Hallo zusammen! Auf dem von allen geschätzten Portal gab es viele verschiedene Artikel zur Zertifizierung im Bereich der IT-Sicherheit. Daher strebe ich nicht an, Originalität und Einzigartigkeit des Inhalts zu beanspruchen, möchte aber dennoch meine Erfahrungen mit dem Erhalt der GIAC (Global Information Assurance Company) Zertifizierung im Bereich der industriellen Cybersicherheit teilen. Mit dem Aufkommen solcher beängstigender Begriffe wie , , Shamoon, Triton hat sich allmählich ein Markt für Dienstleistungen von Spezialisten entwickelt, die so etwas wie IT sind, aber auch in der Lage sind, eine SPS durch das Umschreiben von Konfigurationen in Ladder-Diagrammen neu zu starten, ohne dass die Produktion gestoppt werden muss.
So kam der Begriff IT&OT (Informationstechnologie & Betriebstechnologie) in die Welt.
Unmittelbar danach kam — wie es verständlich ist, dass unerfahrene Kräfte nicht an die Arbeit gelassen werden sollten — die Notwendigkeit, Spezialisten im Bereich der Sicherheit von SCADA-Systemen und industriellen Systemen zu zertifizieren, von denen es in unserem Leben tatsächlich viele gibt, von der automatischen Wasserzufuhr in einer Wohnung bis hin zu Flugzeugsteuerungssystemen (denken wir an den hervorragenden Artikel über die Untersuchung der Probleme ). Und wie sich herausstellte — bei komplexen medizinischen Geräten.
Ein kleiner Exkurs, wie ich zur Notwendigkeit der Zertifizierung kam (kann übersprungen werden): Nach meinem erfolgreichen Abschluss Ende der 2000er Jahre im Bereich Informationssicherheit trat ich mit erhobenem Haupt in die Reihen der KIP-Mitarbeiter ein und arbeitete als Techniker für schwachstromtechnische Systeme der Sicherheitstechnik. So wurde mir damals im Unternehmen gedacht: :) So begann meine Karriere als SPS-Techniker mit einem Bachelor-Abschluss in Informationssicherheit. Nach sechs Jahren, während ich zum Abteilungsleiter für SCADA-Systeme aufstieg, wechselte ich zu einer internationalen Software- und Hardwarefirma als Berater für die Sicherheit industrieller Steuerungssysteme. Hier wurde es notwendig, als zertifizierter Informationssicherheitsspezialist zu agieren.
ist eine Entwicklung eine Organisation, die sich mit der Durchführung von Schulungen und der Zertifizierung von Fachleuten im Bereich Informationssicherheit beschäftigt. Die Reputation des GIAC-Zertifikats ist unter Fachleuten und Auftraggebern auf den Märkten EMEA, USA und Asien-Pazifik sehr hoch. In unserer Region, im postsowjetischen Raum und in den GUS-Ländern, wird ein solches Zertifikat hauptsächlich von ausländischen Unternehmen verlangt, die Geschäfte in unseren Ländern tätigen, sowie von internationalen und Consulting-Agenturen. Persönlich habe ich nie eine Anfrage nach einer solchen Zertifizierung von einheimischen Unternehmen erlebt. Im Wesentlichen wird oft nach CISSP gefragt. Das ist meine subjektive Meinung, und wenn jemand seine Erfahrungen in den Kommentaren teilen möchte, wäre es interessant, das zu erfahren.
Bei SANS gibt es ausreichend verschiedene Richtungen (meiner Meinung nach haben die Jungs in letzter Zeit ihre Anzahl zu sehr ausgeweitet), aber es gibt auch sehr interessante praktische Kurse. Besonders gefallen hat mir . Aber die Rede ist von dem Kurs und dem Zertifikat mit dem Namen: .
Von allen angebotenen SANS-Zertifikaten im Bereich Industrial Cyber Security ist dieses das vielseitigste. Die zweite Zertifizierung bezieht sich stärker auf Systeme der Stromnetze, die im Westen besondere Aufmerksamkeit erhalten und zu einer eigenen Kategorie von Systemen gehören. Die dritte (zum Zeitpunkt meiner Zertifizierung) bezog sich auf Incident Response.
