Hæ allir! Uppáhaldsgátt hvers og eins var með margar mismunandi greinar um vottun á sviði upplýsingaöryggis, svo ég ætla ekki að fullyrða um frumleika og sérstöðu efnisins, en mig langar samt að deila reynslu minni af því að fá GIAC (Global Information Assurance Company) vottun á sviði netöryggis í iðnaði. Þar sem framkoma svo hræðileg orð eins og , , Shamoon, Triton, byrjaði að myndast markaður fyrir veitingu þjónustu sérfræðinga sem virðast vera upplýsingatækni, en geta einnig ofhlaðið PLCs með endurskrifa stillingar á stigum, og á sama tíma er ekki hægt að stöðva verksmiðjuna.
Þannig kom hugtakið IT&OT (Information Technology & Operation Technology) í heiminn.
Strax í kjölfarið (það er ljóst að ófaglært starfsfólk ætti ekki að fá að vinna) kom upp þörfin á að votta sérfræðinga á því sviði sem tengist því að tryggja öryggi ferlistýringarkerfa og iðnaðarkerfa - sem það kemur í ljós að eru mikið af þau í lífi okkar, frá sjálfvirka vatnsveitulokanum í íbúðinni til stjórnkerfisflugvélanna (munið eftir frábæru greininni um að rannsaka vandamál ). Og jafnvel, eins og allt í einu kom í ljós, flókinn lækningabúnaður.
Stutt texti um hvernig ég komst að því að þurfa að fá vottun (þú getur sleppt henni): Eftir að hafa lokið námi við upplýsingaöryggisdeild í lok XNUMX, steig ég inn í raðir tækjabúnaðarsauðsins með höfuðið. haldið hátt, starfaði sem vélvirki fyrir lágstraums öryggisviðvörunarkerfi. Svo virðist sem mér hafi verið sagt frá upplýsingaörygginu hjá fyrirtækinu á þessum tíma :) Svona hófst ferill minn sem sérfræðingur í sjálfvirkum stýrikerfum með BS gráðu í upplýsingaöryggi. Sex árum síðar, eftir að hafa hækkað í stöðu yfirmanns SCADA kerfisdeildar, fór ég til að vinna sem öryggisráðgjafi fyrir iðnaðarstýringarkerfi hjá erlendu fyrirtæki sem selur hugbúnað og búnað. Þarna kom upp þörfin fyrir að vera löggiltur sérfræðingur í upplýsingaöryggi.
er þróun stofnun sem annast þjálfun og vottun upplýsingaöryggissérfræðinga. Orðspor GIAC vottorðsins er mjög hátt meðal sérfræðinga og viðskiptavina á mörkuðum í EMEA, Bandaríkjunum og Asíu Kyrrahafi. Hér, eftir Sovétríkin og í CIS löndunum, er slíkt vottorð aðeins hægt að biðja um af erlendum fyrirtækjum með viðskipti í löndum okkar, alþjóðlegum og ráðgjafastofum. Sjálfur hef ég aldrei orðið var við beiðni um slíka vottun frá innlendum fyrirtækjum. Allir eru í rauninni að biðja um CISSP. Þetta er huglæg skoðun mín og ef einhver deilir reynslu sinni í athugasemdum þá verður fróðlegt að vita það.
Það eru ansi mörg mismunandi svæði í SANS (að mínu mati hafa strákarnir stækkað of mikið nýlega), en það eru líka mjög áhugaverð verkleg námskeið. Mér fannst það sérstaklega gaman . En sagan mun fjalla um námskeiðið og vottorð sem heitir: .
Af öllum gerðum iðnaðarnetöryggisvottana sem SANS býður upp á er þetta sú alhliða. Þar sem annað tengist meira Power Grid kerfum, sem á Vesturlöndum fá sérstaka athygli og tilheyra sérstökum flokki kerfa. Og sá þriðji (á þeim tíma sem vottunarleiðin mín var) tengdist viðbrögðum við atvikum.
