Salut à tutti ! U portale predilettu di tutti hà avutu assai articuli sferenti nantu à a certificazione in u campu di a sicurità di l'infurmazioni, per quessa, ùn vogliu micca riclamà l'uriginale è l'unicità di u cuntenutu, ma mi piacerebbe ancu sparte a mo sperienza di ottene GIAC (Global Information Assurance Company). certificazione in u campu di a cibersigurtà industriale. Dapoi l'apparizione di parolle cusì terribili cum'è , , Shamoon, Triton, un mercatu per a prestazione di servizii di spezialisti chì parenu esse IT, ma pò ancu overload PLCs cù riscrivite a cunfigurazione nantu à scale, è à u stessu tempu a pianta ùn pò esse firmata, cuminciò à furmà.
Hè cusì chì u cuncettu di IT & OT (Tecnulugia di l'Information & Operation Technology) hè ghjuntu in u mondu.
Immediatamente dopu (hè chjaru chì u persunale micca qualificatu ùn deve esse permessu di travaglià) hè vinutu a necessità di certificà i specialisti in u campu ligatu à assicurà a sicurità di i sistemi di cuntrollu di prucessu è i sistemi industriali - di quale, risulta, ci sò assai elli in a nostra vita, da a valvula automatica di l'approvvigionamentu d'acqua in l'appartamentu à l'aviò di u sistema di cuntrollu (ricurdatevi di l'excellente articulu nantu à l'investigazione di prublemi ). E ancu, cum'è subitu s'hè risultatu, l'equipaggiu medicale cumplessu.
Una breve lirica nantu à cumu sò ghjuntu à a necessità di ottene una certificazione (pudete saltà) : Dopu avè finitu cù successu i mo studii à a Facultà di Sicurezza di l'Informazione à a fine di l'anni XNUMX, aghju intrutu in i ranchi di a pecura di strumentazione cù a mo testa. tenutu altu, travagliendu cum'è meccanicu per i sistemi di alarme di sicurezza di bassa corrente. Sembra chì a sicurità di l'infurmazioni m'hà dettu à l'impresa in quellu tempu :) Hè cusì chì a mo carriera cum'è specialista di u sistema di cuntrollu automatizatu cun un diploma di bachelor in sicurezza di l'infurmazioni hà cuminciatu. Sei anni dopu, dopu avè risuscitatu à u rangu di capu di u dipartimentu di i sistemi SCADA, partiu per travaglià cum'è cunsultante di sicurezza per sistemi di cuntrollu industriale in una sucietà straniera chì vende software è equipaghji. Hè quì chì a necessità d'esse un specialista di sicurezza di l'infurmazioni certificati nasce.
hè un sviluppu una urganizazione chì conduce furmazione è certificazione di specialisti di sicurezza di l'infurmazioni. A reputazione di u certificatu GIAC hè assai alta trà i specialisti è i clienti in i mercati EMEA, US è Asia Pacificu. Quì, in u spaziu post-sovieticu è in i paesi CIS, un tali certificatu pò esse dumandatu solu da cumpagnie straniere cù l'affari in i nostri paesi, l'agenzii internaziunali è di cunsultazione. In modu persunale, ùn aghju mai scontru una dumanda per una tale certificazione da e cumpagnie domestiche. Bastamente, tutti dumandanu CISSP. Questa hè a mo opinione subjectiva è se qualchissia sparte a so sperienza in i cumenti, serà interessante di sapè.
Ci sò uni pochi di spazii diffirenti in SANS (in u mo parè, pocu tempu i picciotti anu allargatu u so numeru troppu), ma ci sò ancu corsi pratichi assai interessanti. Mi piaceva soprattuttu . Ma a storia serà nantu à u corsu è un certificatu chjamatu: .
Di tutti i tipi di certificazioni Industrial Cyber Security offerti da SANS, questu hè u più universale. Siccomu u sicondu hè in più cù i sistemi Power Grid, chì in l'Occidenti ricevenu una attenzione particulari è appartenenu à una classa separata di sistemi. È u terzu (à u mumentu di a mo strada di certificazione) in relazione cù a Risposta à l'Incident.
