Hamıya salam! Hər kəsin sevimli portalında informasiya təhlükəsizliyi sahəsində sertifikatlaşdırma ilə bağlı çoxlu müxtəlif məqalələr var idi, ona görə də mən məzmunun orijinallığını və unikallığını iddia etmək fikrində deyiləm, amma yenə də GIAC (Qlobal İnformasiya Təminatı Şirkəti) əldə etmək təcrübəmi bölüşmək istərdim. sənaye kibertəhlükəsizliyi sahəsində sertifikatlaşdırma. kimi dəhşətli sözlərin ortaya çıxmasından bəri , , Shamoon, Triton, İT kimi görünən, lakin nərdivanlarda konfiqurasiyanı yenidən yazmaqla PLC-ləri həddindən artıq yükləyə bilən və eyni zamanda zavodu dayandıra bilməyən mütəxəssislərin xidmətlərinin göstərilməsi bazarı formalaşmağa başladı.
IT&OT (İnformasiya Texnologiyaları və Əməliyyat Texnologiyaları) anlayışı dünyaya belə gəldi.
Dərhal sonra (ixtisassız kadrların işləməsinə icazə verilməməsi aydındır) proseslərə nəzarət sistemlərinin və sənaye sistemlərinin təhlükəsizliyinin təmin edilməsi ilə bağlı sahədə mütəxəssislərin sertifikatlaşdırılması zərurəti yarandı - belə çıxır ki, bir çoxu var. mənzildə avtomatik su təchizatı klapanından tutmuş təyyarələrin idarəetmə sisteminə qədər (problemlərin araşdırılması haqqında əla məqaləni xatırlayın). ). Və hətta, birdən-birə göründüyü kimi, mürəkkəb tibbi avadanlıq.
Sertifikat almaq zərurətinə necə gəldiyim haqqında qısa bir lirika (onu keçə bilərsiniz): XNUMX-ci illərin sonunda İnformasiya Təhlükəsizliyi Fakültəsində təhsilimi uğurla başa vuraraq, başımla cihaz qoyunları sırasına addım atdım. aşağı cərəyanlı təhlükəsizlik siqnalizasiya sistemləri üçün mexanik işləyir. Deyəsən, informasiya təhlükəsizliyini mənə o vaxt müəssisədə deyirdilər :) İnformasiya təhlükəsizliyi üzrə bakalavr dərəcəsi ilə avtomatlaşdırılmış idarəetmə sistemi mütəxəssisi kimi karyeram belə başladı. Altı il sonra SCADA sistemləri departamentinin rəhbəri vəzifəsinə yüksəldikdən sonra proqram və avadanlıqların satıcıları ilə məşğul olan xarici şirkətdə sənaye idarəetmə sistemləri üzrə təhlükəsizlik məsləhətçisi kimi işləmək üçün ayrıldım. İnformasiya təhlükəsizliyi üzrə sertifikatlı mütəxəssis olmaq zərurəti də elə buradan yaranıb.
inkişafdır informasiya təhlükəsizliyi üzrə mütəxəssislərin hazırlanması və sertifikatlaşdırılmasını həyata keçirən təşkilat. GIAC sertifikatının reputasiyası EMEA, ABŞ və Asiya Sakit Okean bazarlarında mütəxəssislər və müştərilər arasında çox yüksəkdir. Burada, postsovet məkanında və MDB ölkələrində belə sertifikatı yalnız bizim ölkələrimizdə biznesi olan xarici şirkətlər, beynəlxalq və konsaltinq agentlikləri tələb edə bilər. Şəxsən mən heç vaxt yerli şirkətlərdən belə sertifikat tələbi ilə rastlaşmamışam. Hər kəs əsasən CISSP tələb edir. Bu mənim subyektiv fikrimdir və hər kəs öz təcrübəsini şərhlərdə bölüşsə, bilmək maraqlı olar.
SANS-da kifayət qədər fərqli sahələr var (mənim fikrimcə, son vaxtlar uşaqlar öz sayını çox genişləndiriblər), lakin çox maraqlı praktik kurslar da var. Xüsusilə xoşuma gəldi . Ancaq hekayə kurs haqqında olacaq və sertifikat adlanır: .
SANS tərəfindən təklif olunan Sənaye Kiber Təhlükəsizliyi sertifikatlarının bütün növləri arasında bu, ən universalıdır. İkincisi daha çox Qərbdə xüsusi diqqət çəkən və ayrıca sistemlər sinfinə aid olan Power Grid sistemlərinə aid olduğundan. Üçüncüsü (sertifikasiya yolum zamanı) İnsident Cavabına aiddir.
