Hallo zusammen! Auf dem beliebtesten Portal aller gab es viele verschiedene Artikel zur Zertifizierung im Bereich der Informationssicherheit, daher werde ich nicht die Originalität und Einzigartigkeit des Inhalts beanspruchen, möchte aber dennoch gerne meine Erfahrungen mit der Erlangung der GIAC (Global Information Assurance Company) teilen. Zertifizierung im Bereich industrielle Cybersicherheit. Seit dem Erscheinen so schrecklicher Worte wie , , Shamoon, Triton, ein Markt für die Bereitstellung von Dienstleistungen von Spezialisten, die scheinbar IT-Spezialisten sind, aber auch SPS mit dem Umschreiben der Konfiguration auf Leitern überlasten können und gleichzeitig die Anlage nicht gestoppt werden kann, begann sich zu bilden.
So entstand das Konzept der IT&OT (Information Technology & Operation Technology).
Unmittelbar danach (es ist klar, dass unqualifiziertes Personal nicht arbeiten darf) entstand die Notwendigkeit, Spezialisten auf dem Gebiet der Gewährleistung der Sicherheit von Prozessleitsystemen und Industriesystemen zu zertifizieren – von denen es, wie sich herausstellt, viele gibt sie in unserem Leben, von einem automatischen Wasserversorgungsventil in einer Wohnung bis zu einem Steuerungssystem für Flugzeuge (erinnern Sie sich an den ausgezeichneten Artikel über die Untersuchung von Problemen). ). Und sogar, wie sich plötzlich herausstellte, komplexe medizinische Geräte.
Ein kurzer Text darüber, wie ich auf die Notwendigkeit einer Zertifizierung gekommen bin (kann übersprungen werden): Nachdem ich Ende der XNUMXer Jahre mein Studium an der Fakultät für Informationssicherheit erfolgreich abgeschlossen hatte, trat ich kopfüber in die Riege der Instrumentierungsschafe ein hochgehalten, als Mechaniker für Schwachstrom-Sicherheitsalarmanlagen tätig. Es scheint, als ob mir die Informationssicherheit damals im Unternehmen mitgeteilt wurde :) So begann meine Karriere als Spezialist für automatisierte Steuerungssysteme mit einem Bachelor-Abschluss in Informationssicherheit. Sechs Jahre später, nachdem ich zum Leiter der SCADA-Systemabteilung aufgestiegen war, wechselte ich, um als Sicherheitsberater für industrielle Steuerungssysteme bei einem ausländischen Unternehmen zu arbeiten, das Software und Ausrüstung verkauft. Hier entstand die Notwendigkeit, ein zertifizierter Informationssicherheitsspezialist zu sein.
ist eine Entwicklung eine Organisation, die Schulungen und Zertifizierungen für Informationssicherheitsspezialisten durchführt. Das GIAC-Zertifikat genießt bei Spezialisten und Kunden in den Märkten EMEA, USA und Asien-Pazifik einen sehr hohen Ruf. Hier, im postsowjetischen Raum und in den GUS-Staaten, kann ein solches Zertifikat nur von ausländischen Unternehmen mit Geschäftstätigkeit in unseren Ländern, internationalen Agenturen und Beratungsagenturen beantragt werden. Persönlich habe ich noch nie eine Anfrage nach einer solchen Zertifizierung von inländischen Unternehmen erlebt. Im Grunde fragt jeder nach CISSP. Dies ist meine subjektive Meinung und wenn jemand seine Erfahrungen in den Kommentaren teilt, wäre es interessant zu wissen.
Es gibt bei SANS ziemlich viele verschiedene Bereiche (meiner Meinung nach haben die Jungs ihre Zahl in letzter Zeit zu stark ausgeweitet), aber es gibt auch sehr interessante praktische Kurse. Es hat mir besonders gut gefallen . Aber die Geschichte wird sich um den Kurs drehen und ein Zertifikat namens: .
Von allen von SANS angebotenen Zertifizierungen für industrielle Cybersicherheit ist diese die universellste. Denn letzteres bezieht sich eher auf Stromnetzsysteme, die im Westen besondere Aufmerksamkeit genießen und zu einer eigenen Klasse von Systemen gehören. Und der dritte (zum Zeitpunkt meiner Zertifizierung) bezog sich auf die Reaktion auf Vorfälle.