Der Kurs ist nicht günstig, bietet jedoch umfangreiche Kenntnisse in IT und OT. Besonders hilfreich wird er für diejenigen sein, die ihren Karriereweg beispielsweise von IT-Sicherheit im Bankwesen hin zur Industrial Cyber Security wechseln möchten. Da ich bereits Erfahrung in der Automatisierungstechnik, der Prozesskontrolle und der Betriebstechnologie hatte, gab es für mich in diesem Kurs nichts prinzipiell Neues oder Lebenswichtiges.
Der Kurs besteht zu 50 % aus Theorie und zu 50 % aus Praxis. Am interessantesten war die praktische Erfahrung – NetWars. Über zwei Tage hinweg, nach der Hauptveranstaltung, wurden alle Teilnehmer in Teams aufgeteilt und mussten Aufgaben zur Erlangung von Zugriffsrechten, zum Abrufen benötigter Informationen, zum Zugang zum Netzwerk sowie zur Durchführung von Aufgaben zur Hash-Knackbarbeitung, zur Arbeit mit Wireshark und vielen anderen Herausforderungen bewältigen.
Das Kursmaterial umfasst eine Zusammenfassung in Form von Büchern, die Ihnen dann zur uneingeschränkten Nutzung zur Verfügung stehen. Übrigens können Sie diese auch zur Prüfung mitnehmen, da es sich um ein Open-Book-Format handelt. Allerdings werden sie Ihnen wenig helfen, da in der Prüfung 3 Stunden für 115 Fragen zur Verfügung stehen, und die Prüfungssprache ist Englisch. Innerhalb der 3 Stunden dürfen Sie eine 15-minütige Pause einlegen. Bedenken Sie jedoch, dass Sie, wenn Sie 15 Minuten Pause machen und nach 5 Minuten zu den Tests zurückkehren, einfach die restlichen zehn Minuten verlieren, da die Zeit im Testprogramm nicht mehr angehalten werden kann. Sie können bis zu 15 Fragen überspringen, die dann am Ende wieder auftauchen können.
Persönlich empfehle ich nicht, viele Fragen auf später zu verschieben, da die 3 Stunden wirklich wenig sind, und wenn am Ende noch nicht gelöste Fragen auftauchen, besteht eine hohe Wahrscheinlichkeit, dass man es nicht schafft. Ich habe nur drei Fragen „auf später“ gelassen, die für mich wirklich schwierig waren und sich auf den NIST 800.82-Standard und NERC bezogen. Psychologisch wirken solche „auf später“ geschobenen Fragen am Ende belastend – wenn Ihr Gehirn müde ist, Sie auf die Toilette müssen und der Timer auf dem Bildschirm zu beschleunigen scheint, als würde er exponentiell zunehmen.
Im Allgemeinen müssen Sie 71 % der Antworten richtig geben, um die Prüfung zu bestehen. Vor der Prüfung haben Sie die Möglichkeit, an realen Tests zu üben – denn im Preis sind 2 Übungstests mit jeweils 115 Fragen enthalten, die unter Bedingungen stattfinden, die denen der tatsächlichen Prüfung ähneln.
Ich empfehle, die Prüfung etwa einen Monat nach Abschluss des Trainings abzulegen. Nutzen Sie diesen Monat für systematisches Selbststudium zu den Themen, bei denen Sie Unsicherheiten verspüren. Es wäre von Vorteil, wenn Sie die während des Kurses erhaltenen schriftlichen Materialien mitnehmen, die als kurze Zusammenfassungen zu jedem Thema dienen, und gezielt nach Informationen zu den Themen suchen, die in diesen Materialien enthalten sind. Teilen Sie den Monat in zwei Teile auf: eine Phase für die Durchführung von Übungstests und eine andere, um ein ungefähres Bild zu erhalten, in welchen Fragen Sie stark sind und wo Sie sich verbessern müssen.
