Γεια σε όλους! Η αγαπημένη πύλη όλων είχε πολλά διαφορετικά άρθρα σχετικά με την πιστοποίηση στον τομέα της ασφάλειας πληροφοριών, επομένως δεν πρόκειται να διεκδικήσω την πρωτοτυπία και τη μοναδικότητα του περιεχομένου, αλλά θα ήθελα πραγματικά να μοιραστώ την εμπειρία μου από την απόκτηση GIAC (Global Information Assurance Company) πιστοποίηση στον τομέα της βιομηχανικής ασφάλειας στον κυβερνοχώρο. Από την εμφάνιση τέτοιων τρομερών λέξεων όπως , , Shamoon, Triton, μια αγορά για την παροχή υπηρεσιών ειδικών που φαίνεται να είναι IT, αλλά μπορούν επίσης να υπερφορτώσουν τα PLC με την επανεγγραφή της διαμόρφωσης σε σκάλες, και ταυτόχρονα το εργοστάσιο δεν μπορεί να σταματήσει, άρχισε να σχηματίζεται.
Κάπως έτσι ήρθε στον κόσμο η έννοια της IT&OT (Information Technology & Operation Technology).
Αμέσως μετά (είναι σαφές ότι δεν πρέπει να επιτρέπεται να εργάζεται σε ανειδίκευτο προσωπικό) ήρθε η ανάγκη πιστοποίησης ειδικών στον τομέα που σχετίζεται με τη διασφάλιση της ασφάλειας των συστημάτων ελέγχου διεργασιών και των βιομηχανικών συστημάτων - από τα οποία, αποδεικνύεται, υπάρχουν πολλά αυτά στη ζωή μας, από μια αυτόματη βαλβίδα παροχής νερού σε ένα διαμέρισμα έως ένα σύστημα ελέγχου αεροπλάνα (θυμηθείτε το εξαιρετικό άρθρο σχετικά με τη διερεύνηση προβλημάτων ). Και ακόμη, όπως αποδείχθηκε ξαφνικά, πολύπλοκος ιατρικός εξοπλισμός.
Ένας σύντομος στίχος για το πώς κατέληξα στην ανάγκη να αποκτήσω πιστοποίηση (μπορείτε να το παραλείψετε): Έχοντας ολοκληρώσει επιτυχώς τις σπουδές μου στη Σχολή Ασφάλειας Πληροφοριών στα τέλη της δεκαετίας του XNUMX, μπήκα στις τάξεις των προβάτων οργάνων με το κεφάλι μου κρατιέται ψηλά, εργάζεται ως μηχανικός για συστήματα συναγερμού ασφαλείας χαμηλού ρεύματος. Φαίνεται ότι μου είπαν την ασφάλεια των πληροφοριών στην επιχείρηση εκείνη την εποχή :) Έτσι ξεκίνησε η καριέρα μου ως ειδικός σε συστήματα αυτοματοποιημένου ελέγχου με πτυχίο στην ασφάλεια πληροφοριών. Έξι χρόνια αργότερα, έχοντας ανέλθει στο βαθμό του επικεφαλής του τμήματος συστημάτων SCADA, έφυγα για να εργαστώ ως σύμβουλος ασφαλείας για συστήματα βιομηχανικού ελέγχου σε μια ξένη εταιρεία που πωλεί λογισμικό και εξοπλισμό. Εδώ προέκυψε η ανάγκη να είσαι πιστοποιημένος ειδικός σε θέματα ασφάλειας πληροφοριών.