Der Kurs ist nicht billig, vermittelt aber recht umfangreiche Kenntnisse in IT&OT. Besonders nützlich wird es für diejenigen Genossen sein, die sich entschieden haben, ihr Fachgebiet zu wechseln, beispielsweise von der IT-Sicherheit im Bankensektor zur industriellen Cybersicherheit. Da ich bereits über Kenntnisse im Bereich Prozessleitsysteme, Instrumentierung und Betriebstechnik verfügte, gab es für mich in diesem Kurs nichts grundsätzlich Neues oder Lebenswichtiges.
Der Kurs besteht zu 50 % aus Theorie und zu 50 % aus Praxis. Der aus der Praxis interessanteste Wettbewerb war NetWars. Zwei Tage lang, nach dem Hauptkurs, wurden alle Schüler aller Klassen in Teams eingeteilt und führten Aufgaben aus, um Zugriffsrechte zu erhalten, die erforderlichen Informationen zu extrahieren, Zugang zum Netzwerk zu erhalten, eine Reihe von Aufgaben zur Hash-Förderung zu erledigen und mit Wireshark zu arbeiten und allerlei verschiedene Leckereien.
Das Kursmaterial wird in Form von Büchern zusammengefasst, die Sie dann zur dauerhaften Nutzung erhalten. Sie können sie übrigens für die Prüfung mitnehmen, da das Format Open Book ist, aber sie werden Ihnen nicht viel helfen, da die Prüfung 3 Stunden dauert, 115 Fragen hat und die Vortragssprache Englisch ist. Während der gesamten 3 Stunden können Sie eine Pause von 15 Minuten einlegen. Bedenken Sie jedoch, dass Sie durch eine Pause von 15 Minuten und die Rückkehr zu den Tests nach 5 Minuten lediglich die verbleibenden zehn Minuten aufgeben, da Sie die Zeit im Testprogramm nicht mehr anhalten können. Sie können bis zu 15 Fragen überspringen, diese erscheinen dann ganz am Ende.
Persönlich empfehle ich nicht, viele Fragen auf später zu verschieben, da 3 Stunden wirklich nicht genug Zeit sind und wenn Sie am Ende Fragen haben, die noch nicht geklärt sind, besteht eine hohe Wahrscheinlichkeit, dass Sie sie nicht lösen können es rechtzeitig. Ich habe nur drei Fragen für später aufgehoben, die für mich wirklich schwierig waren, da sie sich auf Kenntnisse des NIST 800.82- und NERC-Standards bezogen. Psychologisch gesehen nerven solche Fragen „für später“ ganz am Ende – wenn das Gehirn müde ist, man auf die Toilette will, scheint der Timer auf dem Bildschirm exponentiell zu laufen.
Um den Test zu bestehen, müssen Sie im Allgemeinen 71 % richtige Antworten erhalten. Bevor Sie die Prüfung ablegen, haben Sie die Möglichkeit, an echten Tests zu üben – da der Preis zwei Übungstests mit 2 Fragen und ähnlichen Bedingungen wie bei der echten Prüfung beinhaltet.
Ich empfehle, die Prüfung einen Monat nach Abschluss der Schulung abzulegen und diesen Monat dem systematischen Selbststudium zu den Themen zu widmen, bei denen Sie sich unsicher fühlen. Es wäre schön, wenn Sie die während des Kurses erhaltenen gedruckten Materialien, die wie kurze Zusammenfassungen zu jedem Thema aussehen, nutzen und gezielt nach Informationen zu den in diesen Büchern enthaltenen Themen suchen würden. Teilen Sie den Monat in zwei Teile auf, indem Sie Übungstests absolvieren und sich ein ungefähres Bild davon machen, in welchen Bereichen Sie stark sind und wo Sie sich verbessern müssen.