Ich möchte die folgenden Hauptbereiche hervorheben, aus denen die Prüfung besteht (nicht der Ausbildungskurs, da dieser viel umfassendere Themen abdeckt):
- Physische Sicherheit: Wie bei anderen Zertifizierungsprüfungen wird auch diesem Thema im GICSP viel Aufmerksamkeit geschenkt. Es werden Fragen zu verschiedenen Arten von physischen Schlössern an Türen gestellt, und Situationen mit gefälschten elektronischen Ausweisen beschrieben, bei denen eine eindeutige Problemerkennung erforderlich ist. Es gibt Fragen, die direkt mit der Sicherheit der Technologie (Prozesse) in verschiedenen Fachgebieten – wie in der Öl- und Gasindustrie, Atomkraftwerken oder Stromnetzen – verbunden sind. Beispielsweise könnte eine Frage lauten: Welcher Typ von physischer Sicherheit wird in der Situation angesprochen, wenn ein Alarm von einem Dampftemperatursensor am HMI eingeht? Oder eine Frage könnte sein: Welche Situation (Ereignis) würde einen Grund liefern, Videoaufnahmen von Überwachungskameras des peripheren Sicherheitssystems des Objekts zu analysieren?
In Prozent würde ich sagen, dass die Anzahl der Fragen in diesem Abschnitt bei meiner Prüfung und in den Übungstests 5% nicht überschreiten würde.
- Eine weitere häufige Kategorie von Fragen betrifft die Automatisierungstechnik, PLC und SCADA: Hier ist es notwendig, systematisch an das Studium der Materialien heranzugehen, die erklären, wie Steuerungssysteme für technologische Prozesse funktionieren, beginnend bei den Sensoren und endend bei den Servern, auf denen die Anwendungssoftware ausgeführt wird. Es wird eine Vielzahl von Fragen zu den verschiedenen industriellen Datenübertragungsprotokollen (ModBus, RTU, Profibus, HART usw.) auftreten. Zudem wird es Fragen geben, wie sich RTU von PLC unterscheidet, wie man Daten in einem PLC vor unbefugtem Zugriff schützt, in welchen Speicherbereichen ein PLC Daten speichert und wo die Logik (das vom Automatisierungstechniker geschriebene Programm) tatsächlich abgelegt ist. Beispielsweise könnte eine Frage lauten: Wie kann man einen Angriff zwischen PLC und HMI, die über das ModBus-Protokoll kommunizieren, erkennen?
Es werden Fragen zu den Unterschieden zwischen SCADA- und DCS-Systemen auftreten. Es gibt zahlreiche Fragen zu den Regeln zur Trennung von Netzwerken in der Automatisierten Systemtechnik auf den Ebenen L1, L2 von der Ebene L3 (ich werde dies detaillierter im Abschnitt zu Netzwerkfragen erläutern). Situative Fragen zu diesem Thema werden ebenfalls vielfältig sein – sie beschreiben Situationen in der Leitwarte, und es müssen Handlungen ausgewählt werden, die vom Prozessoperator oder dem Disponenten ausgeführt werden sollen.
Im Allgemeinen ist dieser Abschnitt der spezifischste und thematisch engste. Er erfordert von Ihnen gute Kenntnisse:
— der Automatisierungs- und Prozesskontrollsysteme, der Feldseite (Sensoren, Anschlusstypen von Geräten, physikalische Eigenschaften von Sensoren, PLC, RTU);
— der Systeme zur Notabschaltung (ESD – Emergency Shutdown System) von Prozessen und Anlagen (übrigens gibt es auf Habr einen hervorragenden Artikelzyklus zu diesem Thema von )
— einem grundlegenden Verständnis der physikalischen Prozesse, die beispielsweise in der Erdölraffination, der Stromerzeugung, in Pipelines usw. ablaufen;
— dem Verständnis der Architektur von DCS- und SCADA-Systemen;
Ich möchte betonen, dass Fragen dieser Art bis zu 25 % der insgesamt 115 Prüfungsfragen ausmachen können. - Netzwerktechnologien und Netzwerksicherheit: Ich denke, dass die Anzahl der Fragen zu diesem Thema an erster Stelle in der Prüfung steht. Es wird wahrscheinlich alles abgedeckt – das OSI-Modell, auf welchen Ebenen bestimmte Protokolle arbeiten, viele Fragen zur Netzwerkteilung, situative Fragen zu Netzwerkangriffen, Beispiele von Verbindungsprotokollen mit der Aufforderung, den Angriffstyp zu identifizieren, Beispiele für Switch-Konfigurationen mit der Aufforderung, die anfällige Konfiguration zu bestimmen, Fragen zu den Schwachstellen von Netzwerkprotokollen und Fragen zur Spezifik der Netzwerkverbindungen industrieller Kommunikationsprotokolle. Besonders häufig wird nach ModBus gefragt. Die Struktur von Netzwerkpaketen desselben ModBus, je nach Typ und den vom Gerät unterstützten Versionen. Ein großes Augenmerk liegt auf Angriffen auf drahtlose Netzwerke – ZigBee, Wireless HART, einfach Fragen zur Netzwerksicherheit der gesamten 802.1x-Familie. Es wird Fragen zu den Regeln für die Platzierung bestimmter Server in einem SCADA-Netzwerk geben (hier muss der Standard IEC-62443 gelesen werden, um die Prinzipien der Referenzmodelle für SCADA-Netzwerke zu verstehen). Fragen zum Purdue-Modell werden ebenfalls auftauchen.
