Ahoj všichni! Každý oblíbený portál měl mnoho různých článků o certifikaci v oblasti informační bezpečnosti, takže nebudu tvrdit originalitu a jedinečnost obsahu, ale přesto bych se opravdu rád podělil o své zkušenosti se získáním GIAC (Global Information Assurance Company) certifikace v oblasti průmyslové kybernetické bezpečnosti. Od objevení se tak hrozných slov jako , , Shamoon, Triton, se začal formovat trh pro poskytování služeb specialistů, kteří se zdají být IT, ale dokážou PLC přetížit i přepisováním konfigurace na žebřících a zároveň závod nelze zastavit.
Tak přišel na svět koncept IT&OT (Information Technology & Operation Technology).
Vzápětí (je jasné, že nekvalifikovanému personálu by nemělo být umožněno pracovat) přišla potřeba certifikovat specialisty v oboru souvisejícím se zajištěním bezpečnosti systémů řízení procesů a průmyslových systémů - kterých, jak se ukazuje, je spousta je v našich životech, od automatického vodovodního ventilu v bytě po řídicí systém letadel (vzpomeňte si na skvělý článek o vyšetřování problémů ). A dokonce, jak se najednou ukázalo, složité lékařské vybavení.
Krátký text o tom, jak jsem se dostal k potřebě získat certifikaci (můžete přeskočit): Po úspěšném ukončení studia na Fakultě informační bezpečnosti na konci XNUMX. století jsem hlavou vkročil do řad přístrojových oveček pracoval jako mechanik pro slaboproudé zabezpečovací systémy. Zdá se mi, že informační bezpečnost mi tenkrát řekli v podniku :) Tak začala moje kariéra specialisty na automatizované řídicí systémy s bakalářským titulem v oboru informační bezpečnosti. O šest let později, když jsem se dostal do pozice vedoucího oddělení SCADA systémů, jsem odešel pracovat jako bezpečnostní konzultant pro průmyslové řídicí systémy v zahraniční společnosti, která prodává software a zařízení. Zde vyvstala potřeba být certifikovaným specialistou na informační bezpečnost.
je vývoj organizace, která provádí školení a certifikaci specialistů na informační bezpečnost. Pověst certifikátu GIAC je mezi specialisty a zákazníky na trzích EMEA, USA a Asie a Tichomoří velmi vysoká. Zde, v postsovětském prostoru a v zemích SNS mohou o takový certifikát žádat pouze zahraniční společnosti s podnikáním v našich zemích, mezinárodní a poradenské agentury. Osobně jsem se u tuzemských firem nikdy nesetkal s požadavkem na takovou certifikaci. Každý v podstatě žádá CISSP. Toto je můj subjektivní názor a pokud se někdo podělí o své zkušenosti v komentářích, bude to zajímavé vědět.
V SANS je docela dost různých oblastí (podle mě v poslední době kluci svůj počet rozšířili až moc), ale jsou tam i velmi zajímavé praktické kurzy. Obzvláště se mi to líbilo . Ale příběh bude o průběhu a certifikát s názvem: .
Ze všech typů certifikací průmyslové kybernetické bezpečnosti nabízených SANS je tato nejuniverzálnější. Druhý se týká spíše systémů Power Grid, kterým je na Západě věnována zvláštní pozornost a patří do samostatné třídy systémů. A třetí (v době mé certifikační cesty) se týkal Incident Response.
Kurz není levný, ale poskytuje poměrně rozsáhlé znalosti IT&OT. Bude se hodit především těm soudruhům, kteří se rozhodli změnit svůj obor, například z IT bezpečnosti v bankovnictví na průmyslovou kybernetickou bezpečnost. Vzhledem k tomu, že jsem již měl vzdělání v oblasti systémů řízení procesů, přístrojové a provozní techniky, nebylo pro mě v tomto kurzu nic zásadně nového nebo životně důležitého.
Kurz se skládá z 50 % teorie a 50 % praxe. Z praxe byla nejzajímavější soutěž NetWars. Po dva dny, po hlavním průběhu výuky, byli všichni studenti všech tříd rozděleni do týmů a plnili úkoly k získání přístupových práv, extrahování potřebných informací, získání přístupu k síti, hromadě úkolů na propagaci hashů, práci s Wiresharkem a všemožné různé dobroty.
Materiál kurzu je shrnut ve formě knih, které pak dostáváte k trvalému používání. Mimochodem, můžete je vzít na zkoušku, protože formát je Open Book, ale moc vám nepomohou, protože zkouška má 3 hodiny, 115 otázek a jazykem doručení je angličtina. Během celých 3 hodin si můžete udělat přestávku 15 minut. Mějte však na paměti, že pauzou na 15 minut a návratem k testům po 5 se jednoduše vzdáváte zbývajících deseti minut, protože v testovacím programu již nebudete moci zastavit čas. Můžete přeskočit až 15 otázek, které se pak objeví na samém konci.
Osobně nedoporučuji nechávat spoustu otázek na později, protože 3 hodiny jsou opravdu málo času a když na konci máte otázky, které ještě nebyly vyřešeny, je velká pravděpodobnost, že to nezvládnete to včas. Nechal jsem si na později jen tři otázky, které pro mě byly opravdu těžké, protože se týkaly znalosti standardu NIST 800.82 a NERC. Psychologicky vám takové otázky „na později“ udeří na nervy až na samém konci – když je váš mozek unavený, chce se vám na záchod, časovač na obrazovce jako by se exponenciálně zrychloval.
Obecně platí, že k úspěšnému složení testu potřebujete získat 71 % správných odpovědí. Před složením zkoušky budete mít možnost procvičit si reálné testy - v ceně jsou totiž 2 cvičné testy po 115 otázkách a s podmínkami podobnými skutečné zkoušce.
Zkoušku doporučuji absolvovat měsíc po absolvování školení a tento měsíc věnovat systematickému samostudiu těch otázek, ve kterých si nejste jisti. Bylo by fajn, kdybyste si vzali tištěné materiály obdržené během kurzu, které vypadají jako krátké abstrakty ke každému tématu – a cíleně vyhledávali informace o tématech obsažených v těchto knihách. Rozdělte měsíc na dvě části, udělejte si cvičné testy a udělejte si hrubý obrázek o tom, v jakých oblastech jste silní a kde se potřebujete zlepšit.
Rád bych zdůraznil následující hlavní oblasti, které tvoří samotnou zkoušku (nikoli výcvikový kurz, protože zahrnuje mnohem rozsáhlejší témata):
- Fyzická bezpečnost: Stejně jako ostatní certifikační zkoušky je této otázce věnována v GICSP velká pozornost. Jsou zde dotazy na typy fyzických zámků na dveřích, jsou popsány situace s paděláním elektronických průkazů, kdy je potřeba dát odpověď k jednoznačné identifikaci problému. Existují otázky přímo související s bezpečností technologie (procesu) v závislosti na předmětné oblasti – ropné a plynárenské procesy, jaderné elektrárny nebo energetické sítě. Může zde být například otázka: Určete, jaký typ kontroly fyzického zabezpečení je situace, kdy alarm přichází ze snímače teploty páry na HMI? Nebo otázka typu: Jaká situace (událost) poslouží jako důvod k analýze videozáznamů z monitorovacích kamer perimetrického zabezpečovacího systému objektu?
V procentech bych poznamenal, že počet otázek v této části v mých zkouškových a cvičných testech nepřesáhl 5 %.
- Další a jednou z nejrozšířenějších kategorií otázek jsou otázky na systémy řízení procesů, PLC, SCADA: zde bude nutné systematicky přistupovat ke studiu materiálů o tom, jak jsou systémy řízení procesů strukturovány, od senzorů až po servery, kde samotný aplikační software běží. Dostatek otázek bude nalezen k typům průmyslových protokolů přenosu dat (ModBus, RTU, Profibus, HART atd.). Budou otázky, jak se RTU liší od PLC, jak ochránit data v PLC před úpravou útočníkem, do kterých paměťových oblastí PLC ukládá data a kde je uložena samotná logika (program napsaný programátorem systému řízení procesů ). Může zde být například otázka tohoto typu: Odpovězte na to, jak můžete detekovat útok mezi PLC a HMI, které fungují pomocí protokolu ModBus?
Budou zde otázky ohledně rozdílů mezi systémy SCADA a DCS. Velké množství dotazů na pravidla pro oddělení sítí automatizovaného řízení procesů na úrovni L1, L2 od úrovně L3 (podrobněji popíšu v části s dotazy k síti). Situační otázky na toto téma budou také velmi různorodé – popisují situaci na velínu a je potřeba vybrat akce, které musí provést operátor procesu nebo dispečer.
