Kaixo guztioi! Guztien atari gogokoenak informazio-segurtasunaren alorreko ziurtapenari buruzko hainbat artikulu zituen, beraz, ez dut edukiaren originaltasuna eta berezitasuna aldarrikatuko, baina hala ere GIAC (Global Information Assurance Company) lortzeko nire esperientzia partekatu nahiko nuke. Zibersegurtasun industrialaren arloko ziurtagiria. bezalako hitz izugarriak agertu zirenetik , , Shamoon, Triton, IT itxura duten espezialisten zerbitzuak eskaintzeko merkatua, baina PLCak ere gainkarga ditzakete eskaileretan konfigurazioa berridaztearekin, eta, aldi berean, planta gelditu ezin dena, osatzen hasi zen.
Horrela sortu zen IT&OT (Information Technology & Operation Technology) kontzeptua mundura.
Berehala (argi dago kualifikaziorik gabeko langileei ez zaiela lan egiten utzi behar) prozesuen kontrol-sistemen eta industria-sistemen segurtasuna bermatzearekin lotutako arloko espezialistak ziurtatzeko beharra agertu zen -horietatik, antza denez, asko daude. horiek gure bizitzan, apartamentu bateko ur hornidura automatikoko balbula batetik kontrol-sistemako hegazkinetara (gogoratu arazoak ikertzeari buruzko artikulu bikaina ). Eta, bat-batean ondorioztatu zen bezala, ekipamendu mediko konplexua ere bai.
Ziurtagiria lortzeko beharrari buruzko letra labur bat (saltatu dezakezu): XNUMXko hamarkadaren amaieran Informazio Segurtasun Fakultatean ikasketak arrakastaz amaituta, tresneria ardiaren mailan sartu nintzen buruarekin. goian eutsita, korronte baxuko segurtasun-alarma-sistemetarako mekaniko gisa lan eginez. Badirudi garai hartan enpresan informazioaren segurtasuna esan zidatela :) Horrela hasi zen nire karrera kontrol sistema automatizatuko espezialista gisa, informazioaren segurtasunean lizentziatua. Sei urte geroago, SCADA sistemen saileko buru mailara iritsita, industria kontrol sistemen segurtasun aholkulari gisa lan egitera utzi nuen softwarea eta ekipoak saltzen dituen atzerriko enpresa batean. Hor sortu zen informazio-segurtasuneko espezialista ziurtatua izateko beharra.
garapen bat da informazioaren segurtasuneko espezialisten prestakuntza eta ziurtapena egiten duen erakundea. GIAC ziurtagiriaren ospea oso handia da EMEA, AEB eta Asia Pazifikoko merkatuetako espezialisten eta bezeroen artean. Hemen, sobietar osteko espazioan eta CIS herrialdeetan, ziurtagiri hori gure herrialdeetan negozioak dituzten atzerriko enpresek, nazioarteko eta aholkularitza agentziek bakarrik eskatu dezakete. Pertsonalki, ez dut inoiz topatu etxeko enpresek ziurtagiri hori lortzeko eskaerarik. Guztiek CISSP eskatzen dute funtsean. Hau da nire iritzi subjektiboa eta norbaitek iruzkinetan bere esperientzia partekatzen badu, interesgarria izango da jakitea.
SANSen dezente arlo ezberdin daude (nire ustez, azkenaldian mutilek gehiegi zabaldu dute euren kopurua), baina ikastaro praktiko oso interesgarriak ere badaude. Batez ere gustatu zait . Baina istorioa ikastaroari buruzkoa izango da eta deitzen den ziurtagiria: .
SANSek eskaintzen dituen Zibersegurtasun Industrialeko ziurtagiri mota guztien artean, hau da unibertsalena. Bigarrena Power Grid sistemekin erlazionatzen denez gero, Mendebaldean arreta berezia jasotzen dute eta aparteko sistema klase batekoak dira. Eta hirugarrena (nire ziurtagiri-bidearen garaian) Intzidentziaren Erantzunarekin zerikusia zuen.