Ich möchte folgende Hauptbereiche hervorheben, die die Prüfung selbst ausmachen (nicht die Schulung, da diese viel umfangreichere Themen abdeckt):
- Physische Sicherheit: Wie auch bei anderen Zertifizierungsprüfungen wird diesem Thema im GICSP große Aufmerksamkeit gewidmet. Es werden Fragen zu den Arten von physischen Türschlössern gestellt, es werden Situationen mit der Fälschung elektronischer Ausweise beschrieben, bei denen eine Antwort erforderlich ist, um das Problem eindeutig zu identifizieren. Je nach Fachgebiet – Öl- und Gasprozesse, Kernkraftwerke oder Stromnetze – gibt es Fragen, die einen direkten Bezug zur Sicherheit der Technologie (des Prozesses) haben. Es kann sich beispielsweise um eine Frage handeln wie: Bestimmen Sie, um welche Art von physischer Sicherheitskontrolle es sich handelt, wenn ein Alarm vom Dampftemperatursensor am HMI ausgeht. Oder eine Frage wie: Welche Situation (Ereignis) dient als Anlass für die Analyse von Videoaufzeichnungen von Überwachungskameras des Perimetersicherheitssystems der Einrichtung?
Prozentual gesehen würde ich anmerken, dass die Anzahl der Fragen zu diesem Abschnitt in meiner Prüfung und in den Praxistests 5 % nicht überstieg.
- Eine weitere und eine der am weitesten verbreiteten Kategorien von Fragen sind Fragen zu Prozessleitsystemen, SPS, SCADA: Hier wird es notwendig sein, sich systematisch mit der Untersuchung von Materialien zu befassen, wie Prozessleitsysteme aufgebaut sind, von Sensoren bis hin zu Servern, auf denen sich die Anwendungssoftware selbst befindet läuft. Zu den Arten industrieller Datenübertragungsprotokolle (ModBus, RTU, Profibus, HART usw.) finden sich ausreichend Fragen. Es stellt sich die Frage, wie sich RTU von einer SPS unterscheidet, wie Daten in der SPS vor Änderungen durch einen Angreifer geschützt werden können, in welchen Speicherbereichen die SPS Daten speichert und wo die Logik selbst gespeichert ist (ein Programm, das von einem Prozessleitsystemprogrammierer geschrieben wurde). ). Es könnte sich beispielsweise um eine Frage dieser Art handeln: Geben Sie eine Antwort darauf, wie Sie einen Angriff zwischen einer SPS und einem HMI erkennen können, die mit dem ModBus-Protokoll arbeiten?
Es wird Fragen zu den Unterschieden zwischen SCADA- und DCS-Systemen geben. Eine große Anzahl von Fragen zu den Regeln zur Trennung automatisierter Prozesssteuerungsnetzwerke auf der L1-, L2-Ebene von der L3-Ebene (ich werde im Abschnitt mit Fragen zum Netzwerk ausführlicher darauf eingehen). Auch situative Fragen zu diesem Thema werden sehr vielfältig sein – sie beschreiben die Situation in der Leitwarte und Sie müssen Aktionen auswählen, die vom Prozessbediener oder Disponenten durchgeführt werden müssen.
Im Allgemeinen ist dieser Abschnitt der spezifischste und engste Abschnitt. Erfordert gute Kenntnisse:
— automatisiertes Steuerungssystem, Feldteil (Sensoren, Arten von Geräteanschlüssen, physikalische Eigenschaften von Sensoren, SPS, RTU);
— Notabschaltsysteme (ESD – Emergency Shutdown System) von Prozessen und Objekten (zu diesem Thema gibt es übrigens eine hervorragende Artikelserie auf Habré von )
— ein grundlegendes Verständnis der physikalischen Prozesse, die beispielsweise bei der Ölraffinierung, Stromerzeugung, Pipelines usw. ablaufen;
— Verständnis der Architektur von DCS- und SCADA-Systemen;
Ich möchte darauf hinweisen, dass Fragen dieser Art bis zu 25 % aller 115 Fragen der Prüfung ausmachen können. - Netzwerktechnologien und Netzwerksicherheit: Ich denke, dass die Anzahl der Fragen zu diesem Thema in der Prüfung an erster Stelle steht. Es wird wahrscheinlich absolut alles geben – das OSI-Modell, auf welchen Ebenen dieses oder jenes Protokoll funktioniert, viele Fragen zur Netzwerksegmentierung, situative Fragen zu Netzwerkangriffen, Beispiele für Verbindungsprotokolle mit einem Vorschlag zur Bestimmung der Angriffsart, Beispiele für Switch-Konfigurationen mit einem Vorschlag zur Bestimmung einer anfälligen Konfiguration, Fragen zu Schwachstellen von Netzwerkprotokollen, Fragen zu den Besonderheiten von Netzwerkverbindungen industrieller Kommunikationsprotokolle. Besonders viel wird nach ModBus gefragt. Die Struktur von Netzwerkpaketen desselben ModBus, abhängig von seinem Typ und den vom Gerät unterstützten Versionen. Große Aufmerksamkeit wird Angriffen auf drahtlose Netzwerke gewidmet – ZigBee, Wireless HART und einfach Fragen zur Netzwerksicherheit der gesamten 802.1x-Familie. Es werden Fragen zu den Regeln für die Platzierung bestimmter Server im Netzwerk von Prozessleitsystemen gestellt (hier müssen Sie die Norm IEC-62443 lesen und die Prinzipien von Referenzmodellen von Netzwerken von Prozessleitsystemen verstehen). Es wird Fragen zum Purdue-Modell geben.
