Sziasztok! Mindenki kedvenc portálján sokféle cikk szerepelt az információbiztonság területén végzett tanúsításról, így nem állítom a tartalom eredetiségét és egyediségét, mégis nagyon szeretném megosztani a GIAC (Global Information Assurance Company) megszerzésével kapcsolatos tapasztalataimat. tanúsítás az ipari kiberbiztonság területén. Az olyan szörnyű szavak megjelenése óta, mint , , A Shamoon, Triton kezdett kialakulni az informatikusnak tűnő, de a PLC-ket túlterhelni képes szakemberek szolgáltatásainak piaca a létrákon történő konfiguráció átírásával, ugyanakkor az üzemet nem lehet leállítani.
Így jött a világra az IT&OT (Information Technology & Operation Technology) koncepciója.
Rögtön ezután (egyértelmű, hogy szakképzetlen személyzet nem dolgozhat) felmerült a folyamatirányító rendszerek és az ipari rendszerek biztonságának biztosításával kapcsolatos szakterületen a szakemberek minősítésének igénye – ebből, mint kiderült, nagyon sok van életünkben, az automatikus vízellátó szeleptől egy lakásban a repülőgépek vezérlőrendszeréig (emlékezzen a kiváló cikkre a problémák kivizsgálásáról ). És még, mint hirtelen kiderült, összetett orvosi berendezések is.
Rövid dalszöveg arról, hogyan jutottam el a minősítés szükségességéig (ezt kihagyhatod): A kétezres évek végén sikeresen befejeztem tanulmányaimat az Információbiztonsági Karon, fejjel a műszeres bárányok sorába léptem. magasra tartott, gyengeáramú biztonsági riasztórendszerek szerelőjeként dolgozik. Úgy tűnik, annak idején nekem mondták az információbiztonságot a vállalkozásnál :) Így indult a pályafutásom, mint automatizált irányítási rendszer specialista, információbiztonsági alapképzéssel. Hat évvel később, miután a SCADA rendszerek osztályának vezetőjévé emelkedtem, otthagytam, hogy ipari vezérlőrendszerek biztonsági tanácsadójaként dolgozzam egy szoftvereket és berendezéseket forgalmazó külföldi cégnél. Itt merült fel az igény, hogy okleveles információbiztonsági szakember legyen.
egy fejlesztés információbiztonsági szakemberek képzését és minősítését végző szervezet. A GIAC-tanúsítvány hírneve nagyon magas az EMEA, az Egyesült Államok és az ázsiai csendes-óceáni térség szakértői és vásárlói körében. Itt, a posztszovjet térben és a FÁK-országokban ilyen tanúsítványt csak az országunkban üzleti tevékenységet folytató külföldi cégek, nemzetközi és tanácsadó ügynökségek igényelhetnek. Személy szerint még soha nem találkoztam hazai cégek ilyen igazolási kérésével. Alapvetően mindenki CISSP-t kér. Ez az én szubjektív véleményem, és ha valaki megosztja tapasztalatait kommentben, akkor érdekes lesz tudni.
A SANS-ben elég sok különböző terület van (szerintem az utóbbi időben túlságosan bővítették a srácok a létszámot), de vannak nagyon érdekes gyakorlati kurzusok is. különösen tetszett . De a történet a tanfolyamról fog szólni és egy bizonyítványt: .
A SANS által kínált összes ipari kiberbiztonsági tanúsítvány közül ez a leguniverzálisabb. Mivel a második inkább a Power Grid rendszerekre vonatkozik, amelyek nyugaton különös figyelmet kapnak, és a rendszerek külön osztályába tartoznak. A harmadik pedig (a tanúsítási útvonalam idején) az Incident Response-hoz kapcsolódott.