Ikastaroa ez da merkea, baina IT&OTren ezagutza nahiko zabala eskaintzen du. Bereziki erabilgarria izango da beren eremua aldatzea erabaki duten lagunentzat, adibidez, banku-sektoreko IT segurtasunetik Industria Zibersegurtasunera. Dagoeneko prozesuak kontrolatzeko sistemen, tresneriaren eta eragiketa-teknologien arloan aurrekariak banuenez, ez zen ezer funtsean berririk edo ezinbesteko garrantzitsurik izan niretzat ikastaro honetan.
Ikastaroak %50 teoria eta %50 praktika ditu. Praktikaren arabera, lehiaketarik interesgarriena NetWars izan zen. Bi egunez, klaseen ikastaro nagusiaren ostean, klase guztietako ikasle guztiak taldeetan banatu eta zereginak egin zituzten sarbide-eskubideak lortzeko, beharrezko informazioa ateratzeko, sarera sartzeko, hash-ak sustatzeko ataza mordoa, Wireshark-ekin lan egiteko. eta era guztietako gozokiak.
Ikastaroaren materiala liburu moduan laburbiltzen da, gero betirako erabil dezazun. Bide batez, azterketara eraman ditzakezu, formatua Open Book delakoa, baina ez dizute asko lagunduko, azterketak 3 ordu ditu, 115 galdera eta entrega hizkuntza ingelesa baita. 3 ordu osoan zehar, 15 minutuko atsedena hartu dezakezu. Baina kontuan izan 15 minutuko atseden bat hartu eta 5en ondoren probetara itzuliz, gainerako hamar minutuak besterik gabe uzten ari zarela, ezingo baituzu proba-programan denborarik gelditu. Gehienez 15 galdera salta ditzakezu, amaieran agertuko direnak.
Pertsonalki, ez dut gomendatzen galdera asko gerorako uztea, 3 ordu benetan ez direlako denbora nahikoa, eta amaieran oraindik ebatzi gabeko galderak dituzunean, aukera handia dago ezinezkoa izateko. garaiz. Gerorako utzi nituen benetan zailak ziren hiru galdera bakarrik, NIST 800.82 eta NERC estandarraren ezagutzarekin zerikusia zutelako. Psikologikoki, "gerorako" galderek nerbioak jotzen dituzte amaieran: zure garuna nekatuta dagoenean, komunera joan nahi duzunean, pantailako tenporizadoreak esponentzialki bizkortzen duela dirudi.
Oro har, proba gainditzeko % 71ko erantzun zuzenak lortu behar dira. Azterketa egin aurretik, benetako probetan praktikatzeko aukera izango duzu -prezioak 2 galderako 115 praktika-proba barne hartzen baititu eta benetako azterketaren antzeko baldintzekin.
Prestakuntza amaitu eta hilabetera azterketa egitea gomendatzen dut, hilabete hau autoikaskuntza sistematikoan igarotzea ziur sentitzen zaren gai horietan. Ongi legoke ikastaroan zehar jasotako inprimatutako materialak, gai bakoitzaren laburpen laburrak diruditenak, eta liburu hauetan jasotako gaiei buruzko informazioa nahita bilatzea. Banatu hilabetea bi zatitan, praktika probak eginez eta zein arlotan indartsu zauden eta non hobetu behar duzun argazki laburra lortuz.
Azterketa bera osatzen duten arlo nagusi hauek nabarmendu nahi ditut (ez prestakuntza ikastaroa, gai askoz zabalagoak lantzen baititu):
- Segurtasun fisikoa: beste ziurtapen azterketetan bezala, gai honi arreta handia ematen zaio GICSPn. Ateetako sarraila fisiko motei buruzko galderak daude, pase elektronikoen faltsutze egoerak deskribatzen dira, non arazoa anbiguotasunik gabe identifikatzeko erantzuna eman behar duzun. Teknologiaren (prozesuaren) segurtasunarekin zuzenean lotutako galderak daude, gaiaren arabera -petrolio eta gas-prozesuak, zentral nuklearrak edo sare elektrikoak-. Adibidez, honelako galdera bat egon daiteke: Zehaztu zer nolako segurtasun fisikoaren kontrol mota dagoen Alarma bat HMIko lurrun-tenperatura-sentsoretik datorrenean? Edo honelako galdera bat: Zein egoera (gertaera) balioko du instalazioaren perimetroko segurtasun-sistemako zaintza-kameretako bideo-grabaketak aztertzeko?
