Как казаки GICSP сертификат получали

Всем привет! На всеми любимом портале было много разных статей по сертификации в области ИБ, поэтому претендовать на оригинальность и неповторимость контента не собираюсь, но все же очень хотел бы поделиться своим опытом получения GIAC (Global Information Assurance Company) сертификации в области промышленной кибербезопасности. Со времен появления таких страшных слов как Stuxnet, Duqu, Shamoon, Triton, постепенно стал формироваться рынок предоставления услуг специалистов, которые вроде как бы IT, но еще могут и ПЛК перегрузить с переписанием конфигурации на ladders и при этом завод не остановить.

Так в мир пришло понятие IT&OT (Information Technology & Operation Technology).

Следом сразу, (понятное дело, что нельзя допускать к работе неквалифицированные кадры) пришла необходимость сертифицировать специалистов в области, относящейся к обеспечению безопасности АСУТП, промышленных систем – которых, оказывается в нашей жизни стало очень много от автоматического клапана подачи воды в квартире до системы управления самолетами (вспомним прекрасную статью о расследовании проблем Boeing). И даже, как внезапно оказалось — сложного медицинского оборудования.

Небольшая лирика как я пришел к необходимости получать сертификацию (можно пропустить): Благополучно отучившись в конце нулевых на факультете защиты информации, я с гордо поднятой головой шагнул в ряды КИП-овцев, работая слесарем по слаботочным системам охранной сигнализации. Вроде как ИБ сказали мне на предприятии в то время:) Так началась моя карьера АСУ-тпшника с дипломом бакалавра по ИБ. Через шесть лет, дослужившиcь до начальника отдела SCADA систем я ушел работать консультантом по безопасности промышленных систем управления в иностранную компанию-вендора софта и оборудования. Вот тут как раз и появилась необходимость быть сертифицированным ИБ специалистом.

GIAC является разработкой SANS организации которая занимается проведением тренингов и сертификацией специалистов по информационной безопасности. Репутация сертификата от GIAC очень высока среди специалистов и заказчиков на рынках EMEA, US, Asia Pacific. У нас, на пост советском пространстве и в странах СНГ, такой сертификат могут затребовать только зарубежные компании, имеющие бизнес в наших странах, международные и консалтинговые агенства. Лично я, никогда не сталкивался с запросом на наличие подобной сертификации от отечественных компаний. Все в основном запрашивают CISSP. Это мое субъективное мнение и если кто поделится своим опытом в комментах – будет интересно узнать.

В SANS достаточно разных направлений (на мой взгляд, в последенее время ребята слишком уж расширили их количество), но есть и очень интересные практические курсы. Особенно понравился NetWars. Но рассказ пойдет о курсе ICS410: ICS/SCADA Security Essentials и сертификате под названием: Global Industrial Cyber Security Professional (GICSP).

Из все предлагаемых SANS видов Industrial Cyber Security сертификаций, эта явялется самой универсальной. Поскольку вторая относятся в большей степени к Power Grid системам, которым на западе уделяется отдельное внимание и они относятся к обособленному классу систем. А третья (на момент моего пути сертификации) относилась к Incident Response.
Курс стоит не дешево, но дает досточно обширные знания и по IT&OT. Особенно будет полезен тем камрадам, которые решили сменить свою сферу напримет с ИТ security в банковской отрасли на Industrial Cyber Security. Поскольку у меня уже имелся бэкграунд в области АСУТП, КИП и Operation Technology, то для меня принципиально нового или жизненно важного в этом курсе не было.

Курс состоит из 50% теории и 50% практики. Из практики самым интересным был контест – NetWars. На протяжении двух дней, после основного курса занятий, все студенты всех классов разбивались на команды и выполняли задачи по получению прав доступа, извлечению нужной информации, получению доступа к сети, кучей задач по раскрутке хэшей, работа с Wireshark и всякие разные плюшки.

Материал курса имеет краткое изложение в виде книг, которые потом вы получает в свое бессрочное пользование. Кстати их же можно взять на экзамен, так как формат Open Book, но они мало чем вам там помогут, поскольку на экзамен отведено 3 часа, 115 вопросов, язык сдачи – английский. За все 3 часа можно взять перерыв на 15 минут. Но учтите, что беря перерыв на 15 минут и вовзращаясь к тестам через 5 – вы просто отдаете оставшиеся десять минут, так как больше остановить время в программе тестирования не получится. Можно пропустить до 15 вопросов, которые потом появятся в самом конце.

