🥇Как казаците получиха сертификата GICSP

Здравейте всички! Любимият портал на всички имаше много различни статии за сертифициране в областта на информационната сигурност, така че няма да претендирам за оригиналност и уникалност на съдържанието, но все пак наистина бих искал да споделя опита си от получаването на GIAC (Global Information Assurance Company) сертифициране в областта на индустриалната киберсигурност. От появата на такива ужасни думи като Stuxnet, Кметът, Shamoon, Triton, пазар за предоставяне на услуги на специалисти, които изглеждат ИТ, но също така могат да претоварят PLC с пренаписване на конфигурацията на стълби и в същото време заводът не може да бъде спрян, започна да се формира.

Така се появява концепцията за IT&OT (Информационни технологии и оперативни технологии).

Веднага след това (ясно е, че неквалифициран персонал не трябва да се допуска до работа) дойде необходимостта от сертифициране на специалисти в областта, свързана с осигуряването на безопасността на системи за управление на процеси и индустриални системи - които, оказва се, са много в живота ни, от автоматичен вентил за водоснабдяване в апартамент до система за управление на самолети (помнете страхотната статия за разследване на проблеми Boeing). И дори, както изведнъж се оказа, сложно медицинско оборудване.

Кратка лирика за това как стигнах до необходимостта от получаване на сертификат (можете да го пропуснете): След успешно завършване на обучението си във Факултета по информационна сигурност в края на XNUMX-те години, аз стъпих в редиците на инструменталните овце с главата си високо държан, работещ като механик на слаботокови СОТ. Изглежда, че информационната сигурност ми беше разказана в предприятието тогава :) Така започна кариерата ми като специалист по автоматизирани системи за управление с бакалавърска степен по информационна сигурност. Шест години по-късно, след като се издигнах до ранг ръководител на отдел SCADA системи, напуснах да работя като консултант по сигурността на индустриални системи за управление в чуждестранна компания, която продава софтуер и оборудване. Тук възниква необходимостта да бъдеш сертифициран специалист по информационна сигурност.

GIAC е развитие ДАНС организация, която провежда обучение и сертифициране на специалисти по информационна сигурност. Репутацията на сертификата GIAC е много висока сред специалисти и клиенти в пазарите на EMEA, САЩ и Азиатско-тихоокеанския регион. Тук, в постсъветското пространство и в страните от ОНД, такъв сертификат могат да поискат само чуждестранни компании с бизнес в нашите страни, международни и консултантски агенции. Лично аз никога не съм срещал искане за такова сертифициране от местни компании. Всички основно искат CISSP. Това е моето субективно мнение и ако някой сподели опита си в коментарите, ще бъде интересно да разбере.

Има доста различни области в ДАНС (по мое мнение, напоследък момчетата са разширили броя си твърде много), но има и много интересни практически курсове. Особено ми хареса NetWars. Но историята ще бъде за курса ICS410: ICS/SCADA Security Essentials и сертификат, наречен: Global Industrial Cyber Security Professional (GICSP).

От всички видове сертификати за индустриална киберсигурност, предлагани от SANS, това е най-универсалното. Тъй като второто се отнася повече до Power Grid системите, на които на Запад се обръща специално внимание и принадлежат към отделен клас системи. И третият (по време на моя път на сертифициране) беше свързан с реакцията при инциденти.
Курсът не е евтин, но предоставя доста обширни познания по IT&OT. Ще бъде особено полезно за онези другари, които са решили да променят своята област, например от ИТ сигурността в банковата индустрия към индустриалната киберсигурност. Тъй като вече имах опит в областта на системите за контрол на процесите, инструменталната апаратура и операционната технология, нямаше нищо фундаментално ново или жизненоважно за мен в този курс.

Курсът се състои от 50% теория и 50% практика. От практиката най-интересното състезание беше NetWars. В продължение на два дни, след основния курс на занятията, всички ученици от всички класове бяха разделени на екипи и изпълняваха задачи за получаване на права за достъп, извличане на необходимата информация, получаване на достъп до мрежата, куп задачи за популяризиране на хешове, работа с Wireshark и всякакви различни екстри.

