Hola a tots! El portal preferit de tothom tenia molts articles diferents sobre certificació en l'àmbit de la seguretat de la informació, així que no vaig a reivindicar l'originalitat i la singularitat del contingut, però encara m'agradaria molt compartir la meva experiència d'obtenció de GIAC (Global Information Assurance Company) certificació en l'àmbit de la ciberseguretat industrial. Des de l'aparició de paraules tan terribles com , , Shamoon, Triton, un mercat per a la prestació de serveis d'especialistes que semblen ser informàtics, però que també poden sobrecarregar els PLC amb la reescriptura de la configuració a les escales i, al mateix temps, la planta no es pot aturar, va començar a formar-se.
Així va sortir al món el concepte d'IT&OT (Information Technology & Operation Technology).
Immediatament després (és evident que no s'ha de deixar treballar personal no qualificat) va sorgir la necessitat de certificar especialistes en l'àmbit relacionat amb la garantia de la seguretat dels sistemes de control de processos i dels sistemes industrials, dels quals, resulta que hi ha molts a les nostres vides, des d'una vàlvula automàtica de subministrament d'aigua en un apartament fins a un sistema de control d'avions (recordeu l'excel·lent article sobre investigar problemes ). I fins i tot, com va resultar de sobte, equipament mèdic complex.
Una breu lletra sobre com vaig arribar a la necessitat d'obtenir la certificació (pots saltar-la): Després d'acabar amb èxit els meus estudis a la Facultat de Seguretat de la Informació a finals dels anys XNUMX, vaig entrar amb el cap a les files de l'ovella d'instrumentació. mantingut alt, treballant com a mecànic per a sistemes d'alarma de seguretat de baix corrent. Sembla que la seguretat de la informació em va dir a l'empresa en aquell moment :) Així va començar la meva carrera com a especialista en sistemes de control automatitzat amb una llicenciatura en seguretat de la informació. Sis anys més tard, després d'haver arribat al rang de cap del departament de sistemes SCADA, vaig marxar per treballar com a consultor de seguretat de sistemes de control industrial en una empresa estrangera que comercialitza programari i equips. Aquí va sorgir la necessitat de ser un especialista certificat en seguretat de la informació.
és un desenvolupament una organització que realitza formació i certificació d'especialistes en seguretat de la informació. La reputació del certificat GIAC és molt alta entre els especialistes i clients dels mercats d'EMEA, EUA i Àsia Pacífic. Aquí, a l'espai postsoviètic i als països de la CEI, aquest certificat només el poden sol·licitar empreses estrangeres amb negocis als nostres països, agències internacionals i de consultoria. Personalment, no he trobat mai una sol·licitud d'aquesta certificació per part d'empreses nacionals. Bàsicament, tothom demana CISSP. Aquesta és la meva opinió subjectiva i si algú comparteix la seva experiència als comentaris, serà interessant saber-ho.
A SANS hi ha bastants àrees diferents (al meu entendre, recentment els nois han ampliat massa el seu nombre), però també hi ha cursos pràctics molt interessants. Em va agradar especialment . Però la història tractarà sobre el curs i un certificat anomenat: .
De tots els tipus de certificacions de Ciberseguretat Industrial que ofereix SANS, aquesta és la més universal. Atès que el segon es relaciona més amb els sistemes Power Grid, que a Occident reben una atenció especial i pertanyen a una classe separada de sistemes. I el tercer (en el moment de la meva ruta de certificació) relacionat amb la resposta a incidents.
El curs no és barat, però ofereix un coneixement bastant ampli d'IT&OT. Serà especialment útil per a aquells companys que han decidit canviar de camp, per exemple, de la seguretat informàtica en el sector bancari a la ciberseguretat industrial. Com que ja tenia formació en el camp dels sistemes de control de processos, instrumentació i tecnologia d'operació, no hi havia res fonamentalment nou o de vital importància per a mi en aquest curs.
El curs consta d'un 50% de teoria i un 50% de pràctica. Des de la pràctica, el concurs més interessant va ser NetWars. Durant dos dies, després del curs principal de les classes, tots els alumnes de totes les classes es van dividir en equips i van realitzar tasques per obtenir drets d'accés, extreure la informació necessària, accedir a la xarxa, un munt de tasques per promoure hash, treballar amb Wireshark. i tot tipus de llaminadures diferents.