Лично я не рекомендую оставлять на потом много вопросов, потому что времени в 3 часа действительно мало, а когда в конце у тебя вылезают еще не решенные вопросы – то есть большая вероятность неуспеть. Я оставил «на потом» лишь три вопроса, которые были для меня действительно тяжелыми, поскольку относились к знанию стандарта NIST 800.82 и NERC. Психологически такие вопросы «на потом» бьют по нервам в самом конце — когда твой мозг устал, ты хочешь в туалет, таймер на экране будто бы ускоряется в геометрической прогрессии.

В целом, чтобы пройти тестирование нужно набрать 71% правильных ответов. До сдачи экзамена у вас будет возможность потренироваться на реальных тестах – так как в стоимость входит 2 тренировочных теста по 115 вопросов и с уловиями, аналогичными реальному экзамену.

Я рекомендую сдавать экзамен через месяц после прохождения тренинга, потратив данный месяц на систематические самостоятельные занятия по тем вопросам – в которых вы чувствуте неуверенность. Будет неплохо, если вы возьмете полученные на курсе печатные материалы, которые выглядят как краткие тезисы по каждой из тем – и будете целенаправленно искать информацию по топикам, которые содержатся в этих книгах. Разбейте месяц на две части, выполняя пробные тесты и получая примерную картину того – в каких вопросах вы сильны, а где нужно подтянуться.

Я бы хотел выделить следующие основные направления, из которых состоит непосредственно сам экзамен (не учебный курс, поскольку он покрывает гораздо более обширные темы):

  1. Физическая безопасность: как и в других сертификационных экзаменах, данному вопросу в GICSP уделяется достаточно много внимания. Встречаются вопросы по разновидностям физических замков на дверях, описываются ситуации с подделкой электронных пропусков, где нужно дать ответ по однозначной идентификации проблемы. Попадаются вопросы непосредственно относящиеся к безопасности технологии (процесса) в зависимости от предметной области – нефгазовые процессы, атомные станции или электросети. Например может быть вопрос вида: Определить каким типом контрола физической безопасности, является ситуация когда приходит Аларм от сенсора температуры пара на HMI? Или вопрос вида: Какая ситуация (событие) послужит причиной чтобы провести анализ видеозаписей с камер наблюдения системы периметральной безопасности объекта?

    В процентном соотношении я бы отметил что количество вопросов по данному разделу у меня на экзамене и в пробных тестах не превышало 5%.

  2. Другой и одной из самых массовых категорий вопросов являются вопроы по АСУТП, PLC, SCADA: здесь будет необходимо систематизированно подойти к изучению материалов о том как устроены системы управления технологическими процессами начиная от датчиков и заканчивая серверами где работает само прикладное ПО. Достаточное количество вопросов встретится по разновидностям промышленных протоколов передачи данных (ModBus, RTU, Profibus, HART и пр). Будут вопросы о том, чем отличается RTU от PLC, как защитить данные в PLC от модификации злоумышленником, в каких участках памяти PLC хранит данные, а где хранится непосредственно сама логика (программа написанная программистом АСУТП). Например может быть вопрос такого типа: Дать ответ как можно произвести обнаружение атаки между PLC и HMI которые работают по протоколу ModBus?

    Встретятся вопросы по различиям систем SCADA от DCS. Большое количество вопросов по правилам разграничения сетей АСУТП на уровне L1, L2 от уровня L3 (более детально опишу в разделе с вопросами по сети). Ситуативные вопросы по данному топику будут также самы разнородные – описывают ситуацию в диспетчерской и нужно выбрать действия, которые должны быть выполнены оператором процесса или диспетчером.

