Zdravo svima! Svima omiljeni portal imao je mnogo različitih članaka o sertifikaciji u oblasti informacione sigurnosti, tako da neću tvrditi originalnost i jedinstvenost sadržaja, ali bih ipak jako volio podijeliti svoje iskustvo stjecanja GIAC-a (Global Information Assurance Company) certificiranje u oblasti industrijske sajber sigurnosti. Od pojave tako strašnih riječi kao što su , Počelo se formirati , Shamoon, Triton, tržište za pružanje usluga stručnjaka koji se čine IT, ali mogu i preopteretiti PLC-ove prepisivanjem konfiguracije na ljestvici, a da se u isto vrijeme postrojenje ne može zaustaviti.
Tako je na svijet došao koncept IT&OT (Information Technology & Operation Technology).
Odmah zatim (jasno je da nekvalifikovanom osoblju ne treba dozvoliti da radi) pojavila se potreba za certificiranjem stručnjaka iz oblasti koja se odnosi na osiguranje sigurnosti sistema upravljanja procesima i industrijskih sistema - kojih, ispostavilo se, ima mnogo njih u našim životima, od automatskog ventila za dovod vode u stanu do upravljačkog sistema aviona (sjetite se odličnog članka o istraživanju problema ). Pa čak i, kako se odjednom ispostavilo, složena medicinska oprema.
Kratak tekst o tome kako sam došao do potrebe za dobijanjem sertifikata (možete ga preskočiti): Nakon uspešnog završetka studija na Fakultetu informacione bezbednosti krajem XNUMX-ih, glavom sam zakoračio u red instrumentalne ovce visoko, radeći kao mehaničar za sigurnosne alarmne sisteme niske struje. Čini se da su mi informacionu sigurnost tada rekli u preduzeću :) Tako je počela moja karijera specijaliste za automatizovane sisteme upravljanja sa diplomom informacione bezbednosti. Šest godina kasnije, došavši do čina šefa odeljenja za SCADA sisteme, otišao sam da radim kao bezbednosni konsultant za industrijske upravljačke sisteme u stranoj kompaniji koja se bavi dobavljačima softvera i opreme. Tu se pojavila potreba da budete certificirani stručnjak za sigurnost informacija.
je razvoj organizacija koja sprovodi obuku i sertifikaciju stručnjaka za bezbednost informacija. Reputacija GIAC sertifikata je veoma visoka među stručnjacima i kupcima na tržištima EMEA, SAD i Azije i Pacifika. Ovdje, na postsovjetskom prostoru iu zemljama ZND-a, takav certifikat mogu tražiti samo strane kompanije koje posluju u našim zemljama, međunarodne i konsultantske agencije. Lično se nikada nisam susreo sa zahtjevom za takvu sertifikaciju od strane domaćih kompanija. U osnovi svi traže CISSP. Ovo je moje subjektivno mišljenje i ako neko podijeli svoje iskustvo u komentarima, bit će zanimljivo znati.
U SANS-u ima dosta različitih oblasti (po meni su momci u poslednje vreme previše proširili svoj broj), ali ima i veoma zanimljivih praktičnih kurseva. Posebno mi se svidjelo . Ali priča će biti o kursu i sertifikat pod nazivom: .
Od svih vrsta sertifikata industrijske sajber bezbednosti koje nudi SANS, ovo je najuniverzalnije. Pošto se drugi više odnosi na elektroenergetske sisteme, koji na Zapadu dobijaju posebnu pažnju i pripadaju posebnoj klasi sistema. I treći (u vrijeme mog certificiranja) se odnosio na odgovor na incidente.
Kurs nije jeftin, ali pruža prilično opsežno znanje o IT&OT-u. Posebno će biti korisno za one drugove koji su odlučili promijeniti svoju oblast, na primjer iz IT sigurnosti u bankarskoj industriji u industrijsku sajber sigurnost. Pošto sam već imao iskustvo u oblasti sistema upravljanja procesima, instrumentacije i operativne tehnologije, nije bilo ničeg suštinski novog ili od vitalnog značaja za mene na ovom kursu.
Kurs se sastoji od 50% teorije i 50% prakse. Iz prakse, najzanimljivije takmičenje je bilo NetWars. Dva dana, nakon glavnog toka nastave, svi učenici svih odjeljenja podijeljeni su u timove i obavljali zadatke za dobijanje prava pristupa, izdvajanje potrebnih informacija, pristup mreži, hrpu zadataka za promociju hashova, rad sa Wiresharkom i razne vrste poslastica.