Материалът на курса е обобщен под формата на книги, които след това получавате за постоянно ползване. Между другото, можете да ги вземете на изпита, тъй като форматът е Open Book, но те няма да ви помогнат много, тъй като изпитът е 3 часа, 115 въпроса и езикът на доставка е английски. През всичките 3 часа можете да си направите почивка от 15 минути. Но имайте предвид, че като си вземете почивка за 15 минути и се върнете към тестовете след 5, вие просто се отказвате от оставащите десет минути, тъй като вече няма да можете да спрете времето в програмата за тестване. Можете да пропуснете до 15 въпроса, които ще се появят в самия край.

Лично аз не препоръчвам да оставяте много въпроси за по-късно, защото 3 часа наистина не са достатъчно време и когато накрая имате въпроси, които все още не са решени, има голяма вероятност да не можете да направите го навреме. Оставих за по-късно само три въпроса, които наистина ме затрудниха, тъй като се отнасяха до познаването на стандарта NIST 800.82 и NERC. Психологически такива въпроси „за по-късно“ удрят нервите ви в самия край - когато мозъкът ви е уморен, искате да отидете до тоалетната, таймерът на екрана изглежда се ускорява експоненциално.

Като цяло, за да преминете теста, трябва да получите 71% верни отговори. Преди да се явите на изпита, ще имате възможност да се упражнявате върху реални тестове - като цената включва 2 тренировъчни теста от 115 въпроса и с условия, подобни на реалния изпит.

Препоръчвам да положите изпита месец след завършване на обучението, като прекарате този месец в системно самообучение по онези въпроси, в които се чувствате несигурни. Би било хубаво, ако вземете печатните материали, получени по време на курса, които изглеждат като кратки резюмета по всяка тема - и целенасочено търсите информация по темите, съдържащи се в тези книги. Разделете месеца на две части, като вземете практически тестове и получите груба картина за това в кои области сте силни и къде трябва да се подобрите.

Бих искал да подчертая следните основни области, които съставляват самия изпит (не курса на обучение, тъй като обхваща много по-обширни теми):

Физическа сигурност: Подобно на други сертификационни изпити, на този въпрос се обръща голямо внимание в GICSP. Има въпроси за видовете физически брави на вратите, описани са ситуации с фалшифициране на електронни пропуски, където трябва да дадете отговор, за да идентифицирате недвусмислено проблема. Има въпроси, пряко свързани с безопасността на технологията (процеса), в зависимост от предметната област - нефтени и газови процеси, атомни електроцентрали или електрически мрежи. Например, може да има въпрос като: Определете какъв тип контрол на физическата сигурност е ситуацията, когато аларма идва от сензора за температура на парата на HMI? Или въпрос от рода на: Коя ситуация (събитие) ще послужи като причина за анализ на видеозаписи от камери за наблюдение на системата за периметрова охрана на обекта?
В процентно изражение бих отбелязал, че броят на въпросите по този раздел в моя изпит и в практическите тестове не надвишава 5%.
Друга и една от най-разпространените категории въпроси са въпроси за системи за управление на процеси, PLC, SCADA: тук ще е необходимо систематично да се подходи към изучаването на материали за това как са структурирани системите за управление на процеси, от сензори до сървъри, където самият приложен софтуер бяга. Достатъчен брой въпроси ще бъдат намерени за видовете индустриални протоколи за пренос на данни (ModBus, RTU, Profibus, HART и др.). Ще има въпроси за това как RTU се различава от PLC, как да защитим данните в PLC от модификация от нападател, в кои области на паметта PLC съхранява данни и къде се съхранява самата логика (програма, написана от програмист на система за контрол на процеси ). Например, може да има въпрос от този тип: Дайте отговор как можете да откриете атака между PLC и HMI, които работят с помощта на протокола ModBus?
Ще има въпроси относно разликите между SCADA и DCS системите. Голям брой въпроси относно правилата за разделяне на автоматизирани мрежи за управление на процеси на ниво L1, L2 от ниво L3 (ще опиша по-подробно в раздела с въпроси за мрежата). Ситуационните въпроси по тази тема също ще бъдат много разнообразни - те описват ситуацията в контролната зала и трябва да изберете действия, които трябва да бъдат извършени от оператора на процеса или диспечера.