    В общем данный раздел является самым специфичным и узкопрофильным. Потребует от вас хороших знаний:
    — АСУП, полевой части (датчики, типы подключения устройств, физические особенности датчиков, PLC, RTU);
    — систем противоаварийной защиты (ESD – emergency shutdown system) процессов и объектов (кстати на хабре есть отличный цикл статей на эту тему от Vladimir_Sklyar)
    — базового понимания физических поцессов, которые протекают например в нефтепереработке, выработке электроэнергии, трубопроводах и тп;
    — понимание устройства архитектур DCS и SCADA систем;
    Я бы отметил что вопросов данного типа может встретиться до 25% на протяжении всех 115 вопросов экзамена.

  3. Сетевые технологии и сетевая безопасность: Я думаю что количество вопросов данного топика стоит на первом месте в экзамене. Будет наверное абсолютно все – OSI модель, на каких уровнях работает тот или иной протокол, множество вопросов по сегментации сети, ситуативные вопросы по сетевым атакам, примеры логов соединения с предложением определить тип атаки, примеры конфигураций коммутатора с предложением определить уязвимую конфигурацию, вопросы по уязвимостям сетевых протоколов, вопросы по специфике сетевых соединений промышленных протоколов связи. Особенно много спрашивают про ModBus. Структура сетевых пакетов того же ModBus в зависимости от его разновидности и поддерживаемых устройством версий. Большое внимание уделяется атакам на беспроводные сети – ZigBee, Wireless HART, просто вопросы по сетевой безопасности всего семейства 802.1х. Будут вопросы по правилам размещения тех или иных серверов в сети АСУТП (здесь нужно прочесть стандарт IEC-62443 и понять принципы эталонных моделей сетей АСУТП). Встретятся вопросы по Purdue модели.
  4. Категория вопросов, которая относится исключительно к функциональным особенностям работы систем передачи электроэнергии и систем информационной безопасности для них. В США, данная категория систем АСУТП, называется Power Grid и ей отводится отдельная роль. Для этого даже выпускаются отдельные стандарты (NIST 800.82 ) регламентирующие подход к созданию систем информационной безопасности для данного сектора. В наших странах в большинстве своем данный сектор ограничивается системами АСКУЭ (поправьте меня если кто-то встречал более серьезный подход за контролем систем распределения и доставки электроэнергии). Так вот, в экзамене вы встретите достаточно специфичные вопросы, относящиеся к Power Grid. В большинстве своем это были use-cases для определенной ситуации, сложившейся на Power Plant, но так же могут быть овпросы по устройствам, которые применяются именно в Power Grid. Будут вопросы адресующие к знанию разделов NIST для данной категории систем.
  5. Вопросы относящиеся к знанию стандартов: NIST 800-82, NERC, IEC62443. Думаю здесь без особых комментариев – нужно ориентироваться в разделах стандартов, какой за что отвечает и какие рекомендации содержит. Встречаются конкретные вопросы, например спрашивающие периодичность проверки фунциональности системы, периодичность обновления процедуры и тп. В процентном соотношении таких вопросов может встретиться до 15% от общего количества вопросов. Но тут как повезет. Например на двух пробных тестах мне встретилось всего пару подобных вопросов. Но вот зато на экзамене их действительно было много.
  6. Ну и последняя категория вопросов это всякого рода use-cases и ситуативные вопросы.

В целом, сам тренинг, за исключением наверное CTF NetWars был для меня не сильно информативным в плане приобретения потенциально новых знаний. Скорее были приобретены более глубокие детали некоторых тем, особенно в области организации и защиты радиосетей, применяющихся для передачи технологической информации, а так же более упорядоченный материал по структуре зарубежных стандартов, посвященных данной теме. Поэтому для инженеров и специалистов, которые имеют достаточные знания и опыт работы с АСУТП/КИП или Industrial Networks – можно задуматься о том, чтобы сэкономить на тренинге (а экономить имеет смысл), самостоятельно подготовиться и пойти сразу сдавать сертификационный экзамен, который к слову стоит 700USD. В случае фейла, заплатить придется еще раз. Сертификационных центров, которые примут вас на экзамен предостаточно, главное заранее подать заявку. Вообще я рекомендую сразу поставить дату экзамена, поскольку в противном случае вы будете постоянно оттягивать ее, заменяя процесс подготовки другими жизненно и не совсем важными делами. А имея конкретную дату дедлайна, вы будете self-motivated.

Источник: habr.com