είναι εξέλιξη οργανισμός που διεξάγει εκπαίδευση και πιστοποίηση ειδικών σε θέματα ασφάλειας πληροφοριών. Η φήμη του πιστοποιητικού GIAC είναι πολύ υψηλή μεταξύ των ειδικών και των πελατών στις αγορές EMEA, ΗΠΑ και Ασίας-Ειρηνικού. Εδώ, στον μετασοβιετικό χώρο και στις χώρες της ΚΑΚ, ένα τέτοιο πιστοποιητικό μπορούν να ζητήσουν μόνο ξένες εταιρείες που δραστηριοποιούνται στις χώρες μας, διεθνείς και συμβουλευτικοί φορείς. Προσωπικά δεν έχω συναντήσει ποτέ αίτημα για τέτοια πιστοποίηση από εγχώριες εταιρείες. Όλοι βασικά ζητούν CISSP. Αυτή είναι η υποκειμενική μου άποψη και αν κάποιος μοιραστεί την εμπειρία του στα σχόλια, θα έχει ενδιαφέρον.
Υπάρχουν αρκετοί διαφορετικοί τομείς στο SANS (κατά τη γνώμη μου, πρόσφατα τα παιδιά έχουν διευρύνει πάρα πολύ τον αριθμό τους), αλλά υπάρχουν και πολύ ενδιαφέροντα πρακτικά μαθήματα. Μου άρεσε ιδιαίτερα . Αλλά η ιστορία θα αφορά την πορεία και ένα πιστοποιητικό που ονομάζεται: .
Από όλους τους τύπους πιστοποιήσεων Industrial Cyber Security που προσφέρει η SANS, αυτή είναι η πιο καθολική. Δεδομένου ότι το δεύτερο σχετίζεται περισσότερο με συστήματα Power Grid, τα οποία στη Δύση τυγχάνουν ιδιαίτερης προσοχής και ανήκουν σε μια ξεχωριστή κατηγορία συστημάτων. Και το τρίτο (κατά τη στιγμή της πορείας μου για την πιστοποίηση) που σχετίζεται με την Απόκριση Συμβάντος.
Το μάθημα δεν είναι φθηνό, αλλά παρέχει αρκετά εκτεταμένη γνώση IT&OT. Θα είναι ιδιαίτερα χρήσιμο για εκείνους τους συντρόφους που αποφάσισαν να αλλάξουν το πεδίο τους, για παράδειγμα από την ασφάλεια πληροφορικής στον τραπεζικό κλάδο σε Industrial Cyber Security. Δεδομένου ότι είχα ήδη ένα υπόβαθρο στον τομέα των συστημάτων ελέγχου διεργασιών, των οργάνων και της τεχνολογίας λειτουργίας, δεν υπήρχε τίποτα θεμελιωδώς νέο ή ζωτικής σημασίας για μένα σε αυτό το μάθημα.
Το μάθημα αποτελείται από 50% θεωρία και 50% πρακτική. Από την πρακτική, ο πιο ενδιαφέρον διαγωνισμός ήταν το NetWars. Για δύο ημέρες, μετά το κύριο μάθημα των μαθημάτων, όλοι οι μαθητές όλων των τάξεων χωρίστηκαν σε ομάδες και εκτέλεσαν εργασίες για να αποκτήσουν δικαιώματα πρόσβασης, να εξάγουν τις απαραίτητες πληροφορίες, να αποκτήσουν πρόσβαση στο δίκτυο, μια δέσμη εργασιών για την προώθηση κατακερματισμών, να εργαστούν με το Wireshark και κάθε λογής διαφορετικά καλούδια.
Το υλικό του μαθήματος συνοψίζεται σε μορφή βιβλίων, τα οποία στη συνέχεια λαμβάνετε για αέναη χρήση. Παρεμπιπτόντως, μπορείτε να τα πάρετε για εξετάσεις, αφού η μορφή είναι Open Book, αλλά δεν θα σας βοηθήσουν ιδιαίτερα, αφού η εξέταση έχει 3 ώρες, 115 ερωτήσεις, και η γλώσσα παράδοσης είναι η αγγλική. Κατά τη διάρκεια των 3 ωρών, μπορείτε να κάνετε ένα διάλειμμα 15 λεπτών. Λάβετε όμως υπόψη σας ότι κάνοντας ένα διάλειμμα για 15 λεπτά και επιστρέφοντας στις δοκιμές μετά τα 5, απλά εγκαταλείπετε τα υπόλοιπα δέκα λεπτά, αφού δεν θα μπορείτε πλέον να σταματήσετε το χρόνο στο πρόγραμμα δοκιμών. Μπορείτε να παραλείψετε έως και 15 ερωτήσεις, οι οποίες στη συνέχεια θα εμφανιστούν στο τέλος.
