Ciao a tutti! Il portale preferito da tutti conteneva molti articoli diversi sulla certificazione nel campo della sicurezza delle informazioni, quindi non rivendicherò l'originalità e l'unicità dei contenuti, ma mi piacerebbe comunque condividere la mia esperienza nell'ottenimento della GIAC (Global Information Assurance Company) certificazione nel campo della cybersecurity industriale. Dall'apparizione di parole terribili come , Hanno cominciato a formarsi Shamoon, Triton, un mercato per la fornitura di servizi di specialisti che sembrano essere IT, ma possono anche sovraccaricare i PLC riscrivendo la configurazione su scale, e allo stesso tempo l'impianto non può essere fermato.
È così che è nato il concetto di IT&OT (Information Technology & Operation Technology).
Subito dopo (è chiaro che il personale non qualificato non dovrebbe essere autorizzato a lavorare) è arrivata la necessità di certificare specialisti nel campo relativo alla garanzia della sicurezza dei sistemi di controllo dei processi e dei sistemi industriali - di cui, a quanto pare, esistono molti nella nostra vita, da una valvola automatica per l'erogazione dell'acqua in un appartamento a un sistema di controllo degli aeroplani (ricordate l'eccellente articolo sull'investigazione dei problemi ). E persino, come si è scoperto all'improvviso, attrezzature mediche complesse.
Un breve testo su come sono arrivato alla necessità di ottenere la certificazione (puoi saltarlo): Dopo aver completato con successo i miei studi presso la Facoltà di Sicurezza delle Informazioni alla fine degli anni XNUMX, sono entrato nelle fila delle pecore della strumentazione con la testa tenuto alto, lavorando come meccanico per sistemi di allarme di sicurezza a bassa corrente. Sembra che in quel momento mi fosse stata raccontata la sicurezza delle informazioni in azienda :) È così che è iniziata la mia carriera come specialista di sistemi di controllo automatizzato con una laurea in sicurezza delle informazioni. Sei anni dopo, dopo essere salito al grado di capo del dipartimento dei sistemi SCADA, ho lasciato il lavoro come consulente in materia di sicurezza per i sistemi di controllo industriale in un'azienda straniera che vende software e apparecchiature. È qui che è nata la necessità di essere uno specialista certificato in sicurezza delle informazioni.
è uno sviluppo un'organizzazione che conduce formazione e certificazione di specialisti della sicurezza delle informazioni. La reputazione del certificato GIAC è molto alta tra gli specialisti e i clienti nei mercati EMEA, Stati Uniti e Asia Pacifico. Qui, nello spazio post-sovietico e nei paesi della CSI, tale certificato può essere richiesto solo da società straniere con attività commerciali nei nostri paesi, agenzie internazionali e di consulenza. Personalmente non ho mai riscontrato una richiesta di tale certificazione da parte di aziende nazionali. Fondamentalmente tutti chiedono il CISSP. Questa è la mia opinione soggettiva e se qualcuno condivide la propria esperienza nei commenti, sarà interessante saperlo.
Ci sono diverse aree in SANS (secondo me, ultimamente i ragazzi hanno ampliato troppo il loro numero), ma ci sono anche corsi pratici molto interessanti. Mi è particolarmente piaciuto . Ma la storia riguarderà il corso e un certificato chiamato: .
Tra tutte le tipologie di certificazioni di Cyber Security Industriale offerte da SANS, questa è la più universale. Poiché il secondo riguarda più i sistemi Power Grid, che in Occidente ricevono un'attenzione speciale e appartengono a una classe separata di sistemi. E il terzo (al momento del mio percorso di certificazione) relativo all'Incident Response.
Il corso non è economico, ma fornisce una conoscenza piuttosto approfondita di IT&OT. Sarà particolarmente utile per quei compagni che hanno deciso di cambiare campo, ad esempio dalla sicurezza informatica nel settore bancario alla sicurezza informatica industriale. Poiché avevo già un background nel campo dei sistemi di controllo di processo, della strumentazione e della tecnologia operativa, in questo corso per me non c'era nulla di fondamentalmente nuovo o di vitale importanza.
Il corso è composto al 50% da teoria e al 50% da pratica. In pratica, il concorso più interessante è stato NetWars. Per due giorni, dopo il corso principale delle lezioni, tutti gli studenti di tutte le classi sono stati divisi in squadre e hanno svolto compiti per ottenere i diritti di accesso, estrarre le informazioni necessarie, ottenere l'accesso alla rete, una serie di compiti per promuovere gli hash, lavorare con Wireshark e ogni sorta di prelibatezze diverse.
