أهلاً بكم! تحتوي البوابة المفضلة لدى الجميع على العديد من المقالات المختلفة حول الشهادات في مجال أمن المعلومات، لذلك لن أدعي أصالة المحتوى وتفرده، لكنني ما زلت أرغب حقًا في مشاركة تجربتي في الحصول على GIAC (الشركة العالمية لضمان المعلومات) شهادة في مجال الأمن السيبراني الصناعي. منذ ظهور مثل هذه الكلمات الرهيبة مثل , ، شمعون، تريتون، سوق لتقديم خدمات المتخصصين الذين يبدو أنهم متخصصون في تكنولوجيا المعلومات، ولكن يمكنهم أيضًا زيادة تحميل الشركات المحدودة العامة من خلال إعادة كتابة التكوين على السلالم، وفي نفس الوقت لا يمكن إيقاف المصنع، بدأ في التشكل.
هذه هي الطريقة التي ظهر بها مفهوم تكنولوجيا المعلومات وتكنولوجيا التشغيل (IT&OT) إلى العالم.
بعد ذلك مباشرة (من الواضح أنه لا ينبغي السماح للموظفين غير المؤهلين بالعمل) جاءت الحاجة إلى اعتماد متخصصين في المجال المتعلق بضمان سلامة أنظمة التحكم في العمليات والأنظمة الصناعية - والتي اتضح أن هناك الكثير منها لهم في حياتنا، من صمام إمدادات المياه التلقائي في الشقة إلى طائرات نظام التحكم (تذكر المقال الممتاز حول التحقيق في المشاكل ). وحتى، كما اتضح فجأة، المعدات الطبية المعقدة.
قصيدة قصيرة عن كيفية وصولي إلى الحاجة للحصول على الشهادة (يمكنك تخطيها): بعد أن أكملت دراستي بنجاح في كلية أمن المعلومات في نهاية العقد الأول من القرن الحادي والعشرين، دخلت مصاف خراف الأجهزة برأسي محتجزًا عاليًا، ويعمل كميكانيكي لأنظمة الإنذار الأمني ذات التيار المنخفض. يبدو أنه تم إخباري بأمن المعلومات في المؤسسة في ذلك الوقت :) هكذا بدأت مسيرتي المهنية كمتخصص في نظام التحكم الآلي وحاصل على درجة البكالوريوس في أمن المعلومات. وبعد ست سنوات، وبعد أن ترقت إلى رتبة رئيس قسم أنظمة SCADA، غادرت العمل كمستشار أمني لأنظمة التحكم الصناعية في شركة أجنبية تبيع البرامج والمعدات. ومن هنا نشأت الحاجة إلى أن تكون متخصصًا معتمدًا في أمن المعلومات.
هو التطور منظمة تقوم بإجراء التدريب وإصدار الشهادات للمتخصصين في أمن المعلومات. تحظى شهادة GIAC بسمعة عالية جدًا بين المتخصصين والعملاء في أسواق أوروبا والشرق الأوسط وأفريقيا والولايات المتحدة وآسيا والمحيط الهادئ. هنا، في منطقة ما بعد الاتحاد السوفيتي وفي بلدان رابطة الدول المستقلة، لا يمكن طلب هذه الشهادة إلا من قبل الشركات الأجنبية التي لديها أعمال في بلداننا والوكالات الدولية والاستشارية. أنا شخصياً لم أواجه أبدًا طلبًا للحصول على هذه الشهادة من الشركات المحلية. الجميع يطلب بشكل أساسي CISSP. هذا هو رأيي الشخصي وإذا شارك أي شخص تجربته في التعليقات، فسيكون من المثير للاهتمام معرفة ذلك.
هناك عدد لا بأس به من المجالات المختلفة في SANS (في رأيي، قام الرجال مؤخرًا بتوسيع عددهم كثيرًا)، ولكن هناك أيضًا دورات عملية مثيرة جدًا للاهتمام. لقد أحببته بشكل خاص . لكن القصة ستكون عن الدورة وشهادة تسمى: .
من بين جميع أنواع شهادات الأمن السيبراني الصناعي التي تقدمها SANS، تعد هذه هي الأكثر عالمية. نظرًا لأن الثاني يتعلق أكثر بأنظمة Power Grid، والتي تحظى في الغرب باهتمام خاص وتنتمي إلى فئة منفصلة من الأنظمة. والثالث (في وقت مسار شهادتي) يتعلق بالاستجابة للحوادث.
