Hei kaikki! Kaikkien suosikkiportaalissa oli monia erilaisia artikkeleita tietoturva-alan sertifioinnista, joten en aio väittää sisällön omaperäisyyttä ja ainutlaatuisuutta, mutta haluaisin silti todella jakaa kokemukseni GIAC:n (Global Information Assurance Company) hankkimisesta. sertifiointi teollisuuden kyberturvallisuuden alalla. Tällaisten kauheiden sanojen ilmestymisestä lähtien , , Shamoon, Triton, markkinat sellaisten asiantuntijoiden palveluille, jotka näyttävät olevan IT, mutta voivat myös ylikuormittaa PLC:itä konfiguroimalla tikkaille uudelleen ja samalla laitosta ei voida pysäyttää.
Näin IT&OT-konsepti (Information Technology & Operation Technology) syntyi maailmaan.
Välittömästi seuraavaksi (selkeää, että kouluttamatonta henkilöstöä ei saa antaa töihin) tuli tarve sertifioida prosessinohjausjärjestelmien ja teollisuusjärjestelmien turvallisuuden varmistamiseen liittyvän alan asiantuntijoita - joita on ilmeisesti paljon niitä elämässämme, asunnon automaattisesta vedensyöttöventtiilistä lentokoneiden ohjausjärjestelmään (muistakaa erinomainen artikkeli ongelmien tutkimisesta ). Ja jopa, kuten yhtäkkiä kävi ilmi, monimutkaiset lääketieteelliset laitteet.
Lyhyt sanoitus siitä, miten päädyin sertifiointitarpeeseen (voit ohittaa): Suoritettuani menestyksekkäästi tietoturvallisuuden tiedekunnan opinnot XNUMX-luvun lopulla astuin päälläni instrumentointilammasten joukkoon korkealla, työskentelee mekaanikkona heikkovirtaturvahälytysjärjestelmissä. Tuntuu, että tietoturvasta kerrottiin minulle tuolloin yrityksessä :) Näin alkoi urani tietoturva-alan kandidaatin tutkinnon automatisoitujen ohjausjärjestelmien asiantuntijana. Kuusi vuotta myöhemmin, noustuani SCADA-järjestelmäosaston johtajaksi, lähdin teollisuuden ohjausjärjestelmien turvallisuuskonsultiksi ulkomaiseen ohjelmistoja ja laitteita myyvään yritykseen. Tästä syntyi tarve olla sertifioitu tietoturvaasiantuntija.
on kehitystä organisaatio, joka järjestää tietoturva-asiantuntijoiden koulutusta ja sertifiointia. GIAC-sertifikaatin maine on erittäin hyvä asiantuntijoiden ja asiakkaiden keskuudessa EMEA:n, Yhdysvaltojen ja Aasian ja Tyynenmeren markkinoilla. Täällä Neuvostoliiton jälkeisessä tilassa ja IVY-maissa tällaista todistusta voivat pyytää vain ulkomaiset yritykset, joilla on liiketoimintaa maissamme, kansainväliset ja konsulttitoimistot. Henkilökohtaisesti en ole koskaan tavannut kotimaisten yritysten pyyntöä tällaisesta sertifioinnista. Kaikki pyytävät periaatteessa CISSP:tä. Tämä on minun subjektiivinen mielipiteeni ja jos joku jakaa kokemuksensa kommenteissa, on mielenkiintoista tietää.
SANSissa on aika monta eri osa-aluetta (mielestäni kaverit ovat viime aikoina lisänneet joukkoaan liikaa), mutta siellä on myös erittäin mielenkiintoisia käytännön kursseja. Erityisesti pidin siitä . Mutta tarina tulee olemaan kurssista ja todistus nimeltä: .
Kaikista SANSin tarjoamista Industrial Cyber Security -sertifikaateista tämä on yleisin. Koska toinen liittyy enemmän Power Grid -järjestelmiin, joihin lännessä kiinnitetään erityistä huomiota ja jotka kuuluvat erilliseen järjestelmäluokkaan. Ja kolmas (sertifiointipolun aikana) liittyi tapausvastaukseen.
Kurssi ei ole halpa, mutta se tarjoaa melko laajan tietotekniikan ja teknologian tuntemuksen. Se on erityisen hyödyllinen niille tovereille, jotka ovat päättäneet vaihtaa alaansa esimerkiksi pankkialan IT-turvasta Industrial Cyber Securityyn. Koska minulla oli jo tausta prosessinohjausjärjestelmien, instrumentoinnin ja käyttötekniikan alalta, ei tällä kurssilla ollut minulle mitään pohjimmiltaan uutta tai elintärkeää.
Kurssi koostuu 50 % teoriasta ja 50 % harjoituksesta. Harjoittelun perusteella mielenkiintoisin kilpailu oli NetWars. Kahden päivän ajan pääkurssin jälkeen kaikki kaikkien luokkien opiskelijat jaettiin ryhmiin ja suoritettiin tehtäviä pääsyoikeuksien saamiseksi, tarvittavien tietojen poimimiseksi, verkkoon pääsyn saamiseksi, joukko tehtäviä tiivisteiden edistämiseksi, työskentely Wiresharkin kanssa. ja kaikenlaisia herkkuja.
Kurssimateriaali on tiivistetty kirjoihin, jotka saat sen jälkeen ikuiseen käyttöön. Muuten, voit ottaa ne tenttiin, koska muoto on Open Book, mutta niistä ei ole paljon apua, koska kokeessa on 3 tuntia, 115 kysymystä ja toimituskieli on englanti. Koko 3 tunnin aikana voit pitää 15 minuutin tauon. Mutta muista, että pitämällä 15 minuutin tauon ja palaamalla testeihin viiden jälkeen, luovut vain jäljellä olevista kymmenestä minuutista, koska et voi enää pysäyttää aikaa testiohjelmassa. Voit ohittaa enintään 5 kysymystä, jotka tulevat näkyviin aivan lopussa.
Henkilökohtaisesti en suosittele jättämään paljon kysymyksiä myöhemmäksi, koska 3 tuntia ei todellakaan ole tarpeeksi aikaa, ja kun lopussa on kysymyksiä, joita ei ole vielä ratkaistu, on suuri todennäköisyys, että ei pysty tekemään. sen ajoissa. Jätin myöhemmäksi vain kolme kysymystä, jotka olivat minulle todella vaikeita, koska ne liittyivät NIST 800.82:n ja NERC-standardin tuntemiseen. Psykologisesti tällaiset kysymykset "myöhemmin" osuvat hermoihisi aivan lopussa - kun aivot ovat väsyneet, haluat mennä vessaan, näytön ajastin näyttää kiihtyvän eksponentiaalisesti.
Yleensä testin läpäisemiseksi sinun on saatava 71 % oikeista vastauksista. Ennen tenttiin osallistumista sinulla on mahdollisuus harjoitella oikeilla testeillä - koska hinta sisältää 2 harjoituskoetta, joissa on 115 kysymystä ja ehdoilla, jotka ovat samankaltaisia kuin todellinen tentti.
Suosittelen suorittamaan kokeen kuukausi koulutuksen suorittamisen jälkeen ja käyttämään tämän kuukauden systemaattiseen itseopiskeluun niissä asioissa, joissa olet epävarma. Olisi mukavaa, jos ottaisit kurssin aikana saadut painetut materiaalit, jotka näyttävät lyhyiltä tiivistelmiltä kustakin aiheesta - ja etsit määrätietoisesti tietoa näiden kirjojen sisältämistä aiheista. Jaa kuukausi kahteen osaan, suorita harjoitustestejä ja hanki karkea kuva siitä, millä osa-alueilla olet vahva ja missä sinun on parannettava.
Haluan korostaa seuraavia pääalueita, jotka muodostavat itse kokeen (ei koulutuskurssin, koska se kattaa paljon laajempia aiheita):
- Fyysinen turvallisuus: Kuten muutkin sertifiointikokeet, tähän asiaan kiinnitetään paljon huomiota GICSP:ssä. Ovissa on kysymyksiä fyysisten lukkojen tyypeistä, kuvataan tilanteita sähköisten passien väärentämisestä, joissa sinun on annettava vastaus ongelman yksiselitteiseksi tunnistamiseksi. Tekniikan (prosessin) turvallisuuteen suoraan liittyviä kysymyksiä on aihealueelta riippuen - öljy- ja kaasuprosessit, ydinvoimalaitokset tai sähköverkot. Esimerkkeinä voi olla kysymys, kuten: Selvitä, millainen fyysinen turvatarkastus on tilanne, kun HMI:n höyryn lämpötila-anturista tulee hälytys? Tai kysymys kuten: Mikä tilanne (tapahtuma) toimii syynä analysoida laitoksen rajaturvajärjestelmän valvontakameroiden videotallenteita?
Prosentuaalisesti huomioiden huomautan, että tämän osion kysymysten määrä kokeessani ja käytännön kokeissani ei ylittänyt 5 %.
- Toinen ja yksi yleisimmistä kysymyskategorioista ovat prosessinohjausjärjestelmiä, PLC:tä, SCADA:ta koskevat kysymykset: tässä on tarpeen lähestyä systemaattisesti materiaalien tutkimusta prosessinohjausjärjestelmien rakenteesta antureista palvelimiin, joissa sovellusohjelmisto itse. juoksee. Teollisuuden tiedonsiirtoprotokollatyypeistä (ModBus, RTU, Profibus, HART jne.) löytyy riittävästi kysymyksiä. Tulee kysymyksiä siitä, miten RTU eroaa PLC:stä, kuinka suojataan PLC:n tiedot hyökkääjän muutoksilta, mille muistialueille PLC tallentaa tietoja ja mihin itse logiikka on tallennettu (prosessinohjausjärjestelmän ohjelmoijan kirjoittama ohjelma ). Voi olla esimerkiksi tämän tyyppinen kysymys: Anna vastaus kuinka voit havaita hyökkäyksen ModBus-protokollaa käyttävän PLC:n ja käyttöliittymän välillä?
Tulee kysymyksiä SCADA- ja DCS-järjestelmien eroista. Suuri määrä kysymyksiä automaattisten prosessinohjausverkkojen erottamisesta L1-, L2-tasolla L3-tasosta (kuvaan yksityiskohtaisemmin verkkoa koskevien kysymysten osiossa). Myös tämän aiheen tilannekysymykset ovat hyvin erilaisia - ne kuvaavat tilannetta valvomossa ja sinun on valittava toimenpiteet, jotka prosessioperaattorin tai lähettäjän on suoritettava.
Yleensä tämä osio on tarkin ja kapeampi profiili. Edellyttää hyvää tietämystä:
— automaattinen ohjausjärjestelmä, kenttäosa (anturit, laiteliitäntätyypit, anturien fyysiset ominaisuudet, PLC, RTU);
— prosessien ja esineiden hätäpysäytysjärjestelmät (ESD – hätäsammutusjärjestelmä) (muuten, tästä aiheesta on erinomainen artikkelisarja Habrésta )
— perustiedot fysikaalisista prosesseista, joita esiintyy esimerkiksi öljynjalostuksessa, sähköntuotannossa, putkistoissa jne.;
— DCS- ja SCADA-järjestelmien arkkitehtuurin ymmärtäminen;
Huomautan, että tämäntyyppisiä kysymyksiä voi esiintyä jopa 25 % kokeen kaikissa 115 kysymyksessä. - Verkkoteknologiat ja verkkoturvallisuus: Uskon, että tämän aiheen kysymysten määrä on kokeessa ensin. Siellä on luultavasti kaikki - OSI-malli, millä tasoilla tämä tai tuo protokolla toimii, monia kysymyksiä verkon segmentoinnista, tilannekysymyksiä verkkohyökkäyksistä, esimerkkejä yhteyslokeista, joissa on ehdotus hyökkäyksen tyypin määrittämiseksi, esimerkkejä kytkinkokoonpanoista ehdotuksella haavoittuvan kokoonpanon määrittämiseksi, kysymyksiä verkkoprotokollien haavoittuvuuksista, kysymyksiä teollisten viestintäprotokollien verkkoyhteyksien erityispiirteistä. Erityisesti ihmiset kysyvät paljon ModBusista. Saman ModBusin verkkopakettien rakenne riippuen sen tyypistä ja laitteen tukemista versioista. Paljon huomiota kiinnitetään hyökkäyksiin langattomiin verkkoihin - ZigBee, Wireless HART ja yksinkertaisesti kysymyksiin koko 802.1x-perheen verkkoturvallisuudesta. Tulee kysymyksiä tiettyjen palvelimien sijoittamisen säännöistä prosessinohjausjärjestelmäverkkoon (tässä sinun tulee lukea IEC-62443-standardi ja ymmärtää prosessinohjausjärjestelmäverkkojen vertailumallien periaatteet). Purdue-mallista tulee kysymyksiä.
- Asiakategoria, joka liittyy yksinomaan sähkönsiirtojärjestelmien toiminnan toiminnallisiin ominaisuuksiin ja niiden tietoturvajärjestelmiin. Yhdysvalloissa tätä automatisoitujen prosessinohjausjärjestelmien luokkaa kutsutaan Power Gridiksi ja sille on annettu erillinen rooli. Tätä tarkoitusta varten on jopa julkaistu erillisiä standardeja (NIST 800.82), jotka säätelevät lähestymistapaa tietoturvajärjestelmien luomiseen tälle sektorille. Maissamme tämä sektori rajoittuu suurimmaksi osaksi ASKUE-järjestelmiin (korjatkaa, jos joku on nähnyt vakavamman lähestymistavan sähkönjakelu- ja toimitusjärjestelmien valvontaan). Joten kokeesta löydät varsin tarkkoja Power Gridiin liittyviä kysymyksiä. Suurimmaksi osaksi kyseessä olivat voimalaitoksella syntyneet käyttötapaukset tiettyyn tilanteeseen, mutta tutkimuksia saattaa tulla myös erityisesti sähköverkossa käytettävistä laitteista. Tulee kysymyksiä, jotka koskevat tämän luokan järjestelmien NIST-osien tuntemusta.
- Standardien tuntemiseen liittyvät kysymykset: NIST 800-82, NERC, IEC62443. Mielestäni täällä ilman erityisiä kommentteja - sinun on navigoitava standardien osissa, joka vastaa siitä, mitä ja mitä suosituksia se sisältää. On olemassa erityisiä kysymyksiä, esimerkiksi kysymällä järjestelmän toimivuuden tarkistustiheyttä, prosessin päivitystiheyttä jne. Prosenttiosuutena tällaisista kysymyksistä voidaan kohdata jopa 15 % kysymysten kokonaismäärästä. Mutta se riippuu. Esimerkiksi kahdessa harjoituskokeessa törmäsin vain pariin samankaltaiseen kysymykseen. Mutta niitä oli todella paljon kokeen aikana.
- No, viimeinen kysymysluokka on kaikenlaiset käyttötapaukset ja tilannekysymykset.
Yleisesti ottaen itse koulutus, mahdollisesti CTF NetWarsia lukuun ottamatta, ei ollut minulle kovin informatiivinen mahdollisesti uuden tiedon hankkimisen kannalta. Joistakin aiheista hankittiin pikemminkin syvempiä yksityiskohtia, erityisesti teknologisen tiedon välittämiseen käytettyjen radioverkkojen organisoinnin ja suojauksen alalla, sekä järjestäytynempää materiaalia tälle aiheelle omistettujen ulkomaisten standardien rakenteesta. Siksi insinöörit ja asiantuntijat, joilla on riittävästi tietoa ja kokemusta työskentelystä prosessinohjausjärjestelmien/instrumentointijärjestelmien tai teollisuusverkkojen kanssa, voivat miettiä koulutuksessa säästämistä (ja säästäminen on järkevää), valmistautua ja mennä suoraan sertifiointikokeeseen, joka Muuten, sen arvo on 700 USD. Epäonnistumisen sattuessa joudut maksamaan uudelleen. On monia sertifiointikeskuksia, jotka hyväksyvät sinut tenttiin; tärkeintä on hakea etukäteen. Yleisesti ottaen suosittelen kokeen päivämäärän asettamista heti, koska muuten viivyttelet sitä jatkuvasti ja korvaat valmistautumisprosessin muilla elintärkeillä ja ei aivan tärkeillä asioilla. Ja tietyn määräajan asettaminen saa sinut motivoitumaan.
Lähde: will.com