Hej alle! Alles yndlingsportal havde mange forskellige artikler om certificering inden for informationssikkerhed, så jeg vil ikke påstå originalitet og unikhed ved indholdet, men jeg vil alligevel rigtig gerne dele min erfaring med at opnå GIAC (Global Information Assurance Company) certificering inden for industriel cybersikkerhed. Siden fremkomsten af sådanne forfærdelige ord som , , Shamoon, Triton, et marked for levering af tjenester fra specialister, der ser ud til at være IT, men som også kan overbelaste PLC'er med at omskrive konfigurationen på stiger, og samtidig anlægget ikke kan stoppes, begyndte at dannes.
Sådan kom konceptet IT&OT (Information Technology & Operation Technology) til verden.
Umiddelbart herefter (det er klart, at ukvalificeret personale ikke bør have lov til at arbejde) kom behovet for at certificere specialister inden for området relateret til at sikre sikkerheden af proceskontrolsystemer og industrielle systemer - som det viser sig, er der mange af dem i vores liv, fra en automatisk vandforsyningsventil i en lejlighed til et kontrolsystem fly (husk den fremragende artikel om at undersøge problemer ). Og endda, som det pludselig viste sig, komplekst medicinsk udstyr.
En kort sangtekst om, hvordan jeg kom til behovet for at opnå certificering (det kan du springe over): Efter at have afsluttet mine studier på Fakultet for Informationssikkerhed i slutningen af XNUMX'erne trådte jeg ind i rækken af instrumenteringsfåret med mit hoved holdt højt, arbejder som mekaniker for svagstrøms sikkerhedsalarmsystemer. Det lader til, at informationssikkerheden blev fortalt mig på det tidspunkt på virksomheden :) Sådan startede min karriere som automatiseret kontrolsystemspecialist med en bachelorgrad i informationssikkerhed. Seks år senere, efter at være blevet leder af SCADA-systemafdelingen, forlod jeg for at arbejde som sikkerhedskonsulent for industrielle kontrolsystemer i en udenlandsk virksomhed, der sælger software og udstyr. Det var her behovet for at være certificeret informationssikkerhedsspecialist opstod.
er en udvikling en organisation, der udfører uddannelse og certificering af informationssikkerhedsspecialister. GIAC-certifikatets omdømme er meget højt blandt specialister og kunder på markederne i EMEA, USA og Asia Pacific. Her, i det postsovjetiske rum og i SNG-landene, kan et sådant certifikat kun anmodes om af udenlandske virksomheder med forretning i vores lande, internationale og konsulentbureauer. Personligt er jeg aldrig stødt på en anmodning om en sådan certificering fra indenlandske virksomheder. Alle beder grundlæggende om CISSP. Dette er min subjektive mening, og hvis nogen deler deres oplevelse i kommentarerne, vil det være interessant at vide.
Der er en del forskellige områder i SANS (efter min mening har fyrene for nylig udvidet deres antal for meget), men der er også meget interessante praktiske kurser. Jeg kunne især godt lide det . Men historien kommer til at handle om forløbet og et certifikat kaldet: .
Af alle typer Industrial Cyber Security-certificeringer, der tilbydes af SANS, er dette den mest universelle. Da den anden relaterer sig mere til Power Grid-systemer, som i Vesten får særlig opmærksomhed og tilhører en separat klasse af systemer. Og den tredje (på tidspunktet for min certificeringssti) var relateret til Incident Response.
Kurset er ikke billigt, men det giver ret omfattende viden om IT&OT. Det vil især være nyttigt for de kammerater, der har besluttet at ændre deres felt, for eksempel fra IT-sikkerhed i bankbranchen til Industrial Cyber Security. Da jeg allerede havde en baggrund inden for processtyringssystemer, instrumentering og driftsteknologi, var der ikke noget fundamentalt nyt eller afgørende vigtigt for mig i dette kursus.
Kurset består af 50% teori og 50% praksis. Fra praksis var den mest interessante konkurrence NetWars. I to dage, efter hovedforløbet af klasserne, blev alle elever i alle klasser opdelt i hold og udførte opgaver for at opnå adgangsrettigheder, udtrække de nødvendige oplysninger, få adgang til netværket, en masse opgaver til at fremme hash, arbejde med Wireshark og alle mulige forskellige lækkerier.
Kursusmaterialet er sammenfattet i form af bøger, som du så modtager til evig brug. Forresten kan du tage dem til eksamen, da formatet er Open Book, men de vil ikke hjælpe dig meget, da eksamen har 3 timer, 115 spørgsmål, og leveringssproget er engelsk. I løbet af hele 3 timer kan du holde en pause på 15 minutter. Men husk på, at ved at holde en pause på 15 minutter og vende tilbage til testene efter 5, opgiver du blot de resterende ti minutter, da du ikke længere vil være i stand til at stoppe tiden i testprogrammet. Du kan springe op til 15 spørgsmål over, som så vises til allersidst.
Personligt anbefaler jeg ikke at lægge en masse spørgsmål til senere, for 3 timer er virkelig ikke tid nok, og når du til sidst har spørgsmål, der endnu ikke er løst, er der stor sandsynlighed for ikke at kunne gøre det. det i tide. Jeg efterlod til senere kun tre spørgsmål, som var virkelig svære for mig, da de vedrørte viden om NIST 800.82 og NERC-standarden. Psykologisk rammer sådanne spørgsmål "til senere" dine nerver til allersidst - når din hjerne er træt, vil du på toilettet, ser timeren på skærmen ud til at accelerere eksponentielt.
Generelt, for at bestå testen skal du score 71 % korrekte svar. Inden du går til eksamen, får du mulighed for at øve dig på rigtige prøver - da prisen inkluderer 2 øvelsesprøver á 115 spørgsmål og med betingelser svarende til den rigtige eksamen.
Jeg anbefaler at tage eksamen en måned efter endt uddannelse, og bruge denne måned på systematiske selvstudier i de problemstillinger, hvor du føler dig usikker. Det ville være rart, hvis du tager de trykte materialer, der er modtaget i løbet af kurset, og som ligner korte abstracts om hvert emne - og målrettet søger information om emnerne i disse bøger. Del måneden op i to dele, tag øvelsesprøver og få et groft billede af, hvilke områder du er stærk på, og hvor du skal forbedre dig.
Jeg vil gerne fremhæve følgende hovedområder, der udgør selve eksamen (ikke uddannelsesforløbet, da det dækker meget mere omfattende emner):
- Fysisk sikkerhed: Ligesom andre certificeringseksamener, er dette spørgsmål givet meget opmærksomhed i GICSP. Der er spørgsmål om typerne af fysiske låse på døre, situationer med forfalskning af elektroniske pas er beskrevet, hvor du skal give et svar for entydigt at identificere problemet. Der er spørgsmål direkte relateret til sikkerheden af teknologien (processen), afhængigt af fagområdet - olie- og gasprocesser, atomkraftværker eller elnet. For eksempel kan der være et spørgsmål som: Bestem, hvilken type fysisk sikkerhedskontrol er situationen, når en Alarm kommer fra damptemperatursensoren på HMI? Eller et spørgsmål som: Hvilken situation (hændelse) vil tjene som grund til at analysere videooptagelser fra overvågningskameraer af anlæggets perimetersikringssystem?
Procentvis vil jeg bemærke, at antallet af spørgsmål på dette afsnit i min eksamen og i praksisprøver ikke oversteg 5%.
- En anden og en af de mest udbredte kategorier af spørgsmål er spørgsmål om processtyringssystemer, PLC, SCADA: her vil det være nødvendigt systematisk at gå til studiet af materialer om, hvordan processtyringssystemer er opbygget, fra sensorer til servere, hvor selve applikationssoftwaren løber. Et tilstrækkeligt antal spørgsmål vil blive fundet om typerne af industrielle dataoverførselsprotokoller (ModBus, RTU, Profibus, HART osv.). Der vil være spørgsmål om, hvordan RTU adskiller sig fra PLC, hvordan man beskytter data i PLC'en mod modifikation af en angriber, i hvilke hukommelsesområder PLC'en gemmer data, og hvor selve logikken er lagret (et program skrevet af en processtyringssystemprogrammør). ). For eksempel kan der være et spørgsmål af denne type: Giv et svar på, hvordan du kan detektere et angreb mellem en PLC og en HMI, der fungerer ved hjælp af ModBus-protokollen?
Der vil være spørgsmål om forskellene mellem SCADA og DCS systemer. En lang række spørgsmål om reglerne for adskillelse af automatiserede processtyringsnetværk på L1, L2 niveau fra L3 niveau (jeg vil beskrive nærmere i afsnittet med spørgsmål om netværket). Situationsspørgsmål om dette emne vil også være meget forskellige - de beskriver situationen i kontrolrummet, og du skal vælge handlinger, der skal udføres af procesoperatøren eller dispatcheren.
Generelt er denne sektion den mest specifikke og smalle profil. Kræver at du har god viden:
— automatiseret kontrolsystem, feltdel (sensorer, typer af enhedstilslutninger, fysiske funktioner i sensorer, PLC, RTU);
— emergency shutdown systems (ESD – emergency shutdown system) af processer og objekter (der er i øvrigt en fremragende serie af artikler om dette emne på Habré fra )
— en grundlæggende forståelse af de fysiske processer, der forekommer, f.eks. ved olieraffinering, elproduktion, rørledninger osv.
— forståelse for arkitekturen af DCS- og SCADA-systemer;
Jeg vil bemærke, at spørgsmål af denne type kan forekomme op til 25 % gennem alle 115 spørgsmål i eksamen. - Netværksteknologier og netværkssikkerhed: Jeg tror, at antallet af spørgsmål i dette emne kommer først i eksamen. Der vil sandsynligvis være absolut alt - OSI-modellen, på hvilke niveauer den eller den protokol fungerer, mange spørgsmål om netværkssegmentering, situationsspørgsmål om netværksangreb, eksempler på forbindelseslogfiler med et forslag til at bestemme typen af angreb, eksempler på switch-konfigurationer med et forslag om at bestemme en sårbar konfiguration, spørgsmål om sårbarheder i netværksprotokoller, spørgsmål om de specifikke forhold ved netværksforbindelser af industrielle kommunikationsprotokoller. Folk spørger især meget om ModBus. Strukturen af netværkspakker af samme ModBus, afhængigt af dens type og versioner understøttet af enheden. Der lægges stor vægt på angreb på trådløse netværk - ZigBee, Wireless HART, og blot spørgsmål om netværkssikkerhed for hele 802.1x-familien. Der vil være spørgsmål om reglerne for placering af bestemte servere i proceskontrolsystemnetværket (her skal du læse IEC-62443 standarden og forstå principperne for referencemodeller af proceskontrolsystemernetværk). Der vil være spørgsmål om Purdue-modellen.
- En kategori af spørgsmål, der udelukkende vedrører de funktionelle egenskaber ved driften af eltransmissionssystemer og informationssikkerhedssystemer for dem. I USA kaldes denne kategori af automatiserede processtyringssystemer Power Grid og er tildelt en separat rolle. Til dette formål er der endda udstedt separate standarder (NIST 800.82), der regulerer tilgangen til at skabe informationssikkerhedssystemer til denne sektor. I vores lande er denne sektor for det meste begrænset til ASKUE-systemer (ret mig, hvis nogen har set en mere seriøs tilgang til overvågning af eldistributions- og leveringssystemer). Så i eksamen vil du finde ret specifikke spørgsmål relateret til Power Grid. For det meste var der tale om use-cases til en specifik situation, der udviklede sig på kraftværket, men der kan også være undersøgelser af enheder, der bruges specifikt i elnettet. Der vil være spørgsmål vedrørende viden om NIST-sektioner for denne kategori af systemer.
- Spørgsmål relateret til kendskab til standarder: NIST 800-82, NERC, IEC62443. Jeg tror her uden særlige kommentarer - du skal navigere i sektionerne af standarderne, som er ansvarlig for hvad og hvilke anbefalinger den indeholder. Der er specifikke spørgsmål, for eksempel at spørge om hyppigheden af kontrol af systemets funktionalitet, hyppigheden af opdatering af proceduren osv. Som en procentdel af sådanne spørgsmål kan op til 15 % af det samlede antal spørgsmål stødes på. Men det kommer an på. For eksempel stødte jeg på to øvelsesprøver kun et par lignende spørgsmål. Men der var virkelig mange af dem under eksamen.
- Nå, den sidste kategori af spørgsmål er alle slags use-cases og situationsspørgsmål.
Generelt var selve træningen, med mulig undtagelse af CTF NetWars, ikke særlig informativ for mig i forhold til at tilegne mig potentielt ny viden. Snarere blev der erhvervet dybere detaljer om nogle emner, især inden for organisering og beskyttelse af radionetværk, der bruges til at transmittere teknologisk information, såvel som mere organiseret materiale om strukturen af udenlandske standarder afsat til dette emne. Derfor kan du for ingeniører og specialister, der har tilstrækkelig viden og erfaring med at arbejde med processtyringssystemer/instrumenteringssystemer eller Industrial Networks, tænke på at spare på uddannelsen (og det giver mening at spare), forberede dig og gå direkte til certificeringseksamen, som , i øvrigt er 700 USD værd. I tilfælde af fejl skal du betale igen. Der er masser af certificeringscentre, der vil acceptere dig til eksamen; det vigtigste er at ansøge på forhånd. Generelt anbefaler jeg at sætte eksamensdatoen med det samme, for ellers vil du hele tiden forsinke den og erstatte forberedelsesprocessen med andre vitale og ikke helt vigtige sager. Og at have en bestemt deadline vil gøre dig selvmotiveret.
Kilde: www.habr.com