U corsu ùn hè micca prezzu, ma furnisce una cunniscenza abbastanza larga di IT & OT. Serà soprattuttu utile per quelli camaradi chì anu decisu di cambià u so campu, per esempiu da a sicurità IT in l'industria bancaria à a Sicurezza Cibernetica Industriale. Siccomu aghju digià avutu un sfondate in u campu di sistemi di cuntrollu di prucessu, strumentazione è tecnulugia di u funziunamentu, ùn ci era nunda di fundamentale novu o di vitale impurtante per mè in stu cursu.
U corsu hè custituitu da 50% teoria è 50% pratica. Da a pratica, u cuncorsu più interessante era NetWars. Per dui ghjorni, dopu à u cursu principali di e classi, tutti i studienti di tutte e classi sò stati divisi in squadre è eseguite travaglii per ottene diritti d'accessu, estrae l'infurmazioni necessarii, accede à a reta, una mansa di travaglii per prumove l'hash, travaglià cù Wireshark. è ogni tipu di boni diffirenti.
U materiale di u cursu hè riassuntu in forma di libri, chì poi riceve per u vostru usu perpetu. A propositu, pudete piglià per l'esame, postu chì u formatu hè Open Book, ma ùn vi aiutanu micca assai, postu chì l'esame hà 3 ore, 115 dumande, è a lingua di consegna hè l'inglese. Duranti tutte e 3 ore, pudete piglià una pausa di 15 minuti. Ma tenite in mente chì, pigliendu una pausa per 15 minuti è vultendu à e teste dopu à 5, site solu rinunzià à i deci minuti restanti, postu chì ùn puderete più piantà u tempu in u prugramma di prova. Pudete saltà finu à 15 dumande, chì appariscenu dopu à a fine.
In modu persunale, ùn vi cunsigliu micca di lascià parechje dumande per più tardi, perchè l'ora di 3 ùn hè micca abbastanza tempu, è quandu à a fine avete dumande chì ùn sò micca stati risolti, ci hè una alta probabilità di ùn esse capace di fà. lu in tempu. Aghju lasciatu per più tardi solu trè quistioni chì eranu veramente difficili per mè, postu ch'elli liganu à a cunniscenza di u standard NIST 800.82 è NERC. Psicologicamente, tali dumande "per più tardi" chjappà i nervi à a fine - quandu u vostru cervellu hè stancu, vulete andà à u bagnu, u timer nantu à u screnu pare accelerà in modu esponenziale.
In generale, per passà a prova, avete bisognu di puntuà 71% di risposte currette. Prima di piglià l'esame, averà l'uppurtunità di praticà nantu à e teste reali - cum'è u prezzu include 2 teste di pratica di 115 dumande è cun cundizioni simili à l'esame reale.
I ricumandemu di piglià l'esame un mesi dopu à compie a furmazione, passendu stu mese nantu à l'autostudiu sistematicu nantu à quelli prublemi in quale ùn site micca sicuru. Saria bellu si pigliassi i materiali stampati ricevuti durante u corsu, chì pareanu brevi abstracts nantu à ogni tema - è cercate apposta infurmazioni nantu à i temi cuntenuti in questi libri. Divide u mese in dui parti, pigliate e teste di pratica è ottene una stampa approssimativa di quali spazii sò forti è induve avete bisognu di migliurà.