Προσωπικά, δεν συνιστώ να αφήσετε πολλές ερωτήσεις για αργότερα, γιατί 3 ώρες δεν είναι πραγματικά αρκετός χρόνος, και όταν στο τέλος έχετε ερωτήσεις που δεν έχουν ακόμη επιλυθεί, υπάρχει μεγάλη πιθανότητα να μην μπορείτε να κάνετε το εγκαίρως. Άφησα για αργότερα μόνο τρεις ερωτήσεις που ήταν πραγματικά δύσκολες για μένα, καθώς αφορούσαν τη γνώση του προτύπου NIST 800.82 και NERC. Ψυχολογικά, τέτοιες ερωτήσεις «για αργότερα» χτυπούν τα νεύρα σας στο τέλος - όταν ο εγκέφαλός σας είναι κουρασμένος, θέλετε να πάτε στην τουαλέτα, το χρονόμετρο στην οθόνη φαίνεται να επιταχύνει εκθετικά.
Σε γενικές γραμμές, για να περάσετε το τεστ πρέπει να βαθμολογήσετε το 71% των σωστών απαντήσεων. Πριν λάβετε μέρος στις εξετάσεις, θα έχετε την ευκαιρία να εξασκηθείτε σε πραγματικά τεστ - καθώς στην τιμή περιλαμβάνονται 2 πρακτικά τεστ 115 ερωτήσεων και με προϋποθέσεις παρόμοιες με τις πραγματικές εξετάσεις.
Συνιστώ να λάβετε τις εξετάσεις ένα μήνα μετά την ολοκλήρωση της εκπαίδευσης, αφιερώνοντας αυτόν τον μήνα σε συστηματική αυτο-μελέτη σε εκείνα τα θέματα για τα οποία αισθάνεστε αβέβαιοι. Θα ήταν ωραίο να πάρετε το έντυπο υλικό που λάβατε κατά τη διάρκεια του μαθήματος, που μοιάζουν με σύντομες περιλήψεις για κάθε θέμα - και να αναζητήσετε σκόπιμα πληροφορίες για τα θέματα που περιέχονται σε αυτά τα βιβλία. Χωρίστε τον μήνα σε δύο μέρη, κάνοντας πρακτικές δοκιμασίες και αποκτήστε μια πρόχειρη εικόνα για τους τομείς στους οποίους είστε ισχυροί και πού πρέπει να βελτιωθείτε.
Θα ήθελα να επισημάνω τους ακόλουθους κύριους τομείς που συνθέτουν την ίδια την εξέταση (όχι το εκπαιδευτικό μάθημα, καθώς καλύπτει πολύ πιο εκτεταμένα θέματα):
- Φυσική ασφάλεια: Όπως και άλλες εξετάσεις πιστοποίησης, σε αυτό το θέμα δίνεται μεγάλη προσοχή στο GICSP. Υπάρχουν ερωτήσεις σχετικά με τους τύπους φυσικών κλειδαριών στις πόρτες, περιγράφονται καταστάσεις με πλαστογραφία ηλεκτρονικών καρτών, όπου πρέπει να δώσετε μια απάντηση για να εντοπίσετε ξεκάθαρα το πρόβλημα. Υπάρχουν ερωτήσεις που σχετίζονται άμεσα με την ασφάλεια της τεχνολογίας (διαδικασίας), ανάλογα με το αντικείμενο - διεργασίες πετρελαίου και φυσικού αερίου, πυρηνικοί σταθμοί ή δίκτυα ηλεκτρικής ενέργειας. Για παράδειγμα, μπορεί να υπάρχει μια ερώτηση όπως: Προσδιορίστε ποιος τύπος ελέγχου φυσικής ασφάλειας είναι η κατάσταση όταν ένας συναγερμός προέρχεται από τον αισθητήρα θερμοκρασίας ατμού στο HMI; Ή μια ερώτηση όπως: Ποια κατάσταση (συμβάν) θα χρησιμεύσει ως αφορμή για την ανάλυση των εγγραφών βίντεο από τις κάμερες παρακολούθησης του συστήματος περιμετρικής ασφάλειας της εγκατάστασης;
Σε ποσοστιαίες τιμές, θα σημειώσω ότι ο αριθμός των ερωτήσεων σε αυτό το τμήμα στις εξετάσεις μου και στις πρακτικές δοκιμασίες δεν ξεπερνούσε το 5%.