Il materiale del corso è riassunto sotto forma di libri, che poi riceverai per tuo uso perpetuo. A proposito, puoi sostenerli per l'esame, dato che il formato è Open Book, ma non ti aiuteranno molto, dato che l'esame dura 3 ore, 115 domande e la lingua di consegna è l'inglese. Durante le 3 ore intere è possibile fare una pausa di 15 minuti. Ma tieni presente che facendo una pausa di 15 minuti e tornando ai test dopo 5, rinuncerai semplicemente ai restanti dieci minuti, poiché non sarai più in grado di fermare il tempo nel programma di test. Puoi saltare fino a 15 domande, che appariranno alla fine.
Personalmente sconsiglio di lasciare molte domande per dopo, perché 3 ore non sono davvero abbastanza, e quando alla fine hai delle domande che non sono ancora state risolte, c'è un'alta probabilità di non riuscire a farle farlo in tempo. Ho lasciato per dopo solo tre domande che per me sono state davvero difficili, poiché riguardavano la conoscenza dello standard NIST 800.82 e NERC. Psicologicamente, tali domande "per dopo" ti colpiscono proprio alla fine: quando il tuo cervello è stanco, vuoi andare in bagno, il timer sullo schermo sembra accelerare in modo esponenziale.
In generale, per superare il test è necessario ottenere un punteggio del 71% di risposte corrette. Prima di sostenere l'esame avrai l'opportunità di esercitarti su test reali, poiché il prezzo include 2 test pratici di 115 domande e con condizioni simili all'esame reale.
Consiglio di sostenere l'esame un mese dopo aver completato la formazione, dedicando questo mese allo studio autonomo sistematico su quelle questioni in cui non ti senti sicuro. Sarebbe bello se prendessi i materiali stampati ricevuti durante il corso, che sembrano brevi abstract su ciascun argomento, e cercassi intenzionalmente informazioni sugli argomenti contenuti in questi libri. Suddividi il mese in due parti, facendo prove pratiche e ottenendo un quadro approssimativo di quali aree sei forte e dove devi migliorare.
Vorrei evidenziare le seguenti aree principali che compongono l'esame stesso (non il percorso formativo, poiché copre argomenti molto più ampi):
- Sicurezza fisica: come altri esami di certificazione, a questo problema viene prestata molta attenzione nel GICSP. Ci sono domande sui tipi di serrature fisiche delle porte, vengono descritte situazioni con falsificazione di pass elettronici, in cui è necessario dare una risposta per identificare inequivocabilmente il problema. Ci sono domande direttamente correlate alla sicurezza della tecnologia (processo), a seconda dell'area tematica: processi di petrolio e gas, centrali nucleari o reti elettriche. Ad esempio, potrebbe esserci una domanda del tipo: Determinare quale tipo di controllo di sicurezza fisica è la situazione in cui un allarme proviene dal sensore della temperatura del vapore sull'HMI? Oppure una domanda del tipo: quale situazione (evento) servirà da motivo per analizzare le registrazioni video delle telecamere di sorveglianza del sistema di sicurezza perimetrale della struttura?
In termini percentuali, noterei che il numero di domande su questa sezione nel mio esame e nelle prove pratiche non ha superato il 5%.
- Un'altra e una delle categorie di domande più diffuse sono le domande sui sistemi di controllo di processo, PLC, SCADA: qui sarà necessario affrontare in modo sistematico lo studio dei materiali su come sono strutturati i sistemi di controllo di processo, dai sensori ai server dove si trova lo stesso software applicativo. corre. Si troverà un numero sufficiente di domande sui tipi di protocolli di trasferimento dati industriali (ModBus, RTU, Profibus, HART, ecc.). Ci saranno domande su come la RTU differisce dal PLC, come proteggere i dati nel PLC dalla modifica da parte di un utente malintenzionato, in quali aree di memoria il PLC memorizza i dati e dove viene memorizzata la logica stessa (un programma scritto da un programmatore del sistema di controllo di processo ). Ad esempio potrebbe esserci una domanda di questo tipo: dare una risposta a come è possibile rilevare un attacco tra un PLC e un HMI che funzionano utilizzando il protocollo ModBus?
Ci saranno domande sulle differenze tra i sistemi SCADA e DCS. Un gran numero di domande sulle regole per separare le reti di controllo automatizzato dei processi a livello L1, L2 dal livello L3 (descriverò più in dettaglio nella sezione con le domande sulla rete). Anche le domande situazionali su questo argomento saranno molto diverse: descrivono la situazione nella sala di controllo ed è necessario selezionare le azioni che devono essere eseguite dall'operatore del processo o dal dispatcher.
