Hoi allegearre! It favorite portal fan elkenien hie in protte ferskillende artikels oer sertifikaasje op it mêd fan ynformaasjefeiligens, dus ik sil gjin orizjinaliteit en unykheid fan 'e ynhâld beweare, mar ik soe noch altyd myn ûnderfining mei it krijen fan GIAC (Global Information Assurance Company) diele wolle. sertifisearring op it mêd fan yndustriële cybersecurity. Sûnt it ferskinen fan sokke ferskriklike wurden as , , Shamoon, Triton, in merk foar it leverjen fan tsjinsten fan spesjalisten dy't IT lykje te wêzen, mar kinne ek PLC's oerladen mei it oerskriuwen fan de konfiguraasje op ljedders, en tagelyk de plant kin net stoppe wurde, begon te foarmjen.
Dit is hoe't it konsept fan IT&OT (Information Technology & Operation Technology) yn 'e wrâld kaam.
Fuort dêrnei (it is dúdlik dat net kwalifisearre personiel meie wurkje moatte) kaam de needsaak om spesjalisten te sertifisearjen op it mêd yn ferbân mei it garandearjen fan de feiligens fan proseskontrôlesystemen en yndustriële systemen - wêrfan, it docht bliken, in protte se yn ús libben, fan in automatyske wetterfoarsjenning fentyl yn in appartemint nei in kontrôle systeem fleantugen (tink it treflike artikel oer it ûndersykjen fan problemen ). En sels, sa die bliken ynienen, komplekse medyske apparatuer.
In koarte tekst oer hoe't ik kaam ta de needsaak om sertifisearring te krijen (jo kinne it oerslaan): Nei't ik oan 'e ein fan 'e XNUMX's myn stúdzje oan 'e fakulteit ynformaasjefeiligens mei súkses foltôge, stapte ik mei myn holle yn 'e rigen fan 'e ynstrumintaasjeskiep holden heech, wurkje as monteur foar lege-aktuele feiligens alarm systemen. It liket derop dat de ynformaasjefeiligens my op dat stuit ferteld waard by it bedriuw :) Dit is hoe't myn karriêre as spesjalist foar automatisearre kontrôlesysteem mei in bachelorstitel yn ynformaasjefeiligens begon. Seis jier letter, nei't ik opstien nei de rang fan haad fan 'e SCADA-systeemôfdieling, gie ik fuort om te wurkjen as befeiligingsadviseur foar yndustriële kontrôlesystemen yn in bûtenlânsk bedriuw dat software en apparatuer ferkeapet. Dit is wêr't de needsaak ûntstie om in sertifisearre spesjalist foar ynformaasjefeiligens te wêzen.
is in ûntwikkeling in organisaasje dy't training en sertifisearring útfiert fan spesjalisten foar ynformaasjefeiligens. De reputaasje fan it GIAC-sertifikaat is heul heech ûnder spesjalisten en klanten yn 'e merken fan EMEA, FS en Azië-Stille Oseaan. Hjir, yn 'e post-Sovjet-romte en yn' e CIS-lannen, kin sa'n sertifikaat allinich oanfrege wurde troch bûtenlânske bedriuwen mei bedriuwen yn ús lannen, ynternasjonale en konsultaasjeburo's. Persoanlik haw ik noait in fersyk tsjinkaam foar sa'n sertifisearring fan ynlânske bedriuwen. Elkenien freget yn prinsipe om CISSP. Dit is myn subjektive miening en as immen har ûnderfining dielt yn 'e kommentaren, sil it ynteressant wêze om te witten.
Der binne nochal wat ferskillende gebieten yn SANS (nei myn miening hawwe de jonges koartlyn harren oantal te folle útwreide), mar der binne ek tige nijsgjirrige praktyske kursussen. Ik fûn it benammen leuk . Mar it ferhaal sil oer de kursus gean en in sertifikaat neamd: .
Fan alle soarten Industrial Cyber Security-sertifikaasjes oanbean troch SANS, is dit de meast universele. Sûnt de twadde relatearret mear oan Power Grid systemen, dy't yn it Westen krije spesjaal omtinken en hearre ta in aparte klasse fan systemen. En de tredde (op it stuit fan myn sertifisearringspaad) relatearre oan Incident Response.
