 알려져 있습니다. 스턱스넷, 하벡스 및 블랙에너지2 와 같은 악성코드에서 경험하였듯이, 능동적 방어는 ICS를 공격하는 지능적인 공격자를 대응하기 위해 필요한 방법입니다. 본 과정은 실무적인 방법과 실제 세계의 악성코드를 이용해서 ICS 사이버 공격을 처음부터 끝까지 분석합니다. 수강생들은 위협 인텔리전스 사용, 네트워크 보안 모니터링 수행, 악성 프로그램 분석 및 사고대응을 활용하여 운영의 안전과 신뢰성을 보장하는 등 능동적 방어 개념을 활용하는 실용적인 기술적 지식을 얻을 수 있습니다. 방어가 가능하다는 것을 입증하려는 ICS 조직은 본 과정에서 제시된 전략 및 기술력을 이용할 수 있습니다.

산업제어시설

본 과정은 아래의 주제에 대해서 강의합니다.

  • 보안성이 보장된 운영과 안전하고 신뢰성있는 운영에 중점을 둔 ICS 사고대응 수행방법
  • ICS 위협 정보 생성 방법과 ICS 환경을 지원하기 위해 커뮤니티에서 제공되는 것을 사용하는 방법
    • 분석 기술을 배워서 ICS 위협정보 보고서의 정보를 비판적으로 분석하고 적용할 수 있습니다.
  • ICS 자산 및 네트워크 토폴로지를 식별하는 방법 및 비정상 행위 및 위협에 대한 ICS 핫스폿을 모니터링하는 방법
    • ICS 네트워크 보안 모니터링과 같은 방법론과 제어시스템 위협 수준을 줄이기 위한 접근 방법 소개
  • ICS 악성코드를 분석하고 환경을 신속하게 파악하고 위협의 본질을 이해하는 데 필요한 가장 중요한 정보를 추출하는 방법
  • 공격을 통해 어떻게 작동하여 팀 및 의사 결정자에게 작업을 중단해야하는지 또는 위협에 대응하고 작업을 계속 안전하게 수행 할 수 있는 지 알려주는 데 필요한 정보를 얻는 방법
  • 능동적 방어를 활용하고 ICS를 보호하기 위해 여러 보안 규정을 서로 연계하여 사용하는 방법을 이론과 실습으로 강화했습니다.

실습내용

  • YBATIworks Kit를 사용하여 PLC(Programmable Logic Controller) 구축
  • Shodan을 통해 온라인 연결된 자산에 관한 정보 식별
  • 경쟁 가설 분석
  • 위협 정보 보고서 작성
  • 새로운 능동적 방어 기술을 확인 및 활용하여 사고대응가들에게 실습 네트워크에서 지능형지속위협(APT)의 영향을 받는 휴먼 머신 인터페이스(HMI) 안내
  • 네트워크에서 APT 악성코드의 영향을 받는 시스템을 식별하고 분석할 수 있는 위협 샘플 수집
  • 감염된 HMI와 APT 악성코드 샘플에서 악성코드를 분석하고 정보를 추출하며 YARA 규칙을 개발하여 능동적 방어 수행
  • 두 가지 실제 시나리오: 첫 번째 시나리오는 SANS CyberCity에 침입에서 수집한 데이터, 두 번째 시나리오는 악성코드에 감염된 DCS(Distributed Control System)에서 수집한 데이터

참석대상

  • ICS 사고대응팀장 및 팀원: 통합 및 연속적인 보안으로 ICS의 지능적인 위협에 안전하게 대응하는 방법을 배울 수 있습니다.
  • ICS 및 운영기술 보안직원 : 네트워크 보안 모니터링 및 위협 정보 등의 ICS 능동적 대응 기술을 이용하는 방법을 배울 수 있습니다.
  • IT 보안 전문가 : ICS 프로토콜, 위협, 우선순위를 이해하여 ICS분야로 지식을 확장할 수 있습니다.
  • 보안운영센터(SOC) 팀장 및 분석가 : OT 네트워크 및 SOC의 ICS 자산 또는 IT/OT SOC를 모니터링 하는 방법을 배울 수 있습니다.
  • ICS 레드팀 및 침투시험가 : ICS 네트워크에서 개선 방법 등 최신의 방어기술을 배울 수 있습니다.
  • 능동적 대응가 : 지능적인 표적 위협을 식별하고 대응기술을 배울 수 있습니다.

선수과정 및 지식

IT 또는 ICS 배경을 가진 수강생들은 본 과정을 쉽게 접근할 수 있습니다. 본 과정에 참여하기 전에 SANS ICS410 또는 SEC401과 같은 동등한 수준의 사이버보안 과정을 반드시 이수하거나 기본적인 사이버보안 경험이 있는 것이 좋습니다. 수강생들은 이전 ICS 경험이 필요하지 않지만, ICT 용어 및 SCADA, DCS, PLC 및 RTU와 같은 시스템에 익숙해야 하며 OT 환경에서 고유한 위험 및 완화방법을 이해해야 합니다.

받게되는 것

  • 패킷 캡처 및 메모리 이미지 등 64GB ICS 실습 데이터
    • OPC, ModbusTCP, DNP3, BACnet, ISO-TSAP 등의 프로토콜 샘플
    • 감염된 DCS 및 HMI 시스템의 시스템 파일
  • 완전하게 동작하는 CYBATIworks Mini-kit
    • PLC로 동작하는 Raspberry PI
    • I/O 물리적인 컴포넌트 및 부속품
    • Rex Control의 상용 제어시스템 데모 소프트웨어
    • PeakHMI의 상용 제어시스템 데모 소프트웨어
    • CyberLens의 상용 제어시스템 데모 소프트웨어
  • 안전한 가상머신 환경에서 스턱스넷, 하벡스 및 블랙에너지2 샘플
  • ICS 교육을 위한 CYBATI 가상머신
  • 악성코드 분석에 필요한 REMnux 가상머신
  • 네트워크 모니터링 및 위협 탐지를 위한 Security Onion 가상머신
공유하기
최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락
공지사항
문의
채용정보
공인강사지원
English
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2019 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.