Tere kõigile! Kõigi lemmikportaalis oli palju erinevaid artikleid infoturbe valdkonna sertifitseerimise kohta, nii et ma ei hakka väitma sisu originaalsust ja unikaalsust, kuid siiski tahaksin väga jagada oma kogemusi GIAC (Global Information Assurance Company) hankimisel. sertifitseerimine tööstusliku küberturvalisuse valdkonnas. Alates selliste kohutavate sõnade ilmumisest nagu , , Shamoon, Triton, hakkas tekkima IT-spetsialistide teenuste osutamise turg, kes näivad olevat IT, kuid võivad redelil konfiguratsiooni ümberkirjutamisega ka PLC-sid üle koormata ja samal ajal tehast ei saa peatada.
Nii tuli maailma IT&OT (Information Technology & Operation Technology) kontseptsioon.
Kohe järgmisena (selge, et kvalifitseerimata töötajaid ei tohi tööle lasta) tekkis vajadus sertifitseerida protsessijuhtimissüsteemide ja tööstussüsteemide ohutuse tagamisega seotud valdkonna spetsialiste – millest selgub, et neid on palju. neid meie elus, alates korteri automaatsest veevarustusklapist kuni lennukite juhtimissüsteemini (pidage meeles suurepärast artiklit probleemide uurimise kohta ). Ja isegi, nagu ootamatult selgus, keerulised meditsiiniseadmed.
Lühike laulutekst sellest, kuidas jõudsin tunnistuse saamise vajaduseni (võite vahele jätta): Olles XNUMX. aastate lõpus edukalt lõpetanud õpingud infoturbe teaduskonnas, astusin peaga instrumentaallammaste ridadesse. kõrgel, töötades nõrkvoolu valvesignalisatsioonisüsteemide mehaanikuna. Tundub, et infoturbest mulle tollal ettevõttes räägiti :) Nii sai alguse minu karjäär infoturbe bakalaureusekraadiga automatiseeritud juhtimissüsteemide spetsialistina. Kuus aastat hiljem, olles tõusnud SCADA süsteemide osakonna juhiks, läksin tööle tööstusjuhtimissüsteemide turvakonsultandina välismaisesse tarkvara ja seadmeid müüvasse ettevõttesse. Siin tekkiski vajadus olla sertifitseeritud infoturbespetsialist.
on areng organisatsioon, mis viib läbi infoturbespetsialistide koolitust ja sertifitseerimist. GIAC-sertifikaadi maine on EMEA, USA ja Aasia Vaikse ookeani piirkonna turgude spetsialistide ja klientide seas väga kõrge. Siin, postsovetlikus ruumis ja SRÜ riikides saavad sellist sertifikaati taotleda ainult meie riigis tegutsevad välismaised ettevõtted, rahvusvahelised ja konsultatsiooniagentuurid. Mina isiklikult pole kunagi kohanud kodumaiste ettevõtete sellise sertifikaadi taotlust. Kõik küsivad põhimõtteliselt CISSP-d. See on minu subjektiivne arvamus ja kui keegi jagab oma kogemusi kommentaarides, siis oleks huvitav teada.
SANS-is on päris palju erinevaid alasid (minu arust on viimasel ajal kutid oma arvu liiga palju laiendanud), aga seal on ka väga huvitavaid praktilisi kursusi. Eriti meeldis . Aga lugu tuleb kursusest ja sertifikaat nimega: .
Kõigist SANS-i pakutavatest tööstusliku küberturvalisuse sertifikaatidest on see kõige universaalsem. Kuna teine puudutab rohkem Power Grid süsteeme, millele läänes pööratakse erilist tähelepanu ja mis kuuluvad eraldi süsteemide klassi. Ja kolmas (minu sertifitseerimise ajal) oli seotud juhtumitele reageerimisega.
Kursus ei ole odav, kuid annab üsna laialdased teadmised IT&OT-st. See on eriti kasulik neile seltsimeestele, kes on otsustanud oma valdkonda muuta, näiteks panganduse IT-turvalisusest tööstusliku küberturvalisuse vastu. Kuna mul oli juba protsessijuhtimissüsteemide, mõõteriistade ja töötehnoloogia valdkonna taust, siis midagi põhimõtteliselt uut ega eluliselt olulist minu jaoks sellel kursusel ei olnud.
Kursus koosneb 50% teooriast ja 50% praktikast. Praktiliselt oli kõige huvitavam võistlus NetWars. Kahe päeva jooksul jagati pärast põhikursust kõikide klasside õpilased meeskondadesse ja täitsid ülesandeid juurdepääsuõiguste saamiseks, vajaliku teabe hankimiseks, võrgule juurdepääsu saamiseks, hunnik ülesandeid räside reklaamimiseks, Wiresharkiga töötamiseks. ja igasuguseid erinevaid maiustusi.
