Saluton al ĉiuj! La plej ŝatata portalo de ĉiuj havis multajn diversajn artikolojn pri atestado en la kampo de informa sekureco, do mi ne pretendos originalecon kaj unikecon de la enhavo, sed mi tamen tre ŝatus kunhavigi mian sperton pri akiro de GIAC (Tutmonda Kompanio pri Asekuro de Informoj). atestado en la kampo de industria cibersekureco. Ekde la apero de tiaj teruraj vortoj kiel , , Shamoon, Triton, merkato por la provizado de servoj de specialistoj, kiuj ŝajnas esti IT, sed ankaŭ povas superŝarĝi PLCs kun reverkado de la agordo sur ŝtupetaroj, kaj samtempe la planto ne povas esti haltita, komencis formiĝi.
Jen kiel la koncepto de IT&OT (Information Technology & Operation Technology) venis en la mondon.
Tuj poste (estas klare, ke nekvalifikita dungitaro ne rajtas labori) venis la bezono atesti specialistojn en la fako rilate al certigi la sekurecon de procezkontrolsistemoj kaj industriaj sistemoj - el kiuj, rezultas, estas multaj ilin en niaj vivoj, de aŭtomata akvoproviza valvo en apartamento ĝis kontrolsistemo aviadiloj (memoru la bonegan artikolon pri esploro de problemoj ). Kaj eĉ, kiel subite montriĝis, kompleksa medicina ekipaĵo.
Mallonga kantoteksto pri kiel mi venis al la bezono akiri atestilon (vi povas preterlasi ĝin): Sukcese fininte miajn studojn ĉe la Fakultato pri Informa Sekureco fine de la XNUMX-aj jaroj, mi enpaŝis per mia kapo en la vicojn de la instrumenta ŝafo. tenita alte, laborante kiel mekanikisto por malalt-kurantaj sekurecaj alarmsistemoj. Ŝajnas, ke la informsekureco estis rakontita al mi ĉe la entrepreno tiutempe :) Tiel komenciĝis mia kariero kiel aŭtomatigita kontrolsistemo-specialisto kun bakalaŭro pri informa sekureco. Ses jarojn poste, altiĝinte al la rango de estro de la SCADA-sistemo-sekcio, mi foriris por labori kiel sekureca konsultisto por industriaj kontrolsistemoj en eksterlanda firmao, kiu vendis programaron kaj ekipaĵon. Ĉi tie ekestis la bezono esti atestita specialisto pri informa sekureco.
estas evoluo organizo kiu faras trejnadon kaj atestadon de informasekurecaj specialistoj. La reputacio de la GIAC-atestilo estas tre alta inter specialistoj kaj klientoj en la merkatoj de EMEA, Usono kaj Azio-Pacifiko. Ĉi tie, en la postsovetia spaco kaj en la CIS-landoj, tia atestilo povas esti petita nur de eksterlandaj kompanioj kun komerco en niaj landoj, internaciaj kaj konsultaj agentejoj. Persone, mi neniam renkontis peton pri tia atestado de enlandaj kompanioj. Ĉiuj esence petas CISSP. Ĉi tio estas mia subjektiva opinio kaj se iu dividas sian sperton en la komentoj, estos interese scii.
Estas sufiĉe da diversaj areoj en SANS (laŭ mi, lastatempe la uloj tro vastigis sian nombron), sed estas ankaŭ tre interesaj praktikaj kursoj. Mi precipe ŝatis ĝin . Sed la rakonto estos pri la kurso kaj atestilo nomata: .
El ĉiuj specoj de atestiloj pri Industria Ciber-Sekureco ofertitaj de SANS, ĉi tiu estas la plej universala. Ĉar la dua rilatas pli al Power Grid-sistemoj, kiuj en la Okcidento ricevas specialan atenton kaj apartenas al aparta klaso de sistemoj. Kaj la tria (je la tempo de mia atestada vojo) rilatis al Incident Response.