Vogliu mette in risaltu i seguenti settori principali chì custituiscenu l'esame stessu (micca u corsu di furmazione, postu chì copre temi assai più estesi):
- Sicurezza fisica: Cum'è l'altri esami di certificazione, stu prublema hè datu assai attenzione in u GICSP. Ci sò dumande nantu à i tipi di serrature fisiche nantu à e porte, sò descritte situazioni cù falsificazioni di passaghji elettronichi, induve avete bisognu di dà una risposta per identificà senza ambiguità u prublema. Ci sò dumande direttamente ligati à a sicurità di a tecnulugia (prucessu), secondu u sughjettu - prucessi di petroliu è gasu, centrali nucleari o reti di energia. Per esempiu, pò esse una quistione cum'è: Determinà chì tipu di cuntrollu di sicurità fisica hè a situazione quandu un Alarm vene da u sensor di temperatura di vapore nantu à l'HMI? O una quistione cum'è: Quale situazione (avvenimentu) servirà cum'è un mutivu per analizà e registrazioni video da e camere di surviglianza di u sistema di sicurezza perimetrale di a facilità?
In termini percentuali, aghju nutatu chì u numeru di dumande nantu à sta sezione in u mo esame è in i testi pratichi ùn anu micca più di 5%.
- Un altru è una di e categurie di dumande più diffusa sò e dumande nantu à i sistemi di cuntrollu di prucessu, PLC, SCADA: quì serà necessariu avvicinassi sistematicamente à u studiu di i materiali nantu à cumu sò strutturati i sistemi di cuntrollu di prucessu, da i sensori à i servitori induve u software di l'applicazione stessu. corre. Un numeru suffirenziu di dumande si trova nantu à i tipi di protokolli di trasferimentu di dati industriali (ModBus, RTU, Profibus, HART, etc.). Ci saranu dumande nantu à cumu RTU difiere da PLC, cumu prutegge e dati in u PLC da a mudificazione da un attaccu, in quali spazii di memoria u PLC guarda i dati, è induve a logica stessa hè almacenata (un prugramma scrittu da un programatore di sistema di cuntrollu di prucessu. ). Per esempiu, pò esse una quistione di stu tipu: Dà una risposta à cumu pudete detectà un attaccu trà un PLC è un HMI chì operanu cù u protocolu ModBus?
Ci saranu dumande nantu à e differenze trà i sistemi SCADA è DCS. Un gran numaru di dumande nantu à e regule per separà e rete di cuntrollu di prucessu automatizatu à u nivellu L1, L2 da u livellu L3 (descriveraghju in più detail in a sezione cù e dumande nantu à a reta). E dumande di situazione nantu à questu tema seranu ancu assai diverse - descrizanu a situazione in a sala di cuntrollu è avete bisognu di selezziunà l'azzioni chì deve esse realizatu da l'operatore di prucessu o dispatcher.
In generale, sta sezione hè u più specificu è strettu-profilu. Ci vole à avè una bona cunniscenza:
- sistema di cuntrollu automatizatu, parte di u campu (sensori, tipi di cunnessione di u dispusitivu, caratteristiche fisiche di sensori, PLC, RTU);
- sistemi di arrestu d'urgenza (ESD - sistema di arrestu d'urgenza) di prucessi è ogetti (per via, ci hè una seria eccellente d'articuli nantu à questu tema nantu à Habré da )
- una cunniscenza basica di i prucessi fisichi chì si verificanu, per esempiu, in a raffinazione di l'oliu, a generazione di l'electricità, i pipelines, etc.;
- cunniscenza di l'architettura di sistemi DCS è SCADA;
Aghju nutatu chì e dumande di stu tipu ponu accade finu à u 25% in tutte e 115 dumande di l'esame. - Tecnulugie di rete è sicurezza di rete: Pensu chì u numeru di dumande in questu tema vene prima in l'esame. Ci sarà prubabilmente assolutamente tuttu - u mudellu OSI, à quali livelli opera questu o quellu protokollu, parechje dumande nantu à a segmentazione di a rete, dumande di situazione nantu à attacchi di rete, esempi di logs di cunnessione cù una pruposta per determinà u tipu d'attaccu, esempi di cunfigurazioni di switch. cù una pruposta per determinà una cunfigurazione vulnerabile, dumande nantu à i protokolli di rete di vulnerabilità, dumande nantu à e specifiche di cunnessione di rete di protokolli di cumunicazione industriale. A ghjente in particulare dumanda assai nantu à ModBus. A struttura di i pacchetti di rete di u stessu ModBus, secondu u so tipu è e versioni supportati da u dispusitivu. Molta attenzione hè pagata à l'attacchi à e rete wireless - ZigBee, Wireless HART, è solu dumande nantu à a sicurità di a rete di tutta a famiglia 802.1x. Ci saranu dumande nantu à e regule per mette certi servitori in a reta di u sistema di cuntrollu di prucessu (qui avete bisognu di leghje u standard IEC-62443 è capisce i principii di mudelli di riferimentu di rete di sistemi di cuntrollu di prucessu). Ci saranu dumande nantu à u mudellu Purdue.
