🥇コサックはどのようにして GICSP 証明書を受け取ったのか

こんにちは、みんな！みんなが大好きなポータルには、情報セキュリティ分野の認定に関するさまざまな記事が多数掲載されていたため、コンテンツの独自性や独自性を主張するつもりはありませんが、それでも GIAC (Global Information Assurance Company) を取得した私の経験を共有したいと思います。産業用サイバーセキュリティ分野の認証。というようなひどい言葉が出てきてから、 Stuxnetは, 市長、シャムーン、トリトンという、一見ITのようだがラダー上で設定を書き換えてPLCに過負荷をかけることができ、同時にプラントを止めることもできない専門家のサービスを提供する市場が形成され始めた。

こうしてIT&OT（Information Technology & Operation Technology）という概念が生まれました。

次にすぐに (資格のない人員に作業を許可すべきではないことは明らかです)、プロセス制御システムや産業システムの安全性の確保に関連する分野の専門家を認定する必要性が生じました。アパートの自動給水バルブから飛行機の制御システムに至るまで、それらは私たちの生活の中にあります (問題の調査に関する優れた記事を思い出してください) ボーイング）。そして、突然判明したように、複雑な医療機器さえも。

私がどのようにして資格を取得する必要があるようになったのかについての短い歌詞 (読み飛ばしても構いません): XNUMX 年代の終わりに情報セキュリティ学部での勉強を無事に終えた私は、頭を抱えて計装の羊の仲間入りをしました。低電流防犯警報システムの整備士として働いていました。当時、企業で情報セキュリティについて教えられたようです:) こうして、情報セキュリティの学士号を取得した自動制御システムのスペシャリストとしての私のキャリアが始まりました。 XNUMX 年後、SCADA システム部門の責任者に昇進した後、私は退職し、ソフトウェアと機器をベンダーする外資系企業で産業用制御システムのセキュリティコンサルタントとして働きました。ここで、認定情報セキュリティスペシャリストの必要性が生じました。

ジャイック発展です SANS 情報セキュリティスペシャリストの研修や認定を行う団体。 GIAC 証明書の評判は、EMEA、米国、アジア太平洋市場の専門家や顧客の間で非常に高く評価されています。ここ、ソ連崩壊後の地域や CIS 諸国では、このような証明書を要求できるのは、我が国で事業を行う外国企業、国際機関、コンサルティング機関だけです。私個人としては、国内企業からそのような認証を求められたことは一度もありません。基本的には誰もが CISSP を求めています。これは私の主観的な意見であり、誰かがコメントで経験を共有してくれると、それを知るのは興味深いでしょう。

SANSにはかなりの数の異なる分野がありますが（最近、彼らはその数を増やしすぎていると私は思います）、非常に興味深い実践的なコースもあります。特に気に入りましたネットウォーズ。でも話はコースの話になります ICS410: ICS/SCADA セキュリティの要点と呼ばれる証明書: グローバル産業サイバーセキュリティプロフェッショナル (GICSP).

SANS が提供する産業用サイバーセキュリティ認定のすべての種類の中で、これは最も普遍的なものです。 XNUMX 番目は、西側では特別な注目を集めており、別のクラスのシステムに属しているパワーグリッドシステムに関連しています。そして XNUMX つ目 (認定資格取得時点) はインシデント対応に関連します。
このコースは決して安くはありませんが、IT&OT に関する非常に広範な知識を得ることができます。これは、たとえば銀行業界の IT セキュリティから産業用サイバーセキュリティなど、分野を変更することを決めた同志にとって特に役立つでしょう。私はすでにプロセス制御システム、計装、操作技術の分野での経験があったため、このコースでは私にとって根本的に新しいことや極めて重要なことは何もありませんでした。

コースは 50% の理論と 50% の実践で構成されます。練習中、最も興味深いコンテストは NetWars でした。主要な授業終了後の XNUMX 日間、全クラスの生徒全員がチームに分かれ、アクセス権の取得、必要な情報の抽出、ネットワークへのアクセス、ハッシュの促進、Wireshark の操作などのタスクを実行しました。そしてあらゆる種類のさまざまなグッズ。