La kurso ne estas malmultekosta, sed ĝi disponigas sufiĉe ampleksan scion pri IT&OT. Ĝi estos speciale utila por tiuj kamaradoj, kiuj decidis ŝanĝi sian kampon, ekzemple de IT-sekureco en la banka industrio al Industria Ciber-Sekureco. Ĉar mi jam havis fonon en la kampo de procezkontrolsistemoj, instrumentado kaj operacia teknologio, estis nenio fundamente nova aŭ esence grava por mi en ĉi tiu kurso.
La kurso konsistas el 50% teorio kaj 50% praktiko. De praktiko, la plej interesa konkurso estis NetWars. Dum du tagoj, post la ĉefa kurso de klasoj, ĉiuj studentoj de ĉiuj klasoj estis dividitaj en teamojn kaj plenumis taskojn por akiri alirrajtojn, ĉerpi la necesajn informojn, akiri aliron al la reto, amason da taskoj por promocii haŝojn, labori kun Wireshark. kaj ĉiaj diversaj bonaĵoj.
La kursmaterialo estas resumita en la formo de libroj, kiujn vi poste ricevas por via ĉiama uzo. Cetere, vi povas preni ilin por la ekzameno, ĉar la formato estas Malferma Libro, sed ili ne multe helpos vin, ĉar la ekzameno havas 3 horojn, 115 demandojn, kaj la liverlingvo estas la angla. Dum la tutaj 3 horoj, vi povas preni paŭzon de 15 minutoj. Sed memoru, ke farante paŭzon dum 15 minutoj kaj revenante al la testoj post 5, vi simple rezignas la ceterajn dek minutojn, ĉar vi ne plu povos ĉesigi tempon en la testa programo. Vi povas preterlasi ĝis 15 demandojn, kiuj poste aperos ĉe la fino.
Persone, mi ne rekomendas lasi multajn demandojn por poste, ĉar 3 horoj vere ne sufiĉas, kaj kiam fine vi havas demandojn, kiuj ankoraŭ ne estis solvitaj, estas alta probableco ne povi fari. ĝi ĝustatempe. Mi lasis por poste nur tri demandojn, kiuj estis vere malfacilaj por mi, ĉar ili rilatis al scio pri la NIST 800.82 kaj NERC-normo. Psikologie tiaj demandoj "por poste" trafas viajn nervojn ĉe la fino - kiam via cerbo estas laca, vi volas iri al la necesejo, la tempigilo sur la ekrano ŝajnas eksponente plirapidiĝi.
Ĝenerale, por trapasi la teston, vi devas gajni 71% ĝustajn respondojn. Antaŭ fari la ekzamenon, vi havos la ŝancon ekzerci pri realaj testoj - ĉar la prezo inkluzivas 2 praktikajn testojn de 115 demandoj kaj kun kondiĉoj similaj al la reala ekzameno.
Mi rekomendas fari la ekzamenon monaton post fini la trejnadon, pasigi ĉi tiun monaton por sistema memstudado pri tiuj aferoj, pri kiuj vi sentas vin necerta. Estus bone, se vi prenu la presitajn materialojn ricevitajn dum la kurso, kiuj aspektas kiel mallongaj resumoj pri ĉiu temo – kaj celkonscie serĉu informojn pri la temoj enhavitaj en tiuj ĉi libroj. Rompu la monaton en du partojn, farante praktikajn testojn kaj ricevante malglatan bildon pri kiaj areoj vi estas forta kaj kie vi devas plibonigi.
Mi ŝatus reliefigi la jenajn ĉefajn areojn, kiuj konsistigas la ekzamenon mem (ne la trejnan kurson, ĉar ĝi kovras multe pli vastajn temojn):
- Fizika Sekureco: Kiel aliaj atestadaj ekzamenoj, ĉi tiu afero ricevas multe da atento en la GICSP. Estas demandoj pri la specoj de fizikaj seruroj sur pordoj, situacioj kun falsado de elektronikaj enirpermesiloj estas priskribitaj, kie vi devas doni respondon por malambigue identigi la problemon. Estas demandoj rekte rilataj al la sekureco de la teknologio (procezo), depende de la temo - petrolo kaj gaso procezoj, atomcentraloj aŭ elektroretoj. Ekzemple, povas esti demando kiel: Determini kian fizikan sekurecan kontrolon estas la situacio kiam Alarmo venas de la vapora temperaturo-sensilo sur la HMI? Aŭ demando kiel: Kiu situacio (okazaĵo) servos kiel kialo por analizi videoregistraĵojn de gvataj fotiloj de la perimetra sekureca sistemo de la instalaĵo?