Kurs ucuz deyil, lakin İT və OT haqqında kifayət qədər geniş biliklər təqdim edir. Bu, öz sahəsini dəyişmək qərarına gələn yoldaşlar üçün xüsusilə faydalı olacaq, məsələn, bank sektorunda İT təhlükəsizliyindən Sənaye Kiber Təhlükəsizliyinə qədər. Mən artıq proseslərə nəzarət sistemləri, cihazları və əməliyyat texnologiyaları sahəsində təcrübəyə malik olduğum üçün bu kursda mənim üçün prinsipial olaraq yeni və ya həyati əhəmiyyətli heç nə yox idi.
Kurs 50% nəzəriyyə və 50% təcrübədən ibarətdir. Təcrübədən ən maraqlı müsabiqə NetWars idi. İki gün ərzində, dərslərin əsas kursundan sonra bütün siniflərin bütün tələbələri komandalara bölündü və giriş hüquqlarını əldə etmək, lazımi məlumatları çıxarmaq, şəbəkəyə giriş əldə etmək, heşləri təşviq etmək üçün bir sıra tapşırıqlar, Wireshark ilə işləmək üçün tapşırıqları yerinə yetirdilər. və hər cür müxtəlif şirniyyatlar.
Kurs materialı kitablar şəklində ümumiləşdirilmişdir və siz onları daimi istifadəniz üçün alacaqsınız. Yeri gəlmişkən, onları imtahana verə bilərsiniz, çünki formatı Açıq Kitabdır, lakin onlar sizə çox kömək etməyəcəklər, çünki imtahan 3 saat, 115 sual və çatdırılma dili ingilis dilidir. Bütün 3 saat ərzində 15 dəqiqəlik fasilə verə bilərsiniz. Ancaq unutmayın ki, 15 dəqiqəlik fasilə verib, 5-dən sonra testlərə qayıtmaqla siz sadəcə olaraq qalan on dəqiqədən imtina etmiş olursunuz, çünki artıq test proqramında vaxtı dayandıra bilməyəcəksiniz. Siz ən sonunda görünəcək 15 sualı atlaya bilərsiniz.
Şəxsən mən çox sualı sonraya buraxmağı məsləhət görmürəm, çünki 3 saat həqiqətən kifayət qədər vaxt deyil və sonunda hələ həll olunmamış suallarınız olduqda, edə bilməmək ehtimalı yüksəkdir. vaxtında. NIST 800.82 və NERC standartı bilikləri ilə bağlı olduğu üçün mənim üçün həqiqətən çətin olan yalnız üç sualı sonraya buraxdım. Psixoloji olaraq, "sonra üçün" kimi suallar əsəblərinizi ən sonda vurur - beyniniz yorulanda, tualetə getmək istəyirsən, ekrandakı taymer eksponent olaraq sürətlənir.
Ümumilikdə testdən keçmək üçün 71% düzgün cavab toplamaq lazımdır. İmtahanda iştirak etməzdən əvvəl siz real testlər üzərində təcrübə keçmək imkanınız olacaq - çünki qiymətə 2 sualdan ibarət və real imtahana oxşar şərtlərlə 115 təcrübə testi daxildir.
Təlimi bitirdikdən bir ay sonra imtahan verməyi, bu ayı əmin olmadığınız məsələlərlə bağlı sistemli öz-özünə öyrənməyə sərf etməyi məsləhət görürəm. Yaxşı olardı ki, kurs zamanı alınan, hər bir mövzu üzrə qısa referat kimi görünən çap materiallarını götürsəniz və bu kitablarda yer alan mövzular haqqında məqsədyönlü şəkildə məlumat axtarsanız. Ayı iki hissəyə bölün, təcrübə testləri keçirin və hansı sahələrdə güclü olduğunuz və harada təkmilləşdirməli olduğunuz barədə təxmini təsəvvür əldə edin.
İmtahanın özünü təşkil edən aşağıdakı əsas sahələri qeyd etmək istərdim (təlim kursu deyil, çünki o, daha geniş mövzuları əhatə edir):
- Fiziki Təhlükəsizlik: Digər sertifikatlaşdırma imtahanları kimi, GICSP-də bu məsələyə çox diqqət yetirilir. Qapılarda fiziki qıfılların növləri ilə bağlı suallar var, elektron keçidlərin saxtalaşdırılması halları təsvir olunur, burada problemi birmənalı şəkildə müəyyənləşdirmək üçün cavab vermək lazımdır. Mövzu sahəsindən - neft və qaz prosesləri, atom elektrik stansiyaları və ya elektrik şəbəkələrindən asılı olaraq texnologiyanın (prosesin) təhlükəsizliyi ilə birbaşa əlaqəli suallar var. Məsələn, belə bir sual yarana bilər: HMI-dəki buxar temperaturu sensorundan Siqnal gəldiyi zaman vəziyyətin hansı növ fiziki təhlükəsizlik nəzarəti olduğunu müəyyənləşdirin? Və ya belə bir sual: Hansı vəziyyət (hadisə) obyektin perimetri mühafizə sisteminin müşahidə kameralarından video yazıları təhlil etmək üçün səbəb olacaq?
