Ўсім прывітанне! На ўсімі каханым партале было шмат розных артыкулаў па сертыфікацыі ў вобласці ИБ, таму прэтэндаваць на арыгінальнасць і непаўторнасць кантэнту не збіраюся, але ўсё ж вельмі жадаў бы падзяліцца сваім досведам атрымання GIAC (Global Information Assurance Company) сертыфікацыі ў вобласці прамысловай кібербяспекі. З часоў з'яўлення такіх страшных слоў як , , Shamoon, Triton, паступова стаў фармавацца рынак падавання паслуг адмыслоўцаў, якія накшталт як бы IT, але яшчэ могуць і ПЛК перагрузіць з перапісаннем канфігурацыі на ladders і пры гэтым завод не спыніць.
Так у свет прыйшло паняцце IT \uXNUMX OT (Information Technology & Operation Technology).
Следам адразу, (зразумелая справа, што нельга дапушчаць да працы некваліфікаваныя кадры) прыйшла неабходнасць сертыфікаваць адмыслоўцаў у вобласці, якая адносіцца да забеспячэння бяспекі АСУТП, прамысловых сістэм - якіх, апыняецца ў нашым жыцці стала вельмі шмат ад аўтаматычнага клапана падачы вады ў кватэры да сістэмы кіравання самалётамі (успомнім выдатны артыкул аб расследаванні праблем ). І нават, як раптам аказалася - складанага медыцынскага абсталявання.
Невялікая лірыка як я прыйшоў да неабходнасці атрымліваць сертыфікацыю (можна прапусціць): Паспяхова адвучыўшыся ў канцы нулявых на факультэце абароны інфармацыі, я з ганарліва паднятай галавой ступіў у шэрагі СТОСАЎ-аўцаў, працуючы слесарам па слаботочным сістэмам ахоўнай сігналізацыі. Накшталт як ИБ сказалі мне на прадпрыемстве ў той час:) Так пачалася мая кар'ера АСК-аўтара з дыпломам бакалаўра па ИБ. Праз шэсць гадоў, даслужыўшыся да начальніка аддзела SCADA сістэм я сышоў працаваць кансультантам па бяспецы прамысловых сістэм кіравання ў замежную кампанію-вендара софту і абсталяванні. Вось тут як раз і з'явілася неабходнасць быць сертыфікаваным ИБ спецыялістам.
з'яўляецца распрацоўкай арганізацыі, якая займаецца правядзеннем трэнінгаў і сертыфікацыяй спецыялістаў па інфармацыйнай бяспецы. Рэпутацыя сертыфіката ад GIAC вельмі высокая сярод адмыслоўцаў і замоўцаў на рынках EMEA, US, Asia Pacific. У нас, на пасаду савецкай прасторы і ў краінах СНД, такі сертыфікат могуць запатрабаваць толькі замежныя кампаніі, якія маюць бізнэс у нашых краінах, міжнародныя і кансалтынгавыя агенцтвы. Асабіста я ніколі не сутыкаўся з запытам на наяўнасць падобнай сертыфікацыі ад айчынных кампаній. Усё ў асноўным запытваюць CISSP. Гэта маё суб'ектыўнае меркаванне і калі хто падзеліцца сваім вопытам у каментах - будзе цікава даведацца.
У SANS досыць розных кірункаў (на мой погляд, у апошні час рабяты занадта ўжо пашырылі іх колькасць), але ёсць і вельмі цікавыя практычныя курсы. Асабліва спадабаўся . Але аповяд пойдзе аб курсе і сертыфікаце пад назвай: .
З усё прапанаваных SANS відаў Industrial Cyber Security сертыфікацый, гэтая з'яўляецца самай універсальнай. Паколькі другая ставяцца ў большай ступені да Power Grid сістэм, якім на захадзе надаецца асобная ўвага і яны ставяцца да адасобленага класа сістэм. А трэцяя (на момант майго шляху сертыфікацыі) адносілася да Incident Response.
Курс каштуе не танна, але дае дастаткова шырокія веды і па IT & OT. Асабліва будзе карысны тым камрадам, якія вырашылі змяніць сваю сферу напрыме з ІТ security у банкаўскай галіны на Industrial Cyber Security. Паколькі ў мяне ўжо меўся бэкграўнд у вобласці АСУТП, СТОСАЎ і Operation Technology, то для мяне прынцыпова новага або жыццёва важнага ў гэтым курсе не было.
Курс складаецца з 50% тэорыі і 50% практыкі. З практыкі самым цікавым быў кантэст - NetWars. На працягу двух дзён, пасля асноўнага курса заняткаў, усе студэнты ўсіх класаў разбіваліся на каманды і выконвалі задачы па атрыманні правоў доступу, атрыманні патрэбнай інфармацыі, атрыманні доступу да сеткі, кучай задач па раскрутцы хэшаў, праца з Wireshark і ўсякія розныя плюшкі.
Матэрыял курса мае кароткі выклад у выглядзе кніг, якія потым вы атрымлівае ў сваё бестэрміновае карыстанне. Дарэчы іх жа можна ўзяць на іспыт, бо фармат Open Book, але яны мала чым вам тамака дапамогуць, паколькі на іспыт адведзена 3 гадзіны, 115 пытанняў, мова здачы - ангельская. За ўсе 3 гадзіны можна ўзяць перапынак на 15 хвілін. Але ўлічыце, што беручы перапынак на 15 мінуць і возвращаясь да тэстаў праз 5 - вы проста аддаяце пакінутыя дзесяць мінуць, бо больш спыніць час у праграме тэставання не атрымаецца. Можна прапусціць да 15 пытанняў, якія потым з'явяцца ў самым канцы.
Асабіста я не рэкамендую пакідаць на потым шмат пытанняў, таму што часу ў 3 гадзіны сапраўды мала, а калі ў канцы ў цябе вылазяць яшчэ не вырашаныя пытанні - гэта значыць вялікая верагоднасць непаспець. Я пакінуў "на потым" толькі тры пытанні, якія былі для мяне сапраўды цяжкімі, паколькі ставіліся да ведаў стандарту NIST 800.82 і NERC. Псіхалагічна такія пытанні "на потым" б'юць па нервах у самым канцы - калі твой мозг стаміўся, ты хочаш у туалет, таймер на экране быццам бы паскараецца ў геаметрычнай прагрэсіі.
У цэлым, каб прайсці тэсціраванне трэба набраць 71 працэнт правільных адказаў. Да здачы экзамену ў вас будзе магчымасць патрэніравацца на рэальных тэстах – бо ў кошт уваходзіць 2 трэніровачныя тэсты па 115 пытанняў і з уловамі, аналагічнымі рэальнаму экзамену.
Я рэкамендую здаваць іспыт праз месяц пасля праходжання трэнінгу, выдаткаваўшы дадзены месяц на сістэматычныя самастойныя заняткі па тых пытаннях - у якіх вы адчуваеце няўпэўненасць. Будзе нядрэнна, калі вы возьмеце атрыманыя на курсе друкаваныя матэрыялы, якія выглядаюць як кароткія тэзы па кожнай з тэм - і будзеце мэтанакіравана шукаць інфармацыю па топіках, якія змяшчаюцца ў гэтых кнігах. Разбіце месяц на дзве часткі, выконваючы выпрабавальныя тэсты і атрымліваючы прыкладную карціну таго - у якіх пытаннях вы моцныя, а дзе трэба падцягнуцца.
Я б хацеў вылучыць наступныя асноўныя напрамкі, з якіх складаецца непасрэдна сам іспыт (не навучальны курс, паколькі ён пакрывае значна больш шырокія тэмы):
- Фізічная бяспека: як і ў іншых сертыфікацыйных іспытах, гэтаму пытанню ў GICSP надаецца дастаткова шмат увагі. Сустракаюцца пытанні па разнавіднасцях фізічных замкаў на дзвярах, апісваюцца сітуацыі з падробкай электронных пропускаў, дзе трэба даць адказ па адназначнай ідэнтыфікацыі праблемы. Трапляюцца пытанні непасрэдна якія адносяцца да бяспекі тэхналогіі (працэсу) у залежнасці ад прадметнай вобласці – нефгазавыя працэсы, атамныя станцыі ці электрасеткі. Напрыклад можа быць пытанне выгляду: Вызначыць якім тыпам кантролю фізічнай бяспекі, з'яўляецца сітуацыя калі прыходзіць Аларм ад сэнсара тэмпературы пары на HMI? Або пытанне выгляду: Якая сітуацыя (падзея) прычыніцца каб правесці аналіз відэазапісаў з камер назірання сістэмы перыметральнай бяспекі аб'екта?
У працэнтных суадносінах я б адзначыў што колькасць пытанняў па гэтым раздзеле ў мяне на экзамене і ў пробных тэстах не перавышала 5%.
- Іншы і адной з самых масавых катэгорый пытанняў з'яўляюцца пытанні па АСУТП, PLC, SCADA: тут будзе неабходна сістэматызавана падысці да вывучэння матэрыялаў аб тым як уладкованыя сістэмы кіравання тэхналагічнымі працэсамі пачынальна ад датчыкаў і сканчаючы серверамі дзе працуе само прыкладнае ПА. Дастатковую колькасць пытанняў сустрэнецца па разнавіднасцях прамысловых пратаколаў перадачы дадзеных (ModBus, RTU, Profibus, HART і інш). Будуць пытанні аб тым, чым адрозніваецца RTU ад PLC, як абараніць дадзеныя ў PLC ад мадыфікацыі зламыснікам, у якіх участках памяці PLC захоўвае дадзеныя, а дзе захоўваецца непасрэдна сама логіка (праграма напісаная праграмістам АСУТП). Напрыклад можа быць пытанне такога тыпу: Даць адказ як можна вырабіць выяўленне нападу паміж PLC і HMI якія працуюць па пратаколе ModBus?
Сустрэнюцца пытанні па адрозненнях сістэм SCADA ад DCS. Вялікая колькасць пытанняў па правілах размежавання сетак АСУТП на ўзроўні L1, L2 ад узроўню L3 (больш дэталёва апішу ў раздзеле з пытаннямі па сетцы). Сітуатыўныя пытанні па дадзеным топіку будуць таксама самы разнастайныя - апісваюць сітуацыю ў дыспетчарскай і трэба выбраць дзеянні, якія павінны быць выкананы аператарам працэсу або дыспетчарам.
Увогуле дадзеная частка з'яўляецца самым спецыфічным і вузкапрофільным. Запатрабуе ад вас добрых ведаў:
- АСУП, палявой часткі (датчыкі, тыпы падключэння прылад, фізічныя асаблівасці датчыкаў, PLC, RTU);
- сістэм супрацьаварыйнай абароны (ESD – emergency shutdown system) працэсаў і аб'ектаў (дарэчы на хабры ёсць выдатны цыкл артыкулаў на гэтую тэму ад )
- базавага разумення фізічных працэсаў, якія праходзяць напрыклад у нафтаперапрацоўцы, выпрацоўцы электраэнергіі, трубаправодах і тп;
- разуменне прылады архітэктур DCS і SCADA сістэм;
Я б адзначыў, што пытанняў дадзенага тыпу можа сустрэцца да 25% на працягу ўсіх 115 пытанняў іспыту. - Сеткавыя тэхналогіі і сеткавая бяспека: Я думаю што колькасць пытанняў дадзенага топіка стаіць на першым месцы ў іспыце. Будзе напэўна абсалютна ўсё – OSI мадэль, на якіх узроўнях працуе той ці іншы пратакол, мноства пытанняў па сегментацыі сеткі, сітуатыўныя пытанні па сеткавым нападам, прыклады логаў злучэння з прапановай вызначыць тып нападу, прыклады канфігурацый камутатара з прапановай вызначыць уразлівую канфігурацыю, пытанні па ўразлівасцях сеткавых пратаколаў, пытанні па спецыфіцы сеткавых злучэнняў прамысловых пратаколаў сувязі. Асабліва шмат пытаюцца пра ModBus. Структура сеткавых пакетаў таго ж ModBus у залежнасці ад яго разнавіднасці і падтрымоўваных прыладай версій. Вялікая ўвага надаецца нападам на бесправадныя сеткі - ZigBee, Wireless HART, проста пытанні па сеткавай бяспецы ўсяго сямейства 802.1х. Будуць пытанні па правілах размяшчэння тых ці іншых сервераў у сетцы АСУТП (тут трэба прачытаць стандарт IEC-62443 і зразумець прынцыпы эталонных мадэляў сетак АСУТП). Сустрэнюцца пытанні па Purdue мадэлі.
- Катэгорыя пытанняў, якая адносіцца выключна да функцыянальных асаблівасцей работы сістэм перадачы электраэнергіі і сістэм інфармацыйнай бяспекі для іх. У ЗША, дадзеная катэгорыя сістэм АСУТП, завецца Power Grid і ёй адводзіцца асобная роля. Для гэтага нават выпускаюцца асобныя стандарты (NIST 800.82) якія рэгламентуюць падыход да стварэння сістэм інфармацыйнай бяспекі для дадзенага сектара. У нашых краінах у большасці сваёй дадзены сектар абмяжоўваецца сістэмамі АСКУЭ (папраўце мяне калі хтосьці сустракаў больш сур'ёзны падыход за кантролем сістэм размеркавання і дастаўкі электраэнергіі). Дык вось, у іспыце вы сустрэнеце дастаткова спецыфічныя пытанні, якія адносяцца да Power Grid. У большасці сваёй гэта былі use-cases для вызначанай сітуацыі, якая склалася на Power Plant, але гэтак жа могуць быць апытанні па прыладах, якія прымяняюцца менавіта ў Power Grid. Будуць пытанні, якія адрасуюць да ведаў раздзелаў NIST для дадзенай катэгорыі сістэм.
- Пытанні якія адносяцца да ведаў стандартаў: NIST 800-82, NERC, IEC62443. Думаю тут без асаблівых каментароў - трэба арыентавацца ў раздзелах стандартаў, які за што адказвае і якія рэкамендацыі змяшчае. Сустракаюцца пэўныя пытанні, напрыклад якія пытаюцца перыядычнасць праверкі функцыянальнасці сістэмы, перыядычнасць абнаўлення працэдуры і тп. У працэнтных суадносінах такіх пытанняў можа сустрэцца да 15 працэнтаў ад агульнай колькасці пытанняў. Але тут як пашанцуе. Напрыклад на двух пробных тэстах мне сустрэлася ўсяго пару падобных пытанняў. Але вось затое на іспыце іх сапраўды было шмат.
- Ну і апошняя катэгорыя пытанняў гэта ўсякага роду use-cases і сітуатыўныя пытанні.
У цэлым, сам трэнінг, за выключэннем мусіць CTF NetWars быў для мяне не моцна інфарматыўным у плане набыцця патэнцыйна новых ведаў. Хутчэй за былі набыты больш глыбокія дэталі некаторых тэм, асабліва ў вобласці арганізацыі і абароны радыёсетак, якія ўжываюцца для перадачы тэхналагічнай інфармацыі, а гэтак жа больш спарадкаваны матэрыял па структуры замежных стандартаў, прысвечаных дадзенай тэме. Таму для інжынераў і адмыслоўцаў, якія маюць дастатковыя веды і досвед працы з АСУТП/КИП або Industrial Networks - можна задумацца аб тым, каб зэканоміць на трэнінгу (а эканоміць мае сэнс), самастойна падрыхтавацца і пайсці адразу здаваць сертыфікацыйны іспыт, які дарэчы варта 700USD. У выпадку фэйла, заплаціць давядзецца яшчэ раз. Сертыфікацыйных цэнтраў, якія прымуць вас на іспыт звышдастаткова, галоўнае загадзя падаць заяўку. Наогул я рэкамендую адразу паставіць дату іспыту, паколькі ў адваротным выпадку вы будзеце ўвесь час адцягваць яе, замяняючы працэс падрыхтоўкі іншымі жыццёва і не зусім важнымі справамі. А маючы пэўную дату дэдлайну, вы будзеце self-motivated.
Крыніца: habr.com