Procentlingve, mi rimarkus, ke la nombro da demandoj pri ĉi tiu sekcio en mia ekzameno kaj en praktikaj testoj ne superis 5%.
- Alia kaj unu el la plej disvastiĝintaj kategorioj de demandoj estas demandoj pri procezkontrolsistemoj, PLC, SCADA: ĉi tie estos necese sisteme alproksimiĝi al la studo de materialoj pri kiel procezkontrolsistemoj estas strukturitaj, de sensiloj ĝis serviloj kie la aplikaĵo programaro mem kuras. Sufiĉa nombro da demandoj trovos pri la specoj de industriaj datumtransigo-protokoloj (ModBus, RTU, Profibus, HART, ktp.). Estos demandoj pri kiel RTU diferencas de PLC, kiel protekti datumojn en la PLC kontraŭ modifo de atakanto, en kiuj memorareoj la PLC stokas datumojn, kaj kie la logiko mem estas stokita (programo skribita de procezkontrolsistemprogramisto. ). Ekzemple, povas esti demando de ĉi tiu tipo: Donu respondon al kiel vi povas detekti atakon inter PLC kaj HMI, kiuj funkcias per la ModBus-protokolo?
Estos demandoj pri la diferencoj inter SCADA kaj DCS-sistemoj. Granda nombro da demandoj pri la reguloj por apartigi aŭtomatajn procezkontrolajn retojn ĉe la nivelo L1, L2 de la nivelo L3 (mi priskribos pli detale en la sekcio pri demandoj pri la reto). Situaciaj demandoj pri ĉi tiu temo ankaŭ estos tre diversaj - ili priskribas la situacion en la kontrolĉambro kaj vi devas elekti agojn, kiuj devas esti faritaj de la proceza funkciigisto aŭ sendanto.
Ĝenerale, ĉi tiu sekcio estas la plej specifa kaj mallarĝa profilo. Postulas vin havi bonan scion:
— aŭtomatigita kontrolsistemo, kampoparto (sensiloj, specoj de aparato-konektoj, fizikaj trajtoj de sensiloj, PLC, RTU);
— kriz-haltiga sistemoj (ESD – kriz-haltiga sistemo) de procezoj kaj objektoj (cetere, estas bonega serio da artikoloj pri tiu ĉi temo pri Habré el )
— baza kompreno de la fizikaj procezoj kiuj okazas, ekzemple, en naftrafinado, elektroproduktado, duktoj, ktp.;
— kompreno de la arkitekturo de DCS kaj SCADA sistemoj;
Mi rimarkus, ke demandoj de ĉi tiu tipo povas okazi ĝis 25% tra ĉiuj 115 demandoj de la ekzameno. - Retaj teknologioj kaj reto-sekureco: Mi pensas, ke la nombro da demandoj en ĉi tiu temo venas unue en la ekzameno. Verŝajne estos absolute ĉio - la OSI-modelo, je kiaj niveloj funkcias tiu aŭ alia protokolo, multaj demandoj pri retsegmentado, situaciaj demandoj pri retaj atakoj, ekzemploj de konekto-protokoloj kun propono por determini la tipon de atako, ekzemploj de ŝaltilo-agordoj. kun propono determini vundeblan agordon, demandojn pri vundeblecoj retaj protokoloj, demandoj pri la specifaĵoj de retaj konektoj de industriaj komunikadaj protokoloj. Homoj precipe demandas multe pri ModBus. La strukturo de retaj pakoj de la sama ModBus, depende de ĝia tipo kaj versioj subtenataj de la aparato. Multe da atento estas atentita al atakoj al sendrataj retoj - ZigBee, Wireless HART, kaj simple demandoj pri retsekureco de la tuta familio 802.1x. Estos demandoj pri la reguloj por meti iujn servilojn en la procezkontrolsistemon-reton (ĉi tie vi devas legi la IEC-62443-normon kaj kompreni la principojn de referencmodeloj de procezkontrolsistemoj-retoj). Estos demandoj pri la modelo Purdue.