In generale, questa sezione è quella più specifica e dal profilo ristretto. Richiede una buona conoscenza:
— sistema di controllo automatizzato, parte di campo (sensori, tipologie di connessioni dei dispositivi, caratteristiche fisiche dei sensori, PLC, RTU);
— sistemi di arresto di emergenza (ESD – sistema di arresto di emergenza) di processi e oggetti (a proposito, esiste un'eccellente serie di articoli su questo argomento su Habré da )
— una conoscenza di base dei processi fisici che si verificano, ad esempio, nella raffinazione del petrolio, nella produzione di elettricità, negli oleodotti, ecc.;
— comprensione dell'architettura dei sistemi DCS e SCADA;
Vorrei notare che domande di questo tipo possono verificarsi fino al 25% su tutte le 115 domande dell'esame. - Tecnologie di rete e sicurezza della rete: penso che il numero di domande in questo argomento sia il primo nell'esame. Probabilmente ci sarà assolutamente tutto: il modello OSI, a quali livelli opera questo o quel protocollo, molte domande sulla segmentazione della rete, domande situazionali sugli attacchi di rete, esempi di registri di connessione con una proposta per determinare il tipo di attacco, esempi di configurazioni di switch con una proposta per determinare una configurazione vulnerabile, domande sulle vulnerabilità dei protocolli di rete, domande sulle specificità delle connessioni di rete dei protocolli di comunicazione industriale. Soprattutto le persone chiedono molto su ModBus. La struttura dei pacchetti di rete dello stesso ModBus, a seconda della sua tipologia e delle versioni supportate dal dispositivo. Molta attenzione viene prestata agli attacchi alle reti wireless: ZigBee, Wireless HART e semplicemente alle domande sulla sicurezza di rete dell'intera famiglia 802.1x. Ci saranno domande sulle regole per l'inserimento di determinati server nella rete del sistema di controllo del processo (qui è necessario leggere lo standard IEC-62443 e comprendere i principi dei modelli di riferimento delle reti dei sistemi di controllo del processo). Ci saranno domande sul modello Purdue.
- Una categoria di questioni che riguarda esclusivamente le caratteristiche funzionali del funzionamento dei sistemi di trasmissione dell'elettricità e dei sistemi di sicurezza delle informazioni per essi. Negli Stati Uniti, questa categoria di sistemi automatizzati di controllo dei processi si chiama Power Grid e le viene assegnato un ruolo separato. A questo scopo vengono addirittura emanati standard separati (NIST 800.82) che regolano l'approccio alla creazione di sistemi di sicurezza informatica per questo settore. Nei nostri paesi, per la maggior parte, questo settore è limitato ai sistemi ASKUE (correggetemi se qualcuno ha visto un approccio più serio al monitoraggio dei sistemi di distribuzione e consegna dell'energia elettrica). Quindi, nell'esame troverai domande abbastanza specifiche relative a Power Grid. Si tratta per la maggior parte di casi d'uso per una situazione specifica sviluppatasi presso la centrale elettrica, ma potrebbero esserci anche indagini su dispositivi utilizzati specificamente nella rete elettrica. Ci saranno domande riguardanti la conoscenza delle sezioni NIST per questa categoria di sistemi.
- Domande relative alla conoscenza delle norme: NIST 800-82, NERC, IEC62443. Penso che qui, senza commenti speciali, sia necessario navigare nelle sezioni degli standard, che è responsabile di quali e quali raccomandazioni contengono. Ci sono domande specifiche, ad esempio, che chiedono la frequenza di controllo della funzionalità del sistema, la frequenza di aggiornamento della procedura, ecc. In percentuale di tali domande, è possibile incontrare fino al 15% del numero totale di domande. Ma dipende. Ad esempio, in due prove pratiche mi sono imbattuto solo in un paio di domande simili. Ma ce n'erano davvero tanti durante l'esame.
- Bene, l'ultima categoria di domande comprende tutti i tipi di casi d'uso e domande situazionali.
In generale, la formazione stessa, con la possibile eccezione di CTF NetWars, non è stata molto istruttiva per me in termini di acquisizione di conoscenze potenzialmente nuove. Sono stati invece acquisiti approfondimenti su alcuni argomenti, soprattutto nel campo dell'organizzazione e della protezione delle reti radio utilizzate per la trasmissione di informazioni tecnologiche, nonché materiale più organizzato sulla struttura delle norme estere dedicate a questo argomento. Pertanto, per gli ingegneri e gli specialisti che hanno sufficiente conoscenza ed esperienza di lavoro con sistemi di controllo di processo/sistemi di strumentazione o reti industriali, si può pensare di risparmiare sulla formazione (e risparmiare ha senso), prepararsi e andare direttamente a sostenere l'esame di certificazione, che , tra l'altro, vale 700 USD. In caso di fallimento dovrai pagare nuovamente. Ci sono molti centri di certificazione che ti accetteranno per l'esame, l'importante è fare domanda in anticipo. In generale consiglio di fissare subito la data dell'esame, perché altrimenti lo ritarderai costantemente, sostituendo il processo di preparazione con altre questioni vitali e non del tutto importanti. E avere una data di scadenza specifica ti renderà automotivato.
Fonte: habr.com