- Diese Kategorie von Fragen bezieht sich ausschließlich auf die funktionalen Eigenschaften der Arbeitsweise von elektrischen Übertragungssystemen und den entsprechenden Informationssicherheitssystemen. In den USA wird diese Kategorie von Automatisierungssystemen als Power Grid bezeichnet, und ihr kommt eine besondere Rolle zu. Dafür werden sogar eigene Standards (NIST 800.82) veröffentlicht, die den Ansatz zur Erstellung von Informationssicherheitssystemen für diesen Sektor regeln. In unseren Ländern beschränkt sich dieser Sektor größtenteils auf Systeme der automatischen Stromzählung (ASCU), wobei ich um Korrektur bitte, falls jemand einen ernsthafteren Ansatz zur Überwachung der Verteilung und Lieferung von Elektrizität getroffen hat. In der Prüfung werden Sie recht spezifische Fragen zur Power Grid begegnen. In der Regel handelte es sich um Anwendungsfälle für bestimmte Situationen, die in einem Kraftwerk auftreten, aber es können auch Fragen zu Geräten gestellt werden, die speziell im Power Grid verwendet werden. Es wird Fragen geben, die sich auf die Abschnitte von NIST für diese Kategorie von Systemen beziehen.
- Fragen zu den Standards: NIST 800-82, NERC, IEC62443. Hier sind keine besonderen Kommentare erforderlich – man sollte sich in den Abschnitten der Standards orientieren, welche Verantwortlichkeiten und Empfehlungen dort aufgeführt sind. Es gibt spezifische Fragen, wie etwa die Häufigkeit der Prüfung der Systemfunktionalität oder die Aktualisierung von Verfahren usw. Solche Fragen können bis zu 15 % der Gesamtzahl der Fragen ausmachen. Aber das variiert. Bei zwei Probetests hatte ich nur ein paar solche Fragen. Im tatsächlichen Prüfungstest waren es jedoch viele.
- Die letzte Kategorie von Fragen umfasst verschiedene Anwendungsfälle und situative Fragen.
Insgesamt war das Training, abgesehen wahrscheinlich von CTF NetWars, für mich nicht besonders informativ in Bezug auf das Erwerben potenziell neuen Wissens. Vielmehr wurden tiefere Details zu bestimmten Themen, insbesondere im Bereich der Organisation und des Schutzes von Funknetzwerken, die zur Übertragung technischer Informationen verwendet werden, vermittelt sowie ein strukturierteres Material zu den internationalen Standards, die sich mit diesem Thema befassen. Daher können Ingenieure und Fachleute, die über ausreichende Kenntnisse und Erfahrungen im Umgang mit APT/IP oder Industrial Networks verfügen, darüber nachdenken, die Kosten für das Training zu sparen (was sinnvoll ist), sich selbst vorzubereiten und direkt die Zertifizierungsprüfung abzulegen, die übrigens 700 USD kostet. Im Falle eines Misserfolgs muss man erneut zahlen. Zertifizierungszentren gibt es ausreichend, die Sie zur Prüfung zulassen, wichtig ist, vorher einen Antrag zu stellen. Ich empfehle generell, sofort einen Prüfungstermin festzulegen, da Sie ansonsten ständig dazu neigen werden, ihn hinauszuzögern, indem Sie den Vorbereitungsprozess durch andere lebenswichtige und weniger wichtige Dinge ersetzen. Mit einem konkreten Ablaufdatum werden Sie selbstmotiviert sein.
Quelle: habr.com
