Бәріңе сәлем! Барлығының сүйікті порталында ақпараттық қауіпсіздік саласындағы сертификаттау туралы көптеген мақалалар болды, сондықтан мен мазмұнның түпнұсқалығы мен бірегейлігін талап етпеймін, бірақ мен GIAC (Global Information Assurance Company) алу тәжірибесімен бөліскім келеді. өнеркәсіптік киберқауіпсіздік саласындағы сертификаттау. сияқты қорқынышты сөздер пайда болғаннан бері , , Shamoon, Triton, IT сияқты көрінетін, бірақ сонымен қатар баспалдақтардағы конфигурацияны қайта жазу арқылы PLC-лерді шамадан тыс жүктей алатын мамандардың қызметтерін көрсету нарығы қалыптаса бастады, сонымен бірге зауытты тоқтату мүмкін емес.
Осылайша әлемге IT&OT (Ақпараттық технологиялар және операциялық технологиялар) концепциясы пайда болды.
Бірден (біліктілігі жоқ персоналдың жұмыс істеуіне жол бермеу керек екені анық) технологиялық процестерді басқару жүйелері мен өнеркәсіптік жүйелердің қауіпсіздігін қамтамасыз етумен байланысты саладағы мамандарды аттестациялау қажеттілігі туындады - бұл олардың көпшілігі бар екені белгілі болды. олар біздің өмірімізде, пәтердегі автоматты сумен жабдықтау клапанынан ұшақтарды басқару жүйесіне дейін (мәселелерді зерттеу туралы тамаша мақаланы есте сақтаңыз). ). Тіпті, кенеттен белгілі болғандай, күрделі медициналық жабдықтар.
Сертификаттау қажеттілігіне қалай келгенім туралы қысқаша лирика (оны өткізіп жіберуге болады): XNUMX-шы жылдардың аяғында ақпараттық қауіпсіздік факультетінде оқуымды сәтті аяқтап, мен аспаптық қойлар қатарына бастым. төмен токты күзет дабылы жүйелерінде механик болып жұмыс істеп, жоғары деңгейде ұсталды. Ақпараттық қауіпсіздік туралы маған сол кезде кәсіпорында айтқан сияқты :) Ақпараттық қауіпсіздік бакалавры дәрежесін алған автоматтандырылған басқару жүйесінің маманы ретіндегі мансабым осылай басталды. Алты жылдан кейін SCADA жүйелері бөлімінің бастығы дәрежесіне дейін көтеріліп, мен бағдарламалық қамтамасыз ету мен жабдықты жеткізумен айналысатын шетелдік компанияда өнеркәсіптік басқару жүйелерінің қауіпсіздік кеңесшісі болып жұмыс істеуге кеттім. Дәл осы жерде ақпараттық қауіпсіздік бойынша сертификатталған маман болу қажеттілігі туындады.
даму болып табылады ақпараттық қауіпсіздік мамандарын оқытуды және сертификаттауды жүзеге асыратын ұйым. GIAC сертификатының беделі EMEA, АҚШ және Азия-Тынық мұхиты нарықтарындағы мамандар мен тұтынушылар арасында өте жоғары. Мұнда, посткеңестік кеңістікте және ТМД елдерінде мұндай сертификатты тек біздің елдерде бизнесі бар шетелдік компаниялар, халықаралық және консалтингтік агенттіктер сұрай алады. Өз басым отандық компаниялардан мұндай сертификаттау туралы өтінішті кездестірген емеспін. Барлығы негізінен CISSP сұрайды. Бұл менің субъективті пікірім және егер біреу түсініктемелерде өз тәжірибесімен бөліссе, білу қызықты болады.
SANS-те бірнеше түрлі бағыттар бар (менің ойымша, соңғы уақытта жігіттер олардың санын тым кеңейтті), бірақ өте қызықты практикалық курстар да бар. Маған ерекше ұнады . Бірақ әңгіме курс туралы болмақ және сертификат деп аталады: .
SANS ұсынатын өнеркәсіптік киберқауіпсіздік сертификаттарының барлық түрлерінің ішінде бұл ең әмбебап болып табылады. Екіншісі Батыста ерекше назар аударатын және жүйелердің жеке класына жататын электр желісі жүйелеріне көбірек қатысты болғандықтан. Үшіншісі (сертификаттау жолым кезінде) оқиғаға жауап берумен байланысты.