A tanfolyam nem olcsó, de elég széleskörű IT&OT ismereteket nyújt. Különösen hasznos lesz azoknak az elvtársaknak, akik úgy döntöttek, hogy szakterületet váltanak, például a banki IT biztonságról az ipari kiberbiztonságra. Mivel már rendelkeztem folyamatirányító rendszerek, műszerezés és üzemtechnika területén, semmi alapvetően új vagy életbevágóan fontos számomra nem volt ezen a tanfolyamon.
A tanfolyam 50%-ban elméletből és 50%-ban gyakorlatból áll. A gyakorlatból a legérdekesebb verseny a NetWars volt. Két napon keresztül, az órák fő tanfolyama után az összes osztály minden diákját csapatokba osztották, és feladatokat hajtottak végre a hozzáférési jogok megszerzése, a szükséges információk kinyerése, a hálózathoz való hozzáférés, egy csomó feladat a hash népszerűsítésére, a Wiresharkkal való munkavégzés érdekében. és mindenféle finomság.
A tananyag könyvek formájában van összefoglalva, amelyeket aztán örökkévaló használatra kap. Egyébként vizsgára is viheted őket, hiszen a formátum Open Book, de nem sokat segítenek, hiszen a vizsga 3 órás, 115 kérdésből áll, a kézbesítés nyelve pedig angol. A teljes 3 óra alatt 15 perc szünetet tarthat. De ne feledje, hogy ha 15 perc szünetet tart, és 5 után visszatér a tesztekhez, egyszerűen feladja a maradék tíz percet, mivel a tesztprogramban többé nem tudja megállítani az időt. Legfeljebb 15 kérdést kihagyhat, amelyek a legvégén jelennek meg.
Én személy szerint nem javaslom, hogy sok kérdést későbbre hagyjon, mert a 3 óra tényleg nem elég idő, és amikor a végén olyan kérdései vannak, amelyeket még nem sikerült megválaszolni, nagy a valószínűsége annak, hogy nem tudja megtenni azt időben. Csupán három olyan kérdést hagytam későbbre, amelyek nagyon nehezek voltak számomra, mivel a NIST 800.82 és a NERC szabvány ismeretére vonatkoztak. Pszichológiailag az ilyen „későbbi” kérdések a legvégén megütik az idegeidet – amikor az agyad elfárad, vécére akarsz menni, a képernyőn látható időzítő exponenciálisan felgyorsul.
Általában a teszt sikeres teljesítéséhez a helyes válaszok 71%-át kell elérnie. A vizsga letétele előtt lehetőséged lesz valódi teszteken gyakorolni - mivel az ár 2 db 115 kérdésből álló gyakorlótesztet tartalmaz, a valódi vizsgához hasonló feltételekkel.
Azt javaslom, hogy a képzés befejezése után egy hónappal vizsgázzon, és ezt a hónapot szánja szisztematikus önálló tanulásra azon kérdésekben, amelyekben bizonytalannak érzi magát. Jó lenne, ha elővenné a kurzus során kapott nyomtatott anyagokat, amelyek minden témában rövid kivonatokként néznek ki - és céltudatosan keresnének információkat a könyvekben található témákról. Bontsd két részre a hónapot, végezz gyakorlati teszteket, és készíts hozzávetőleges képet arról, hogy milyen területeken vagy erős, és hol kell fejlődnöd.
A következő főbb területeket szeretném kiemelni, amelyek a vizsgát (nem a képzést, mivel sokkal kiterjedtebb témákat fedik le):
- Fizikai biztonság: A többi tanúsítási vizsgához hasonlóan ez a kérdés is nagy figyelmet szentel a GICSP-nek. Kérdések merülnek fel az ajtók fizikai zárainak típusaival kapcsolatban, leírják az elektronikus igazolványok hamisításával kapcsolatos helyzeteket, ahol választ kell adni a probléma egyértelmű azonosításához. A technológia (eljárás) biztonságához közvetlenül kapcsolódó kérdések merülnek fel, a tárgyterülettől függően - olaj- és gázfolyamatok, atomerőművek vagy elektromos hálózatok. Például felmerülhet egy olyan kérdés, mint: Határozza meg, milyen típusú fizikai biztonsági ellenőrzés az a helyzet, amikor riasztás érkezik a HMI gőzhőmérséklet-érzékelőjétől? Vagy egy olyan kérdés, mint például: Milyen helyzet (esemény) szolgálhat okként a létesítmény határvédelmi rendszerének térfigyelő kameráinak videofelvételeinek elemzésére?