Kursuse materjal on kokku võetud raamatute kujul, mille saate seejärel igaveseks kasutamiseks. Muide, saate neid eksamile võtta, kuna vorming on Open Book, kuid need ei aita teid palju, kuna eksamil on 3 tundi, 115 küsimust ja esitamise keel on inglise keel. Kogu 3 tunni jooksul saate teha 15-minutilise pausi. Kuid pidage meeles, et tehes 15-minutilise pausi ja naastes pärast 5-i testide juurde, loobute lihtsalt ülejäänud kümnest minutist, kuna te ei saa enam testimisprogrammis aega peatada. Saate vahele jätta kuni 15 küsimust, mis ilmuvad siis päris lõpus.
Isiklikult ei soovita ma väga palju küsimusi hilisemaks jätta, sest 3 tundi on tõesti vähe aega ja kui lõpus tekib küsimusi, mis on veel lahendamata, siis on suur tõenäosus, et ei jõua teha. seda õigel ajal. Jätsin hilisemaks ainult kolm küsimust, mis olid minu jaoks väga keerulised, kuna need olid seotud NIST 800.82 ja NERC standardi tundmisega. Psühholoogiliselt löövad sellised küsimused "hiljemaks" närvidele päris lõpus - kui aju on väsinud, tahad tualetti minna, tundub taimer ekraanil hüppeliselt kiirenevat.
Üldiselt on testi sooritamiseks vaja 71% õigeid vastuseid. Enne eksami sooritamist on teil võimalus harjutada päristestidel - kuna hinna sees on 2 harjutustesti 115 küsimusega ja reaalse eksamiga sarnaste tingimustega.
Soovitan sooritada eksam kuu aega pärast koolituse läbimist, kulutada see kuu süstemaatilisele iseõppimisele nendes küsimustes, milles tunned end ebakindlalt. Oleks tore, kui võtaksite ette kursuse käigus saadud trükimaterjalid, mis näevad iga teema kohta välja lühikonspektid – ja otsite sihikindlalt infot nendes raamatutes sisalduvate teemade kohta. Jagage kuu kaheks osaks, tehke harjutustestid ja saage ligikaudne pilt sellest, millistes valdkondades olete tugev ja kus on vaja end parandada.
Tahaksin esile tõsta järgmisi põhivaldkondi, mis moodustavad eksami enda (mitte koolituse, kuna see hõlmab palju ulatuslikumaid teemasid):
- Füüsiline turvalisus: sarnaselt teistele sertifitseerimiseksamitele pööratakse sellele probleemile GICSP-s palju tähelepanu. Küsimusi on uste füüsiliste lukkude tüüpide kohta, kirjeldatakse olukordi elektrooniliste pääsmete võltsimisega, kus probleemi ühemõtteliseks tuvastamiseks peate andma vastuse. Küsimused on otseselt seotud tehnoloogia (protsessi) ohutusega, olenevalt ainevaldkonnast - nafta- ja gaasiprotsessid, tuumajaamad või elektrivõrgud. Näiteks võib tekkida järgmine küsimus: Tehke kindlaks, mis tüüpi füüsiline turvakontroll on olukord, kui HMI aurutemperatuuri andurilt tuleb häire? Või küsimus nagu: milline olukord (sündmus) on põhjuseks, miks analüüsida objekti perimeetri valvesüsteemi valvekaamerate videosalvestisi?
Protsentuaalselt märgin, et selle jaotise küsimuste arv minu eksamil ja praktikatestides ei ületanud 5%.
- Teine ja üks levinumaid küsimuste kategooriaid on küsimused protsessijuhtimissüsteemide, PLC, SCADA kohta: siin on vaja süstemaatiliselt läheneda materjalide uurimisele, kuidas protsessijuhtimissüsteemid on üles ehitatud, alates anduritest kuni serveriteni, kus rakendustarkvara ise. jookseb. Piisavalt palju küsimusi leitakse tööstuslike andmeedastusprotokollide tüüpide kohta (ModBus, RTU, Profibus, HART jne). Tekib küsimusi selle kohta, mille poolest RTU erineb PLC-st, kuidas kaitsta PLC-s olevaid andmeid ründaja poolt muutmise eest, millistes mälupiirkondades PLC andmeid salvestab ja kuhu salvestatakse loogika ise (protsessijuhtimissüsteemi programmeerija poolt kirjutatud programm ). Näiteks võib tekkida selline küsimus: andke vastus sellele, kuidas tuvastada ModBus-protokolli kasutades töötava PLC ja HMI vaheline rünnak?
Tekib küsimusi SCADA ja DCS süsteemide erinevuste kohta. Suur hulk küsimusi reeglite kohta, mis käsitlevad automatiseeritud protsessijuhtimisvõrkude eraldamist L1, L2 tasemel L3 tasemest (kirjeldan üksikasjalikumalt võrgu küsimustega jaotises). Olukorraküsimused selle teema kohta on samuti väga mitmekesised - need kirjeldavad olukorda juhtimisruumis ja peate valima toimingud, mida protsessi operaator või dispetšer peab tegema.