コース教材は本の形でまとめられており、永続的に使用できるようになります。ちなみに、形式はオープンブックなので受験することはできますが、試験時間は 3 時間、質問数は 115 問で、言語は英語であるため、あまり役に立ちません。 3時間中、15分間の休憩が可能です。ただし、15 分間休憩し、5 分後にテストに戻ると、残りの 15 分間を放棄することになることに注意してください。テストプログラムでは時間を止めることができなくなります。最大 XNUMX 問までスキップでき、質問は最後に表示されます。

個人的には、多くの質問を後回しにすることはお勧めしません。3 時間では本当に時間が足りません。最後にまだ解決されていない質問がある場合、回答できない可能性が高くなります。間に合うよ。 NIST 800.82 と NERC 標準の知識に関連するため、私にとって非常に難しい XNUMX つの質問だけを後で残しておきました。心理学的には、そのような「後で」の質問は、最後の最後で神経を痛めます。脳が疲れているとき、トイレに行きたいとき、画面上のタイマーが急激にスピードアップするように見えます。

一般に、テストに合格するには、71% の正答率を獲得する必要があります。試験を受ける前に、実際の試験で練習する機会が得られます。料金には、実際の試験と同様の条件で 2 問の模擬テストが 115 回含まれています。

トレーニング終了後 XNUMX か月後に試験を受けることをお勧めします。この XNUMX か月間は、自信のない問題について計画的に自習してください。コース中に受け取った各トピックの短い要約のような印刷物を手に取って、これらの書籍に含まれているトピックに関する情報を意図的に検索するとよいでしょう。 XNUMX か月を XNUMX つの部分に分けて、模擬テストを受け、自分がどの分野が得意で、どこを改善する必要があるかを大まかに把握します。

試験自体を構成する次の主な分野に焦点を当てたいと思います (トレーニングコースではなく、より広範なトピックがカバーされます)。

物理的セキュリティ: 他の認定試験と同様、この問題は GICSP で大きな注目を集めています。ドアの物理的なロックの種類に関する質問があり、電子パスの偽造の状況が説明されており、問題を明確に特定するために回答する必要があります。石油やガスのプロセス、原子力発電所、送電網などの主題分野に応じて、技術（プロセス）の安全性に直接関連する質問があります。たとえば、次のような質問が考えられます。HMI の蒸気温度センサーからアラームが発生した場合の状況は、どのような種類の物理的セキュリティ制御であるかを判断してください。または、次のような質問: 施設の境界セキュリティシステムの監視カメラのビデオ記録を分析する理由となるのはどのような状況 (イベント) ですか?
パーセンテージで言えば、私の試験および模擬試験におけるこのセクションの問題数は 5% を超えなかったことがわかります。
もう XNUMX つの最も広範な質問カテゴリーの XNUMX つは、プロセス制御システム、PLC、SCADA に関する質問です。ここでは、センサーからアプリケーションソフトウェア自体が含まれるサーバーに至るまで、プロセス制御システムがどのように構成されているかに関する資料の研究に体系的にアプローチする必要があります。走る。産業用データ転送プロトコルの種類 (ModBus、RTU、Profibus、HART など) に関する十分な数の質問が見つかります。 RTU と PLC の違い、PLC 内のデータを攻撃者による変更から保護する方法、PLC がデータを保存するメモリ領域、ロジック自体が保存される場所 (プロセス制御システムのプログラマーが作成したプログラム) についての質問があります。）。たとえば、次のような質問があるかもしれません。ModBus プロトコルを使用して動作する PLC と HMI の間の攻撃をどのように検出できるかについて答えてください。
SCADA システムと DCS システムの違いに関する質問があります。自動プロセス制御ネットワークを L1、L2 レベルと L3 レベルで分離するためのルールに関する質問が多数あります (ネットワークに関する質問のセクションで詳しく説明します)。このトピックに関する状況質問も非常に多様です。それらは制御室の状況を説明し、プロセスオペレーターまたはディスパッチャーが実行する必要があるアクションを選択する必要があります。

