Salut tout le monde! Le portail préféré de tous contenait de nombreux articles différents sur la certification dans le domaine de la sécurité de l'information, je ne vais donc pas revendiquer l'originalité et l'unicité du contenu, mais j'aimerais quand même vraiment partager mon expérience d'obtention du GIAC (Global Information Assurance Company) certification dans le domaine de la cybersécurité industrielle. Depuis l'apparition de paroles aussi terribles que , , Shamoon, Triton, un marché pour la fourniture de services de spécialistes qui semblent être des informaticiens, mais qui peuvent aussi surcharger les automates en réécrivant la configuration sur des échelles, et en même temps l'usine ne peut pas être arrêtée, ont commencé à se former.
C’est ainsi que le concept IT&OT (Information Technology & Operation Technology) est né.
Immédiatement après (il est clair que le personnel non qualifié ne devrait pas être autorisé à travailler), est apparue la nécessité de certifier des spécialistes dans le domaine lié à la garantie de la sécurité des systèmes de contrôle de processus et des systèmes industriels - dont il s'avère qu'il existe de nombreux dans nos vies, de la vanne d'alimentation en eau automatique de l'appartement au système de contrôle des avions (rappelez-vous l'excellent article sur l'investigation des problèmes ). Et même, comme il s'est avéré soudainement, un équipement médical complexe.
Un court texte sur la façon dont j'en suis arrivé à la nécessité d'obtenir une certification (vous pouvez l'ignorer) : Après avoir terminé avec succès mes études à la Faculté de sécurité de l'information à la fin des années XNUMX, je suis entré dans les rangs des moutons d'instrumentation avec ma tête tenu haut, travaillant comme mécanicien pour des systèmes d'alarme de sécurité à faible courant. Il semble que la sécurité de l'information m'ait été enseignée dans l'entreprise à cette époque :) C'est ainsi qu'a commencé ma carrière de spécialiste des systèmes de contrôle automatisés avec un baccalauréat en sécurité de l'information. Six ans plus tard, après avoir accédé au rang de chef du département systèmes SCADA, je suis parti travailler comme consultant en sécurité des systèmes de contrôle industriel dans une entreprise étrangère qui vend des logiciels et des équipements. C’est là qu’est apparue la nécessité d’être un spécialiste certifié en sécurité de l’information.
est un développement une organisation qui organise la formation et la certification des spécialistes de la sécurité de l'information. La réputation du certificat GIAC est très élevée auprès des spécialistes et des clients des marchés EMEA, États-Unis et Asie-Pacifique. Ici, dans l'espace post-soviétique et dans les pays de la CEI, un tel certificat ne peut être demandé que par des sociétés étrangères ayant des activités dans nos pays, des agences internationales et des agences de conseil. Personnellement, je n'ai jamais rencontré de demande d'une telle certification de la part d'entreprises nationales. Tout le monde demande essentiellement CISSP. Ceci est mon opinion subjective et si quelqu'un partage son expérience dans les commentaires, ce sera intéressant de le savoir.
Il y a pas mal de domaines différents au SANS (à mon avis, récemment, les gars ont trop augmenté leur nombre), mais il y a aussi des cours pratiques très intéressants. Je l'ai particulièrement aimé . Mais l'histoire portera sur le cours et un certificat appelé : .
De tous les types de certifications de cybersécurité industrielle proposées par SANS, celle-ci est la plus universelle. Puisque le second concerne davantage les systèmes de réseaux électriques, qui en Occident font l’objet d’une attention particulière et appartiennent à une classe distincte de systèmes. Et le troisième (au moment de mon parcours de certification) concernait la Réponse aux Incidents.
Le cours n'est pas bon marché, mais il fournit des connaissances assez approfondies en IT&OT. Il sera particulièrement utile aux camarades qui ont décidé de changer de domaine, par exemple de la sécurité informatique dans le secteur bancaire à la cybersécurité industrielle. Comme j'avais déjà une formation dans le domaine des systèmes de contrôle de processus, de la technologie d'instrumentation et d'exploitation, il n'y avait rien de fondamentalement nouveau ou d'essentiel pour moi dans ce cours.
Le cours comprend 50% de théorie et 50% de pratique. D'après la pratique, le concours le plus intéressant était NetWars. Pendant deux jours, après le cours principal, tous les étudiants de toutes les classes ont été divisés en équipes et ont effectué des tâches pour obtenir les droits d'accès, extraire les informations nécessaires, accéder au réseau, un tas de tâches pour promouvoir les hachages, travailler avec Wireshark et toutes sortes de friandises différentes.
Le matériel de cours est résumé sous forme de livres, que vous recevez ensuite pour votre usage perpétuel. À propos, vous pouvez les passer à l'examen, puisque le format est à livre ouvert, mais ils ne vous aideront pas beaucoup, puisque l'examen dure 3 heures, 115 questions et la langue de livraison est l'anglais. Pendant les 3 heures entières, vous pouvez faire une pause de 15 minutes. Mais gardez à l’esprit qu’en faisant une pause de 15 minutes et en revenant aux tests après 5 minutes, vous abandonnez simplement les dix minutes restantes, puisque vous ne pourrez plus arrêter le temps dans le programme de tests. Vous pouvez sauter jusqu'à 15 questions, qui apparaîtront ensuite à la toute fin.
Personnellement, je ne recommande pas de laisser beaucoup de questions pour plus tard, car 3 heures, ce n'est vraiment pas assez de temps, et quand à la fin vous avez des questions qui ne sont pas encore résolues, il y a une forte probabilité de ne pas pouvoir le faire. à temps. Je n'ai laissé pour plus tard que trois questions qui étaient vraiment difficiles pour moi, puisqu'elles concernaient la connaissance de la norme NIST 800.82 et NERC. Psychologiquement, de telles questions « pour plus tard » vous énervent à la toute fin : lorsque votre cerveau est fatigué, vous voulez aller aux toilettes, le minuteur à l'écran semble accélérer de façon exponentielle.
En général, pour réussir le test, vous devez obtenir 71 % de bonnes réponses. Avant de passer l'examen, vous aurez la possibilité de vous entraîner sur des tests réels - car le prix comprend 2 tests pratiques de 115 questions et avec des conditions similaires à celles du véritable examen.
Je recommande de passer l'examen un mois après avoir terminé la formation, en consacrant ce mois-ci à une auto-apprentissage systématique sur les questions pour lesquelles vous n'êtes pas sûr. Ce serait bien si vous preniez les documents imprimés reçus pendant le cours, qui ressemblent à de courts résumés sur chaque sujet, et recherchiez délibérément des informations sur les sujets contenus dans ces livres. Divisez le mois en deux parties, en passant des tests pratiques et en obtenant une idée générale des domaines dans lesquels vous êtes fort et des domaines dans lesquels vous devez vous améliorer.
Je voudrais souligner les principaux domaines suivants qui constituent l'examen lui-même (et non la formation, car il couvre des sujets beaucoup plus étendus) :
- Sécurité physique : Comme d’autres examens de certification, cette question fait l’objet d’une grande attention dans le GISP. Il y a des questions sur les types de serrures physiques sur les portes, des situations de falsification de laissez-passer électroniques sont décrites, où vous devez donner une réponse pour identifier sans ambiguïté le problème. Il existe des questions directement liées à la sécurité de la technologie (procédé), selon le domaine - procédés pétroliers et gaziers, centrales nucléaires ou réseaux électriques. Par exemple, il peut y avoir une question telle que : Déterminez quel type de contrôle de sécurité physique est la situation lorsqu'une alarme provient du capteur de température de vapeur sur l'IHM ? Ou une question comme : Quelle situation (événement) servira de motif pour analyser les enregistrements vidéo des caméras de surveillance du système de sécurité périmétrique de l’installation ?
En pourcentage, je noterais que le nombre de questions sur cette section dans mon examen et lors des tests pratiques n'a pas dépassé 5 %.
- Une autre catégorie de questions, et l'une des plus répandues, sont les questions sur les systèmes de contrôle de processus, PLC, SCADA : ici, il faudra aborder systématiquement l'étude des matériaux sur la façon dont les systèmes de contrôle de processus sont structurés, des capteurs aux serveurs où le logiciel d'application lui-même court. On trouvera un nombre suffisant de questions sur les types de protocoles industriels de transfert de données (ModBus, RTU, Profibus, HART, etc.). Il y aura des questions sur la différence entre RTU et API, comment protéger les données de l'API contre toute modification par un attaquant, dans quelles zones de mémoire l'API stocke les données et où la logique elle-même est stockée (un programme écrit par un programmeur de système de contrôle de processus). ). Par exemple, il peut y avoir une question de ce type : Répondez à comment détecter une attaque entre un automate et une IHM qui fonctionnent avec le protocole ModBus ?
Il y aura des questions sur les différences entre les systèmes SCADA et DCS. Un grand nombre de questions sur les règles de séparation des réseaux de contrôle de processus automatisés au niveau L1, L2 du niveau L3 (je décrirai plus en détail dans la section avec les questions sur le réseau). Les questions situationnelles sur ce sujet seront également très diverses - elles décrivent la situation dans la salle de contrôle et vous devez sélectionner les actions qui doivent être effectuées par l'opérateur du processus ou le répartiteur.
En général, cette section est la plus spécifique et la plus étroite. Nécessite d'avoir de bonnes connaissances :
— système de contrôle automatisé, partie terrain (capteurs, types de connexions d'appareils, caractéristiques physiques des capteurs, PLC, RTU) ;
— systèmes d'arrêt d'urgence (ESD – système d'arrêt d'urgence) des processus et des objets (d'ailleurs, il existe une excellente série d'articles sur ce sujet sur Habré de )
— une compréhension de base des processus physiques qui se produisent, par exemple, dans le raffinage du pétrole, la production d'électricité, les pipelines, etc. ;
— compréhension de l'architecture des systèmes DCS et SCADA;
Je noterais que des questions de ce type peuvent apparaître jusqu'à 25 % des 115 questions de l'examen. - Technologies réseau et sécurité des réseaux : je pense que le nombre de questions sur ce sujet vient en premier dans l'examen. Il y aura probablement absolument tout - le modèle OSI, à quels niveaux tel ou tel protocole fonctionne, de nombreuses questions sur la segmentation du réseau, des questions situationnelles sur les attaques réseau, des exemples de journaux de connexion avec une proposition pour déterminer le type d'attaque, des exemples de configurations de commutateurs avec une proposition de détermination d'une configuration vulnérable, des questions sur les vulnérabilités des protocoles réseaux, des questions sur les spécificités des connexions réseaux des protocoles de communication industriels. Les gens posent surtout beaucoup de questions sur ModBus. La structure des paquets réseau du même ModBus, en fonction de son type et des versions prises en charge par l'appareil. Une grande attention est accordée aux attaques sur les réseaux sans fil - ZigBee, Wireless HART et simplement aux questions sur la sécurité des réseaux de l'ensemble de la famille 802.1x. Il y aura des questions sur les règles de placement de certains serveurs dans le réseau de systèmes de contrôle de processus (ici, vous devez lire la norme IEC-62443 et comprendre les principes des modèles de référence des réseaux de systèmes de contrôle de processus). Il y aura des questions sur le modèle Purdue.
- Une catégorie de questions qui concerne exclusivement les caractéristiques fonctionnelles de l'exploitation des systèmes de transport d'électricité et les systèmes de sécurité de l'information correspondant. Aux États-Unis, cette catégorie de systèmes de contrôle de processus automatisés est appelée Power Grid et se voit attribuer un rôle distinct. À cette fin, des normes distinctes sont même publiées (NIST 800.82) réglementant l'approche de création de systèmes de sécurité de l'information pour ce secteur. Dans nos pays, ce secteur se limite pour l'essentiel aux systèmes ASKUE (corrigez-moi si quelqu'un a vu une approche plus sérieuse de la surveillance des systèmes de distribution et de livraison d'électricité). Ainsi, lors de l'examen, vous trouverez des questions assez spécifiques liées au réseau électrique. Pour la plupart, il s'agissait de cas d'utilisation pour une situation spécifique qui s'est développée à la centrale électrique, mais il peut également y avoir des enquêtes sur des appareils utilisés spécifiquement dans le réseau électrique. Il y aura des questions portant sur la connaissance des sections NIST pour cette catégorie de systèmes.
- Questions liées à la connaissance des normes : NIST 800-82, NERC, IEC62443. Je pense ici, sans aucun commentaire particulier, que vous devez parcourir les sections des normes, qui est responsable de quoi et quelles recommandations elles contiennent. Il y a des questions spécifiques, par exemple sur la fréquence de vérification de la fonctionnalité du système, la fréquence de mise à jour de la procédure, etc. En pourcentage de ces questions, on peut rencontrer jusqu'à 15 % du nombre total de questions. Mais ça dépend. Par exemple, lors de deux tests pratiques, je n'ai rencontré que quelques questions similaires. Mais ils étaient vraiment nombreux lors de l’examen.
- Eh bien, la dernière catégorie de questions concerne toutes sortes de cas d'utilisation et de questions situationnelles.
De manière générale, la formation elle-même, à l'exception peut-être de CTF NetWars, n'a pas été très informative pour moi en termes d'acquisition de connaissances potentiellement nouvelles. Au contraire, des détails plus approfondis sur certains sujets ont été acquis, notamment dans le domaine de l'organisation et de la protection des réseaux radio utilisés pour transmettre des informations technologiques, ainsi qu'un matériel plus organisé sur la structure des normes étrangères consacrées à ce sujet. Par conséquent, pour les ingénieurs et les spécialistes qui ont suffisamment de connaissances et d'expérience dans le domaine des systèmes de contrôle de processus/systèmes d'instrumentation ou des réseaux industriels, vous pouvez penser à économiser sur la formation (et économiser a du sens), vous préparer et passer directement l'examen de certification, qui , d'ailleurs, vaut 700USD. En cas d'échec, vous devrez payer à nouveau. Il existe de nombreux centres de certification qui vous accepteront pour l'examen, l'essentiel est de postuler à l'avance. En général, je recommande de fixer la date de l'examen tout de suite, car sinon vous le retarderez constamment, remplaçant le processus de préparation par d'autres questions vitales et pas tout à fait importantes. Et avoir une date limite précise vous motivera.
Source: habr.com