Bok svima! Svima omiljeni portal imao je mnogo različitih članaka o certifikaciji u području informacijske sigurnosti, pa neću tvrditi da je sadržaj originalan i jedinstven, ali bih ipak želio podijeliti svoje iskustvo dobivanja GIAC-a (Global Information Assurance Company) certificiranje u području industrijske kibernetičke sigurnosti. Od pojave tako strašnih riječi kao što su , , Shamoon, Triton, tržište za pružanje usluga stručnjaka koji naizgled jesu IT, ali mogu i preopteretiti PLC-ove prepisivanjem konfiguracije na ljestvama, a pritom se postrojenje ne može zaustaviti, počelo se stvarati.
Tako je na svijet došao koncept IT&OT (Information Technology & Operation Technology).
Odmah zatim (jasno je da se nekvalificiranom osoblju ne smije dopustiti rad) došla je potreba za certificiranjem stručnjaka u području koje se odnosi na osiguranje sigurnosti sustava upravljanja procesima i industrijskih sustava - kojih, pokazalo se, ima jako puno. u našim životima, od automatskog ventila za dovod vode u stanu do upravljačkog sustava zrakoplova (sjetite se izvrsnog članka o istraživanju problema ). Pa čak i, kako se iznenada pokazalo, složena medicinska oprema.
Kratki stih o tome kako sam došao do potrebe za dobivanjem certifikata (možete ga preskočiti): Uspješno završivši studij na Fakultetu informacijske sigurnosti krajem XNUMX-ih, glavom sam zakoračio u red ovaca instrumentara. visoko podignut, radi kao mehaničar za sigurnosne alarmne sustave slabe struje. Čini se kao da su mi informacijsku sigurnost tada rekli u poduzeću :) Tako je započela moja karijera stručnjaka za automatizirane sustave upravljanja s diplomom prvostupnika informacijske sigurnosti. Šest godina kasnije, napredujući do voditelja odjela SCADA sustava, odlazim raditi kao sigurnosni savjetnik za industrijske upravljačke sustave u stranoj tvrtki koja se bavi prodajom softvera i opreme. Tu se javila potreba da budete certificirani stručnjak za informacijsku sigurnost.
je razvoj organizacija koja provodi obuku i certificiranje stručnjaka za informacijsku sigurnost. Ugled GIAC certifikata vrlo je visok među stručnjacima i kupcima na tržištima EMEA, SAD-a i azijsko-pacifičkog tržišta. Kod nas, na postsovjetskom prostoru i u zemljama ZND-a, takav certifikat mogu tražiti samo strane tvrtke koje posluju u našim zemljama, međunarodne i konzultantske agencije. Osobno se nikad nisam susreo sa zahtjevom za takvu certifikaciju domaćih tvrtki. Svi uglavnom traže CISSP. Ovo je moje subjektivno mišljenje i ako netko podijeli svoje iskustvo u komentarima, bit će zanimljivo znati.
Postoji dosta različitih područja u SANS-u (po mom mišljenju, nedavno su dečki previše proširili njihov broj), ali postoje i vrlo zanimljivi praktični tečajevi. Posebno mi se svidio . Ali priča će biti o tečaju i certifikat pod nazivom: .
Od svih vrsta certifikata industrijske kibernetičke sigurnosti koje nudi SANS, ovo je najuniverzalniji. Budući da se drugi više odnosi na Power Grid sustave, kojima se na Zapadu posvećuje posebna pažnja i spadaju u posebnu klasu sustava. I treći (u vrijeme mog puta certifikacije) odnosio se na Incident Response.
Tečaj nije jeftin, ali pruža prilično opsežno znanje o IT&OT-u. Bit će posebno korisno za one drugove koji su odlučili promijeniti svoje polje, na primjer iz IT sigurnosti u bankarskoj industriji u Industrial Cyber Security. Budući da sam već imao iskustvo u području sustava upravljanja procesima, instrumentacije i operativne tehnologije, u ovom kolegiju za mene nije bilo ničeg bitno novog ili životno važnog.
Tečaj se sastoji od 50% teorije i 50% prakse. Iz prakse, najzanimljivije natjecanje bio je NetWars. Dva dana, nakon glavne nastave, svi učenici svih razreda bili su podijeljeni u timove i obavljali zadatke za dobivanje prava pristupa, izdvajanje potrebnih informacija, dobivanje pristupa mreži, hrpu zadataka za promicanje hasheva, rad s Wiresharkom i svakakvih raznih poslastica.