- Una categuria di prublemi chì si tratta solu di e caratteristiche funziunali di u funziunamentu di i sistemi di trasmissione di l'electricità è di i sistemi di sicurità di l'infurmazioni per elli. In i Stati Uniti, sta categuria di sistemi di cuntrollu di prucessu automatizatu hè chjamatu Power Grid è hè assignatu un rolu separatu. Per questu scopu, sò ancu emessi standard separati (NIST 800.82) chì regulanu l'approcciu di creà sistemi di sicurezza di l'infurmazioni per questu settore. In i nostri paesi, per a maiò parte, stu settore hè limitatu à i sistemi ASKUE (correggite se qualchissia hà vistu un accostu più seriu à u monitoraghju di i sistemi di distribuzione è di consegna di l'electricità). Cusì, in l'esame truverete dumande abbastanza specifiche relative à Power Grid. Per a maiò parte, questi eranu casi d'usu per una situazione specifica chì si sviluppau à a Centrale Power, ma pò ancu esse indagini nantu à i dispositi chì sò usati specificamente in a Power Grid. Ci saranu dumande chì indirizzanu a cunniscenza di e sezioni NIST per questa categuria di sistemi.
- Domande relative à a cunniscenza di i normi: NIST 800-82, NERC, IEC62443. Pensu quì senza cumenti speciali - avete bisognu di navigà in e sezzioni di i normi, chì hè rispunsevule per ciò chì è ciò chì ricumandazioni cuntene. Ci sò dumande specifichi, per esempiu, dumandendu a freccia di verificà a funziunalità di u sistema, a freccia di l'aghjurnamentu di a prucedura, etc. Cum'è un percentinu di tali dumande, si ponu scontru finu à u 15% di u numeru tutale di dumande. Ma dipende. Per esempiu, in dui testi di pratica, aghju scontru solu un paru di dumande simili. Ma ci era veramente assai di elli durante l'esame.
- Ebbè, l'ultima categuria di dumande hè ogni tipu di casi d'usu è dumande situazionale.
In generale, a furmazione stessu, cù l'eccezzioni pussibuli di CTF NetWars, ùn era micca assai informativa per mè in quantu à acquistà cunniscenze potenzialmente novi. Piuttostu, i dettagli più profondi di certi temi sò stati acquistati, soprattuttu in u campu di l'urganizazione è a prutezzione di e rete di radiu utilizati per trasmette l'infurmazioni tecnulogichi, è ancu di materiale più urganizatu nantu à a struttura di i normi stranieri dedicati à stu tema. Dunque, per ingegneri è specialisti chì anu abbastanza cunniscenza è sperienza di travaglià cù sistemi di cuntrollu di prucessu / sistemi di strumentazione o Reti Industriali, pudete pensà à risparmià nantu à a furmazione (è u risparmiu hè sensu), preparate è andate direttamente à piglià l'esame di certificazione, chì , per via, vale a pena 700USD. In casu di fallimentu, vi tuccherà à pagà di novu. Ci sò assai centri di certificazione chì vi accettanu per l'esame; a cosa principale hè di dumandà in anticipu. In generale, ricumandemu di stabilisce a data di l'esame subitu, perchè altrimente vi ritarderete constantemente, rimpiazzà u prucessu di preparazione cù altre cose vitali è micca sanu impurtanti. È avè una data di scadenza specifica vi farà automotivatu.
Source: www.habr.com