El material del curs es resumeix en forma de llibres, que després rebeu per al vostre ús perpetu. Per cert, els pots portar a l'examen, ja que el format és Open Book, però no t'ajudaran gaire, ja que l'examen té 3 hores, 115 preguntes i l'idioma de lliurament és l'anglès. Durant les 3 hores senceres, podeu fer un descans de 15 minuts. Però tingues en compte que fent una pausa de 15 minuts i tornant a les proves després dels 5, simplement estàs renunciant als deu minuts restants, ja que ja no podràs aturar el temps al programa de proves. Podeu ometre fins a 15 preguntes, que apareixeran al final.
Personalment, no recomano deixar moltes preguntes per més endavant, perquè realment 3 hores no són suficients, i quan al final tens preguntes que encara no s'han resolt, hi ha una gran probabilitat de no poder fer-ho. ho a temps. Vaig deixar per més endavant només tres preguntes que em van resultar realment difícils, ja que relacionaven amb el coneixement de l'estàndard NIST 800.82 i NERC. Psicològicament, aquestes preguntes "per a més tard" us toquen els nervis al final: quan el vostre cervell està cansat, voleu anar al lavabo, el temporitzador de la pantalla sembla que s'accelera de manera exponencial.
En general, per aprovar la prova cal obtenir un 71% de respostes correctes. Abans de fer l'examen, tindreu l'oportunitat de practicar en proves reals, ja que el preu inclou 2 proves pràctiques de 115 preguntes i amb condicions similars a l'examen real.
Us recomano fer l'examen un mes després d'haver acabat la formació, dedicant aquest mes a l'autoestudi sistemàtic d'aquells temes en què no us sentiu segur. Seria bo que agafeu els materials impresos rebuts durant el curs, que semblen resums breus sobre cada tema, i cerqueu deliberadament informació sobre els temes continguts en aquests llibres. Dividiu el mes en dues parts, fent proves pràctiques i fent una idea aproximada de quines àrees ets fort i on has de millorar.
M'agradaria destacar les següents àrees principals que conformen l'examen en si (no el curs de formació, ja que tracta temes molt més extensos):
- Seguretat física: com altres exàmens de certificació, aquest tema té molta atenció al GICSP. Hi ha preguntes sobre els tipus de panys físics a les portes, es descriuen situacions amb falsificació de passis electrònics, on cal donar una resposta per identificar sense ambigüitats el problema. Hi ha preguntes directament relacionades amb la seguretat de la tecnologia (procés), segons l'àrea temàtica: processos de petroli i gas, centrals nuclears o xarxes elèctriques. Per exemple, pot haver-hi una pregunta com: Determineu quin tipus de control de seguretat física és la situació quan una alarma prové del sensor de temperatura del vapor de l'HMI? O una pregunta com: Quina situació (esdeveniment) servirà com a motiu per analitzar les gravacions de vídeo de les càmeres de vigilància del sistema de seguretat perimetral de la instal·lació?
En termes percentuals, tindria en compte que el nombre de preguntes d'aquest apartat al meu examen i a les proves pràctiques no superava el 5%.
- Una altra i una de les categories de preguntes més esteses són les qüestions sobre sistemes de control de processos, PLC, SCADA: aquí caldrà abordar sistemàticament l'estudi de materials sobre com s'estructuren els sistemes de control de processos, des dels sensors fins als servidors on el programari d'aplicació mateix. carreres. Es trobarà un nombre suficient de preguntes sobre els tipus de protocols de transferència de dades industrials (ModBus, RTU, Profibus, HART, etc.). Hi haurà preguntes sobre com es diferencia RTU del PLC, com protegir les dades del PLC de la modificació per part d'un atacant, en quines àrees de memòria emmagatzema les dades el PLC i on s'emmagatzema la lògica en si (un programa escrit per un programador del sistema de control de processos). ). Per exemple, pot haver-hi una pregunta d'aquest tipus: Doneu una resposta a com es pot detectar un atac entre un PLC i una HMI que operen mitjançant el protocol ModBus?
Hi haurà preguntes sobre les diferències entre els sistemes SCADA i DCS. Un gran nombre de preguntes sobre les regles per separar les xarxes de control de processos automatitzats al nivell L1, L2 del nivell L3 (descriuré amb més detall a l'apartat de preguntes sobre la xarxa). Les preguntes situacionals sobre aquest tema també seran molt diverses: descriuen la situació a la sala de control i cal seleccionar les accions que ha de realitzar l'operador del procés o el despatxador.