- Μια άλλη και μια από τις πιο διαδεδομένες κατηγορίες ερωτήσεων είναι ερωτήσεις σχετικά με συστήματα ελέγχου διεργασιών, PLC, SCADA: εδώ θα χρειαστεί να προσεγγίσουμε συστηματικά τη μελέτη των υλικών για το πώς είναι δομημένα τα συστήματα ελέγχου διεργασιών, από αισθητήρες έως διακομιστές όπου το ίδιο το λογισμικό εφαρμογής τρέχει. Θα βρεθεί επαρκής αριθμός ερωτήσεων σχετικά με τους τύπους βιομηχανικών πρωτοκόλλων μεταφοράς δεδομένων (ModBus, RTU, Profibus, HART κ.λπ.). Θα υπάρξουν ερωτήσεις σχετικά με το πώς διαφέρει το RTU από το PLC, πώς να προστατεύσετε τα δεδομένα στο PLC από την τροποποίηση από έναν εισβολέα, σε ποιες περιοχές μνήμης αποθηκεύει δεδομένα το PLC και πού αποθηκεύεται η ίδια η λογική (πρόγραμμα γραμμένο από προγραμματιστή συστήματος ελέγχου διεργασιών ). Για παράδειγμα, μπορεί να υπάρχει μια ερώτηση αυτού του τύπου: Δώστε μια απάντηση στο πώς μπορείτε να εντοπίσετε μια επίθεση μεταξύ ενός PLC και ενός HMI που λειτουργούν χρησιμοποιώντας το πρωτόκολλο ModBus;
Θα υπάρξουν ερωτήσεις σχετικά με τις διαφορές μεταξύ των συστημάτων SCADA και DCS. Ένας μεγάλος αριθμός ερωτήσεων σχετικά με τους κανόνες για το διαχωρισμό των αυτοματοποιημένων δικτύων ελέγχου διεργασιών στο επίπεδο L1, L2 από το επίπεδο L3 (θα περιγράψω λεπτομερέστερα στην ενότητα με ερωτήσεις σχετικά με το δίκτυο). Οι ερωτήσεις κατάστασης σχετικά με αυτό το θέμα θα είναι επίσης πολύ διαφορετικές - περιγράφουν την κατάσταση στην αίθουσα ελέγχου και πρέπει να επιλέξετε ενέργειες που πρέπει να εκτελεστούν από τον χειριστή ή τον αποστολέα της διαδικασίας.
Γενικά, αυτή η ενότητα είναι η πιο συγκεκριμένη και στενού προφίλ. Απαιτεί να έχετε καλές γνώσεις:
— αυτοματοποιημένο σύστημα ελέγχου, τμήμα πεδίου (αισθητήρες, τύποι συνδέσεων συσκευών, φυσικά χαρακτηριστικά αισθητήρων, PLC, RTU).
— συστήματα διακοπής λειτουργίας έκτακτης ανάγκης (ESD – σύστημα διακοπής λειτουργίας έκτακτης ανάγκης) διεργασιών και αντικειμένων (παρεμπιπτόντως, υπάρχει μια εξαιρετική σειρά άρθρων για αυτό το θέμα στο Habré από )
— βασική κατανόηση των φυσικών διεργασιών που συμβαίνουν, για παράδειγμα, στη διύλιση πετρελαίου, την παραγωγή ηλεκτρικής ενέργειας, τους αγωγούς κ.λπ.
— κατανόηση της αρχιτεκτονικής των συστημάτων DCS και SCADA.
Σημειώνω ότι ερωτήσεις αυτού του τύπου μπορούν να προκύψουν έως και 25% και στις 115 ερωτήσεις της εξέτασης. - Τεχνολογίες δικτύου και ασφάλεια δικτύου: Νομίζω ότι ο αριθμός των ερωτήσεων σε αυτό το θέμα είναι πρώτος στην εξέταση. Πιθανώς θα υπάρχουν απολύτως τα πάντα - το μοντέλο OSI, σε ποια επίπεδα λειτουργεί αυτό ή εκείνο το πρωτόκολλο, πολλές ερωτήσεις σχετικά με την τμηματοποίηση δικτύου, ερωτήσεις κατάστασης για επιθέσεις δικτύου, παραδείγματα αρχείων καταγραφής σύνδεσης με πρόταση για τον προσδιορισμό του τύπου επίθεσης, παραδείγματα διαμορφώσεων διακόπτη με πρόταση για τον προσδιορισμό μιας ευάλωτης διαμόρφωσης, ερωτήσεις σχετικά με τρωτά σημεία πρωτόκολλα δικτύου, ερωτήσεις σχετικά με τις ιδιαιτερότητες των συνδέσεων δικτύου των βιομηχανικών πρωτοκόλλων επικοινωνίας. Οι άνθρωποι ρωτούν ιδιαίτερα πολλά για το ModBus. Η δομή των πακέτων δικτύου του ίδιου ModBus, ανάλογα με τον τύπο και τις εκδόσεις του που υποστηρίζονται από τη συσκευή. Δίνεται μεγάλη προσοχή στις επιθέσεις σε ασύρματα δίκτυα - ZigBee, Wireless HART και απλώς ερωτήσεις σχετικά με την ασφάλεια δικτύου ολόκληρης της οικογένειας 802.1x. Θα υπάρξουν ερωτήσεις σχετικά με τους κανόνες για την τοποθέτηση ορισμένων διακομιστών στο δίκτυο του συστήματος ελέγχου διεργασιών (εδώ πρέπει να διαβάσετε το πρότυπο IEC-62443 και να κατανοήσετε τις αρχές των μοντέλων αναφοράς των δικτύων συστημάτων ελέγχου διεργασιών). Θα υπάρξουν ερωτήσεις σχετικά με το μοντέλο Purdue.
- Μια κατηγορία θεμάτων που αφορά αποκλειστικά τα λειτουργικά χαρακτηριστικά της λειτουργίας των συστημάτων μεταφοράς ηλεκτρικής ενέργειας και των συστημάτων ασφάλειας πληροφοριών για αυτά. Στις ΗΠΑ, αυτή η κατηγορία αυτοματοποιημένων συστημάτων ελέγχου διεργασιών ονομάζεται Power Grid και της ανατίθεται ξεχωριστός ρόλος. Για το σκοπό αυτό, εκδίδονται ακόμη και ξεχωριστά πρότυπα (NIST 800.82) που ρυθμίζουν την προσέγγιση για τη δημιουργία συστημάτων ασφάλειας πληροφοριών για αυτόν τον τομέα. Στις χώρες μας, ως επί το πλείστον, αυτός ο τομέας περιορίζεται στα συστήματα ASKUE (διορθώστε με αν κάποιος έχει δει μια πιο σοβαρή προσέγγιση για την παρακολούθηση των συστημάτων διανομής και παράδοσης ηλεκτρικής ενέργειας). Έτσι, στην εξέταση θα βρείτε αρκετά συγκεκριμένες ερωτήσεις σχετικά με το Power Grid. Ως επί το πλείστον, αυτές ήταν περιπτώσεις χρήσης για μια συγκεκριμένη κατάσταση που αναπτύχθηκε στο εργοστάσιο ηλεκτροπαραγωγής, αλλά μπορεί επίσης να υπάρχουν έρευνες για συσκευές που χρησιμοποιούνται ειδικά στο ηλεκτρικό δίκτυο. Θα υπάρξουν ερωτήσεις που αφορούν τη γνώση των ενοτήτων NIST για αυτήν την κατηγορία συστημάτων.