Faiz ifadəsində qeyd edərdim ki, imtahanımda və təcrübə testlərində bu bölmə üzrə sualların sayı 5%-dən çox olmayıb.
- Digər və ən geniş yayılmış suallar kateqoriyalarından biri proseslərə nəzarət sistemləri, PLC, SCADA ilə bağlı suallardır: burada prosesə nəzarət sistemlərinin necə qurulduğuna dair materialların öyrənilməsinə sistematik yanaşmaq lazımdır, sensorlardan tutmuş proqram təminatının özünün olduğu serverlərə qədər. qaçır. Sənaye məlumat ötürmə protokollarının növləri (ModBus, RTU, Profibus, HART və s.) üzrə kifayət qədər suallar tapılacaq. RTU-nun PLC-dən nə ilə fərqləndiyi, PLC-dəki məlumatların təcavüzkar tərəfindən modifikasiyasından necə qorunacağı, PLC-nin hansı yaddaş sahələrində məlumatları saxladığı və məntiqin özünün harada saxlandığı (proses idarəetmə sistemi proqramçısı tərəfindən yazılmış proqram) haqqında suallar olacaq. ). Məsələn, belə bir sual yarana bilər: ModBus protokolundan istifadə edərək işləyən PLC və HMI arasında hücumu necə aşkarlaya biləcəyinizə cavab verin?
SCADA və DCS sistemləri arasındakı fərqlər haqqında suallar olacaq. L1, L2 səviyyəsində avtomatlaşdırılmış prosesə nəzarət şəbəkələrini L3 səviyyəsindən ayırmaq qaydaları ilə bağlı çoxlu sayda suallar (şəbəkə ilə bağlı suallarla bölmədə daha ətraflı təsvir edəcəyəm). Bu mövzuda situasiya sualları da çox müxtəlif olacaq - onlar idarəetmə otağındakı vəziyyəti təsvir edir və proses operatoru və ya dispetçer tərəfindən yerinə yetirilməli olan hərəkətləri seçməlisiniz.
Ümumiyyətlə, bu bölmə ən spesifik və dar profillidir. Yaxşı biliyə sahib olmağı tələb edir:
— avtomatlaşdırılmış idarəetmə sistemi, sahə hissəsi (sensorlar, cihazların birləşmə növləri, sensorların fiziki xüsusiyyətləri, PLC, RTU);
— proseslərin və obyektlərin fövqəladə söndürmə sistemləri (ESD – təcili söndürmə sistemi) (yeri gəlmişkən, Habré-də bu mövzuda əla məqalələr seriyası var. )
— məsələn, neft emalı, elektrik enerjisi istehsalı, boru kəmərləri və s. zamanı baş verən fiziki proseslər haqqında əsas anlayış;
— DCS və SCADA sistemlərinin arxitekturasını başa düşmək;
Qeyd edim ki, bu tip suallar imtahanın bütün 25 sualında 115%-ə qədər ola bilər. - Şəbəkə texnologiyaları və şəbəkə təhlükəsizliyi: Düşünürəm ki, bu mövzuda sualların sayı imtahanda birinci yerdədir. Çox güman ki, tamamilə hər şey olacaq - OSI modeli, bu və ya digər protokolun hansı səviyyələrdə işlədiyi, şəbəkə seqmentasiyası ilə bağlı bir çox suallar, şəbəkə hücumları ilə bağlı situasiya sualları, hücumun növünü müəyyən etmək təklifi ilə əlaqə qeydlərinin nümunələri, keçid konfiqurasiyalarının nümunələri həssas konfiqurasiyanın müəyyən edilməsi təklifi ilə, şəbəkə protokollarının zəifliklərinə dair suallar, sənaye rabitə protokollarının şəbəkə əlaqələrinin xüsusiyyətlərinə dair suallar. İnsanlar xüsusilə ModBus haqqında çox soruşurlar. Eyni ModBus şəbəkə paketlərinin quruluşu, növündən və cihaz tərəfindən dəstəklənən versiyalardan asılı olaraq. Simsiz şəbəkələrə hücumlara çox diqqət yetirilir - ZigBee, Wireless HART, yalnız bütün 802.1x ailəsinin şəbəkə təhlükəsizliyi ilə bağlı suallar. Prosesə nəzarət sistemi şəbəkəsində müəyyən serverlərin yerləşdirilməsi qaydaları ilə bağlı suallar olacaq (burada IEC-62443 standartını oxumaq və prosesə nəzarət sistemləri şəbəkələrinin istinad modellərinin prinsiplərini başa düşmək lazımdır). Purdue modeli ilə bağlı suallar olacaq.