- Kategorio de aferoj, kiu rilatas ekskluzive al la funkciaj trajtoj de la funkciado de elektrotranssendosistemoj kaj informsekurecaj sistemoj por ili. En Usono, ĉi tiu kategorio de aŭtomatigitaj procezkontrolaj sistemoj nomiĝas Potenca Reto kaj ricevas apartan rolon. Por tiu celo, apartaj normoj eĉ estas eldonitaj (NIST 800.82) reguligante la aliron al kreado de informaj sekurecsistemoj por ĉi tiu sektoro. En niaj landoj, plejparte, ĉi tiu sektoro estas limigita al ASKUE-sistemoj (korektu min, se iu vidis pli seriozan aliron al kontrolado de elektrodistribuo kaj liversistemoj). Do, en la ekzameno vi trovos sufiĉe specifajn demandojn rilatajn al Potenca Reto. Plejparte, ĉi tiuj estis uzkazoj por specifa situacio, kiu disvolviĝis ĉe la Elektrocentralo, sed povas ankaŭ ekzisti enketoj pri aparatoj, kiuj estas uzataj specife en la Elektroreto. Estos demandoj pri scio pri NIST-sekcioj por ĉi tiu kategorio de sistemoj.
- Demandoj rilataj al scio pri normoj: NIST 800-82, NERC, IEC62443. Mi pensas ĉi tie sen specialaj komentoj - vi devas navigi la sekciojn de la normoj, kiu respondecas pri kio kaj kiaj rekomendoj ĝi enhavas. Estas specifaj demandoj, ekzemple, demandante la oftecon de kontrolo de la funkcieco de la sistemo, la ofteco de ĝisdatigo de la proceduro, ktp. Kiel procento de tiaj demandoj, ĝis 15% de la totala nombro de demandoj povas esti renkontitaj. Sed dependas. Ekzemple, dum du praktikaj testoj mi renkontis nur kelkajn similajn demandojn. Sed vere estis multaj dum la ekzameno.
- Nu, la lasta kategorio de demandoj estas ĉiaj uzkazoj kaj situaciaj demandoj.
Ĝenerale, la trejnado mem, kun la ebla escepto de CTF NetWars, ne estis tre informa por mi koncerne akiron de eble novaj scioj. Prefere, pli profundaj detaloj de kelkaj temoj estis akiritaj, precipe en la kampo de organizo kaj protekto de radioretoj uzataj por transdoni teknologiajn informojn, same kiel pli organizitan materialon pri la strukturo de eksterlandaj normoj dediĉitaj al ĉi tiu temo. Sekve, por inĝenieroj kaj specialistoj, kiuj havas sufiĉan scion kaj sperton laborante kun procezaj kontrolsistemoj/instrumentaj sistemoj aŭ Industriaj Retoj, vi povas pensi pri ŝparado de trejnado (kaj ŝparado havas sencon), preparu vin kaj rekte fari la atestan ekzamenon, kiu , Cetere, valoras 700USD. En kazo de malsukceso, vi devos pagi denove. Estas multaj atestadaj centroj, kiuj akceptos vin por la ekzameno; la ĉefa afero estas kandidatiĝi anticipe. Ĝenerale mi rekomendas tuj fiksi la ekzamenan daton, ĉar alie vi konstante prokrastos ĝin, anstataŭigante la preparprocezon per aliaj esencaj kaj ne tute gravaj aferoj. Kaj havi specifan limdaton igos vin mem-motivita.
fonto: www.habr.com