Százalékosan kifejezve megjegyezném, hogy a vizsgámon és a gyakorlati teszteken a kérdések száma ebben a részben nem haladta meg az 5%-ot.
- A kérdések másik és egyik legelterjedtebb kategóriája a folyamatirányító rendszerekkel, PLC-vel, SCADA-val kapcsolatos kérdések: itt szisztematikusan kell megközelíteni a folyamatvezérlő rendszerek felépítésére vonatkozó anyagok tanulmányozását, az érzékelőktől a szerverekig, ahol maga az alkalmazásszoftver. fut. Az ipari adatátviteli protokollok típusairól (ModBus, RTU, Profibus, HART, stb.) kellő számú kérdés merül fel. Kérdések lesznek azzal kapcsolatban, hogy miben különbözik az RTU a PLC-től, hogyan lehet megvédeni a PLC-ben lévő adatokat a támadó általi módosítástól, a PLC mely memóriaterületeken tárolja az adatokat, és hol tárolja magát a logikát (a folyamatvezérlő rendszer programozója által írt program ). Például felmerülhet egy ilyen típusú kérdés: Adjon választ arra, hogyan észlelheti a ModBus protokollal működő PLC és HMI közötti támadást?
Lesznek kérdések a SCADA és a DCS rendszerek közötti különbségekről. Nagyszámú kérdés az automatizált folyamatvezérlő hálózatok L1, L2 és L3 szintű elválasztásának szabályaival kapcsolatban (részletesen leírom a hálózatra vonatkozó kérdésekkel foglalkozó részben). A témával kapcsolatos helyzetkérdések szintén nagyon változatosak lesznek - leírják a vezérlőteremben fennálló helyzetet, és ki kell választania azokat a műveleteket, amelyeket a folyamatkezelőnek vagy a diszpécsernek kell végrehajtania.
Általában ez a szakasz a legspecifikusabb és legszűkebb profil. Jó tudás szükséges:
— automatizált vezérlőrendszer, terepi rész (érzékelők, eszközcsatlakozások típusai, érzékelők fizikai jellemzői, PLC, RTU);
— folyamatok és objektumok vészleállító rendszerei (ESD – vészleállító rendszer) (egyébként a témában kiváló cikksorozat található a Habré-tól )
— a fizikai folyamatok alapvető ismerete, amelyek például az olajfinomításban, a villamosenergia-termelésben, a csővezetékekben stb.
— a DCS és SCADA rendszerek architektúrájának ismerete;
Megjegyezném, hogy az ilyen típusú kérdések a vizsga mind a 25 kérdésében akár 115%-ban is előfordulhatnak. - Hálózati technológiák és hálózati biztonság: Úgy gondolom, hogy ebben a témakörben a kérdések száma az első a vizsgán. Valószínűleg minden lesz - az OSI modell, milyen szinteken működik ez vagy az a protokoll, sok kérdés a hálózat szegmentálásával kapcsolatban, helyzetre vonatkozó kérdések a hálózati támadásokkal kapcsolatban, példák a kapcsolati naplókra a támadás típusának meghatározására vonatkozó javaslattal, példák a kapcsolókonfigurációkra sebezhető konfiguráció meghatározására vonatkozó javaslattal, a hálózati protokollok sebezhetőségeivel kapcsolatos kérdések, az ipari kommunikációs protokollok hálózati kapcsolatainak sajátosságaival kapcsolatos kérdések. Az emberek különösen sokat kérdeznek a ModBusról. Ugyanazon ModBus hálózati csomagjainak szerkezete, típusától és az eszköz által támogatott verzióitól függően. Nagy figyelmet fordítanak a vezeték nélküli hálózatok – ZigBee, Wireless HART – elleni támadásokra, és egyszerűen a teljes 802.1x család hálózati biztonságával kapcsolatos kérdésekre. Kérdések lesznek bizonyos szerverek folyamatirányító rendszer hálózatba helyezésének szabályaival kapcsolatban (itt el kell olvasni az IEC-62443 szabványt és meg kell érteni a folyamatirányító rendszer hálózatok referenciamodelljeinek alapelveit). Lesznek kérdések a Purdue modellel kapcsolatban.
- A kérdések olyan kategóriája, amely kizárólag a villamosenergia-átviteli rendszerek és az ezekre vonatkozó információbiztonsági rendszerek működési jellemzőire vonatkozik. Az USA-ban az automatizált folyamatirányító rendszereknek ezt a kategóriáját Power Gridnek hívják, és külön szerepkörrel rendelkeznek. Ebből a célból még külön szabványokat is kiadnak (NIST 800.82), amelyek szabályozzák az információbiztonsági rendszerek létrehozásának megközelítését ebben a szektorban. Hazánkban ez a szektor nagyrészt az ASKUE rendszerekre korlátozódik (javítsatok ki, ha valaki látott már komolyabb megközelítést az áramelosztó és -szállítási rendszerek figyelésére). Tehát a vizsgán meglehetősen konkrét kérdéseket talál a Power Griddel kapcsolatban. Ezek nagyrészt az Erőműben kialakult konkrét helyzetre vonatkozó használati esetek voltak, de előfordulhatnak olyan eszközökre vonatkozó felmérések is, amelyeket kifejezetten az áramhálózatban használnak. Lesznek kérdések a NIST szakaszok ismeretére vonatkozóan ebben a rendszerkategóriában.
- Szabványismerettel kapcsolatos kérdések: NIST 800-82, NERC, IEC62443. Azt hiszem, itt minden különösebb megjegyzés nélkül - a szabványok szakaszaiban kell navigálnia, amely felelős azért, hogy mit és milyen ajánlásokat tartalmaz. Vannak konkrét kérdések, például a rendszer működőképességének ellenőrzésének gyakorisága, az eljárás frissítésének gyakorisága stb. Az ilyen kérdések százalékában az összes kérdés akár 15%-ával is találkozhatunk. De attól függ. Például két gyakorló teszten csak néhány hasonló kérdéssel találkoztam. De tényleg nagyon sokan voltak a vizsga alatt.
- Nos, a kérdések utolsó kategóriája mindenféle használati eset és helyzetkérdés.
Általánosságban elmondható, hogy maga a képzés, a CTF NetWars kivételével, nem volt túl informatív számomra az esetlegesen új ismeretek elsajátítása szempontjából. Inkább egyes témák mélyebb részletezésére került sor, különösen a technológiai információk továbbítására használt rádióhálózatok szervezése és védelme terén, valamint a témával foglalkozó külföldi szabványok felépítéséről szóló, rendezettebb anyag. Ezért azoknak a mérnököknek és szakembereknek, akik kellő tudással és tapasztalattal rendelkeznek a folyamatirányító rendszerekkel/műszerrendszerekkel vagy az ipari hálózatokkal való munkavégzés során, gondolkodhatnak a képzésen való megtakarításon (és a megtakarításnak van értelme), felkészülhetnek, és egyenesen le kell tenniük a minősítő vizsgát, amely , egyébként 700 USD-t ér. Sikertelenség esetén újra kell fizetnie. Rengeteg minősítő központ van, amely felveszi Önt a vizsgára, a lényeg az, hogy előzetesen jelentkezzen. Általában azt javaslom, hogy azonnal tűzd ki a vizsgaidőpontot, mert különben folyamatosan halogatod, a felkészülést más létfontosságú és nem teljesen fontos dolgokkal helyettesíted. A konkrét határidő megadása pedig önmotiválttá tesz.
Forrás: will.com