Materijal kursa je sažet u obliku knjiga koje zatim dobijate za trajnu upotrebu. Inače, možete ih polagati na ispit, pošto je format Open Book, ali vam neće puno pomoći, jer ispit ima 3 sata, 115 pitanja, a jezik predavanja je engleski. Tokom čitava 3 sata možete napraviti pauzu od 15 minuta. Ali imajte na umu da ako napravite pauzu od 15 minuta i vratite se na testove nakon 5, jednostavno odustajete od preostalih deset minuta, jer više nećete moći zaustaviti vrijeme u programu testiranja. Možete preskočiti do 15 pitanja, koja će se onda pojaviti na samom kraju.
Lično ne preporučujem ostavljati puno pitanja za kasnije, jer 3 sata stvarno nije dovoljno vremena, a kada na kraju imate pitanja koja još nisu riješena, velika je vjerovatnoća da nećete moći to na vreme. Za kasnije sam ostavio samo tri pitanja koja su mi bila zaista teška, jer su se odnosila na poznavanje NIST 800.82 i NERC standarda. Psihološki, takva pitanja "za kasnije" vam na samom kraju pogađaju živce - kada vam je mozak umoran, želite u toalet, tajmer na ekranu kao da se eksponencijalno ubrzava.
Općenito, da biste položili test morate postići 71% tačnih odgovora. Prije polaganja imat ćete priliku vježbati na pravim testovima - pošto su u cijenu uključena 2 vježbanja od 115 pitanja i pod uslovima sličnim pravom ispitu.
Preporučujem polaganje ispita mjesec dana nakon završene obuke, a ovaj mjesec potrošiti na sistematsko samostalno učenje o onim pitanjima u koja se osjećate nesigurno. Bilo bi dobro da uzmete štampane materijale dobijene tokom kursa, koji izgledaju kao kratki sažetci o svakoj temi - i ciljano tražite informacije o temama sadržanim u ovim knjigama. Podijelite mjesec na dva dijela, polaganje testova za vježbu i sticanje grube slike o tome u kojim ste oblastima jaki i gdje trebate poboljšati.
Želeo bih da istaknem sledeće glavne oblasti koje čine sam ispit (ne kurs obuke, jer pokriva mnogo opsežnije teme):
- Fizička sigurnost: Kao i drugi ispiti za sertifikaciju, ovom pitanju se posvećuje velika pažnja u GICSP-u. Postavljaju se pitanja o vrstama fizičkih brava na vratima, opisane su situacije s krivotvorenjem elektronskih propusnica, gdje je potrebno dati odgovor kako biste nedvosmisleno identificirali problem. Postavljaju se pitanja koja se direktno odnose na sigurnost tehnologije (procesa), ovisno o predmetnoj oblasti - naftni i plinski procesi, nuklearne elektrane ili elektroenergetske mreže. Na primjer, može postojati pitanje kao što je: Odredite koji tip fizičke sigurnosne kontrole je situacija kada Alarm dolazi od senzora temperature pare na HMI-u? Ili pitanje tipa: Koja situacija (događaj) će poslužiti kao razlog za analizu video zapisa sa nadzornih kamera sistema zaštite perimetra objekta?
Procentualno, napomenuo bih da broj pitanja iz ove sekcije na mom ispitu i testovima u praksi nije prelazio 5%.
- Druga i jedna od najraširenijih kategorija pitanja su pitanja o sistemima upravljanja procesima, PLC-u, SCADA-i: ovdje će biti potrebno sistematski pristupiti proučavanju materijala o tome kako su strukturirani sistemi upravljanja procesima, od senzora do servera gdje je sam aplikativni softver trči. Naći će se dovoljan broj pitanja o vrstama industrijskih protokola za prijenos podataka (ModBus, RTU, Profibus, HART, itd.). Biće pitanja o tome kako se RTU razlikuje od PLC-a, kako zaštititi podatke u PLC-u od modifikacije od strane napadača, u kojim memorijskim područjima PLC pohranjuje podatke i gdje je pohranjena sama logika (program koji je napisao programer sistema za kontrolu procesa ). Na primjer, može postojati pitanje ovog tipa: Dajte odgovor kako možete otkriti napad između PLC-a i HMI-ja koji rade koristeći ModBus protokol?
Postaviće se pitanja o razlikama između SCADA i DCS sistema. Veliki broj pitanja o pravilima odvajanja automatizovanih mreža upravljanja procesima na nivou L1, L2 od nivoa L3 (detaljnije ću opisati u delu sa pitanjima o mreži). Situaciona pitanja na ovu temu također će biti vrlo raznolika - opisuju situaciju u kontrolnoj sobi i potrebno je odabrati radnje koje mora izvršiti operater procesa ili dispečer.