Курс арзан емес, бірақ ол IT және OT бойынша өте кең білім береді. Бұл әсіресе өз саласын өзгертуге шешім қабылдаған жолдастар үшін пайдалы болады, мысалы, банк саласындағы АТ қауіпсіздігінен өнеркәсіптік киберқауіпсіздікке дейін. Технологиялық процестерді басқару жүйелері, приборлар және пайдалану технологиясы саласында білімім болғандықтан, бұл курста мен үшін түбегейлі жаңа немесе өмірлік маңызды ештеңе болған жоқ.
Курс 50% теория және 50% практикадан тұрады. Тәжірибеден ең қызықты сайыс NetWars болды. Екі күн бойы сабақтардың негізгі курсынан кейін барлық сынып оқушылары командаларға бөлініп, кіру құқықтарын алу, қажетті ақпаратты алу, желіге қол жеткізу, хэштерді жылжыту бойынша тапсырмалар топтамасы, Wireshark-пен жұмыс істеу тапсырмаларын орындады. және әр түрлі тәттілер.
Курстың материалы кітаптар түрінде жинақталған, содан кейін сіз оны мәңгілік пайдалану үшін аласыз. Айтпақшы, сіз оларды емтиханға тапсыра аласыз, өйткені форматы Open Book, бірақ олар сізге көп көмектеспейді, өйткені емтихан 3 сағат, 115 сұрақ және жеткізу тілі ағылшын тілі. Барлық 3 сағат ішінде сіз 15 минут үзіліс жасай аласыз. Бірақ есіңізде болсын, 15 минут үзіліс жасап, 5-тен кейін сынақтарға қайта оралу арқылы сіз қалған он минуттан бас тартасыз, өйткені тестілеу бағдарламасында енді уақытты тоқтата алмайсыз. Сіз 15-ке дейін сұрақты өткізіп жібере аласыз, олар ең соңында пайда болады.
Мен өз басым көп сұрақтарды кейінге қалдыруды ұсынбаймын, өйткені 3 сағат шынымен аз уақыт, ал соңында әлі шешілмеген сұрақтарыңыз болса, орындай алмау ықтималдығы жоғары. уақытында. Мен NIST 800.82 және NERC стандартын білуге қатысты болғандықтан, мен үшін өте қиын болған үш сұраққа ғана қалдырдым. Психологиялық тұрғыдан алғанда, «кейінірек» деген сұрақтар сіздің жүйкеңізге ең соңында әсер етеді - миыңыз шаршаған кезде, сіз дәретханаға барғыңыз келеді, экрандағы таймер экспоненциалды түрде жылдамдайтын сияқты.
Жалпы, тестілеуден өту үшін 71% дұрыс жауап жинау керек. Емтиханды тапсырар алдында сізде нақты сынақтар бойынша тәжірибеден өту мүмкіндігі болады – өйткені бағаға 2 сұрақтан тұратын және нақты емтиханға ұқсас шарттармен 115 тәжірибелік сынақ кіреді.
Тренингті аяқтағаннан кейін бір айдан кейін емтихан тапсыруды ұсынамын, осы айды өзіңізді сенімсіз сезінетін мәселелер бойынша жүйелі түрде өздігінен оқуға жұмсаңыз. Курс барысында алынған әр тақырып бойынша қысқаша рефераттарға ұқсайтын баспа материалдарын алып, осы кітаптардағы тақырыптар бойынша ақпаратты мақсатты түрде іздесеңіз жақсы болар еді. Айды екі бөлікке бөліп, тәжірибелік сынақтардан өтіп, қай салада мықты екеніңізді және қай жерде жақсарту керектігіңіздің жалпы бейнесін алыңыз.
Емтиханның өзін құрайтын келесі негізгі бағыттарды атап өткім келеді (оқу курсы емес, өйткені ол әлдеқайда кең тақырыптарды қамтиды):
- Физикалық қауіпсіздік: Басқа сертификаттау емтихандары сияқты, бұл мәселеге GICSP-те көп көңіл бөлінеді. Есіктердегі физикалық құлыптардың түрлері туралы сұрақтар бар, электронды рұқсаттарды қолдан жасау жағдайлары сипатталған, онда мәселені біржақты анықтау үшін жауап беру керек. Технологияның (үдерістің) қауіпсіздігіне тікелей байланысты сұрақтар туындайды, пәндік салаға байланысты – мұнай-газ процестері, атом электр станциялары немесе электр желілері. Мысалы, келесідей сұрақ туындауы мүмкін: Дабыл HMI құрылғысындағы бу температурасы сенсорынан шыққан кездегі жағдай физикалық қауіпсіздікті басқарудың қандай түрін анықтаңыз? Немесе келесідей сұрақ: Қандай жағдай (оқиға) объектінің периметрі бойынша қауіпсіздік жүйесінің бақылау камераларынан алынған бейне жазбаларды талдауға негіз болады?