الدورة ليست رخيصة، ولكنها توفر معرفة واسعة جدًا بتكنولوجيا المعلومات والتكنولوجيا. سيكون مفيدًا بشكل خاص لأولئك الرفاق الذين قرروا تغيير مجالهم، على سبيل المثال من أمن تكنولوجيا المعلومات في الصناعة المصرفية إلى الأمن السيبراني الصناعي. نظرًا لأن لدي خلفية في مجال أنظمة التحكم في العمليات، وتكنولوجيا الأجهزة والتشغيل، لم يكن هناك شيء جديد أو مهم بشكل أساسي بالنسبة لي في هذه الدورة.
تتكون الدورة من 50% نظري و 50% عملي. من الناحية العملية، كانت المسابقة الأكثر إثارة للاهتمام هي NetWars. لمدة يومين، بعد الدورة الرئيسية للفصول الدراسية، تم تقسيم جميع الطلاب من جميع الفئات إلى فرق وأداء المهام للحصول على حقوق الوصول، واستخراج المعلومات اللازمة، والوصول إلى الشبكة، ومجموعة من المهام لتعزيز التجزئة، والعمل مع Wireshark وجميع أنواع الأشياء الجيدة المختلفة.
يتم تلخيص مواد الدورة التدريبية في شكل كتب، والتي تحصل عليها بعد ذلك لاستخدامك الدائم. بالمناسبة، يمكنك أخذها للامتحان، حيث أن التنسيق هو Open Book، لكنها لن تساعدك كثيرًا، حيث أن الامتحان يتكون من 3 ساعات و115 سؤالًا، ولغة التسليم هي الإنجليزية. خلال الثلاث ساعات بأكملها، يمكنك أن تأخذ استراحة لمدة 3 دقيقة. لكن ضع في اعتبارك أنه من خلال أخذ استراحة لمدة 15 دقيقة والعودة إلى الاختبارات بعد الساعة 15، فإنك ببساطة تتخلى عن الدقائق العشر المتبقية، حيث لن تتمكن من إيقاف الوقت في برنامج الاختبار بعد الآن. يمكنك تخطي ما يصل إلى 5 سؤالًا، والتي ستظهر بعد ذلك في النهاية.
شخصيا، لا أوصي بترك الكثير من الأسئلة لوقت لاحق، لأن 3 ساعات ليست وقتا كافيا حقا، وعندما يكون لديك في النهاية أسئلة لم يتم حلها بعد، هناك احتمال كبير لعدم القدرة على القيام بها ذلك في الوقت المناسب. تركت في وقت لاحق ثلاثة أسئلة فقط كانت صعبة للغاية بالنسبة لي، لأنها تتعلق بمعرفة NIST 800.82 ومعيار NERC. من الناحية النفسية، فإن مثل هذه الأسئلة "في وقت لاحق" ضربت أعصابك في النهاية - عندما يكون عقلك متعبا، وتريد الذهاب إلى المرحاض، يبدو أن الموقت الموجود على الشاشة يتسارع بشكل كبير.
بشكل عام، لاجتياز الاختبار، عليك الحصول على إجابات صحيحة بنسبة 71%. قبل إجراء الاختبار، ستتاح لك الفرصة للتدرب على الاختبارات الحقيقية - حيث يشمل السعر اختبارين تدريبيين يتكونان من 2 سؤالًا وبشروط مشابهة للاختبار الحقيقي.
أوصي بإجراء الاختبار بعد شهر من الانتهاء من التدريب، وقضاء هذا الشهر في الدراسة الذاتية المنهجية لتلك القضايا التي تشعر بعدم اليقين بشأنها. سيكون من الجيد أن تأخذ المواد المطبوعة التي تم تلقيها خلال الدورة، والتي تبدو وكأنها ملخصات قصيرة حول كل موضوع - وتبحث بشكل هادف عن معلومات حول الموضوعات الواردة في هذه الكتب. قم بتقسيم الشهر إلى قسمين، وقم بإجراء اختبارات تدريبية والحصول على صورة تقريبية عن المجالات التي تتمتع فيها بالقوة والجوانب التي تحتاج إلى تحسينها.