Като цяло този раздел е най-специфичният и тяснопрофилен. Изисква да имате добри познания:
— автоматизирана система за управление, полева част (сензори, видове връзки на устройствата, физически характеристики на сензорите, PLC, RTU);
— системи за аварийно изключване (ESD – аварийна система за изключване) на процеси и обекти (между другото, има отлична поредица от статии по тази тема на Habré от Владимир_Скляр)
— основно разбиране на физическите процеси, които протичат, например, при рафиниране на нефт, производство на електроенергия, тръбопроводи и др.;
— разбиране на архитектурата на DCS и SCADA системите;
Искам да отбележа, че въпроси от този тип могат да се появят до 25% във всичките 115 въпроса на изпита.
Мрежови технологии и мрежова сигурност: Мисля, че броят на въпросите в тази тема е на първо място в изпита. Вероятно ще има абсолютно всичко - OSI моделът, на какви нива работи този или онзи протокол, много въпроси за мрежовото сегментиране, ситуационни въпроси за мрежовите атаки, примери за регистрационни файлове на връзката с предложение за определяне на вида на атаката, примери за конфигурации на комутатори с предложение за определяне на уязвима конфигурация, въпроси относно уязвимостите на мрежовите протоколи, въпроси относно спецификата на мрежовите връзки на индустриалните комуникационни протоколи. Хората питат особено много за ModBus. Структурата на мрежовите пакети на същия ModBus, в зависимост от неговия тип и версии, поддържани от устройството. Много внимание се обръща на атаките срещу безжични мрежи - ZigBee, Wireless HART и просто въпроси относно мрежовата сигурност на цялото семейство 802.1x. Ще има въпроси относно правилата за поставяне на определени сървъри в мрежата на системата за управление на процеси (тук трябва да прочетете стандарта IEC-62443 и да разберете принципите на референтните модели на мрежите на системите за управление на процеси). Ще има въпроси относно модела Purdue.
Категория въпроси, които се отнасят изключително до функционалните характеристики на работата на електропреносните системи и системите за информационна сигурност за тях. В САЩ тази категория автоматизирани системи за контрол на процесите се нарича Power Grid и на нея е отредена отделна роля. За целта дори се издават отделни стандарти (NIST 800.82), регламентиращи подхода за създаване на системи за информационна сигурност за този сектор. В нашите страни в по-голямата си част този сектор е ограничен до системите ASKUE (поправете ме, ако някой е виждал по-сериозен подход към мониторинга на системите за разпределение и доставка на електроенергия). Така че в изпита ще намерите доста специфични въпроси, свързани с Power Grid. В по-голямата си част това бяха случаи на употреба за конкретна ситуация, развила се в електроцентралата, но може да има и проучвания за устройства, които се използват конкретно в електрическата мрежа. Ще има въпроси, отнасящи се до познаването на разделите на NIST за тази категория системи.
Въпроси, свързани с познаването на стандартите: NIST 800-82, NERC, IEC62443. Мисля, че тук без специални коментари - трябва да се ориентирате в разделите на стандартите, които отговарят за какво и какви препоръки съдържа. Има конкретни въпроси, например честотата на проверка на функционалността на системата, честотата на актуализиране на процедурата и т.н. Като процент от тези въпроси могат да се срещнат до 15% от общия брой въпроси. Но зависи. Например, на два практически теста срещнах само няколко подобни въпроса. Но по време на изпита наистина имаше много.
Е, последната категория въпроси са всички видове случаи на употреба и ситуационни въпроси.

Като цяло самото обучение, с изключение може би на CTF NetWars, не беше много информативно за мен от гледна точка на придобиване на потенциално нови знания. По-скоро бяха придобити по-дълбоки подробности по някои теми, особено в областта на организацията и защитата на радиомрежите, използвани за предаване на технологична информация, както и по-организиран материал за структурата на чуждестранни стандарти, посветени на тази тема. Ето защо, за инженери и специалисти, които имат достатъчно познания и опит в работата със системи за управление на процеси/измервателни системи или индустриални мрежи, можете да помислите за спестяване на обучение (и спестяването има смисъл), да се подготвите и да отидете направо на изпита за сертифициране, който , между другото, струва 700 USD. В случай на неуспех ще трябва да платите отново. Има много центрове за сертифициране, които ще ви приемат за изпита, основното е да кандидатствате предварително. Като цяло препоръчвам да зададете датата на изпита веднага, защото в противен случай непрекъснато ще го отлагате, заменяйки процеса на подготовка с други жизненоважни и не съвсем важни въпроси. А наличието на конкретна крайна дата ще ви направи самомотивирани.

Източник: www.habr.com

Как казаците получиха сертификата GICSP

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар