Hi almal! Almal se gunsteling portaal het baie verskillende artikels oor sertifisering op die gebied van inligtingsekuriteit gehad, so ek gaan nie aanspraak maak op oorspronklikheid en uniekheid van die inhoud nie, maar ek wil nog steeds baie graag my ervaring deel van die verkryging van GIAC (Global Information Assurance Company) sertifisering op die gebied van industriële kuberveiligheid. Sedert die verskyning van sulke verskriklike woorde soos , , Shamoon, Triton, 'n mark vir die verskaffing van dienste van spesialiste wat blykbaar IT is, maar ook PLC's kan oorlaai met die herskryf van die konfigurasie op lere, en terselfdertyd die aanleg nie gestop kan word nie, het begin vorm.
Dit is hoe die konsep van IT&OT (Information Technology & Operation Technology) in die wêreld gekom het.
Onmiddellik daarna (dit is duidelik dat ongekwalifiseerde personeel nie toegelaat moet word om te werk nie) het die behoefte gekom om spesialiste te sertifiseer op die gebied wat verband hou met die versekering van die veiligheid van prosesbeheerstelsels en industriële stelsels - waarvan daar blykbaar baie van hulle in ons lewens, van 'n outomatiese watertoevoerklep in 'n woonstel tot 'n beheerstelsel vliegtuie (onthou die uitstekende artikel oor die ondersoek van probleme ). En selfs, soos dit skielik blyk, komplekse mediese toerusting.
'n Kort liriek oor hoe ek by die behoefte gekom het om sertifisering te bekom (jy kan dit oorslaan): Nadat ek aan die einde van die XNUMX's my studies by die Fakulteit Inligtingsekuriteit suksesvol voltooi het, het ek met my kop in die geledere van die instrumentasieskaap gestap hoog gehou, werk as 'n werktuigkundige vir laestroom sekuriteitsalarmstelsels. Dit wil voorkom asof die inligtingsekuriteit op daardie stadium aan my vertel is by die onderneming :) Dit is hoe my loopbaan as 'n outomatiese beheerstelselspesialis met 'n baccalaureusgraad in inligtingsekuriteit begin het. Ses jaar later, nadat ek tot die rang van hoof van die SCADA-stelselafdeling gestyg het, het ek vertrek om as 'n sekuriteitskonsultant vir industriële beheerstelsels te werk in 'n buitelandse maatskappy wat sagteware en toerusting verkoop. Dit is waar die behoefte ontstaan het om 'n gesertifiseerde inligtingsekuriteitspesialis te wees.
is 'n ontwikkeling 'n organisasie wat opleiding en sertifisering van inligtingsekuriteitspesialiste doen. Die reputasie van die GIAC-sertifikaat is baie hoog onder spesialiste en kliënte in die EMEA-, VSA- en Asië-Stille Oseaan-markte. Hier, in die post-Sowjet-ruimte en in die GOS-lande, kan so 'n sertifikaat slegs aangevra word deur buitelandse maatskappye met besigheid in ons lande, internasionale en konsultasie-agentskappe. Persoonlik het ek nog nooit 'n versoek vir sulke sertifisering van plaaslike maatskappye teëgekom nie. Almal vra basies vir CISSP. Dit is my subjektiewe mening en as iemand hul ervaring in die kommentaar deel, sal dit interessant wees om te weet.
Daar is heelwat verskillende areas in SANS (myns insiens het die ouens hulle getal te veel uitgebrei), maar daar is ook baie interessante praktiese kursusse. Ek het veral daarvan gehou . Maar die storie sal oor die kursus handel en 'n sertifikaat genaamd: .
Van al die tipe industriële kubersekuriteitsertifisering wat deur SANS aangebied word, is dit die mees universele. Aangesien die tweede meer verband hou met Power Grid-stelsels, wat in die Weste spesiale aandag geniet en aan 'n aparte klas stelsels behoort. En die derde (ten tyde van my sertifiseringspad) het verband gehou met Incident Response.
