ProHoster > وبلاگ > اخبار اینترنتی > چگونه قزاق ها گواهی GICSP را دریافت کردند

چگونه قزاق ها گواهی GICSP را دریافت کردند

سلام به همه! پورتال مورد علاقه همه مقالات مختلف زیادی در مورد صدور گواهینامه در زمینه امنیت اطلاعات داشت، بنابراین من قصد ندارم ادعای اصالت و منحصر به فرد بودن محتوا را داشته باشم، اما هنوز هم واقعاً دوست دارم تجربه خود را از دریافت GIAC (شرکت تضمین اطلاعات جهانی) به اشتراک بگذارم. صدور گواهینامه در زمینه امنیت سایبری صنعتی از زمان ظهور چنین کلمات وحشتناکی مانند استاکسنت, دوقو، Shamoon، Triton، بازاری برای ارائه خدمات متخصصانی که به نظر می رسد فناوری اطلاعات هستند، اما همچنین می توانند PLC ها را با بازنویسی پیکربندی روی نردبان ها بیش از حد بارگذاری کنند، و در عین حال کارخانه را نمی توان متوقف کرد، شروع به شکل گیری کرد.

اینگونه بود که مفهوم IT&OT (Information Technology & Operation Technology) به دنیا آمد.

بلافاصله بعد (مشخص است که نباید به پرسنل فاقد صلاحیت اجازه کار داده شود) نیاز به صدور گواهینامه متخصصان در زمینه مربوط به اطمینان از ایمنی سیستم های کنترل فرآیند و سیستم های صنعتی - که به نظر می رسد، تعداد زیادی از آنها وجود دارد. آنها در زندگی ما، از یک شیر آبرسانی خودکار در یک آپارتمان گرفته تا یک سیستم کنترل هواپیماها (مقاله عالی در مورد بررسی مشکلات را به خاطر بسپارید بوئینگ). و حتی، همانطور که به طور ناگهانی معلوم شد، تجهیزات پزشکی پیچیده.

غزلی کوتاه در مورد اینکه چگونه به نیاز به دریافت گواهینامه رسیدم (شما می توانید از آن بگذرید): پس از اتمام موفقیت آمیز تحصیلات خود در دانشکده امنیت اطلاعات در پایان دهه XNUMX، با سر به صفوف گوسفند ابزار دقیق قدم گذاشتم. به عنوان مکانیک برای سیستم های هشدار امنیتی با جریان پایین کار می کند. به نظر می رسد که امنیت اطلاعات در آن زمان در شرکت به من گفته شده بود :) اینگونه بود که کار من به عنوان یک متخصص سیستم کنترل خودکار با مدرک لیسانس در امنیت اطلاعات آغاز شد. شش سال بعد، با رسیدن به رتبه رئیس بخش سیستم های اسکادا، به عنوان مشاور امنیتی برای سیستم های کنترل صنعتی در یک شرکت خارجی که فروشنده نرم افزار و تجهیزات بود، کار را ترک کردم. اینجاست که نیاز به داشتن یک متخصص امنیت اطلاعات تایید شده بوجود آمد.

GIAC یک توسعه است SANS سازمانی که آموزش و صدور گواهینامه متخصصان امنیت اطلاعات را انجام می دهد. شهرت گواهی GIAC در بین متخصصان و مشتریان در بازارهای EMEA، ایالات متحده و آسیا و اقیانوسیه بسیار بالاست. در اینجا، در فضای پس از فروپاشی اتحاد جماهیر شوروی و در کشورهای مستقل مشترک المنافع، چنین گواهینامه ای فقط می تواند توسط شرکت های خارجی با تجارت در کشورهای ما، آژانس های بین المللی و مشاوره درخواست شود. من شخصاً تا به حال با درخواستی برای چنین گواهینامه ای از سوی شرکت های داخلی مواجه نشده ام. همه اساساً درخواست CISSP را دارند. این نظر ذهنی من است و اگر کسی تجربه خود را در نظرات به اشتراک بگذارد، جالب است بدانید.

در SANS چندین زمینه مختلف وجود دارد (به نظر من اخیراً بچه ها تعداد خود را بیش از حد افزایش داده اند) ، اما دوره های عملی بسیار جالبی نیز وجود دارد. من به خصوص آن را دوست داشتم NetWars. اما داستان در مورد دوره خواهد بود ICS410: ملزومات امنیتی ICS/SCADA و گواهی به نام: حرفه ای امنیت سایبری صنعتی جهانی (GICSP).