Námskeiðið er ekki ódýrt en veitir nokkuð víðtæka þekkingu á IT&OT. Það mun vera sérstaklega gagnlegt fyrir þá félaga sem hafa ákveðið að breyta sviði sínu, til dæmis frá upplýsingatækniöryggi í bankaiðnaðinum yfir í iðnaðarnetöryggi. Þar sem ég hafði þegar bakgrunn á sviði ferlistýringarkerfa, tækjabúnaðar og rekstrartækni var ekkert grundvallaratriði nýtt eða mikilvægt fyrir mig á þessu námskeiði.
Námskeiðið samanstendur af 50% fræði og 50% æfingum. Frá æfingu var áhugaverðasta keppnin NetWars. Í tvo daga, eftir aðalnámskeið kennslustunda, var öllum nemendum allra bekkja skipt í teymi og unnu verkefni til að fá aðgangsrétt, draga út nauðsynlegar upplýsingar, fá aðgang að netinu, fullt af verkefnum til að kynna kjötkássa, vinna með Wireshark og alls konar góðgæti.
Námsefnið er dregið saman í formi bóka sem þú færð síðan til ævarandi afnota. Við the vegur, þú getur tekið þá fyrir prófið, þar sem sniðið er Open Book, en þeir munu ekki hjálpa þér mikið, þar sem prófið hefur 3 klukkustundir, 115 spurningar og afhendingartungumálið er enska. Á öllum 3 klukkustundunum geturðu tekið 15 mínútna hlé. En hafðu í huga að með því að taka 15 mínútur í hlé og fara aftur í próf eftir 5, þá ertu einfaldlega að gefast upp á þeim tíu mínútum sem eftir eru, þar sem þú munt ekki geta stöðvað tímann í prófunarprógramminu lengur. Þú getur sleppt allt að 15 spurningum sem birtast svo alveg í lokin.
Persónulega mæli ég ekki með því að skilja eftir margar spurningar til seinna, því 3 tímar eru í raun ekki nægur tími, og þegar í lokin ertu með spurningar sem ekki hafa enn verið leyst, eru miklar líkur á að þú getir ekki gert það. það í tíma. Ég skildi eftir aðeins þrjár spurningar sem voru mjög erfiðar fyrir mig, þar sem þær tengdust þekkingu á NIST 800.82 og NERC staðlinum. Sálfræðilega séð koma slíkar spurningar „fyrir seinna“ í taugarnar á þér alveg í lokin - þegar heilinn þinn er þreyttur, þú vilt fara á klósettið, virðist teljarinn á skjánum hraða veldishraða.
Almennt, til að standast prófið þarftu að fá 71% rétt svör. Áður en þú tekur prófið færðu tækifæri til að æfa þig á raunprófum - þar sem verðið inniheldur 2 æfingapróf með 115 spurningum og með svipuðum skilyrðum og raunprófið.
Ég mæli með því að taka prófið mánuði eftir að þjálfuninni er lokið, eyða þessum mánuði í kerfisbundið sjálfsnám í þeim málum sem þú finnur fyrir óvissu um. Það væri gaman ef þú tekur prentað efni sem berast á námskeiðinu, sem lítur út eins og stutt útdráttur um hvert efni - og leitar markvisst að upplýsingum um efni þessara bóka. Skiptu mánuðinum í tvo hluta, taktu æfingapróf og fáðu grófa mynd af því á hvaða sviðum þú ert sterkur og hvar þú þarft að bæta þig.