Die kursus is nie goedkoop nie, maar dit bied redelik uitgebreide kennis van IT&OT. Dit sal veral nuttig wees vir die kamerade wat besluit het om hul veld te verander, byvoorbeeld van IT-sekuriteit in die bankbedryf na Industrial Cyber Security. Aangesien ek reeds 'n agtergrond in die veld van prosesbeheerstelsels, instrumentasie en bedryfstegnologie gehad het, was daar niks fundamenteel nuuts of lewensbelangrik vir my in hierdie kursus nie.
Die kursus bestaan uit 50% teorie en 50% praktyk. Uit oefening was die interessantste kompetisie NetWars. Vir twee dae, na die hoofkursus van klasse, is alle studente van alle klasse in spanne verdeel en take verrig om toegangsregte te verkry, die nodige inligting te onttrek, toegang tot die netwerk te verkry, 'n klomp take om hashes te bevorder, saam met Wireshark te werk. en allerhande verskillende lekkernye.
Die kursusmateriaal word opgesom in die vorm van boeke, wat jy dan vir jou ewige gebruik ontvang. Terloops, jy kan hulle vir die eksamen neem, aangesien die formaat Open Book is, maar hulle sal jou nie veel help nie, aangesien die eksamen 3 uur, 115 vrae het, en die taal van aflewering Engels is. Gedurende die hele 3 uur kan jy 'n breek van 15 minute neem. Maar hou in gedagte dat deur 'n pouse vir 15 minute te neem en na 5 na die toetse terug te keer, jy bloot die oorblywende tien minute prysgee, aangesien jy nie meer tyd in die toetsprogram sal kan stop nie. Jy kan tot 15 vrae oorslaan, wat dan heel aan die einde sal verskyn.
Persoonlik beveel ek nie aan om baie vrae vir later te los nie, want 3 ure is regtig nie genoeg tyd nie, en as jy aan die einde vrae het wat nog nie opgelos is nie, is daar 'n groot waarskynlikheid dat jy nie kan doen nie dit betyds. Ek het vir later net drie vrae gelos wat vir my regtig moeilik was, aangesien dit verband hou met kennis van die NIST 800.82 en NERC-standaard. Sielkundig raak sulke vrae "vir later" jou senuwees heel aan die einde - wanneer jou brein moeg is, jy toilet toe wil gaan, lyk dit of die timer op die skerm eksponensieel versnel.
Oor die algemeen, om die toets te slaag, moet jy 71% korrekte antwoorde behaal. Voordat u die eksamen aflê, sal u die geleentheid kry om op regte toetse te oefen - aangesien die prys 2 oefentoetse van 115 vrae en met toestande soortgelyk aan die regte eksamen insluit.
Ek beveel aan om die eksamen 'n maand na voltooiing van die opleiding te neem, en hierdie maand aan sistematiese selfstudie te bestee oor daardie kwessies waarin jy onseker voel. Dit sal lekker wees as jy die gedrukte materiaal wat tydens die kursus ontvang is, wat lyk soos kort opsommings oor elke onderwerp, neem - en doelgerig soek na inligting oor die onderwerpe wat in hierdie boeke vervat is. Breek die maand in twee dele op, neem oefentoetse en kry 'n rowwe prentjie van watter areas jy sterk is en waar jy moet verbeter.
Ek wil graag die volgende hoofareas uitlig waaruit die eksamen self bestaan (nie die opleidingskursus nie, aangesien dit baie meer uitgebreide onderwerpe dek):
- Fisiese sekuriteit: Soos ander sertifiseringseksamens, word hierdie kwessie baie aandag gegee in die GICSP. Daar is vrae oor die tipe fisiese slotte op deure, situasies met vervalsing van elektroniese passe word beskryf, waar jy 'n antwoord moet gee om die probleem ondubbelsinnig te identifiseer. Daar is vrae wat direk verband hou met die veiligheid van die tegnologie (proses), afhangende van die vakgebied - olie- en gasprosesse, kernkragsentrales of kragnetwerke. Daar kan byvoorbeeld 'n vraag wees soos: Bepaal watter tipe fisiese sekuriteitsbeheer die situasie is wanneer 'n Alarm van die stoomtemperatuursensor op die HMI kom? Of 'n vraag soos: Watter situasie (gebeurtenis) sal dien as 'n rede om video-opnames van toesigkameras van die fasiliteit se omtreksekuriteitstelsel te ontleed?