Materijal tečaja sažet je u obliku knjiga, koje zatim dobivate na trajno korištenje. Inače, možete ih polagati jer je format Open Book, ali vam neće puno pomoći jer ispit ima 3 sata, 115 pitanja, a jezik predavanja je engleski. Tijekom čitava 3 sata možete napraviti pauzu od 15 minuta. Ali imajte na umu da se pauzom od 15 minuta i povratkom na testove nakon 5 jednostavno odričete preostalih deset minuta jer više nećete moći zaustaviti vrijeme u programu testiranja. Možete preskočiti do 15 pitanja koja će se pojaviti na samom kraju.
Osobno ne preporučam ostavljati puno pitanja za kasnije, jer 3 sata je stvarno premalo vremena, a kada na kraju imate pitanja koja još niste riješili, velika je vjerojatnost da nećete moći učiniti to na vrijeme. Ostavio sam za kasnije samo tri pitanja koja su mi bila jako teška, jer su se odnosila na poznavanje NIST 800.82 i NERC standarda. Psihološki, takva pitanja “za kasnije” pogađaju živce na samom kraju - kada vam je mozak umoran, želite ići na WC, čini se da se mjerač vremena na ekranu eksponencijalno ubrzava.
Općenito, da biste prošli test morate postići 71% točnih odgovora. Prije polaganja ispita imat ćete priliku vježbati na pravim testovima - jer su u cijenu uključena 2 probna testa od 115 pitanja i uz uvjete slične pravom ispitu.
Preporučujem polaganje ispita mjesec dana nakon završetka obuke, provodeći ovaj mjesec na sustavno samostalno učenje o onim pitanjima u kojima se ne osjećate sigurni. Bilo bi lijepo da uzmete tiskane materijale dobivene tijekom tečaja, koji izgledaju kao kratki sažeci o svakoj temi - i ciljano tražite informacije o temama sadržanim u tim knjigama. Podijelite mjesec na dva dijela, polažući probne testove i dobivajući grubu sliku o tome u kojim ste područjima jaki i gdje se trebate poboljšati.
Želio bih istaknuti sljedeća glavna područja koja čine sam ispit (ne tečaj obuke, budući da pokriva puno opsežnije teme):
- Fizička sigurnost: kao i drugim certifikacijskim ispitima, ovom se pitanju pridaje velika pozornost u GICSP-u. Postoje pitanja o vrstama fizičkih brava na vratima, opisane su situacije s krivotvorenjem elektroničkih propusnica, gdje je potrebno dati odgovor kako bi se nedvosmisleno identificirao problem. Postoje pitanja koja se izravno odnose na sigurnost tehnologije (procesa), ovisno o predmetnom području - naftni i plinski procesi, nuklearne elektrane ili elektroenergetske mreže. Na primjer, može postojati pitanje kao što je: Odredite koja je vrsta kontrole fizičke sigurnosti u situaciji kada alarm dolazi od senzora temperature pare na HMI? Ili pitanje poput: Koja će situacija (događaj) poslužiti kao povod za analizu video zapisa s nadzornih kamera sustava zaštite perimetra objekta?
U postotcima, primijetio bih da broj pitanja u ovoj sekciji na mom ispitu i na vježbama nije prelazio 5%.
- Druga i jedna od najrasprostranjenijih kategorija pitanja su pitanja o sustavima upravljanja procesima, PLC-u, SCADA-i: ovdje će biti potrebno sustavno pristupiti proučavanju materijala o tome kako su strukturirani sustavi upravljanja procesima, od senzora do poslužitelja gdje se sam aplikacijski softver trči. Dovoljan broj pitanja naći će se o vrstama industrijskih protokola za prijenos podataka (ModBus, RTU, Profibus, HART itd.). Bit će pitanja o tome po čemu se RTU razlikuje od PLC-a, kako zaštititi podatke u PLC-u od modifikacije od strane napadača, u kojim memorijskim područjima PLC pohranjuje podatke i gdje je pohranjena sama logika (program koji je napisao programer sustava upravljanja procesom ). Na primjer, može postojati pitanje ove vrste: Dajte odgovor na to kako možete otkriti napad između PLC-a i HMI-a koji rade koristeći ModBus protokol?
Bit će pitanja o razlikama između SCADA i DCS sustava. Velik broj pitanja o pravilima za odvajanje mreža za automatizirano upravljanje procesima na razini L1, L2 od razine L3 (detaljnije ću opisati u dijelu s pitanjima o mreži). Situacijska pitanja na ovu temu također će biti vrlo raznolika - opisuju situaciju u kontrolnoj sobi i trebate odabrati radnje koje mora izvršiti operater procesa ili dispečer.