Mig langar að varpa ljósi á eftirfarandi meginsvið sem mynda prófið sjálft (ekki þjálfunarnámskeiðið, þar sem það nær yfir miklu víðtækari efni):
- Líkamlegt öryggi: Eins og önnur vottunarpróf, er þessu máli gefin mikil athygli í GICSP. Það eru spurningar um tegundir líkamlegra læsinga á hurðum, lýst er aðstæðum með fölsun rafrænna passa, þar sem þú þarft að svara til að skilgreina vandamálið ótvírætt. Það eru spurningar sem tengjast beint öryggi tækninnar (ferlisins), allt eftir viðfangsefninu - olíu- og gasvinnslu, kjarnorkuver eða raforkukerfi. Til dæmis gæti verið spurning eins og: Ákvarða hvers konar líkamlega öryggisstýringu er ástandið þegar viðvörun kemur frá gufuhitaskynjaranum á HMI? Eða spurning eins og: Hvaða aðstæður (atburður) munu þjóna sem ástæða til að greina myndbandsupptökur úr eftirlitsmyndavélum af jaðaröryggiskerfi stöðvarinnar?
Í prósentutölum vil ég taka fram að fjöldi spurninga um þennan hluta í prófi mínu og í æfingaprófum var ekki meiri en 5%.
- Annar og einn af útbreiddustu spurningaflokkunum eru spurningar um vinnslustýringarkerfi, PLC, SCADA: hér verður nauðsynlegt að nálgast kerfisbundið námsefni um hvernig vinnslustýringarkerfi eru uppbyggð, allt frá skynjurum til netþjóna þar sem hugbúnaðurinn sjálfur. hleypur. Nægur fjöldi spurninga mun finnast um tegundir iðnaðargagnaflutningssamskiptareglur (ModBus, RTU, Profibus, HART, osfrv.). Spurningar verða um hvernig RTU er frábrugðin PLC, hvernig á að vernda gögn í PLC frá breytingum af árásaraðila, á hvaða minnissvæðum PLC geymir gögn og hvar rökfræðin sjálf er geymd (forrit skrifað af forritara ferlistýringarkerfis ). Til dæmis gæti verið spurning af þessu tagi: Gefðu svar við því hvernig þú getur greint árás á milli PLC og HMI sem starfar með ModBus samskiptareglum?
Spurt verður um muninn á SCADA og DCS kerfum. Mikill fjöldi spurninga um reglur um aðskilnað sjálfvirkra vinnslustýringarneta á L1, L2 stigi frá L3 stigi (ég mun lýsa nánar í kaflanum með spurningum um netið). Aðstæðuspurningar um þetta efni verða líka mjög fjölbreyttar - þær lýsa ástandinu í stjórnklefanum og þú þarft að velja aðgerðir sem þarf að framkvæma af vinnslustjóra eða sendanda.
Almennt séð er þessi hluti sértækasti og þröngasti sniðið. Krefst þess að þú hafir góða þekkingu:
— sjálfvirkt stjórnkerfi, svæðishluti (skynjarar, tegundir tækjatenginga, eðliseiginleikar skynjara, PLC, RTU);
— neyðarstöðvunarkerfi (ESD – neyðarstöðvunarkerfi) ferla og hluta (við the vegur, það er frábær röð greina um þetta efni á Habré frá )
— grunnskilning á eðlisfræðilegum ferlum sem eiga sér stað, til dæmis við olíuhreinsun, raforkuframleiðslu, leiðslur osfrv.
— skilning á arkitektúr DCS og SCADA kerfa;
Ég vil taka fram að spurningar af þessu tagi geta komið upp í allt að 25% í öllum 115 spurningum prófsins. - Nettækni og netöryggi: Ég held að fjöldi spurninga í þessu efni komi fyrst í prófinu. Það verður líklega allt - OSI líkanið, á hvaða stigum þessi eða hin samskiptareglan starfar, margar spurningar um netskiptingu, aðstæður spurningar um netárásir, dæmi um tengiskrár með tillögu um að ákvarða tegund árásar, dæmi um skiptistillingar með tillögu um að ákvarða viðkvæma uppsetningu, spurningum um veikleika netsamskiptareglur, spurningum um sérstöðu nettenginga iðnaðarsamskiptareglur. Fólk spyr sérstaklega mikið um ModBus. Uppbygging netpakka af sama ModBus, fer eftir gerð þess og útgáfum sem tækið styður. Mikil athygli er lögð á árásir á þráðlaus net - ZigBee, Wireless HART, og einfaldlega spurningum um netöryggi allrar 802.1x fjölskyldunnar. Spurt verður um reglur um að setja ákveðna netþjóna í vinnslustýringarkerfisnetið (hér þarftu að lesa IEC-62443 staðalinn og skilja meginreglur viðmiðunarlíkana af vinnslustýringarkerfumetum). Spurt verður um Purdue líkanið.