Üldiselt on see jaotis kõige spetsiifilisem ja kitsam profiil. Nõuab häid teadmisi:
— automatiseeritud juhtimissüsteem, väliosa (andurid, seadmete ühenduste tüübid, andurite füüsilised omadused, PLC, RTU);
— protsesside ja objektide hädaseiskamissüsteemid (ESD – hädaseiskamissüsteem) (muide, sellel teemal on Habré kohta suurepärane artiklisari )
— põhiteadmised füüsikalistest protsessidest, mis toimuvad näiteks nafta rafineerimisel, elektri tootmisel, torustikes jne;
— arusaamine DCS- ja SCADA-süsteemide arhitektuurist;
Märgin, et seda tüüpi küsimusi võib eksami kõigi 25 küsimuse jooksul esineda kuni 115%. - Võrgutehnoloogiad ja võrgu turvalisus: arvan, et selle teema küsimuste arv on eksamil esikohal. Tõenäoliselt on seal absoluutselt kõike - OSI mudel, millistel tasemetel see või teine protokoll töötab, palju küsimusi võrgu segmenteerimise kohta, olukorraga seotud küsimused võrgurünnakute kohta, näiteid ühenduse logidest koos ettepanekuga rünnaku tüübi määramiseks, näiteid lüliti konfiguratsioonidest ettepanekuga määrata haavatav konfiguratsioon, küsimused võrguprotokollide haavatavuste kohta, küsimused tööstuslike sideprotokollide võrguühenduste eripärade kohta. Inimesed küsivad eriti palju ModBusi kohta. Sama ModBusi võrgupakettide struktuur, olenevalt selle tüübist ja seadme toetatavatest versioonidest. Palju tähelepanu pööratakse rünnakutele traadita võrkude vastu – ZigBee, Wireless HART ja lihtsalt küsimused kogu 802.1x perekonna võrguturvalisuse kohta. Tekivad küsimused teatud serverite protsessijuhtimissüsteemi võrku paigutamise reeglite kohta (siin tuleb lugeda standardit IEC-62443 ja mõista protsessijuhtimissüsteemide võrkude etalonmudelite põhimõtteid). Purdue mudeli kohta on küsimusi.
- Küsimuste kategooria, mis on seotud eranditult elektri ülekandesüsteemide ja nende jaoks mõeldud infoturbesüsteemide toimimise funktsionaalsete omadustega. USA-s nimetatakse seda automatiseeritud protsessijuhtimissüsteemide kategooriat Power Grid ja sellele on määratud eraldi roll. Selleks antakse isegi välja eraldi standardid (NIST 800.82), mis reguleerivad selle sektori infoturbesüsteemide loomise lähenemist. Meie riikides piirdub see sektor enamjaolt ASKUE süsteemidega (parandage mind, kui keegi on näinud tõsisemat lähenemist elektri jaotus- ja tarnesüsteemide jälgimisele). Seega leiad eksamilt üsna spetsiifilisi Power Gridiga seotud küsimusi. Enamasti olid need elektrijaamas välja kujunenud konkreetse olukorra kasutusjuhtumid, kuid võib olla ka uuringuid just elektrivõrgus kasutatavate seadmete kohta. Selle kategooria süsteemide jaoks on küsimusi NIST-i jaotiste tundmise kohta.
- Standardite tundmisega seotud küsimused: NIST 800-82, NERC, IEC62443. Arvan siin ilma eriliste kommentaarideta - peate navigeerima standardite jaotistes, kes vastutab selle eest, mida ja milliseid soovitusi see sisaldab. On konkreetseid küsimusi, näiteks küsitakse süsteemi funktsionaalsuse kontrollimise sagedust, protseduuri uuendamise sagedust jne. Selliste küsimuste protsendina võib kohata kuni 15% küsimuste koguarvust. Aga oleneb. Näiteks kahel harjutustestil tekkis mul vaid paar sarnast küsimust. Aga eksami ajal oli neid tõesti palju.
- Noh, viimane küsimuste kategooria on kõikvõimalikud kasutusjuhtumid ja olukorraga seotud küsimused.
Üldiselt koolitus ise, kui CTF NetWars võib-olla välja arvata, ei olnud minu jaoks potentsiaalselt uute teadmiste omandamise osas kuigi informatiivne. Pigem omandati mõne teema sügavamaid üksikasju, eriti tehnoloogilise teabe edastamiseks kasutatavate raadiovõrkude korraldamise ja kaitse vallas, samuti organiseeritumat materjali sellele teemale pühendatud välisstandardite struktuuri kohta. Seetõttu võivad insenerid ja spetsialistid, kellel on piisavad teadmised ja kogemused protsesside juhtimissüsteemide/instrumenteerimissüsteemide või tööstusvõrkudega töötamisel, mõelda koolitusel säästmisele (ja säästmine on mõttekas), valmistuda ja minna otse sertifitseerimiseksamile, mis , muide, on väärt 700 USD. Ebaõnnestumise korral peate uuesti maksma. Sertifitseerimiskeskusi, mis teid eksamile vastu võtavad, on palju; peamine on eelnevalt kandideerida. Üldiselt soovitan eksamikuupäeva kohe paika panna, sest muidu lükkad sellega pidevalt edasi, asendades ettevalmistusprotsessi muude eluliste ja mitte täiesti oluliste asjadega. Konkreetne tähtaeg muudab teid motiveerituks.
Allikas: www.habr.com