Općenito, ovaj odjeljak je najspecifičniji i uski profil. Zahtijeva dobro znanje:
— automatizirani sustav upravljanja, terenski dio (senzori, tipovi priključaka uređaja, fizičke karakteristike senzora, PLC, RTU);
— sustavi za isključivanje u slučaju nužde (ESD – Emergency shutdown system) procesa i objekata (usput, na Habréu postoji izvrsna serija članaka o ovoj temi od )
— osnovno razumijevanje fizikalnih procesa koji se odvijaju, na primjer, u rafineriji nafte, proizvodnji električne energije, cjevovodima itd.;
— razumijevanje arhitekture DCS i SCADA sustava;
Napomenuo bih da se pitanja ovog tipa mogu pojaviti do 25% u svih 115 pitanja na ispitu. - Mrežne tehnologije i mrežna sigurnost: Mislim da je broj pitanja u ovoj temi na prvom mjestu na ispitu. Vjerojatno će biti apsolutno sve - model OSI, na kojim razinama radi ovaj ili onaj protokol, mnoga pitanja o segmentaciji mreže, situacijska pitanja o mrežnim napadima, primjeri dnevnika povezivanja s prijedlogom za određivanje vrste napada, primjeri konfiguracija preklopnika s prijedlogom utvrđivanja ranjive konfiguracije, pitanja o ranjivostima mrežnih protokola, pitanja o specifičnostima mrežnih veza industrijskih komunikacijskih protokola. Ljudi posebno puno pitaju o ModBusu. Struktura mrežnih paketa istog ModBusa, ovisno o njegovoj vrsti i verzijama koje podržava uređaj. Velika pozornost posvećena je napadima na bežične mreže - ZigBee, Wireless HART, te jednostavno pitanjima mrežne sigurnosti cijele obitelji 802.1x. Bit će pitanja o pravilima postavljanja pojedinih poslužitelja u mrežu sustava upravljanja procesima (ovdje je potrebno pročitati standard IEC-62443 i razumjeti principe referentnih modela mreža sustava upravljanja procesima). Bit će pitanja o modelu Purdue.
- Kategorija pitanja koja se odnosi isključivo na funkcionalne značajke rada prijenosnih sustava električne energije i sustava informacijske sigurnosti za njih. U SAD-u se ova kategorija automatiziranih sustava upravljanja procesima naziva Power Grid i dodijeljena joj je posebna uloga. U tu svrhu izdaju se čak i posebni standardi (NIST 800.82) koji reguliraju pristup izradi sustava informacijske sigurnosti za ovaj sektor. Kod nas je ovaj sektor uglavnom ograničen na ASKUE sustave (ispravite me ako je netko vidio ozbiljniji pristup praćenju sustava distribucije i isporuke električne energije). Dakle, na ispitu ćete naći sasvim specifična pitanja vezana uz Power Grid. Uglavnom su to bili slučajevi korištenja za specifičnu situaciju koja se razvila u Elektrani, ali može biti i istraživanja o uređajima koji se koriste posebno u Energetskoj mreži. Postojat će pitanja koja se odnose na poznavanje odjeljaka NIST-a za ovu kategoriju sustava.
- Pitanja vezana uz poznavanje standarda: NIST 800-82, NERC, IEC62443. Mislim da ovdje bez posebnih komentara - morate se kretati odjeljcima standarda, koji su odgovorni za ono što i koje preporuke sadrži. Postoje specifična pitanja, na primjer, pitanje učestalosti provjere funkcionalnosti sustava, učestalosti ažuriranja procedure itd. U postotku takvih pitanja može se susresti do 15% od ukupnog broja pitanja. Ali ovisi. Na primjer, na dva probna testa naišao sam na samo nekoliko sličnih pitanja. Ali na ispitu ih je zaista bilo puno.
- Pa, zadnja kategorija pitanja su sve vrste slučajeva upotrebe i situacijskih pitanja.
Općenito, sama obuka, s možda izuzetkom CTF NetWarsa, nije mi bila previše informativna u smislu stjecanja potencijalno novih znanja. Dapače, dobiveni su dublji detalji nekih tema, posebice u području organizacije i zaštite radijskih mreža koje se koriste za prijenos tehnoloških informacija, kao i uređeniji materijal o strukturi stranih normi posvećenih ovoj tematici. Stoga, za inženjere i stručnjake koji imaju dovoljno znanja i iskustva u radu sa sustavima upravljanja procesima/instrumentacijskim sustavima ili industrijskim mrežama, možete razmisliti o uštedi na obuci (a ušteda ima smisla), pripremiti se i odmah otići na certifikacijski ispit, koji , usput, vrijedi 700 USD. U slučaju neuspjeha, morat ćete ponovno platiti. Postoji mnogo certifikacijskih centara koji će vas prihvatiti za ispit, glavno je da se prijavite unaprijed. Općenito, preporučujem da odmah odredite datum ispita, jer ćete ga inače stalno odgađati, zamjenjujući proces pripreme drugim vitalnim i ne baš važnim stvarima. A to što imate određeni datum roka učinit će vas samomotiviranim.
Izvor: www.habr.com