- Yalnız elektrik enerjisinin ötürülməsi sistemlərinin və onlar üçün informasiya təhlükəsizliyi sistemlərinin istismarının funksional xüsusiyyətlərinə aid olan məsələlər kateqoriyası. ABŞ-da avtomatlaşdırılmış prosesə nəzarət sistemlərinin bu kateqoriyası Power Grid adlanır və ayrıca rol verilir. Bu məqsədlə, hətta bu sektor üçün informasiya təhlükəsizliyi sistemlərinin yaradılmasına yanaşmanı tənzimləyən ayrıca standartlar (NIST 800.82) verilir. Ölkələrimizdə, əksər hallarda, bu sektor ASKUE sistemləri ilə məhdudlaşır (elektrik enerjisinin paylanması və çatdırılması sistemlərinin monitorinqinə daha ciddi yanaşma görən kimsə məni düzəldin). Beləliklə, imtahanda siz Elektrik Şəbəkəsi ilə bağlı kifayət qədər konkret suallar tapacaqsınız. Əksər hallarda bunlar Elektrik Stansiyasında yaradılmış xüsusi vəziyyət üçün istifadə halları idi, lakin elektrik şəbəkəsində xüsusi olaraq istifadə olunan cihazlarda da tədqiqatlar ola bilər. Bu kateqoriya sistemlər üçün NIST bölmələri haqqında biliklərə cavab verən suallar olacaq.
- Standartları bilməklə bağlı suallar: NIST 800-82, NERC, IEC62443. Düşünürəm ki, burada heç bir xüsusi şərh olmadan - nə və hansı tövsiyələri ehtiva etdiyinə görə cavabdeh olan standartların bölmələrinə getmək lazımdır. Xüsusi suallar var, məsələn, sistemin funksionallığının yoxlanılması tezliyi, prosedurun yenilənməsi tezliyi və s. Belə sualların faizi olaraq ümumi sualların 15%-ə qədərinə rast gəlmək olar. Amma bu asılıdır. Məsələn, iki təcrübə testində yalnız bir neçə oxşar sualla rastlaşdım. Amma imtahan zamanı həqiqətən çox idi.
- Yaxşı, sualların son kateqoriyası hər cür istifadə halları və situasiya suallarıdır.
Ümumiyyətlə, CTF NetWars istisna olmaqla, təlimin özü mənim üçün potensial yeni biliklər əldə etmək baxımından çox informativ olmadı. Daha doğrusu, bəzi mövzuların daha dərin təfərrüatları, xüsusən texnoloji məlumatların ötürülməsi üçün istifadə olunan radioşəbəkələrin təşkili və mühafizəsi sahəsində, eləcə də bu mövzuya həsr olunmuş xarici standartların strukturuna dair daha mütəşəkkil materiallar əldə edilmişdir. Buna görə də, prosesə nəzarət sistemləri/alətləşdirmə sistemləri və ya Sənaye Şəbəkələri ilə işləmək üçün kifayət qədər bilik və təcrübəyə malik olan mühəndislər və mütəxəssislər üçün siz təlimə qənaət etmək (və qənaət etmək mənasızdır) haqqında düşünə, özünüzü hazırlaya və birbaşa sertifikatlaşdırma imtahanına gedə bilərsiniz. , yeri gəlmişkən, 700USD dəyərindədir. Uğursuzluq halında, yenidən ödəməli olacaqsınız. Sizi imtahana qəbul edəcək bir çox sertifikatlaşdırma mərkəzləri var, əsas odur ki, əvvəlcədən müraciət edin. Ümumiyyətlə, imtahan tarixini dərhal təyin etməyi məsləhət görürəm, çünki əks halda siz onu daim gecikdirəcəksiniz, hazırlıq prosesini digər həyati vacib olmayan və tamamilə vacib olmayan məsələlərlə əvəz edəcəksiniz. Və müəyyən bir son tarixə sahib olmaq sizi motivasiya edəcək.
Mənbə: www.habr.com