- Ερωτήσεις σχετικά με τη γνώση προτύπων: NIST 800-82, NERC, IEC62443. Νομίζω ότι εδώ χωρίς ειδικά σχόλια - πρέπει να πλοηγηθείτε στις ενότητες των προτύπων, το οποίο είναι υπεύθυνο για το τι και ποιες συστάσεις περιέχει. Υπάρχουν συγκεκριμένες ερωτήσεις, για παράδειγμα, η συχνότητα ελέγχου της λειτουργικότητας του συστήματος, η συχνότητα ενημέρωσης της διαδικασίας κ.λπ. Ως ποσοστό τέτοιων ερωτήσεων, μπορεί να απαντηθεί έως και το 15% του συνολικού αριθμού ερωτήσεων. Αλλά εξαρτάται. Για παράδειγμα, σε δύο πρακτικά τεστ συνάντησα μόνο μερικές παρόμοιες ερωτήσεις. Αλλά ήταν πραγματικά πολλοί κατά τη διάρκεια της εξέτασης.
- Λοιπόν, η τελευταία κατηγορία ερωτήσεων είναι κάθε είδους ερωτήσεις χρήσης και περιπτώσεων.
Γενικά, η ίδια η εκπαίδευση, με πιθανή εξαίρεση το CTF NetWars, δεν ήταν πολύ κατατοπιστική για μένα όσον αφορά την απόκτηση δυνητικά νέας γνώσης. Αντίθετα, αποκτήθηκαν βαθύτερες λεπτομέρειες ορισμένων θεμάτων, ειδικά στον τομέα της οργάνωσης και προστασίας των ραδιοφωνικών δικτύων που χρησιμοποιούνται για τη μετάδοση τεχνολογικών πληροφοριών, καθώς και πιο οργανωμένο υλικό για τη δομή των ξένων προτύπων που είναι αφιερωμένο σε αυτό το θέμα. Επομένως, για μηχανικούς και ειδικούς που έχουν επαρκή γνώση και εμπειρία στην εργασία με συστήματα ελέγχου διεργασιών/συστήματα οργάνων ή βιομηχανικά δίκτυα, μπορείτε να σκεφτείτε εξοικονόμηση στην εκπαίδευση (και η εξοικονόμηση έχει νόημα), να προετοιμαστείτε και να πάτε κατευθείαν στην εξέταση πιστοποίησης, η οποία , παρεμπιπτόντως, αξίζει 700 USD. Σε περίπτωση αποτυχίας, θα πρέπει να πληρώσετε ξανά. Υπάρχουν πολλά κέντρα πιστοποίησης που θα σας δεχτούν για τις εξετάσεις· το κυριότερο είναι να κάνετε αίτηση εκ των προτέρων. Σε γενικές γραμμές, προτείνω να ορίσετε αμέσως την ημερομηνία της εξέτασης, γιατί διαφορετικά θα την καθυστερείτε συνεχώς, αντικαθιστώντας τη διαδικασία προετοιμασίας με άλλα ζωτικής σημασίας και όχι απολύτως σημαντικά θέματα. Και το να έχετε μια συγκεκριμένη ημερομηνία προθεσμίας θα σας κάνει να παρακινηθείτε.
Πηγή: www.habr.com