از بین تمام انواع گواهینامه های Industrial Cyber ​​Security ارائه شده توسط SANS، این جهانی ترین است. از آنجایی که دومی بیشتر به سیستم‌های شبکه برق مربوط می‌شود، که در غرب مورد توجه ویژه قرار می‌گیرند و به کلاس جداگانه‌ای از سیستم‌ها تعلق دارند. و سومی (در زمان مسیر صدور گواهینامه من) مربوط به Incident Response.
این دوره ارزان نیست، اما دانش بسیار گسترده ای از IT & OT ارائه می دهد. این به ویژه برای آن دسته از رفقای مفید خواهد بود که تصمیم گرفته اند رشته خود را تغییر دهند، به عنوان مثال از امنیت فناوری اطلاعات در صنعت بانکداری به امنیت سایبری صنعتی. از آنجایی که من قبلاً سابقه ای در زمینه سیستم های کنترل فرآیند، ابزار دقیق و فناوری عملیات داشتم، هیچ چیز اساساً جدید یا حیاتی برای من در این دوره وجود نداشت.

این دوره شامل 50٪ تئوری و 50٪ عملی است. از تمرین، جالب ترین مسابقه NetWars بود. به مدت دو روز، پس از پایان دوره اصلی کلاس ها، همه دانش آموزان تمام کلاس ها به تیم ها تقسیم شدند و وظایفی را برای به دست آوردن حقوق دسترسی، استخراج اطلاعات لازم، دسترسی به شبکه، یکسری کار برای ترویج هش، کار با Wireshark انجام دادند. و انواع خوبی های مختلف

مطالب دوره در قالب کتاب خلاصه شده است که سپس برای استفاده همیشگی خود دریافت می کنید. ضمنا با توجه به اینکه فرمت Open Book هست میتونین برای امتحان شرکت کنین ولی چون امتحان 3 ساعته 115 سواله و زبان تحویل هم انگلیسیه. در کل 3 ساعت می توانید 15 دقیقه استراحت کنید. اما به خاطر داشته باشید که با 15 دقیقه استراحت و بازگشت به تست ها بعد از 5، به سادگی ده دقیقه باقیمانده را رها می کنید، زیرا دیگر نمی توانید زمان را در برنامه تست متوقف کنید. شما می توانید حداکثر 15 سوال را نادیده بگیرید، که در پایان ظاهر می شوند.

به شخصه توصیه نمی کنم که سوالات زیادی را برای بعد بگذارید، زیرا 3 ساعت واقعا زمان کافی نیست و زمانی که در پایان سوالاتی دارید که هنوز حل نشده اند، احتمال اینکه نتوانید انجام دهید زیاد است. آن را به موقع بعداً فقط سه سؤال را گذاشتم که واقعاً برایم سخت بود، زیرا مربوط به دانش استاندارد NIST 800.82 و NERC بود. از نظر روانشناسی، چنین سوالاتی "برای بعد" در نهایت به اعصاب شما ضربه می زند - وقتی مغز شما خسته است، می خواهید به توالت بروید، به نظر می رسد تایمر روی صفحه به طور تصاعدی سرعت می گیرد.

به طور کلی، برای قبولی در آزمون باید 71% پاسخ صحیح را کسب کنید. قبل از شرکت در آزمون، امکان تمرین بر روی تست های واقعی را خواهید داشت - زیرا قیمت شامل 2 تست تمرینی 115 سوالی و با شرایطی مشابه آزمون واقعی می باشد.

من توصیه می کنم یک ماه پس از اتمام آموزش، امتحان را انجام دهید، این ماه را صرف خودآموزی سیستماتیک در مورد موضوعاتی کنید که در آن احساس عدم اطمینان دارید. چه خوب است که مطالب چاپی دریافت شده در طول دوره را که شبیه چکیده های کوتاه در مورد هر موضوع هستند، بردارید - و به طور هدفمند اطلاعاتی در مورد موضوعات موجود در این کتاب ها جستجو کنید. ماه را به دو بخش تقسیم کنید، تست‌های تمرینی را انجام دهید و تصویری کلی از اینکه در چه زمینه‌هایی قوی هستید و در کجا باید پیشرفت کنید به دست آورید.

من می خواهم زمینه های اصلی زیر را که خود آزمون را تشکیل می دهند (نه دوره آموزشی، زیرا موضوعات بسیار گسترده تری را پوشش می دهد) برجسته کنم:

  1. امنیت فیزیکی: مانند سایر آزمون های گواهینامه، این موضوع در GICSP بسیار مورد توجه قرار گرفته است. سوالاتی در مورد انواع قفل های فیزیکی روی درها وجود دارد، موقعیت هایی با جعل گذرنامه های الکترونیکی شرح داده شده است، که در آن باید پاسخی بدهید تا مشکل را بدون ابهام شناسایی کنید. بسته به حوزه موضوعی - فرآیندهای نفت و گاز، نیروگاه های هسته ای یا شبکه های برق، سؤالاتی مستقیماً با ایمنی فناوری (فرآیند) مرتبط است. به عنوان مثال، ممکن است یک سوال از این قبیل وجود داشته باشد: تعیین کنید زمانی که یک زنگ هشدار از سنسور دمای بخار در HMI می آید، چه نوع کنترل امنیتی فیزیکی است؟ یا سوالی مانند: چه موقعیتی (رویداد) دلیلی برای تجزیه و تحلیل فیلم های ضبط شده از دوربین های نظارتی سیستم امنیتی محیطی تأسیسات خواهد بود؟

    از نظر درصدی، باید توجه داشته باشم که تعداد سوالات این بخش در آزمون من و در آزمون های عملی بیش از 5٪ نبود.

  2. یکی دیگر از گسترده‌ترین دسته‌بندی‌های سؤالات، سؤالات مربوط به سیستم‌های کنترل فرآیند، PLC، SCADA است: در اینجا لازم است به طور سیستماتیک به مطالعه مواد در مورد نحوه ساختار سیستم‌های کنترل فرآیند، از حسگرها تا سرورهایی که خود نرم‌افزار کاربردی در آنجا هستند، نزدیک شویم. دویدن. تعداد کافی سؤال در مورد انواع پروتکل های انتقال داده های صنعتی (ModBus، RTU، Profibus، HART و غیره) یافت می شود. سوالاتی در مورد تفاوت RTU با PLC، نحوه محافظت از داده ها در PLC در برابر تغییر توسط مهاجم وجود دارد، PLC در کدام مناطق حافظه داده ها را ذخیره می کند، و خود منطق در کجا ذخیره می شود (برنامه ای که توسط یک برنامه نویس سیستم کنترل فرآیند نوشته شده است. ). به عنوان مثال، ممکن است یک سوال از این نوع وجود داشته باشد: پاسخ دهید که چگونه می توانید یک حمله بین PLC و HMI را که با استفاده از پروتکل ModBus کار می کنند، شناسایی کنید؟

    سوالاتی در مورد تفاوت بین سیستم های SCADA و DCS وجود خواهد داشت. تعداد زیادی سؤال در مورد قوانین جداسازی شبکه های کنترل فرآیند خودکار در سطح L1، L2 از سطح L3 (در بخش سؤالات در مورد شبکه با جزئیات بیشتر توضیح خواهم داد). سوالات موقعیتی در مورد این موضوع نیز بسیار متنوع خواهد بود - آنها وضعیت را در اتاق کنترل توصیف می کنند و شما باید اقداماتی را انتخاب کنید که باید توسط اپراتور فرآیند یا توزیع کننده انجام شود.

    به طور کلی، این بخش خاص ترین و باریک ترین قسمت است. مستلزم داشتن دانش خوب:
    - سیستم کنترل خودکار، بخش میدانی (حسگرها، انواع اتصالات دستگاه، ویژگی های فیزیکی سنسورها، PLC، RTU).
    - سیستم های خاموش کردن اضطراری (ESD - سیستم خاموشی اضطراری) فرآیندها و اشیاء (به هر حال، یک سری مقالات عالی در مورد این موضوع در Habré از ولادیمیر_اسکلیار)
    - درک اساسی از فرآیندهای فیزیکی که رخ می دهد، به عنوان مثال، در پالایش نفت، تولید برق، خطوط لوله، و غیره.
    - درک معماری سیستم های DCS و SCADA؛
    باید توجه داشته باشم که سوالات از این نوع می تواند تا 25٪ در تمام 115 سوال امتحان رخ دهد.

  3. فناوری های شبکه و امنیت شبکه: فکر می کنم تعداد سوالات این مبحث اول در امتحان باشد. احتمالاً همه چیز وجود خواهد داشت - مدل OSI ، در چه سطوحی این یا آن پروتکل عمل می کند ، سؤالات زیادی در مورد تقسیم بندی شبکه ، سؤالات موقعیتی در مورد حملات شبکه ، نمونه هایی از گزارش های اتصال با پیشنهادی برای تعیین نوع حمله ، نمونه هایی از تنظیمات سوئیچ با پیشنهادی برای تعیین پیکربندی آسیب پذیر، سؤالاتی در مورد آسیب پذیری های پروتکل های شبکه، سؤالاتی در مورد ویژگی های اتصالات شبکه پروتکل های ارتباطی صنعتی. مردم به خصوص در مورد ModBus زیاد می پرسند. ساختار بسته های شبکه همان ModBus، بسته به نوع آن و نسخه های پشتیبانی شده توسط دستگاه. توجه زیادی به حملات به شبکه‌های بی‌سیم - ZigBee، Wireless HART، و سؤالات ساده در مورد امنیت شبکه کل خانواده 802.1x می‌شود. سوالاتی در مورد قوانین قرار دادن سرورهای خاص در شبکه سیستم کنترل فرآیند وجود خواهد داشت (در اینجا باید استاندارد IEC-62443 را بخوانید و اصول مدل های مرجع شبکه های سیستم های کنترل فرآیند را درک کنید). سوالاتی در مورد مدل پوردو وجود خواهد داشت.
  4. دسته ای از مسائل که منحصراً به ویژگی های عملکردی عملکرد سیستم های انتقال برق و سیستم های امنیت اطلاعات برای آنها مربوط می شود. در ایالات متحده آمریکا، این دسته از سیستم های کنترل فرآیند خودکار، Power Grid نامیده می شود و نقش جداگانه ای به آن اختصاص می یابد. برای این منظور حتی استانداردهای جداگانه ای صادر شده است (NIST 800.82) که رویکرد ایجاد سیستم های امنیت اطلاعات را برای این بخش تنظیم می کند. در کشورهای ما، در بیشتر موارد، این بخش به سیستم های ASKUE محدود می شود (اگر کسی رویکرد جدی تری برای نظارت بر سیستم های توزیع و تحویل برق دیده است، من را اصلاح کنید). بنابراین، در آزمون سوالات کاملاً مشخصی در رابطه با شبکه برق پیدا خواهید کرد. در بیشتر موارد، اینها موارد استفاده برای یک موقعیت خاص بود که در نیروگاه ایجاد شد، اما ممکن است بررسی هایی نیز در مورد دستگاه هایی که به طور خاص در شبکه برق استفاده می شوند، وجود داشته باشد. سوالات مربوط به دانش بخش های NIST برای این دسته از سیستم ها وجود خواهد داشت.
  5. سوالات مربوط به دانش استانداردها: NIST 800-82, NERC, IEC62443. من فکر می کنم در اینجا بدون هیچ نظر خاصی - شما باید در بخش استانداردها حرکت کنید، که مسئول چه چیزی و چه توصیه هایی است. سوالات خاصی وجود دارد، به عنوان مثال، پرسیدن دفعات بررسی عملکرد سیستم، دفعات به روز رسانی رویه و غیره. به عنوان درصدی از این گونه سوالات، تا 15 درصد از تعداد کل سوالات را می توان مواجه کرد. اما بستگی دارد. به عنوان مثال، در دو آزمون تمرینی فقط با چند سوال مشابه روبرو شدم. اما واقعاً در طول امتحان تعداد آنها زیاد بود.
  6. خب، دسته آخر سوالات، انواع سؤالات کاربردی و موقعیتی هستند.

به طور کلی، خود آموزش، به استثنای CTF NetWars، از نظر کسب دانش بالقوه جدید برای من چندان آموزنده نبود. در عوض، جزئیات عمیق‌تری از برخی موضوعات، به‌ویژه در زمینه سازماندهی و حفاظت از شبکه‌های رادیویی مورد استفاده برای انتقال اطلاعات فن‌آوری، و همچنین مطالب سازمان‌یافته‌تر در مورد ساختار استانداردهای خارجی که به این موضوع اختصاص دارد، به دست آمد. بنابراین، برای مهندسان و متخصصانی که دانش و تجربه کافی در کار با سیستم‌های کنترل فرآیند/سیستم‌های ابزار دقیق یا شبکه‌های صنعتی دارند، می‌توانید به صرفه‌جویی در آموزش فکر کنید (و صرفه‌جویی منطقی است)، خود را آماده کنید و مستقیماً برای شرکت در آزمون گواهینامه بروید. به هر حال، 700 دلار ارزش دارد. در صورت عدم موفقیت، باید دوباره پرداخت کنید. مراکز صدور گواهینامه زیادی وجود دارد که شما را برای آزمون می پذیرند؛ نکته اصلی این است که از قبل درخواست دهید. به طور کلی، توصیه می کنم فوراً تاریخ امتحان را تعیین کنید، زیرا در غیر این صورت دائماً آن را به تعویق می اندازید و مراحل آماده سازی را با سایر موارد حیاتی و نه کاملاً مهم جایگزین می کنید. و داشتن یک تاریخ ضرب الاجل مشخص باعث ایجاد انگیزه در شما می شود.

منبع: www.habr.com

اضافه کردن نظر