In persentasie terme wil ek daarop let dat die aantal vrae oor hierdie afdeling in my eksamen en in praktyktoetse nie 5% oorskry het nie.
- Nog 'n en een van die mees wydverspreide kategorieë vrae is vrae oor prosesbeheerstelsels, PLC, SCADA: hier sal dit nodig wees om sistematies die studie van materiaal te benader oor hoe prosesbeheerstelsels gestruktureer is, van sensors tot bedieners waar die toepassingsagteware self lopies. 'n Voldoende aantal vrae sal gevind word oor die tipes industriële data-oordragprotokolle (ModBus, RTU, Profibus, HART, ens.). Daar sal vrae wees oor hoe RTU van PLC verskil, hoe om data in die PLC te beskerm teen verandering deur 'n aanvaller, in watter geheue areas die PLC data stoor, en waar die logika self gestoor word ('n program geskryf deur 'n prosesbeheerstelselprogrammeerder ). Daar kan byvoorbeeld 'n vraag van hierdie tipe wees: Gee 'n antwoord oor hoe jy 'n aanval tussen 'n PLC en 'n HMI kan opspoor wat met die ModBus-protokol werk?
Daar sal vrae wees oor die verskille tussen SCADA- en DCS-stelsels. 'n Groot aantal vrae oor die reëls vir die skeiding van outomatiese prosesbeheernetwerke op die L1, L2-vlak van die L3-vlak (ek sal in meer besonderhede beskryf in die afdeling met vrae oor die netwerk). Situasionele vrae oor hierdie onderwerp sal ook baie uiteenlopend wees - dit beskryf die situasie in die beheerkamer en jy moet aksies kies wat deur die prosesoperateur of versender uitgevoer moet word.
Oor die algemeen is hierdie afdeling die mees spesifieke en smal-profiel. Vereis dat jy goeie kennis het:
- outomatiese beheerstelsel, velddeel (sensors, tipes toestelverbindings, fisiese kenmerke van sensors, PLC, RTU);
— noodafsluitingstelsels (ESD – noodafsluitingstelsel) van prosesse en voorwerpe (terloops, daar is 'n uitstekende reeks artikels oor hierdie onderwerp op Habré van )
— 'n basiese begrip van die fisiese prosesse wat byvoorbeeld plaasvind in olieraffinering, elektrisiteitsopwekking, pypleidings, ens.;
— begrip van die argitektuur van DCS- en SCADA-stelsels;
Ek wil daarop let dat vrae van hierdie tipe tot 25% deur al 115 vrae van die eksamen kan voorkom. - Netwerktegnologieë en netwerksekuriteit: Ek dink die aantal vrae in hierdie onderwerp kom eerste in die eksamen. Daar sal waarskynlik absoluut alles wees - die OSI-model, op watter vlakke hierdie of daardie protokol werk, baie vrae oor netwerksegmentering, situasionele vrae oor netwerkaanvalle, voorbeelde van verbindingslogboeke met 'n voorstel om die tipe aanval te bepaal, voorbeelde van skakelkonfigurasies met 'n voorstel om 'n kwesbare konfigurasie te bepaal, vrae oor kwesbaarhede netwerkprotokolle, vrae oor die besonderhede van netwerkverbindings van industriële kommunikasieprotokolle. Mense vra veral baie oor ModBus. Die struktuur van netwerkpakkies van dieselfde ModBus, afhangende van die tipe en weergawes wat deur die toestel ondersteun word. Baie aandag word gegee aan aanvalle op draadlose netwerke – ZigBee, Wireless HART, en bloot vrae oor netwerksekuriteit van die hele 802.1x-familie. Daar sal vrae wees oor die reëls vir die plasing van sekere bedieners in die prosesbeheerstelselnetwerk (hier moet jy die IEC-62443-standaard lees en die beginsels van verwysingsmodelle van prosesbeheerstelselnetwerke verstaan). Daar sal vrae oor die Purdue-model wees.