أود تسليط الضوء على المجالات الرئيسية التالية التي يتكون منها الاختبار نفسه (وليس الدورة التدريبية، لأنها تغطي موضوعات أكثر شمولاً):
- الأمن الجسدي: مثل اختبارات الشهادات الأخرى، تحظى هذه المشكلة باهتمام كبير في برنامج GICSP. هناك أسئلة حول أنواع الأقفال المادية على الأبواب، ويتم وصف مواقف تزوير التصاريح الإلكترونية، حيث تحتاج إلى إعطاء إجابة لتحديد المشكلة بشكل لا لبس فيه. هناك أسئلة تتعلق مباشرة بسلامة التكنولوجيا (العملية)، اعتمادًا على مجال الموضوع - عمليات النفط والغاز أو محطات الطاقة النووية أو شبكات الطاقة. على سبيل المثال، قد يكون هناك سؤال مثل: تحديد ما هو نوع التحكم الأمني المادي الذي يحدث عندما يأتي الإنذار من مستشعر درجة حرارة البخار الموجود على واجهة HMI؟ أو سؤال مثل: ما الموقف (الحدث) الذي سيكون بمثابة سبب لتحليل تسجيلات الفيديو من كاميرات المراقبة لنظام الأمن المحيط بالمنشأة؟
ومن حيث النسبة المئوية، أود أن أشير إلى أن عدد الأسئلة في هذا القسم في امتحاني وفي الاختبارات العملية لم يتجاوز 5٪.
- هناك فئة أخرى من الأسئلة الأكثر انتشارًا وهي الأسئلة المتعلقة بأنظمة التحكم في العمليات، وPLC، وSCADA: هنا سيكون من الضروري تناول دراسة المواد بشكل منهجي حول كيفية هيكلة أنظمة التحكم في العمليات، بدءًا من أجهزة الاستشعار وحتى الخوادم حيث يوجد برنامج التطبيق نفسه أشواط. سيتم العثور على عدد كاف من الأسئلة حول أنواع بروتوكولات نقل البيانات الصناعية (ModBus، RTU، Profibus، HART، وما إلى ذلك). ستكون هناك أسئلة حول كيفية اختلاف RTU عن PLC، وكيفية حماية البيانات في PLC من التعديل بواسطة مهاجم، وفي أي مناطق الذاكرة يقوم PLC بتخزين البيانات، وأين يتم تخزين المنطق نفسه (برنامج مكتوب بواسطة مبرمج نظام التحكم في العمليات ). على سبيل المثال، قد يكون هناك سؤال من هذا النوع: أعط إجابة لكيفية اكتشاف الهجوم بين PLC وHMI التي تعمل باستخدام بروتوكول ModBus؟
ستكون هناك أسئلة حول الاختلافات بين أنظمة SCADA وDCS. هناك عدد كبير من الأسئلة حول قواعد فصل شبكات التحكم الآلي في العمليات على المستوى L1 وL2 عن المستوى L3 (سأصفها بمزيد من التفصيل في القسم الذي يحتوي على أسئلة حول الشبكة). ستكون الأسئلة الظرفية حول هذا الموضوع متنوعة للغاية أيضًا - فهي تصف الموقف في غرفة التحكم وتحتاج إلى تحديد الإجراءات التي يجب أن يقوم بها مشغل العملية أو المرسل.
بشكل عام، هذا القسم هو الأكثر تحديدًا وضيقًا. يتطلب منك معرفة جيدة:
— نظام التحكم الآلي، الجزء الميداني (أجهزة الاستشعار، وأنواع توصيلات الأجهزة، والميزات المادية لأجهزة الاستشعار، PLC، RTU)؛
— أنظمة إيقاف الطوارئ (ESD – نظام إيقاف الطوارئ) للعمليات والأشياء (بالمناسبة، هناك سلسلة ممتازة من المقالات حول هذا الموضوع عن حبري من )
— فهم أساسي للعمليات الفيزيائية التي تحدث، على سبيل المثال، في تكرير النفط، وتوليد الكهرباء، وخطوط الأنابيب، وما إلى ذلك؛
— فهم بنية أنظمة DCS وSCADA؛
أود أن أشير إلى أن الأسئلة من هذا النوع يمكن أن تصل إلى 25% في جميع أسئلة الاختبار البالغ عددها 115 سؤالًا. - تقنيات الشبكات وأمن الشبكات: أعتقد أن عدد الأسئلة في هذا الموضوع يأتي في المرتبة الأولى في الامتحان. من المحتمل أن يكون هناك كل شيء على الإطلاق - نموذج OSI، على أي مستويات يعمل هذا البروتوكول أو ذاك، والعديد من الأسئلة حول تجزئة الشبكة، والأسئلة الظرفية حول هجمات الشبكة، وأمثلة لسجلات الاتصال مع اقتراح لتحديد نوع الهجوم، وأمثلة لتكوينات المحول مع اقتراح لتحديد التكوين الضعيف، وأسئلة حول نقاط الضعف في بروتوكولات الشبكة، وأسئلة حول تفاصيل اتصالات الشبكة لبروتوكولات الاتصالات الصناعية. يسأل الناس كثيرًا بشكل خاص عن ModBus. هيكل حزم الشبكة لنفس ModBus حسب نوعها والإصدارات التي يدعمها الجهاز. يتم إيلاء الكثير من الاهتمام للهجمات على الشبكات اللاسلكية - ZigBee وWireless HART، وببساطة أسئلة حول أمان الشبكة لعائلة 802.1x بأكملها. ستكون هناك أسئلة حول قواعد وضع خوادم معينة في شبكة نظام التحكم في العمليات (هنا تحتاج إلى قراءة معيار IEC-62443 وفهم مبادئ النماذج المرجعية لشبكات أنظمة التحكم في العمليات). ستكون هناك أسئلة حول نموذج بوردو.