- Eine Themenkategorie, die sich ausschließlich auf die Funktionsmerkmale des Betriebs von Stromübertragungssystemen und Informationssicherheitssystemen für diese bezieht. In den USA wird diese Kategorie automatisierter Prozessleitsysteme Power Grid genannt und ihr wird eine eigene Rolle zugewiesen. Zu diesem Zweck werden sogar eigene Standards herausgegeben (NIST 800.82), die die Vorgehensweise bei der Erstellung von Informationssicherheitssystemen für diesen Sektor regeln. In unseren Ländern ist dieser Sektor größtenteils auf ASKUE-Systeme beschränkt (korrigieren Sie mich, wenn jemand einen ernsthafteren Ansatz zur Überwachung von Stromverteilungs- und -lieferungssystemen gesehen hat). In der Prüfung finden Sie also ganz spezifische Fragen zum Thema Stromnetz. In den meisten Fällen handelte es sich dabei um Anwendungsfälle für eine spezifische Situation, die sich im Kraftwerk entwickelte, aber es kann auch Umfragen zu Geräten geben, die speziell im Stromnetz eingesetzt werden. Es werden Fragen zur Kenntnis der NIST-Abschnitte für diese Systemkategorie gestellt.
- Fragen zur Kenntnis der Normen: NIST 800-82, NERC, IEC62443. Ich denke hier ohne besondere Kommentare – Sie müssen durch die Abschnitte der Standards navigieren, wer dafür verantwortlich ist, was und welche Empfehlungen sie enthalten. Es gibt spezifische Fragen, zum Beispiel nach der Häufigkeit der Überprüfung der Funktionalität des Systems, der Häufigkeit der Aktualisierung des Verfahrens usw. Bezogen auf den Anteil solcher Fragen können bis zu 15 % der Gesamtzahl der Fragen angetroffen werden. Aber es kommt darauf an. Beispielsweise bin ich bei zwei Übungstests nur auf ein paar ähnliche Fragen gestoßen. Aber während der Prüfung waren es wirklich viele davon.
- Nun, die letzte Kategorie von Fragen umfasst alle Arten von Anwendungsfällen und Situationsfragen.
Generell war die Schulung selbst, mit der möglichen Ausnahme von CTF NetWars, für mich nicht sehr aufschlussreich im Hinblick auf den Erwerb potenziell neuer Kenntnisse. Vielmehr wurden tiefergehende Einzelheiten zu einigen Themen, insbesondere im Bereich der Organisation und des Schutzes von Funknetzen zur Übertragung technischer Informationen, sowie besser organisiertes Material zur Struktur ausländischer Standards zu diesem Thema erworben. Daher können Ingenieure und Spezialisten, die über ausreichende Kenntnisse und Erfahrung im Umgang mit Prozessleitsystemen/Messsystemen oder industriellen Netzwerken verfügen, darüber nachdenken, Schulungen einzusparen (und Einsparungen sind sinnvoll), sich vorbereiten und direkt mit der Zertifizierungsprüfung beginnen ist übrigens 700 USD wert. Im Falle eines Scheiterns müssen Sie erneut zahlen. Es gibt zahlreiche Zertifizierungsstellen, die Sie zur Prüfung akzeptieren. Hauptsache, Sie bewerben sich im Voraus. Generell empfehle ich, den Prüfungstermin gleich festzulegen, da man ihn sonst ständig hinauszögert und den Vorbereitungsprozess durch andere wichtige und nicht ganz wichtige Dinge ersetzt. Und wenn Sie einen bestimmten Abgabetermin haben, werden Sie selbstmotiviert.
Source: habr.com