- 'n Kategorie kwessies wat uitsluitlik verband hou met die funksionele kenmerke van die werking van elektrisiteitsoordragstelsels en inligtingsekuriteitstelsels daarvoor. In die VSA word hierdie kategorie van outomatiese prosesbeheerstelsels Power Grid genoem en word 'n aparte rol toegeken. Vir hierdie doel word afsonderlike standaarde selfs uitgereik (NIST 800.82) wat die benadering tot die skep van inligtingsekuriteitstelsels vir hierdie sektor reguleer. In ons lande is hierdie sektor vir die grootste deel beperk tot ASKUE-stelsels (korrigeer my as iemand 'n ernstiger benadering tot die monitering van elektrisiteitsverspreiding en -leweringstelsels gesien het). Dus, in die eksamen sal jy baie spesifieke vrae vind wat verband hou met Power Grid. Vir die grootste deel was dit gebruiksgevalle vir 'n spesifieke situasie wat by die Kragstasie ontwikkel het, maar daar kan ook opnames wees oor toestelle wat spesifiek in die Kragnetwerk gebruik word. Daar sal vrae wees oor kennis van NIST-afdelings vir hierdie kategorie stelsels.
- Vrae wat verband hou met kennis van standaarde: NIST 800-82, NERC, IEC62443. Ek dink hier sonder enige spesiale kommentaar - jy moet die afdelings van die standaarde navigeer, wat verantwoordelik is vir wat en watter aanbevelings dit bevat. Daar is spesifieke vrae, byvoorbeeld, die frekwensie van die kontrolering van die funksionaliteit van die stelsel, die frekwensie van die opdatering van die prosedure, ens. As 'n persentasie van sulke vrae kan tot 15% van die totale aantal vrae teëgekom word. Maar dit hang af. Byvoorbeeld, op twee oefentoetse het ek net 'n paar soortgelyke vrae teëgekom. Maar daar was regtig baie van hulle tydens die eksamen.
- Wel, die laaste kategorie vrae is allerhande gebruiksgevalle en situasievrae.
Oor die algemeen was die opleiding self, met die moontlike uitsondering van CTF NetWars, nie vir my baie insiggewend in terme van die verkryging van potensiële nuwe kennis nie. Dieper besonderhede van sommige onderwerpe is eerder bekom, veral op die gebied van organisasie en beskerming van radionetwerke wat gebruik word om tegnologiese inligting oor te dra, sowel as meer georganiseerde materiaal oor die struktuur van buitelandse standaarde wat aan hierdie onderwerp gewy is. Daarom, vir ingenieurs en spesialiste wat voldoende kennis en ervaring het om met prosesbeheerstelsels/instrumentasiestelsels of industriële netwerke te werk, kan jy daaraan dink om op opleiding te bespaar (en besparing maak sin), jouself voorberei en reguit die sertifiseringseksamen aflê, wat , terloops, is 700USD werd. In geval van mislukking, sal jy weer moet betaal. Daar is baie sertifiseringsentrums wat jou vir die eksamen sal aanvaar; die belangrikste ding is om vooraf aansoek te doen. Oor die algemeen beveel ek aan om die eksamendatum dadelik vas te stel, want anders sal jy dit voortdurend vertraag en die voorbereidingsproses vervang met ander noodsaaklike en nie heeltemal belangrike sake nie. En om 'n spesifieke sperdatum te hê, sal jou selfgemotiveerd maak.
Bron: will.com