Пайыздық қатынаста мен емтихандағы және тәжірибелік сынақтардағы осы бөлім бойынша сұрақтардың саны 5% аспағанын атап өткім келеді.
- Сұрақтардың тағы бір және ең кең тараған санаттарының бірі - процестерді басқару жүйелері, PLC, SCADA сұрақтары: бұл жерде процесті басқару жүйелері қалай құрылымдалғаны туралы материалдарды зерттеуге жүйелі түрде жүгіну керек, сенсорлардан қолданбалы бағдарламалық қамтамасыз етудің өзі орналасқан серверлерге дейін. жүгіреді. Өнеркәсіптік деректерді беру хаттамаларының түрлері бойынша сұрақтардың жеткілікті саны (ModBus, RTU, Profibus, HART және т.б.) болады. RTU-ның PLC-ден айырмашылығы, PLC-дегі деректерді шабуылдаушы модификациялаудан қалай қорғау керек, PLC деректерді қай жад аймақтарында сақтайды және логиканың өзі қайда сақталады (процесті басқару жүйесінің бағдарламашысы жазған бағдарлама) туралы сұрақтар болады. ). Мысалы, осы түрдегі сұрақ туындауы мүмкін: ModBus хаттамасы арқылы жұмыс істейтін PLC және HMI арасындағы шабуылды қалай анықтауға болады деген сұраққа жауап беріңізші?
SCADA және DCS жүйелері арасындағы айырмашылықтар туралы сұрақтар болады. L1, L2 деңгейіндегі технологиялық процестерді басқарудың автоматтандырылған желілерін L3 деңгейінен бөлу ережелері бойынша сұрақтардың үлкен саны (мен толығырақ желідегі сұрақтары бар бөлімде сипаттаймын). Осы тақырып бойынша ситуациялық сұрақтар да өте әртүрлі болады - олар басқару бөлмесіндегі жағдайды сипаттайды және сізге процесс операторы немесе диспетчер орындауы керек әрекеттерді таңдау керек.
Жалпы, бұл бөлім ең нақты және тар профильді болып табылады. Сізге жақсы білім қажет:
— автоматтандырылған басқару жүйесі, өріс бөлігі (датчиктер, құрылғылардың қосылу түрлері, датчиктердің физикалық ерекшеліктері, PLC, RTU);
— процестер мен объектілердің авариялық өшіру жүйелері (ESD – авариялық өшіру жүйесі) (айтпақшы, осы тақырып бойынша Хабреде мақалалардың тамаша сериясы бар. )
— мысалы, мұнай өңдеуде, электр энергиясын өндіруде, құбыр желілерінде және т.б. болатын физикалық процестер туралы негізгі түсінік;
— DCS және SCADA жүйелерінің архитектурасын түсіну;
Мен бұл түрдегі сұрақтар емтиханның барлық 25 сұрағында 115% дейін болуы мүмкін екенін атап өткім келеді. - Желілік технологиялар және желілік қауіпсіздік: Бұл тақырыптағы сұрақтардың саны емтиханда бірінші орында деп ойлаймын. Мұнда бәрі болуы мүмкін - OSI моделі, осы немесе басқа протокол қандай деңгейде жұмыс істейді, желіні сегменттеу бойынша көптеген сұрақтар, желілік шабуылдар бойынша ситуациялық сұрақтар, шабуыл түрін анықтау ұсынысы бар қосылым журналдарының мысалдары, коммутатор конфигурацияларының мысалдары осал конфигурацияны анықтау ұсынысымен, желілік хаттамалардың осалдықтары бойынша сұрақтар, өнеркәсіптік байланыс хаттамаларының желілік қосылымдарының ерекшеліктері туралы сұрақтар. Адамдар әсіресе ModBus туралы көп сұрайды. Бір ModBus желілік пакеттерінің құрылымы оның түріне және құрылғы қолдайтын нұсқаларына байланысты. Сымсыз желілерге шабуылдарға көп көңіл бөлінеді - ZigBee, Wireless HART және жай ғана бүкіл 802.1x отбасының желілік қауіпсіздігі туралы сұрақтар. Процесті басқару жүйесінің желісінде белгілі бір серверлерді орналастыру ережелері туралы сұрақтар туындайды (мұнда IEC-62443 стандартын оқып, процестерді басқару жүйелерінің желілерінің эталондық модельдерінің принциптерін түсіну керек). Purdue үлгісі туралы сұрақтар болады.
- Электр энергиясын беру жүйелері мен олар үшін ақпараттық қауіпсіздік жүйелерін пайдаланудың функционалдық ерекшеліктеріне ғана қатысты мәселелер санаты. АҚШ-та технологиялық процестерді басқарудың автоматтандырылған жүйелерінің бұл санаты Power Grid деп аталады және оған жеке рөл беріледі. Осы мақсатта, тіпті осы сектор үшін ақпараттық қауіпсіздік жүйесін құру тәсілдерін реттейтін жеке стандарттар (NIST 800.82) шығарылады. Біздің елдерде, негізінен, бұл сектор ASKUE жүйелерімен шектеледі (егер біреу электр энергиясын тарату және жеткізу жүйелерін бақылауға неғұрлым байыпты тәсілді көрген болса, мені түзетіңіз). Сонымен, емтиханда сіз электр желісіне қатысты нақты сұрақтарды таба аласыз. Көбінесе бұл электр станциясында қалыптасқан нақты жағдайға арналған қолдану жағдайлары болды, бірақ сонымен қатар электр желісінде арнайы қолданылатын құрылғыларда зерттеулер болуы мүмкін. Жүйелердің осы санаты үшін NIST бөлімдерін білуге арналған сұрақтар болады.
- Стандарттарды білуге қатысты сұрақтар: NIST 800-82, NERC, IEC62443. Менің ойымша, мұнда ешқандай арнайы түсініктемелер жоқ - сіз стандарттар бөлімдерін шарлауыңыз керек, ол қандай және қандай ұсыныстарды қамтитынына жауап береді. Нақты сұрақтар бар, мысалы, жүйенің функционалдығын тексеру жиілігін, процедураны жаңарту жиілігін және т.б. Осындай сұрақтардың пайызы ретінде жалпы сұрақтар санының 15%-ға дейін кездесуі мүмкін. Бірақ бұл байланысты. Мысалы, екі тәжірибелік сынақта мен тек бір-екі ұқсас сұрақтарға тап болдым. Бірақ емтихан кезінде олардың саны өте көп болды.
- Сұрақтардың соңғы санаты - қолдану жағдайларының барлық түрлері мен ситуациялық сұрақтар.
Жалпы, CTF NetWars мүмкіндігін қоспағанда, тренингтің өзі мен үшін жаңа білім алу тұрғысынан өте мазмұнды болмады. Керісінше, кейбір тақырыптардың тереңірек егжей-тегжейлері, әсіресе технологиялық ақпаратты беру үшін пайдаланылатын радио желілерін ұйымдастыру және қорғау саласында, сондай-ақ осы тақырыпқа арналған шетелдік стандарттардың құрылымы туралы көбірек ұйымдастырылған материалдар алынды. Сондықтан процесті басқару жүйелерімен/аспаптық жүйелермен немесе өнеркәсіптік желілермен жұмыс істеуде жеткілікті білімі мен тәжірибесі бар инженерлер мен мамандар үшін сіз оқуды үнемдеу (және үнемдеу мағынасы бар) туралы ойлануға болады, өзіңізді дайындап, сертификаттау емтиханын тапсыруға тура келеді. , айтпақшы, 700USD тұрады. Сәтсіз жағдайда қайтадан төлеуге тура келеді. Сізді емтиханға қабылдайтын көптеген сертификаттау орталықтары бар, бастысы - алдын ала өтініш беру. Жалпы, мен емтихан күнін бірден белгілеуді ұсынамын, өйткені әйтпесе сіз дайындық процесін басқа өмірлік маңызды емес және маңызды емес мәселелермен ауыстыра отырып, оны үнемі кешіктіресіз. Ал белгілі бір мерзімнің болуы сізді өзіңізді ынталандырады.
Ақпарат көзі: www.habr.com