一般に、このセクションは最も具体的で、内容が限定されています。十分な知識が必要です。
— 自動制御システム、フィールド部分（センサー、デバイス接続の種類、センサーの物理的特徴、PLC、RTU）。
— プロセスとオブジェクトの緊急シャットダウンシステム (ESD – 緊急シャットダウンシステム) (ちなみに、Habré には、このトピックに関する優れた一連の記事があります。ウラジミール・スクリャル)
— 例えば、石油精製、発電、パイプラインなどで発生する物理的プロセスについての基本的な理解。
- DCS および SCADA システムのアーキテクチャの理解。
この種の問題は、試験の全 25 問を通じて最大 115% 発生する可能性があることに注意してください。
ネットワークテクノロジとネットワークセキュリティ: このトピックの問題数は試験で最初に出題されると思います。 OSI モデル、このプロトコルまたはそのプロトコルがどのレベルで動作するか、ネットワークのセグメンテーションに関する多くの質問、ネットワーク攻撃に関する状況に応じた質問、攻撃の種類を判断するための提案を含む接続ログの例、スイッチ構成の例など、おそらくすべてが含まれます。脆弱な構成を決定するための提案、ネットワークプロトコルの脆弱性に関する質問、産業用通信プロトコルのネットワーク接続の詳細に関する質問。特に ModBus についてよく質問されます。同じ ModBus のネットワークパケットの構造は、デバイスがサポートするタイプとバージョンに応じて異なります。 ZigBee、Wireless HART などのワイヤレスネットワークに対する攻撃、そして 802.1x ファミリ全体のネットワークセキュリティに関する単純な疑問に多くの注意が払われています。プロセス制御システムネットワークに特定のサーバーを配置するためのルールに関する質問があります (ここでは、IEC-62443 規格を読み、プロセス制御システムネットワークの参照モデルの原理を理解する必要があります)。 Purdue モデルについての質問があります。
送電システムおよびその情報セキュリティシステムの運用の機能的特徴にのみ関連する問題のカテゴリ。米国では、このカテゴリの自動プロセス制御システムはパワーグリッドと呼ばれ、別の役割が割り当てられています。この目的のために、この分野の情報セキュリティシステムを作成するアプローチを規制する別の規格 (NIST 800.82) も発行されています。私たちの国では、ほとんどの場合、この分野は ASKUE システムに限定されています (配電および配送システムを監視するためのより本格的なアプローチを見た人がいたら訂正してください)。そのため、試験ではパワーグリッドに関連した非常に具体的な質問が出題されます。ほとんどの場合、これらは発電所で開発された特定の状況のユースケースでしたが、特に電力網で使用されるデバイスに関する調査も行われる場合があります。このカテゴリのシステムに関する NIST セクションの知識に対処する質問があります。
標準の知識に関する質問: NIST 800-82、NERC、IEC62443。ここでは特別なコメントはないと思います。規格に含まれる内容と推奨事項を担当する規格のセクションをナビゲートする必要があります。たとえば、システムの機能をチェックする頻度、手順を更新する頻度など、具体的な質問があります。このような質問の割合としては、質問の総数の最大 15% が発生する可能性があります。しかし、それは状況によります。たとえば、XNUMX つの模擬テストでは、似たような問題は XNUMX つしかありませんでした。でも試験中は本当に多かったです。
最後のカテゴリの質問は、あらゆる種類のユースケースと状況に応じた質問です。

一般に、CTF NetWars を除いて、トレーニング自体は、潜在的に新しい知識を獲得するという点で私にとってあまり有益ではありませんでした。むしろ、特に技術情報の送信に使用される無線ネットワークの組織と保護の分野で、いくつかのトピックのより詳細な詳細が得られ、また、このトピックに特化した外国規格の構造に関するより組織化された資料も得られました。したがって、プロセス制御システム/計装システムまたは産業用ネットワークに関する十分な知識と経験を持つエンジニアや専門家の場合は、トレーニングの節約を検討し (節約するのは理にかなっています)、準備を整えて認定試験の受験にすぐに取り組むことができます。ちなみに、700USDの価値があります。失敗した場合は再度料金を支払う必要があります。試験を受けられる認定センターはたくさんありますが、重要なのは事前に申請することです。一般に、試験日をすぐに設定することをお勧めします。そうしないと、準備プロセスを他の重要な問題や、完全に重要ではない問題に置き換えて、常に試験日を遅らせることになるからです。そして、具体的な締め切り日を設定すると、やる気が生まれます。

出所： habr.com

コサックはどのようにして GICSP 証明書を受け取ったのか

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル