Ola a todos! O portal favorito de todos tiña moitos artigos diferentes sobre certificación no ámbito da seguridade da información, polo que non vou reivindicar a orixinalidade e a singularidade do contido, pero aínda así gustaríame compartir a miña experiencia coa obtención de GIAC (Global Information Assurance Company). certificación no ámbito da ciberseguridade industrial. Dende a aparición de palabras tan terribles como , , Shamoon, Triton, un mercado para a prestación de servizos de especialistas que parecen ser informáticos, pero que tamén poden sobrecargar os PLC coa reescritura da configuración en escaleiras e, ao mesmo tempo, a planta non se pode parar, comezou a formarse.
Así veu ao mundo o concepto de IT&OT (Information Technology & Operation Technology).
Inmediatamente despois (está claro que non se debe permitir traballar a persoal non cualificado) veu a necesidade de certificar especialistas na área relacionada coa garantía da seguridade dos sistemas de control de procesos e dos sistemas industriais, dos cales, ao parecer, hai moitos nas nosas vidas, desde unha válvula automática de abastecemento de auga nun apartamento ata un sistema de control de avións (lembra o excelente artigo sobre a investigación de problemas ). E mesmo, como se viu de súpeto, equipos médicos complexos.
Unha pequena letra sobre como cheguei á necesidade de obter a certificación (podedes saltala): Despois de rematar con éxito os meus estudos na Facultade de Seguridade da Información a finais dos anos XNUMX, entrei coa cabeza ás filas da ovella de instrumentación. en alto, traballando como mecánico de sistemas de alarma de seguridade de baixa corrente. Parece que a seguridade da información me dixeron na empresa naquel momento :) Así comezou a miña carreira como especialista en sistemas de control automatizado cunha licenciatura en seguridade da información. Seis anos despois, ascendendo ao rango de xefe do departamento de sistemas SCADA, marchei para traballar como consultor de seguridade para sistemas de control industrial nunha empresa estranxeira que vende software e equipos. Foi aquí onde xurdiu a necesidade de ser un especialista certificado en seguridade da información.
é un desenvolvemento unha organización que realiza formación e certificación de especialistas en seguridade da información. A reputación do certificado GIAC é moi alta entre os especialistas e clientes dos mercados de EMEA, EUA e Asia Pacífico. Aquí, no espazo post-soviético e nos países da CEI, tal certificado só o poden solicitar empresas estranxeiras con negocios nos nosos países, axencias internacionais e consultoras. Persoalmente, nunca atopei unha solicitude de tal certificación de empresas nacionais. Todo o mundo está basicamente pedindo CISSP. Esta é a miña opinión subxectiva e se alguén comparte a súa experiencia nos comentarios, será interesante coñecela.
En SANS hai bastantes áreas diferentes (na miña opinión, recentemente os rapaces ampliaron demasiado o seu número), pero tamén hai cursos prácticos moi interesantes. Gustoume especialmente . Pero a historia será sobre o curso e un certificado chamado: .
De todos os tipos de certificacións de Ciberseguridade Industrial que ofrece SANS, esta é a máis universal. Xa que o segundo refírese máis aos sistemas Power Grid, que en Occidente reciben especial atención e pertencen a unha clase separada de sistemas. E o terceiro (no momento da miña ruta de certificación) relacionado coa resposta a incidentes.
O curso non é barato, pero ofrece un coñecemento bastante amplo de TI e OT. Será especialmente útil para aqueles compañeiros que decidiron cambiar de campo, por exemplo, desde a seguridade informática no sector bancario ata a ciberseguridade industrial. Como xa tiña formación no campo dos sistemas de control de procesos, instrumentación e tecnoloxía de operación, non había nada fundamentalmente novo ou de vital importancia para min neste curso.
O curso consta dun 50% de teoría e un 50% de práctica. Desde a práctica, o concurso máis interesante foi NetWars. Durante dous días, despois do curso principal das clases, todos os alumnos de todas as clases dividíronse en equipos e realizaron tarefas para obter dereitos de acceso, extraer a información necesaria, acceder á rede, un montón de tarefas para promover hash, traballar con Wireshark. e todo tipo de golosinas diferentes.
O material do curso resúmese en forma de libros, que despois recibes para o teu uso perpetuo. Por certo, podes levalos para o exame, xa que o formato é Open Book, pero non che axudarán moito, xa que o exame ten 3 horas, 115 preguntas e o idioma de entrega é o inglés. Durante as 3 horas, podes facer un descanso de 15 minutos. Pero ten en conta que tomando un descanso de 15 minutos e volvendo ás probas despois das 5, simplemente estás renunciando aos dez minutos restantes, xa que xa non poderás deter o tempo no programa de probas. Podes saltar ata 15 preguntas, que aparecerán ao final.
Persoalmente, non recomendo deixar moitas preguntas para máis tarde, porque 3 horas realmente non son tempo suficiente, e cando ao final tes preguntas que aínda non foron resoltas, hai unha gran probabilidade de non poder facelo. iso a tempo. Deixei para máis tarde só tres preguntas que foron realmente difíciles para min, xa que estaban relacionadas co coñecemento do estándar NIST 800.82 e NERC. Psicoloxicamente, tales preguntas "para máis tarde" chegan aos nervios ao final: cando o teu cerebro está canso, queres ir ao baño, o temporizador da pantalla parece acelerarse exponencialmente.
En xeral, para superar a proba é necesario obter un 71% de respostas correctas. Antes de realizar o exame, terás a oportunidade de practicar en probas reais, xa que o prezo inclúe 2 probas prácticas de 115 preguntas e con condicións similares ao exame real.
Recomendo facer o exame un mes despois de rematar a formación, dedicando este mes a un autoestudo sistemático naqueles temas nos que non se sente seguro. Sería bo que colleses os materiais impresos recibidos durante o curso, que parecen resumos breves sobre cada tema, e buscades deliberadamente información sobre os temas contidos nestes libros. Divide o mes en dúas partes, realizando probas prácticas e facendo unha idea aproximada das áreas nas que tes forte e nas que tes que mellorar.
Gustaríame destacar as seguintes áreas principais que conforman o propio exame (non o curso de formación, xa que abarca temas moito máis extensos):
- Seguridade física: do mesmo xeito que outros exames de certificación, esta cuestión recibe moita atención no GICSP. Hai preguntas sobre os tipos de pechaduras físicas das portas, descríbense situacións de falsificación de pases electrónicos, onde cómpre dar unha resposta para identificar sen ambigüidades o problema. Hai preguntas directamente relacionadas coa seguridade da tecnoloxía (proceso), dependendo da área temática: procesos de petróleo e gas, centrais nucleares ou redes eléctricas. Por exemplo, pode haber unha pregunta como: Determine que tipo de control de seguridade física é a situación cando unha alarma vén do sensor de temperatura de vapor da HMI? Ou unha pregunta como: Que situación (evento) servirá de motivo para analizar as gravacións de vídeo das cámaras de vixilancia do sistema de seguridade perimetral da instalación?
En termos porcentuais, notaría que o número de preguntas sobre este apartado no meu exame e nas probas prácticas non superou o 5%.
- Outra e unha das categorías de preguntas máis estendidas son as preguntas sobre sistemas de control de procesos, PLC, SCADA: aquí haberá que abordar sistematicamente o estudo dos materiais sobre como se estruturan os sistemas de control de procesos, desde sensores ata servidores onde se atopa o propio software de aplicación. corre. Atoparase un número suficiente de preguntas sobre os tipos de protocolos de transferencia de datos industriais (ModBus, RTU, Profibus, HART, etc.). Haberá preguntas sobre como se diferencia a RTU do PLC, como protexer os datos do PLC contra a modificación por parte dun atacante, en que áreas de memoria almacena os datos o PLC e onde se almacena a propia lóxica (un programa escrito por un programador do sistema de control de procesos). ). Por exemplo, pode haber unha pregunta deste tipo: Dar unha resposta a como pode detectar un ataque entre un PLC e unha HMI que operan mediante o protocolo ModBus?
Haberá preguntas sobre as diferenzas entre os sistemas SCADA e DCS. Un gran número de preguntas sobre as regras para separar as redes de control de procesos automatizados no nivel L1, L2 do nivel L3 (describirei con máis detalle na sección con preguntas sobre a rede). As preguntas de situación sobre este tema tamén serán moi diversas: describen a situación na sala de control e cómpre seleccionar accións que debe realizar o operador do proceso ou o despachador.
En xeral, esta sección é a máis específica e de perfil estreito. Esixe que teñas bos coñecementos:
— sistema de control automatizado, parte de campo (sensores, tipos de conexións de dispositivos, características físicas dos sensores, PLC, RTU);
- sistemas de parada de emerxencia (ESD - sistema de parada de emerxencia) de procesos e obxectos (por certo, en Habré hai unha excelente serie de artigos sobre este tema desde )
— unha comprensión básica dos procesos físicos que ocorren, por exemplo, no refino de petróleo, a xeración de electricidade, oleodutos, etc.;
— comprensión da arquitectura dos sistemas DCS e SCADA;
Teño en conta que as preguntas deste tipo poden aparecer ata un 25% ao longo das 115 preguntas do exame. - Tecnoloxías de rede e seguridade da rede: creo que o número de preguntas deste tema é o primeiro no exame. Probablemente haberá absolutamente de todo: o modelo OSI, en que niveis opera este ou cal protocolo, moitas preguntas sobre a segmentación da rede, preguntas situacionais sobre ataques de rede, exemplos de rexistros de conexión cunha proposta para determinar o tipo de ataque, exemplos de configuracións de conmutadores. cunha proposta para determinar unha configuración vulnerable, preguntas sobre vulnerabilidades protocolos de rede, preguntas sobre as particularidades das conexións de rede dos protocolos de comunicación industrial. A xente pregunta moito sobre ModBus. A estrutura dos paquetes de rede do mesmo ModBus, dependendo do seu tipo e versións admitidas polo dispositivo. Préstase moita atención aos ataques ás redes sen fíos: ZigBee, Wireless HART, e simplemente preguntas sobre a seguridade da rede de toda a familia 802.1x. Haberá preguntas sobre as regras para colocar determinados servidores na rede do sistema de control de procesos (aquí cómpre ler o estándar IEC-62443 e comprender os principios dos modelos de referencia das redes de sistemas de control de procesos). Haberá preguntas sobre o modelo Purdue.
- Unha categoría de cuestións que se refire exclusivamente ás características funcionais do funcionamento dos sistemas de transporte de enerxía eléctrica e dos sistemas de seguridade da información dos mesmos. Nos Estados Unidos, esta categoría de sistemas de control de procesos automatizados chámase Power Grid e se lle asigna un papel separado. Para este fin, incluso se emiten estándares separados (NIST 800.82) que regulan o enfoque para crear sistemas de seguridade da información para este sector. Nos nosos países, na súa maioría, este sector limítase aos sistemas ASKUE (corríxame se alguén viu un enfoque máis serio para controlar os sistemas de distribución e entrega de electricidade). Así, no exame atoparás preguntas bastante específicas relacionadas con Power Grid. Na súa maior parte, estes foron casos de uso para unha situación específica que se desenvolveu na Central Eléctrica, pero tamén pode haber enquisas sobre dispositivos que se utilizan especificamente na rede eléctrica. Haberá preguntas sobre o coñecemento das seccións NIST para esta categoría de sistemas.
- Preguntas relacionadas co coñecemento das normas: NIST 800-82, NERC, IEC62443. Creo que aquí sen ningún comentario especial: cómpre navegar polas seccións dos estándares, que é responsable de que e que recomendacións contén. Hai preguntas concretas, por exemplo, a frecuencia de comprobación da funcionalidade do sistema, a frecuencia de actualización do procedemento, etc. Como porcentaxe destas preguntas, pódese atopar ata o 15% do número total de preguntas. Pero depende. Por exemplo, en dúas probas prácticas atopeime só cun par de preguntas similares. Pero realmente houbo moitos durante o exame.
- Ben, a última categoría de preguntas son todo tipo de casos de uso e cuestións situacionais.
En xeral, a propia formación, coa posible excepción de CTF NetWars, non foi moi informativa para min en canto á adquisición de coñecementos potencialmente novos. Máis ben, adquiríronse detalles máis profundos dalgúns temas, especialmente no ámbito da organización e protección das redes de radio utilizadas para transmitir información tecnolóxica, así como material máis organizado sobre a estrutura de estándares estranxeiros dedicados a este tema. Polo tanto, para enxeñeiros e especialistas que teñan coñecementos e experiencia suficientes traballando con sistemas de control de procesos/sistemas de instrumentación ou redes industriais, pode pensar en aforrar en formación (e aforrar ten sentido), prepararse e ir directamente ao exame de certificación, que , por certo, vale 700 USD. En caso de falla, terás que pagar de novo. Hai moitos centros de certificación que te aceptarán para o exame; o principal é solicitar con antelación. En xeral, recomendo fixar a data do exame de inmediato, xa que, se non, atrasarás constantemente, substituíndo o proceso de preparación por outros asuntos vitais e non de todo importancia. E ter unha data límite específica fará que te automotives.
Fonte: www.habr.com