Općenito, ovaj odjeljak je najspecifičniji i najužeg profila. Potrebno je dobro znanje:
— automatizovani sistem upravljanja, terenski deo (senzori, vrste priključaka uređaja, fizičke karakteristike senzora, PLC, RTU);
— sistemi za hitno gašenje (ESD – sistem za hitno isključivanje) procesa i objekata (usput, postoji odlična serija članaka na ovu temu na Habréu od )
— osnovno razumijevanje fizičkih procesa koji se dešavaju, na primjer, u preradi nafte, proizvodnji električne energije, cjevovodima, itd.;
— razumijevanje arhitekture DCS i SCADA sistema;
Napomenuo bih da se pitanja ovog tipa mogu pojaviti i do 25% tokom svih 115 pitanja na ispitu. - Mrežne tehnologije i mrežna sigurnost: Mislim da je broj pitanja u ovoj temi na prvom mjestu na ispitu. Vjerovatno će biti apsolutno svega - OSI model, na kojim nivoima funkcionira ovaj ili onaj protokol, mnoga pitanja o segmentaciji mreže, situacijska pitanja o mrežnim napadima, primjeri dnevnika povezivanja s prijedlogom za određivanje vrste napada, primjeri konfiguracija prekidača sa prijedlogom za određivanje ranjive konfiguracije, pitanja o ranjivosti mrežnih protokola, pitanja o specifičnostima mrežnog povezivanja industrijskih komunikacijskih protokola. Ljudi posebno mnogo pitaju o ModBusu. Struktura mrežnih paketa istog ModBus-a, ovisno o njegovom tipu i verzijama koje uređaj podržava. Mnogo pažnje se poklanja napadima na bežične mreže - ZigBee, Wireless HART, i jednostavno pitanjima o mrežnoj sigurnosti cijele 802.1x porodice. Postaviće se pitanja o pravilima postavljanja određenih servera u mrežu sistema upravljanja procesima (ovde morate pročitati standard IEC-62443 i razumjeti principe referentnih modela mreža sistema upravljanja procesima). Biće pitanja o modelu Purdue.
- Kategorija pitanja koja se odnose isključivo na funkcionalne karakteristike rada sistema za prenos električne energije i sistema informacione sigurnosti za njih. U SAD se ova kategorija automatizovanih sistema upravljanja procesima naziva Power Grid i dodeljena joj je posebna uloga. U tu svrhu su čak izdati i posebni standardi (NIST 800.82) koji regulišu pristup kreiranju sistema bezbednosti informacija za ovaj sektor. Kod nas je ovaj sektor uglavnom ograničen na ASKUE sisteme (ispravite me ako je neko video ozbiljniji pristup praćenju sistema distribucije i isporuke električne energije). Dakle, na ispitu ćete naći sasvim konkretna pitanja vezana za Power Grid. Uglavnom su to bili slučajevi upotrebe za specifičnu situaciju koja se razvila u elektrani, ali mogu postojati i istraživanja o uređajima koji se koriste posebno u elektroenergetskoj mreži. Biće pitanja koja se odnose na poznavanje NIST sekcija za ovu kategoriju sistema.
- Pitanja vezana za poznavanje standarda: NIST 800-82, NERC, IEC62443. Mislim da ovdje bez ikakvih posebnih komentara - morate se kretati po odjeljcima standarda, koji je odgovoran za ono što i koje preporuke sadrži. Postoje konkretna pitanja, na primjer, pitanje učestalosti provjere funkcionalnosti sistema, učestalosti ažuriranja procedure itd. U postotku takvih pitanja može se naići na do 15% od ukupnog broja pitanja. Ali zavisi. Na primjer, na dva vježbanja naišao sam na samo nekoliko sličnih pitanja. Ali bilo ih je zaista mnogo na ispitu.
- Pa, posljednja kategorija pitanja su sve vrste slučajeva upotrebe i situacijskih pitanja.
Generalno, sama obuka, sa mogućim izuzetkom CTF NetWars-a, za mene nije bila baš informativna u smislu sticanja potencijalno novih znanja. Naime, dobijeni su dublji detalji o nekim temama, posebno u oblasti organizacije i zaštite radio mreža koje se koriste za prenos tehnoloških informacija, kao i uređeniji materijal o strukturi stranih standarda posvećen ovoj temi. Stoga, za inženjere i stručnjake koji imaju dovoljno znanja i iskustva u radu sa sistemima upravljanja procesima/instrumentacionim sistemima ili industrijskim mrežama, možete razmišljati o uštedi na obuci (a ušteda ima smisla), pripremite se i idite odmah na polaganje ispita za sertifikaciju, koji , inače, vrijedi 700 USD. U slučaju neuspjeha, morat ćete ponovo platiti. Postoji mnogo sertifikacionih centara koji će vas prihvatiti na ispit, najvažnije je da se prijavite unapred. Općenito, preporučujem da termin ispita odmah odredite, jer ćete ga u suprotnom stalno odlagati, zamjenjujući proces pripreme drugim vitalnim i ne sasvim važnim stvarima. A to što imate određeni rok, učinit će vas samomotiviranim.
izvor: www.habr.com