De kursus is net goedkeap, mar it jout frij wiidweidige kennis fan IT&OT. It sil foaral nuttich wêze foar dy kameraden dy't besletten hawwe har fjild te feroarjen, bygelyks fan IT-feiligens yn 'e banksektor nei Industrial Cyber Security. Om't ik al in eftergrûn hie op it mêd fan proseskontrôlesystemen, ynstrumintaasje en operaasjetechnology, wie d'r yn dizze kursus neat fûneminteel nij of fan libbensbelang foar my.
De kursus bestiet út 50% teory en 50% praktyk. Fan 'e praktyk wie de meast nijsgjirrige wedstryd NetWars. Foar twa dagen, nei de haadkursus fan klassen, waarden alle learlingen fan alle klassen ferdield yn teams en útfierden taken om tagongsrjochten te krijen, de nedige ynformaasje út te heljen, tagong te krijen ta it netwurk, in boskje taken om hashes te befoarderjen, wurkje mei Wireshark en allerhanne ferskillende guod.
It kursusmateriaal wurdt gearfette yn 'e foarm fan boeken, dy't jo dan krije foar jo ivige gebrûk. Trouwens, jo kinne se nimme foar it eksamen, om't it formaat Open Book is, mar se sille jo net folle helpe, om't it eksamen 3 oeren hat, 115 fragen, en de leveringstaal is Ingelsk. Tidens de hiele 3 oeren kinne jo in skoft fan 15 minuten nimme. Mar hâld der rekken mei dat troch 15 minuten pauze te nimmen en nei 5 werom te gean nei de tests, jo gewoan de oerbleaune tsien minuten opjaan, om't jo de tiid yn it testprogramma net mear kinne stopje. Jo kinne maksimaal 15 fragen oerslaan, dy't dan oan 'e ein sille ferskine.
Persoanlik ried ik net oan om in protte fragen foar letter te litten, om't 3 oeren echt net genôch tiid is, en as jo oan 'e ein fragen hawwe dy't noch net binne oplost, is d'r in grutte kâns dat jo net kinne dwaan it yn 'e tiid. Ik liet foar letter mar trije fragen dy't my echt lestich wiene, om't se relatearre wiene oan kennis fan 'e NIST 800.82 en NERC-standert. Psychologysk slaan sokke fragen "foar letter" jo senuwen oan 'e ein - as jo harsens wurch binne, wolle jo nei it húske, de timer op it skerm liket eksponentiell te rapperjen.
Yn 't algemien moatte jo 71% korrekte antwurden skoare om de test te slagjen. Foardat jo it eksamen nimme, sille jo de kâns hawwe om te oefenjen op echte tests - om't de priis 2 praktyktests fan 115 fragen omfettet en mei betingsten fergelykber mei it echte eksamen.
Ik advisearje it eksamen in moanne nei it foltôgjen fan 'e training te nimmen, dizze moanne te besteegjen oan systematyske selsstúdzje oer dy saken wêryn jo net wis binne. It soe moai wêze as jo de yn 'e kursus ûntfongen printe materialen nimme, dy't oer elk ûnderwerp lykje op koarte abstracts - en doelbewust sykje nei ynformaasje oer de ûnderwerpen yn dizze boeken. Brek de moanne yn twa dielen, nimme oefentests en krije in rûch byld fan hokker gebieten jo sterk binne en wêr't jo moatte ferbetterje.
Ik wol de folgjende haadgebieten markearje dy't it eksamen sels útmeitsje (net de oplieding, om't it folle mear wiidweidige ûnderwerpen beslacht):
- Fysike feiligens: Lykas oare sertifikaasje-eksamen wurdt dit probleem in protte oandacht jûn yn 'e GICSP. D'r binne fragen oer de soarten fysike slûzen op doarren, situaasjes mei ferfalsking fan elektroanyske passes wurde beskreaun, wêr't jo in antwurd moatte jaan om it probleem unambiguous te identifisearjen. D'r binne fragen dy't direkt relatearre binne oan 'e feiligens fan' e technology (proses), ôfhinklik fan it fakgebiet - oalje- en gasprosessen, kearnsintrales of stroomnetten. Bygelyks, d'r kin in fraach wêze lykas: Bepale hokker type fysike feiligenskontrôle de situaasje is as in Alarm komt fan 'e stoomtemperatuersensor op' e HMI? Of in fraach lykas: Hokker situaasje (evenemint) sil tsjinje as reden om fideo-opnames te analysearjen fan tafersjochkamera's fan it perimeterfeiligenssysteem fan 'e foarsjenning?
Yn persintaazje termen soe ik konstatearje dat it oantal fragen oer dizze seksje yn myn eksamen en yn 'e praktyktests net mear as 5% wie.
- In oare en ien fan 'e meast wiidfersprate kategoryen fan fragen binne fragen oer proseskontrôlesystemen, PLC, SCADA: hjir sil it needsaaklik wêze om systematysk de stúdzje fan materialen te benaderjen oer hoe't proseskontrôlesystemen struktureare binne, fan sensoren oant servers wêr't de applikaasjesoftware sels rint. In foldwaande oantal fragen sille fûn wurde oer de soarten yndustriële gegevensferfierprotokollen (ModBus, RTU, Profibus, HART, ensfh.). D'r sille fragen wêze oer hoe't RTU ferskilt fan PLC, hoe't jo gegevens yn 'e PLC kinne beskermje tsjin wiziging troch in oanfaller, yn hokker ûnthâldgebieten de PLC gegevens opslacht, en wêr't de logika sels wurdt opslein (in programma skreaun troch in proseskontrôlesysteemprogrammeur ). Der kin bygelyks in fraach fan dit type wêze: Jou in antwurd op hoe't jo in oanfal kinne ûntdekke tusken in PLC en in HMI dy't wurkje mei it ModBus-protokol?
D'r sille fragen wêze oer de ferskillen tusken SCADA- en DCS-systemen. In grut oantal fragen oer de regels foar it skieden fan automatisearre proses kontrôle netwurken op de L1, L2 nivo fan de L3 nivo (Ik sil beskriuwe yn mear detail yn de seksje mei fragen oer it netwurk). Situaasjefragen oer dit ûnderwerp sille ek heul ferskaat wêze - se beskriuwe de situaasje yn 'e kontrôlekeamer en jo moatte aksjes selektearje dy't moatte wurde útfierd troch de prosesoperator of dispatcher.
Yn 't algemien is dizze seksje it meast spesifike en smel-profyl. Fereasket dat jo goede kennis hawwe:
- automatisearre kontrôlesysteem, fjilddiel (sensors, soarten apparaatferbiningen, fysike eigenskippen fan sensoren, PLC, RTU);
- emergency shutdown systems (ESD - emergency shutdown system) fan prosessen en objekten (troch de manier, d'r is in poerbêste searje artikels oer dit ûnderwerp op Habré fan )
- in basisbegryp fan 'e fysike prosessen dy't foarkomme, bygelyks yn oaljeraffinaazje, elektrisiteitsopwekking, pipelines, ensfh.
- begryp fan 'e arsjitektuer fan DCS- en SCADA-systemen;
Ik soe konstatearje dat fragen fan dit type kinne foarkomme oant 25% yn alle 115 fragen fan it eksamen. - Netwurktechnologyen en netwurkfeiligens: ik tink dat it oantal fragen yn dit ûnderwerp earst komt yn it eksamen. D'r sil wierskynlik absolút alles wêze - it OSI-model, op hokker nivo's dit of dat protokol wurket, in protte fragen oer netwurksegmentaasje, situasjonele fragen oer netwurkoanfallen, foarbylden fan ferbiningslogboeken mei in foarstel om it type oanfal te bepalen, foarbylden fan skeakelkonfiguraasjes mei in foarstel om in kwetsbere konfiguraasje te bepalen, fragen oer kwetsberens netwurkprotokollen, fragen oer de spesifiken fan netwurkferbiningen fan yndustriële kommunikaasjeprotokollen. Minsken freegje benammen in protte oer ModBus. De struktuer fan netwurkpakketten fan deselde ModBus, ôfhinklik fan har type en ferzjes stipe troch it apparaat. In protte omtinken wurdt betelle oan oanfallen op draadloze netwurken - ZigBee, Wireless HART, en gewoan fragen oer netwurkfeiligens fan 'e heule 802.1x-famylje. D'r sille fragen wêze oer de regels foar it pleatsen fan bepaalde servers yn it netwurk fan proseskontrôlesysteem (hjir moatte jo de IEC-62443-standert lêze en de prinsipes fan referinsjemodellen fan netwurken foar proseskontrôlesystemen begripe). D'r sille fragen wêze oer it Purdue-model.
- In kategory fan problemen dy't eksklusyf relatearret oan 'e funksjonele skaaimerken fan' e eksploitaasje fan systemen foar oerdracht fan elektrisiteit en systemen foar ynformaasjebefeiliging foar har. Yn 'e FS wurdt dizze kategory fan automatisearre proseskontrôlesystemen Power Grid neamd en wurdt in aparte rol tawiisd. Foar dit doel wurde sels aparte noarmen útjûn (NIST 800.82) dy't de oanpak regelje foar it meitsjen fan ynformaasjefeiligenssystemen foar dizze sektor. Yn ús lannen is dizze sektor foar it grutste part beheind ta ASKUE-systemen (korrizearje my as immen in serieuze oanpak sjoen hat foar it kontrolearjen fan elektrisiteitsferdieling en leveringssystemen). Dat, yn it eksamen sille jo frij spesifike fragen fine yn ferbân mei Power Grid. Foar it grutste part wiene dat gebrûk-gefallen foar in spesifike situaasje dy't ûntwikkele by de Power Plant, mar der kinne ek enkêtes wêze oer apparaten dy't spesifyk brûkt wurde yn it Power Grid. D'r sille fragen wêze oer kennis fan NIST-seksjes foar dizze kategory systemen.
- Fragen yn ferbân mei kennis fan noarmen: NIST 800-82, NERC, IEC62443. Ik tink hjir sûnder spesjale opmerkingen - jo moatte troch de seksjes fan 'e noarmen navigearje, dy't ferantwurdlik is foar wat en hokker oanbefellings it befettet. D'r binne spesifike fragen, bygelyks it freegjen fan de frekwinsje fan it kontrolearjen fan de funksjonaliteit fan it systeem, de frekwinsje fan it bywurkjen fan de proseduere, ensfh. As persintaazje fan sokke fragen kin oant 15% fan it totale oantal fragen tsjinkomme. Mar it hinget ôf. Bygelyks, op twa oefentests kaam ik mar in pear ferlykbere fragen tsjin. Mar der wiene echt in protte fan harren tidens it eksamen.
- No, de lêste kategory fragen is allerhanne gebrûksgefallen en situaasjefragen.
Yn 't algemien wie de training sels, mei de mooglike útsûndering fan CTF NetWars, net heul ynformatyf foar my yn termen fan it opheljen fan mooglik nije kennis. Earder waarden djippere details fan guon ûnderwerpen krigen, benammen op it mêd fan organisaasje en beskerming fan radionetwurken dy't brûkt wurde foar it ferstjoeren fan technologyske ynformaasje, en ek mear organisearre materiaal oer de struktuer fan bûtenlânske noarmen wijd oan dit ûnderwerp. Dêrom, foar yngenieurs en spesjalisten dy't genôch kennis en ûnderfining hawwe mei it wurkjen mei proseskontrôlesystemen/ynstrumintaasjesystemen as Industrial Networks, kinne jo tinke oan besparjen op training (en besparjen is logysk), josels tariede en direkt gean nei it sertifisearringseksamen, wat , troch de manier, is wurdich 700USD. Yn gefal fan mislearring moatte jo opnij betelje. D'r binne genôch sertifikaasjesintra dy't jo sille akseptearje foar it eksamen; it wichtichste is om fan tefoaren oan te freegjen. Yn 't algemien ried ik oan om de eksamendatum direkt yn te stellen, om't jo it konstant fertrage, it tariedingsproses ferfange troch oare fitale en net hielendal wichtige saken. En it hawwen fan in spesifike deadline datum sil meitsje jo sels-motivearre.
Boarne: www.habr.com