Ehunekotan, esango nuke atal honi buruzko galdera kopurua nire azterketan eta praktiketako probetan ez dela %5etik gorakoa izan.
- Galdera-kategoria bat eta hedatuenetako bat prozesuak kontrolatzeko sistemei buruzko galderak dira, PLC, SCADA: hemen beharrezkoa izango da prozesuen kontrol sistemak nola egituratzen diren aztertzeko materialen azterketa sistematikoki hurbiltzea, sentsoreetatik hasi eta zerbitzarietara, non aplikazio softwarea bera. korrika. Datuen transferentzia industrialaren protokoloen motei buruzko galdera kopuru nahikoa aurkituko da (ModBus, RTU, Profibus, HART, etab.). RTU PLCtik nola ezberdintzen den galderak izango dira, nola babestu PLCko datuak erasotzaile batek aldaketetatik, zein memoria-eremutan gordetzen dituen PLCak datuak eta non gordetzen den logika bera (prozesua kontrolatzeko sistemaren programatzaile batek idatzitako programa). ). Adibidez, mota honetako galdera bat egon daiteke: ModBus protokoloa erabiliz funtzionatzen duten PLC baten eta HMI baten arteko eraso bat nola detekta dezakezun erantzuna eman?
SCADA eta DCS sistemen arteko desberdintasunei buruzko galderak egongo dira. L1, L2 mailatik L3 mailatik prozesu automatizatuen kontrol sareak bereizteko arauei buruzko galdera ugari (sareari buruzko galderen atalean zehatzago deskribatuko dut). Gai honi buruzko egoera-galderak ere askotarikoak izango dira: kontrol-gelako egoera deskribatzen dute eta prozesuko operadoreak edo bidaltzaileak egin behar dituen ekintzak hautatu behar dituzu.
Oro har, atal hau da zehatzena eta profil estuena. Ezagutza ona izatea eskatzen dizu:
β Kontrol-sistema automatizatua, eremu-zatia (sentsoreak, gailuen konexio motak, sentsoreen ezaugarri fisikoak, PLC, RTU);
β larrialdiko itzaltze sistemak (ESD β emergency shutdown system) prozesu eta objektuen (bide batez, gai honi buruzko artikulu sorta bikaina dago HabrΓ©-n). )
β Esaterako, petrolio-finketan, elektrizitatearen sorkuntzan, hodietan eta abarretan gertatzen diren prozesu fisikoen oinarrizko ulermena;
β DCS eta SCADA sistemen arkitektura ulertzea;
Ohartuko nuke mota honetako galderak % 25eraino gerta daitezkeela azterketako 115 galdera guztietan. - Sare-teknologiak eta sare-segurtasuna: Nire ustez, gai honetako galdera kopurua azterketan lehena da. Seguruenik denetarik egongo da: OSI eredua, protokolo honek edo besteek zer mailatan funtzionatzen duten, sarearen segmentazioari buruzko galdera asko, sareko erasoei buruzko egoera-galderak, konexio-erregistroen adibideak eraso mota zehazteko proposamen batekin, etengailuen konfigurazioen adibideak. Konfigurazio zaurgarri bat zehazteko proposamen batekin, ahultasunen sare-protokoloei buruzko galderak, industria-komunikazio-protokoloen sare-konexioen berezitasunei buruzko galderak. Jendeak batez ere asko galdetzen du ModBus-i buruz. ModBus bereko sare-paketeen egitura, gailuak onartzen dituen motaren eta bertsioen arabera. Arreta handia ematen zaie hari gabeko sareen aurkako erasoei - ZigBee, Wireless HART, eta 802.1x familia osoaren sareko segurtasunari buruzko galderak besterik ez dira. Prozesuen kontrol sistemaren sarean zerbitzari batzuk jartzeko arauei buruzko galderak egongo dira (hemen IEC-62443 araua irakurri eta prozesuen kontrol sistemen sareen erreferentzia-ereduen printzipioak ulertu behar dituzu). Purdue ereduari buruzko galderak egongo dira.
- Elektrizitatea garraiatzeko sistemen eta horientzako informazioaren segurtasun sistemen funtzionamenduaren ezaugarri funtzionalekin soilik zerikusia duen gai-kategoria. AEBetan, prozesu automatizatuen kontrol sistemen kategoria honi Power Grid deitzen zaio eta aparteko eginkizun bat ematen zaio. Horretarako, estandar bereiziak ere ematen dira (NIST 800.82) sektore honetarako informazioaren segurtasun sistemak sortzeko planteamendua arautzen dutenak. Gure herrialdeetan, gehienetan, sektore hau ASKUE sistemetara mugatzen da (zuzen nazazu norbaitek elektrizitatea banatzeko eta banatzeko sistemak kontrolatzeko ikuspegi serioagoa ikusi badu). Beraz, azterketan Power Grid-ekin lotutako galdera nahiko zehatzak aurkituko dituzu. Gehienetan, Zentralean garatu zen egoera zehatz baterako erabilera-kasuak izan ziren, baina Elektrizitate Sarean bereziki erabiltzen diren gailuei buruzko inkestak ere egon daitezke. Sistema kategoria honetarako NIST atalen ezagutzari buruzko galderak egongo dira.
- Arauen ezagutzarekin lotutako galderak: NIST 800-82, NERC, IEC62443. Uste dut hemen iruzkin berezirik gabe - estandarren ataletan nabigatu behar duzu, zeina da zer eta zer gomendio dituen. Galdera zehatzak daude, adibidez, sistemaren funtzionaltasuna egiaztatzeko maiztasuna, prozedura eguneratzeko maiztasuna, etab. Galdera horien ehuneko gisa, galdera kopuru osoaren %15eraino aurki daiteke. Baina araberakoa da. Esaterako, bi probetan antzeko galdera pare bat baino ez ditut topatu. Baina egia esan, asko izan ziren azterketan.
- Bada, azken galdera-kategoria erabilera-kasu eta egoera-galderak dira.
Orokorrean, prestakuntza bera, CTF NetWars izan ezik, ez zen niretzat oso informagarria izan ezagutza berriak eskuratzeari dagokionez. Aitzitik, gai batzuen xehetasun sakonagoak lortu ziren, batez ere informazio teknologikoa transmititzeko erabiltzen diren irrati-sareen antolaketa eta babesaren arloan, baita gai honi eskainitako atzerriko estandarren egiturari buruzko material antolatuagoa ere. Hori dela eta, prozesuen kontrol-sistemekin/tresneria-sistemekin edo sare industrialekin lan egiten duten ezagutza eta esperientzia nahikoa duten ingeniarientzat eta espezialistentzat, prestakuntzan aurreztea pentsa dezakezu (eta aurrezten du zentzua), prestatu zeure burua eta joan zaitez zuzenean ziurtagiri-azterketa egitera. , bide batez, 700USD balio du. Huts eginez gero, berriro ordaindu beharko duzu. Azterketarako onartuko zaituzten ziurtagiri-zentro ugari daude; nagusia aldez aurretik eskatzea da. Oro har, azterketa-data berehala ezartzea gomendatzen dut, bestela etengabe atzeratuko duzulako, prestaketa-prozesua ezinbesteko eta guztiz garrantzitsuak ez diren beste gai batzuekin ordezkatuz. Eta epe-data zehatz bat izateak auto-motibatu egingo zaitu.
Iturria: www.habr.com