Obecně je tato sekce nejkonkrétnější a nejužší. Vyžaduje, abyste měli dobré znalosti:
— automatizovaný řídicí systém, polní část (snímače, typy připojení zařízení, fyzikální vlastnosti snímačů, PLC, RTU);
— nouzové vypínací systémy (ESD – emergency shutdown system) procesů a objektů (mimochodem na Habrého existuje výborná série článků na toto téma z r. )
— základní porozumění fyzikálním procesům, ke kterým dochází například při rafinaci ropy, výrobě elektřiny, potrubí atd.;
— porozumění architektuře systémů DCS a SCADA;
Chtěl bych poznamenat, že otázky tohoto typu se mohou vyskytovat až 25 % ve všech 115 otázkách zkoušky. - Síťové technologie a síťová bezpečnost: Myslím, že počet otázek na toto téma je u zkoušky na prvním místě. Bude tam asi úplně všechno - OSI model, na jakých úrovních ten či onen protokol funguje, mnoho dotazů na segmentaci sítě, situační dotazy na síťové útoky, příklady logů připojení s návrhem na určení typu útoku, příklady konfigurací přepínačů s návrhem stanovení zranitelné konfigurace, dotazy na zranitelnosti síťových protokolů, dotazy na specifika síťových připojení průmyslových komunikačních protokolů. Lidé se zejména hodně ptají na ModBus. Struktura síťových paketů stejného ModBus v závislosti na jeho typu a verzích podporovaných zařízením. Velká pozornost je věnována útokům na bezdrátové sítě - ZigBee, Wireless HART, jen dotazy na síťovou bezpečnost celé rodiny 802.1x. Budou zde otázky týkající se pravidel pro umístění určitých serverů v síti systémů řízení procesů (zde je třeba si přečíst normu IEC-62443 a pochopit principy referenčních modelů sítí systémů řízení procesů). Budou otázky ohledně modelu Purdue.
- Kategorie problematiky, která se týká výhradně funkčních vlastností provozu elektroenergetických přenosových soustav a systémů informační bezpečnosti pro ně. V USA se tato kategorie automatizovaných systémů řízení procesů nazývá Power Grid a je jí přidělena samostatná role. Za tímto účelem jsou dokonce vydávány samostatné standardy (NIST 800.82) upravující přístup k vytváření systémů informační bezpečnosti pro tento sektor. V našich zemích je tento sektor z velké části omezen na systémy ASKUE (opravte mě, pokud někdo viděl serióznější přístup k monitorování systémů distribuce a dodávek elektřiny). Ve zkoušce tedy najdete zcela konkrétní otázky související s Power Grid. Z velké části se jednalo o případy použití pro konkrétní situaci, která se vyvinula v Elektrárně, ale mohou existovat i průzkumy na zařízeních, která se používají specificky v Power Grid. Budou zde otázky týkající se znalostí sekcí NIST pro tuto kategorii systémů.
- Otázky související se znalostí norem: NIST 800-82, NERC, IEC62443. Myslím, že zde bez zvláštních připomínek - je třeba se orientovat v sekcích normy, kdo je zodpovědný za to, co a jaká doporučení obsahuje. Jsou zde konkrétní dotazy, např. na četnost kontroly funkčnosti systému, četnost aktualizace postupu atp. V procentech takových otázek lze narazit až na 15 % z celkového počtu otázek. Ale to záleží. Například na dvou cvičných testech jsem narazil jen na pár podobných otázek. Ale při zkoušce jich bylo opravdu hodně.
- Poslední kategorií otázek jsou různé případy použití a situační otázky.
Obecně pro mě samotné školení, snad s výjimkou CTF NetWars, nebylo příliš informativní z hlediska získávání potenciálně nových znalostí. Spíše byly získány hlubší detaily některých témat, zejména v oblasti organizace a ochrany rádiových sítí sloužících k přenosu technologických informací, a také uspořádanější materiál o struktuře zahraničních norem věnovaných tomuto tématu. Pro inženýry a specialisty, kteří mají dostatečné znalosti a zkušenosti s prací se systémy řízení procesů/přístrojovými systémy nebo průmyslovými sítěmi, se proto můžete zamyslet nad úsporou na školení (a úspora má smysl), připravit se a jít rovnou na certifikační zkoušku, která , mimochodem, stojí 700 USD. V případě neúspěchu budete muset zaplatit znovu. Certifikačních center, která vás na zkoušku přijmou, je spousta, hlavní je přihlásit se předem. Obecně doporučuji stanovit si termín zkoušky hned, protože jinak jej budete neustále oddalovat a nahrazovat proces přípravy jinými životně důležitými a ne úplně důležitými záležitostmi. A díky konkrétnímu datu uzávěrky budete motivovaní.
Zdroj: www.habr.com