- Málaflokkur sem lýtur eingöngu að virknieiginleikum í rekstri raforkuflutningskerfa og upplýsingaöryggiskerfa fyrir þau. Í Bandaríkjunum er þessi flokkur sjálfvirkra ferlistýringarkerfa kallaður Power Grid og er úthlutað sérstöku hlutverki. Í þessu skyni eru jafnvel gefnir út aðskildir staðlar (NIST 800.82) sem stjórna nálguninni við að búa til upplýsingaöryggiskerfi fyrir þennan geira. Í löndum okkar er þessi geiri að mestu bundinn við ASKUE kerfi (leiðréttið mig ef einhver hefur séð alvarlegri nálgun við eftirlit með raforkudreifingar- og afhendingarkerfum). Svo, í prófinu finnurðu alveg sérstakar spurningar sem tengjast Power Grid. Að mestu leyti var um að ræða notkunartilvik fyrir ákveðnar aðstæður sem mynduðust í virkjuninni, en einnig geta verið kannanir á tækjum sem eru sérstaklega notuð í raforkukerfinu. Það verða spurningar sem fjalla um þekkingu á NIST hlutum fyrir þennan flokk kerfa.
- Spurningar sem tengjast þekkingu á stöðlum: NIST 800-82, NERC, IEC62443. Ég held að hér án sérstakra athugasemda - þú þarft að fletta í köflum staðlanna, sem ber ábyrgð á hvað og hvaða ráðleggingar það inniheldur. Það eru sérstakar spurningar, til dæmis að spyrja um tíðni athugana á virkni kerfisins, tíðni uppfærslu verklags o.s.frv. Sem hlutfall af slíkum spurningum má finna allt að 15% af heildarfjölda spurninga. En það fer eftir því. Til dæmis, á tveimur æfingaprófum rakst ég aðeins á nokkrar svipaðar spurningar. En þeir voru í rauninni margir í prófinu.
- Jæja, síðasti flokkur spurninga er alls kyns notkunartilvik og aðstæðuspurningar.
Almennt séð var þjálfunin sjálf, að hugsanlega undanskildum CTF NetWars, ekki mjög upplýsandi fyrir mig hvað varðar að öðlast mögulega nýja þekkingu. Frekar var aflað dýpra í sumum viðfangsefnum, sérstaklega á sviði skipulags og verndar útvarpsneta sem notuð eru til að senda tæknilegar upplýsingar, auk skipulagðara efnis um uppbyggingu erlendra staðla sem helgaðir eru þessu efni. Þess vegna, fyrir verkfræðinga og sérfræðinga sem hafa nægilega þekkingu og reynslu af því að vinna með vinnslustýringarkerfi/tækjabúnað eða iðnaðarnet, geturðu hugsað um að spara í þjálfun (og sparnaður er skynsamlegur), undirbúa þig og fara beint í vottunarprófið, sem , við the vegur, er þess virði 700USD. Ef bilun verður, verður þú að borga aftur. Það eru fullt af vottunarmiðstöðvum sem taka við þér í prófið; aðalatriðið er að sækja um fyrirfram. Almennt mæli ég með því að setja prófdaginn strax, því annars seinkarðu því stöðugt og kemur í stað undirbúningsferlisins fyrir önnur mikilvæg og ekki alveg mikilvæg atriði. Og að hafa ákveðna frestdagsetningu mun gera þig áhugasaman.
Heimild: www.habr.com