- فئة من القضايا التي تتعلق حصريًا بالميزات الوظيفية لتشغيل أنظمة نقل الكهرباء وأنظمة أمن المعلومات الخاصة بها. في الولايات المتحدة الأمريكية، تسمى هذه الفئة من أنظمة التحكم الآلي في العمليات Power Grid ويتم تعيين دور منفصل لها. ولهذا الغرض، تم إصدار معايير منفصلة (NIST 800.82) تنظم طريقة إنشاء أنظمة أمن المعلومات لهذا القطاع. في بلداننا، يقتصر هذا القطاع في الغالب على أنظمة ASKUE (صححوني إذا رأى أي شخص نهجًا أكثر جدية لمراقبة أنظمة توزيع وتوصيل الكهرباء). لذلك، ستجد في الامتحان أسئلة محددة تمامًا تتعلق بشبكة الطاقة. بالنسبة للجزء الأكبر، كانت هذه حالات استخدام لموقف محدد تم تطويره في محطة توليد الطاقة، ولكن قد تكون هناك أيضًا دراسات استقصائية حول الأجهزة المستخدمة خصيصًا في شبكة الطاقة. ستكون هناك أسئلة تتناول معرفة أقسام NIST لهذه الفئة من الأنظمة.
- الأسئلة المتعلقة بمعرفة المعايير: NIST 800-82، NERC، IEC62443. أعتقد هنا دون أي تعليقات خاصة - تحتاج إلى التنقل في أقسام المعايير، وهي المسؤولة عن ماذا وما هي التوصيات التي تحتوي عليها. هناك أسئلة محددة، على سبيل المثال، طرح مدى تكرار التحقق من وظائف النظام، وتكرار تحديث الإجراء، وما إلى ذلك. كنسبة مئوية من هذه الأسئلة، يمكن مواجهة ما يصل إلى 15٪ من إجمالي عدد الأسئلة. لكن ذلك يعتمد. على سبيل المثال، في اختبارين تدريبيين، واجهت بضعة أسئلة متشابهة فقط. ولكن كان هناك بالفعل الكثير منهم أثناء الامتحان.
- حسنًا، الفئة الأخيرة من الأسئلة هي جميع أنواع حالات الاستخدام والأسئلة الظرفية.
بشكل عام، لم يكن التدريب نفسه، باستثناء CTF NetWars، مفيدًا جدًا بالنسبة لي فيما يتعلق باكتساب معرفة جديدة محتملة. بل تم الحصول على تفاصيل أعمق لبعض المواضيع، خاصة في مجال تنظيم وحماية شبكات الراديو المستخدمة لنقل المعلومات التكنولوجية، بالإضافة إلى مواد أكثر تنظيما حول هيكل المعايير الأجنبية المخصصة لهذا الموضوع. لذلك، بالنسبة للمهندسين والمتخصصين الذين لديهم المعرفة والخبرة الكافية في العمل مع أنظمة التحكم في العمليات/أنظمة الأجهزة أو الشبكات الصناعية، يمكنك التفكير في توفير التدريب (والتوفير منطقي)، وإعداد نفسك والذهاب مباشرة لإجراء اختبار الشهادة، والذي بالمناسبة، يستحق 700USD. في حالة الفشل، سيتعين عليك الدفع مرة أخرى. هناك الكثير من مراكز الشهادات التي ستقبلك للامتحان، والشيء الرئيسي هو التقديم مقدمًا. بشكل عام، أنصح بتحديد موعد الامتحان على الفور، وإلا فإنك ستؤخره باستمرار، وتستبدل عملية التحضير بأمور أخرى حيوية وليست مهمة تمامًا. كما أن تحديد موعد نهائي محدد سيجعلك تحفز نفسك.
المصدر: www.habr.com