Halo semua! Portal favorit semua orang memiliki banyak artikel berbeda tentang sertifikasi di bidang keamanan informasi, jadi saya tidak akan mengklaim orisinalitas dan keunikan konten, tetapi saya tetap ingin berbagi pengalaman saya mendapatkan GIAC (Perusahaan Jaminan Informasi Global) sertifikasi di bidang keamanan siber industri. Sejak munculnya kata-kata mengerikan seperti , , Shamoon, Triton, pasar untuk penyediaan layanan spesialis yang tampaknya IT, tetapi juga dapat membebani PLC dengan menulis ulang konfigurasi pada tangga, dan pada saat yang sama pabrik tidak dapat dihentikan, mulai terbentuk.
Dari sinilah konsep IT&OT (Teknologi Informasi & Teknologi Operasi) muncul ke dunia.
Berikutnya (jelas bahwa personel yang tidak berkualifikasi tidak boleh diizinkan bekerja) muncul kebutuhan untuk mensertifikasi spesialis di bidang yang berkaitan dengan memastikan keselamatan sistem kontrol proses dan sistem industri - yang ternyata banyak sekali. dalam kehidupan kita, dari katup pasokan air otomatis di apartemen hingga sistem kendali pesawat terbang (ingat artikel bagus tentang menyelidiki masalah ). Dan bahkan, ternyata, peralatan medis yang rumit.
Lirik singkat tentang bagaimana saya sampai pada kebutuhan untuk mendapatkan sertifikasi (Anda dapat melewatkannya): Setelah berhasil menyelesaikan studi saya di Fakultas Keamanan Informasi pada akhir tahun XNUMX-an, saya melangkah ke jajaran domba instrumentasi dengan kepala saya diangkat tinggi, bekerja sebagai mekanik untuk sistem alarm keamanan arus rendah. Sepertinya keamanan informasi diberitahukan kepada saya di perusahaan pada saat itu :) Beginilah karir saya sebagai spesialis sistem kontrol otomatis dengan gelar sarjana keamanan informasi dimulai. Enam tahun kemudian, setelah naik pangkat menjadi kepala departemen sistem SCADA, saya berhenti bekerja sebagai konsultan keamanan untuk sistem kendali industri di sebuah perusahaan asing yang menjual perangkat lunak dan peralatan. Di sinilah muncul kebutuhan untuk menjadi spesialis keamanan informasi bersertifikat.
adalah sebuah perkembangan sebuah organisasi yang menyelenggarakan pelatihan dan sertifikasi spesialis keamanan informasi. Reputasi sertifikat GIAC sangat tinggi di kalangan spesialis dan pelanggan di pasar EMEA, AS, dan Asia Pasifik. Di sini, di ruang pasca-Soviet dan di negara-negara CIS, sertifikat semacam itu hanya dapat diminta oleh perusahaan asing yang memiliki bisnis di negara kita, lembaga internasional dan konsultan. Saya pribadi belum pernah menjumpai permintaan sertifikasi seperti itu dari perusahaan dalam negeri. Setiap orang pada dasarnya meminta CISSP. Ini adalah pendapat subjektif saya dan jika ada yang berbagi pengalamannya di komentar, akan menarik untuk mengetahuinya.
Ada beberapa bidang berbeda di SANS (menurut saya, akhir-akhir ini jumlah mereka bertambah terlalu banyak), tetapi ada juga kursus praktik yang sangat menarik. Saya sangat menyukainya . Tapi ceritanya akan tentang kursus dan sertifikat yang disebut: .
Dari semua jenis sertifikasi Keamanan Siber Industri yang ditawarkan SANS, ini adalah yang paling universal. Karena yang kedua lebih berkaitan dengan sistem Jaringan Listrik, yang di Barat mendapat perhatian khusus dan termasuk dalam kelas sistem yang terpisah. Dan yang ketiga (pada saat jalur sertifikasi saya) berkaitan dengan Incident Response.
Kursus ini tidak murah, tetapi memberikan pengetahuan IT&OT yang cukup luas. Sangat berguna khususnya bagi kawan-kawan yang telah memutuskan untuk mengubah bidangnya, misalnya dari IT security di industri perbankan ke Industrial Cyber ββSecurity. Karena saya sudah memiliki latar belakang di bidang sistem kendali proses, instrumentasi dan teknologi operasi, tidak ada hal mendasar yang baru atau penting bagi saya dalam mata kuliah ini.
Kursus ini terdiri dari 50% teori dan 50% praktik. Dari latihan, kontes yang paling menarik adalah NetWars. Selama dua hari, setelah kelas utama, semua siswa dari semua kelas dibagi menjadi beberapa tim dan melakukan tugas untuk mendapatkan hak akses, mengekstrak informasi yang diperlukan, mendapatkan akses ke jaringan, banyak tugas untuk mempromosikan hash, bekerja dengan Wireshark dan segala macam barang yang berbeda.
Materi kursus dirangkum dalam bentuk buku, yang kemudian Anda terima untuk Anda gunakan terus-menerus. Omong-omong, Anda dapat membawanya untuk ujian, karena formatnya adalah Open Book, tetapi mereka tidak akan banyak membantu Anda, karena ujiannya berdurasi 3 jam, 115 soal, dan bahasa penyampaiannya adalah bahasa Inggris. Selama 3 jam penuh, Anda dapat istirahat selama 15 menit. Namun perlu diingat bahwa dengan beristirahat selama 15 menit dan kembali ke tes setelah jam 5, Anda hanya membuang sepuluh menit yang tersisa, karena Anda tidak akan dapat lagi menghentikan waktu dalam program pengujian. Anda dapat melewati hingga 15 pertanyaan, yang kemudian akan muncul di bagian paling akhir.
Secara pribadi, saya tidak menyarankan untuk meninggalkan banyak pertanyaan untuk nanti, karena 3 jam bukanlah waktu yang cukup, dan ketika pada akhirnya Anda memiliki pertanyaan yang belum terselesaikan, kemungkinan besar Anda tidak dapat mengerjakannya. itu tepat waktu. Saya hanya menyisakan tiga pertanyaan yang sangat sulit bagi saya nanti, karena terkait dengan pengetahuan tentang standar NIST 800.82 dan NERC. Secara psikologis, pertanyaan-pertanyaan seperti itu "untuk nanti" membuat Anda gugup di bagian paling akhir - ketika otak Anda lelah, Anda ingin pergi ke toilet, pengatur waktu di layar sepertinya bertambah cepat secara eksponensial.
Secara umum, untuk lulus tes Anda harus mendapatkan 71% jawaban yang benar. Sebelum mengikuti ujian, Anda akan memiliki kesempatan untuk berlatih pada tes yang sebenarnya - karena harga sudah termasuk 2 tes latihan yang terdiri dari 115 soal dan dengan ketentuan yang mirip dengan ujian sebenarnya.
Saya merekomendasikan untuk mengikuti ujian sebulan setelah menyelesaikan pelatihan, menghabiskan bulan ini untuk belajar mandiri secara sistematis tentang masalah-masalah yang Anda rasa tidak yakin. Alangkah baiknya jika Anda mengambil bahan cetakan yang diterima selama kursus, yang terlihat seperti abstrak singkat pada setiap topik - dan dengan sengaja mencari informasi tentang topik yang terdapat dalam buku-buku tersebut. Bagi bulan ini menjadi dua bagian, ikuti tes latihan dan dapatkan gambaran kasar tentang bidang apa yang menjadi kekuatan Anda dan di mana Anda perlu meningkatkannya.
Saya ingin menyoroti bidang-bidang utama berikut yang membentuk ujian itu sendiri (bukan kursus pelatihan, karena mencakup topik yang jauh lebih luas):
- Keamanan Fisik: Seperti ujian sertifikasi lainnya, masalah ini mendapat banyak perhatian di GICSP. Ada pertanyaan tentang jenis kunci fisik pada pintu, situasi dengan pemalsuan tiket elektronik dijelaskan, di mana Anda perlu memberikan jawaban untuk mengidentifikasi masalahnya dengan jelas. Ada pertanyaan yang berkaitan langsung dengan keselamatan teknologi (proses), tergantung pada bidang subjeknya - proses minyak dan gas, pembangkit listrik tenaga nuklir atau jaringan listrik. Misalnya, mungkin ada pertanyaan seperti: Tentukan jenis kontrol keamanan fisik apa yang terjadi ketika Alarm datang dari sensor suhu uap di HMI? Atau pertanyaan seperti: Situasi (peristiwa) apa yang menjadi alasan untuk menganalisis rekaman video dari kamera pengintai sistem keamanan perimeter fasilitas?
Dalam persentase, saya perhatikan bahwa jumlah soal pada bagian ini dalam ujian dan ujian praktik saya tidak melebihi 5%.
- Kategori pertanyaan lainnya dan salah satu yang paling luas adalah pertanyaan tentang sistem kontrol proses, PLC, SCADA: di sini perlu dilakukan pendekatan sistematis terhadap studi materi tentang bagaimana sistem kontrol proses disusun, dari sensor hingga server tempat perangkat lunak aplikasi itu sendiri berada. berjalan. Cukup banyak pertanyaan yang dapat ditemukan mengenai jenis protokol transfer data industri (ModBus, RTU, Profibus, HART, dll.). Akan ada pertanyaan tentang perbedaan RTU dengan PLC, bagaimana melindungi data di PLC dari modifikasi penyerang, di area memori mana PLC menyimpan data, dan di mana logika itu sendiri disimpan (program yang ditulis oleh pemrogram sistem kontrol proses ). Misalnya, mungkin ada pertanyaan seperti ini: Berikan jawaban bagaimana Anda dapat mendeteksi serangan antara PLC dan HMI yang beroperasi menggunakan protokol ModBus?
Akan ada pertanyaan tentang perbedaan antara sistem SCADA dan DCS. Sejumlah besar pertanyaan tentang aturan untuk memisahkan jaringan kontrol proses otomatis di tingkat L1, L2 dari tingkat L3 (saya akan menjelaskan lebih detail di bagian pertanyaan tentang jaringan). Pertanyaan situasional tentang topik ini juga akan sangat beragam - pertanyaan tersebut menggambarkan situasi di ruang kontrol dan Anda perlu memilih tindakan yang harus dilakukan oleh operator proses atau petugas operator.
Secara umum, bagian ini merupakan bagian yang paling spesifik dan sempit. Mengharuskan Anda memiliki pengetahuan yang baik:
β sistem kontrol otomatis, bagian lapangan (sensor, jenis koneksi perangkat, fitur fisik sensor, PLC, RTU);
β sistem penghentian darurat (ESD β sistem penghentian darurat) dari proses dan objek (omong-omong, ada serangkaian artikel yang sangat bagus tentang topik ini di HabrΓ© dari )
β pemahaman dasar tentang proses fisik yang terjadi, misalnya dalam penyulingan minyak, pembangkit listrik, jaringan pipa, dan lain-lain;
β pemahaman tentang arsitektur sistem DCS dan SCADA;
Saya perhatikan bahwa pertanyaan jenis ini dapat muncul hingga 25% di seluruh 115 pertanyaan ujian. - Teknologi jaringan dan keamanan jaringan: Menurut saya jumlah pertanyaan dalam topik ini adalah yang pertama dalam ujian. Mungkin semuanya ada di sana - model OSI, pada level apa protokol ini atau itu beroperasi, banyak pertanyaan tentang segmentasi jaringan, pertanyaan situasional tentang serangan jaringan, contoh log koneksi dengan proposal untuk menentukan jenis serangan, contoh konfigurasi switch dengan proposal untuk menentukan konfigurasi yang rentan, pertanyaan tentang kerentanan protokol jaringan, pertanyaan tentang spesifikasi koneksi jaringan protokol komunikasi industri. Orang-orang terutama banyak bertanya tentang ModBus. Struktur paket jaringan ModBus yang sama, bergantung pada jenis dan versi yang didukung oleh perangkat. Banyak perhatian diberikan pada serangan terhadap jaringan nirkabel - ZigBee, Wireless HART, dan sekadar pertanyaan tentang keamanan jaringan seluruh keluarga 802.1x. Akan ada pertanyaan tentang aturan penempatan server tertentu di jaringan sistem kendali proses (di sini Anda perlu membaca standar IEC-62443 dan memahami prinsip-prinsip model referensi jaringan sistem kendali proses). Akan ada pertanyaan tentang model Purdue.
- Kategori masalah yang hanya berkaitan dengan fitur fungsional pengoperasian sistem transmisi listrik dan sistem keamanan informasinya. Di AS, kategori sistem kontrol proses otomatis ini disebut Power Grid dan diberi peran terpisah. Untuk tujuan ini, standar terpisah bahkan dikeluarkan (NIST 800.82) yang mengatur pendekatan untuk menciptakan sistem keamanan informasi untuk sektor ini. Di negara kita, sebagian besar sektor ini terbatas pada sistem ASKUE (koreksi saya jika ada yang melihat pendekatan yang lebih serius dalam memantau sistem distribusi dan penyaluran listrik). Jadi, dalam ujian Anda akan menemukan pertanyaan yang cukup spesifik terkait Jaringan Listrik. Umumnya, hal ini merupakan kasus penggunaan untuk situasi spesifik yang berkembang di Pembangkit Listrik, namun mungkin juga terdapat survei pada perangkat yang digunakan secara khusus di Jaringan Listrik. Akan ada pertanyaan yang membahas pengetahuan bagian NIST untuk kategori sistem ini.
- Pertanyaan terkait pengetahuan standar: NIST 800-82, NERC, IEC62443. Saya pikir di sini tanpa komentar khusus - Anda perlu menavigasi bagian standar, siapa yang bertanggung jawab atas apa dan rekomendasi apa yang dikandungnya. Ada pertanyaan spesifik, misalnya menanyakan frekuensi pengecekan fungsionalitas sistem, frekuensi update prosedur, dan lain-lain. Sebagai persentase dari pertanyaan-pertanyaan tersebut, hingga 15% dari total jumlah pertanyaan dapat ditemui. Tapi itu tergantung. Misalnya, pada dua tes latihan saya hanya menemukan beberapa pertanyaan serupa. Tapi sebenarnya ada banyak sekali selama ujian.
- Nah, kategori pertanyaan terakhir adalah semua jenis kasus penggunaan dan pertanyaan situasional.
Secara umum, pelatihan itu sendiri, kecuali CTF NetWars, tidak terlalu informatif bagi saya dalam hal memperoleh potensi pengetahuan baru. Sebaliknya, rincian lebih dalam tentang beberapa topik diperoleh, terutama di bidang organisasi dan perlindungan jaringan radio yang digunakan untuk mengirimkan informasi teknologi, serta materi yang lebih terorganisir mengenai struktur standar asing yang dikhususkan untuk topik ini. Oleh karena itu, bagi para insinyur dan spesialis yang memiliki pengetahuan dan pengalaman yang cukup bekerja dengan sistem kontrol proses/sistem instrumentasi atau Jaringan Industri, Anda dapat memikirkan untuk menghemat pelatihan (dan penghematan itu masuk akal), mempersiapkan diri dan langsung mengikuti ujian sertifikasi, yang mana , omong-omong, bernilai 700USD. Jika gagal, Anda harus membayar lagi. Ada banyak pusat sertifikasi yang akan menerima Anda untuk ujian; yang utama adalah mendaftar terlebih dahulu. Secara umum, saya sarankan untuk segera menetapkan tanggal ujian, karena jika tidak, Anda akan terus-menerus menundanya, menggantikan proses persiapan dengan hal-hal penting lainnya dan tidak terlalu penting. Dan memiliki tanggal tenggat waktu tertentu akan membuat Anda termotivasi.
Sumber: www.habr.com