En general, aquesta secció és la més específica i de perfil estret. Requereix un bon coneixement:
— sistema de control automatitzat, part de camp (sensors, tipus de connexions de dispositius, característiques físiques dels sensors, PLC, RTU);
— sistemes d'aturada d'emergència (ESD – sistema d'aturada d'emergència) de processos i objectes (per cert, hi ha una excel·lent sèrie d'articles sobre aquest tema a Habré de )
— una comprensió bàsica dels processos físics que es produeixen, per exemple, en el refinament del petroli, la generació d'electricitat, les canonades, etc.;
— comprensió de l'arquitectura dels sistemes DCS i SCADA;
Tinc en compte que preguntes d'aquest tipus es poden presentar fins a un 25% al llarg de les 115 preguntes de l'examen. - Tecnologies de xarxa i seguretat de xarxa: crec que el nombre de preguntes d'aquest tema és el primer a l'examen. Probablement hi haurà de tot: el model OSI, a quins nivells opera aquest o aquell protocol, moltes preguntes sobre la segmentació de la xarxa, preguntes situacionals sobre atacs de xarxa, exemples de registres de connexió amb una proposta per determinar el tipus d'atac, exemples de configuracions de commutador amb una proposta per determinar una configuració vulnerable, preguntes sobre vulnerabilitats protocols de xarxa, preguntes sobre les especificitats de les connexions de xarxa dels protocols de comunicació industrial. La gent sobretot pregunta molt sobre ModBus. L'estructura dels paquets de xarxa d'un mateix ModBus, segons el seu tipus i les versions suportades pel dispositiu. Es presta molta atenció als atacs a xarxes sense fil: ZigBee, Wireless HART, i simplement preguntes sobre la seguretat de la xarxa de tota la família 802.1x. Hi haurà preguntes sobre les regles per col·locar determinats servidors a la xarxa del sistema de control de processos (aquí cal llegir l'estàndard IEC-62443 i comprendre els principis dels models de referència de les xarxes de sistemes de control de processos). Hi haurà preguntes sobre el model Purdue.
- Categoria de qüestions que es relacionen exclusivament amb les característiques funcionals del funcionament dels sistemes de transport elèctric i dels sistemes de seguretat de la informació dels mateixos. Als EUA, aquesta categoria de sistemes de control de processos automatitzats s'anomena Power Grid i se li assigna una funció independent. Amb aquesta finalitat, fins i tot s'emeten estàndards separats (NIST 800.82) que regulen l'enfocament de la creació de sistemes de seguretat de la informació per a aquest sector. Als nostres països, en la seva major part, aquest sector es limita als sistemes ASKUE (corregiu-me si algú ha vist un enfocament més seriós per controlar els sistemes de distribució i lliurament d'electricitat). Així doncs, a l'examen trobareu preguntes força específiques relacionades amb Power Grid. En la seva majoria, es tractava de casos d'ús per a una situació específica que es va desenvolupar a la Central Elèctrica, però també hi pot haver enquestes sobre dispositius que s'utilitzen específicament a la xarxa elèctrica. Hi haurà preguntes sobre el coneixement de les seccions NIST per a aquesta categoria de sistemes.
- Qüestions relacionades amb el coneixement dels estàndards: NIST 800-82, NERC, IEC62443. Crec que aquí sense cap comentari especial: heu de navegar per les seccions dels estàndards, que és responsable de què i quines recomanacions conté. Hi ha preguntes específiques, per exemple, preguntant la freqüència de comprovació de la funcionalitat del sistema, la freqüència d'actualització del procediment, etc. Com a percentatge d'aquestes preguntes, es poden trobar fins a un 15% del nombre total de preguntes. Però depèn. Per exemple, en dues proves pràctiques només em vaig trobar amb un parell de preguntes semblants. Però realment n'hi havia molts durant l'examen.
- Bé, l'última categoria de preguntes són tot tipus de casos d'ús i preguntes situacionals.
En general, la formació en si, amb la possible excepció de CTF NetWars, no va ser gaire informativa per a mi pel que fa a l'adquisició de coneixements potencialment nous. Més aviat s'han adquirit detalls més profunds d'alguns temes, especialment en l'àmbit de l'organització i protecció de les xarxes de ràdio utilitzades per transmetre informació tecnològica, així com material més organitzat sobre l'estructura dels estàndards estrangers dedicats a aquest tema. Per tant, per als enginyers i especialistes que tinguin coneixements i experiència suficients treballant amb sistemes de control de processos/sistemes d'instrumentació o xarxes industrials, podeu pensar en estalviar en formació (i estalviar té sentit), preparar-vos i anar directament a l'examen de certificació, que , per cert, val 700 USD. En cas de fallada, hauràs de tornar a pagar. Hi ha molts centres de certificació que t'acceptaran per a l'examen; el més important és sol·licitar-te amb antelació. En general, us recomano fixar immediatament la data de l'examen, perquè en cas contrari la retardareu constantment, substituint el procés de preparació per altres assumptes vitals i no del tot importants. I tenir una data límit concreta et farà automotivar.
Font: www.habr.com