Баарына салам! Ар бир адамдын сүйүктүү порталында маалыматтык коопсуздук тармагындагы сертификация боюнча көптөгөн ар кандай макалалар бар болчу, андыктан мен мазмундун оригиналдуулугун жана уникалдуулугун талап кылбайм, бирок GIAC (Global Information Assurance Company) алуу боюнча тажрыйбамды бөлүшкүм келет. өнөр жай киберкоопсуздугу жаатындагы сертификация. сыяктуу коркунучтуу сөздөр пайда болгондон бери , , Шамун, Тритон, IT сыяктуу көрүнгөн, бирок тепкичтердеги конфигурацияны кайра жазуу менен PLCлерди ашыкча жүктөй турган адистердин кызматтарын көрсөтүү рыногу түзүлө баштады, ошол эле учурда заводду токтотууга болбойт.
Дүйнөгө IT&OT (Information Technology & Operation Technology) концепциясы ушундайча пайда болгон.
Андан кийин дароо (квалификациясы жок персоналдын иштөөсүнө жол берилбеши керек экени түшүнүктүү) процессти башкаруу системаларынын жана өнөр жай системаларынын коопсуздугун камсыз кылуу менен байланышкан чөйрөдөгү адистерди аттестациялоо зарылдыгы келип чыкты - алардын ичинен көп нерсе бар экени белгилүү болду. алар биздин жашообузда, батирдеги суу менен камсыз кылуучу автоматтык клапандан учактарды башкаруу системасына чейин (көйгөйлөрдү иликтөө жөнүндө эң сонун макаланы эстегиле. ). Ал тургай, күтүлбөгөн жерден пайда болгон, татаал медициналык жабдуулар.
Аттестация алуу зарылчылыгына кантип келип калгандыгым тууралуу кыскача лирика (аны өткөрүп жиберсеңиз болот): XNUMX-жылдардын аягында Маалыматтык коопсуздук факультетинде окууну ийгиликтүү аяктап, мен приборлордун катарына башым менен кадам таштадым. төмөн агымдагы коопсуздук сигнализация системалары үчүн механик болуп иштеп, бийик өттү. Мага маалыматтык коопсуздукту ошол кезде ишканада айтышкан окшойт :) Маалыматтык коопсуздук боюнча бакалавр даражасына ээ, автоматташтырылган башкаруу системасынын адиси катары карьерам ушинтип башталган. Алты жылдан кийин, SCADA системалары бөлүмүнүн башчысы даражасына чейин көтөрүлүп, мен программалык камсыздоону жана жабдууларды сатуучу чет элдик компанияда өнөр жайлык башкаруу системалары боюнча коопсуздук боюнча кеңешчи болуп иштөө үчүн кеттим. Мына ушул жерден маалымат коопсуздугу боюнча сертификатталган адис болуунун зарылдыгы келип чыккан.
өнүгүү болуп саналат маалымат коопсуздугу боюнча адистерди даярдоону жана аттестациялоону жүргүзгөн уюм. GIAC сертификатынын репутациясы EMEA, АКШ жана Азия Тынч океан базарларындагы адистердин жана кардарлардын арасында абдан жогору. Бул жерде, постсоветтик мейкиндикте жана КМШ өлкөлөрүндө мындай сертификатты биздин өлкөлөрдө бизнеси бар чет элдик компаниялар, эл аралык жана консалтинг агенттиктери гана сурай алат. Жеке мен ата мекендик компаниялардан мындай сертификация сураганын көргөн эмесмин. Ар бир адам негизинен CISSP сурап жатышат. Бул менин субъективдүү пикирим жана эгер кимдир-бирөө комментарийлерде өз тажрыйбасы менен бөлүшсө, билүү кызыктуу болот.
SANS-те бир нече ар кандай чөйрөлөр бар (менин оюмча, жакында балдар алардын санын өтө эле көбөйтүштү), бирок абдан кызыктуу практикалык курстар да бар. Мага өзгөчө жакты . Бирок окуя курс жөнүндө болмокчу жана күбөлүк деп аталган: .
SANS тарабынан сунушталган өнөр жай кибер коопсуздук сертификаттарынын бардык түрлөрүнүн ичинен бул эң универсалдуу. Экинчиси Батышта өзгөчө көңүл бурулган жана системалардын өзүнчө классына таандык болгон Power Grid системаларына көбүрөөк тиешелүү болгондуктан. Ал эми үчүнчүсү (менин сертификаттоо жолумда) Окуяга жооп берүү менен байланышкан.
Курс арзан эмес, бирок IT&OT боюнча кеңири билимди берет. Бул, мисалы, банк тармагындагы IT-коопсуздуктан Өнөр жай кибер коопсуздукка чейин өз тармагын өзгөртүүнү чечкен жолдоштор үчүн өзгөчө пайдалуу болот. Менде процессти башкаруу системалары, приборлор жана эксплуатациялоо технологиясы жаатында билими бар болгондуктан, бул курста мен үчүн принципиалдуу жаңы же өтө маанилүү эч нерсе болгон жок.
Курс 50% теория жана 50% практикадан турат. Практикадан эң кызыктуу сынак NetWars болду. Эки күн бою, сабактардын негизги курсунан кийин бардык класстардын бардык студенттери командаларга бөлүнүп, кирүү укуктарын алуу, керектүү маалыматты алуу, тармакка кирүү, хэштерди илгерилетүү боюнча бир топ тапшырмаларды аткаруу, Wireshark менен иштөө боюнча тапшырмаларды аткарышты. жана ар кандай жакшылыктар.
Курстун материалдары китептер түрүндө кыскача баяндалат, аны сиз түбөлүк колдонуу үчүн аласыз. Айтмакчы, сиз аларды экзаменге тапшырсаңыз болот, анткени формат Open Book, бирок алар сизге көп жардам бербейт, анткени сынак 3 сааттан, 115 суроодон турат жана жеткирүү тили англисче. 3 сааттын ичинде 15 мүнөттүк тыныгууга болот. Бирок эсиңизде болсун, 15 мүнөткө тыныгуу алып, 5 мүнөттөн кийин тесттерге кайтуу менен, сиз жөн гана калган он мүнөттөн баш тартасыз, анткени сиз тестирлөө программасында убакытты токтото албай каласыз. Сиз 15ке чейин суроону өткөрүп жиберсеңиз болот, алар эң аягында пайда болот.
Жеке мен көп суроолорду кийинчерээк калтырууну сунуштабайм, анткени 3 саат чындыгында аз убакыт жана аягында чечиле элек суроолоруңуз болгондо, аткара албай калуу ыктымалдыгы жогору. аны убагында. NIST 800.82 жана NERC стандартын билүү менен байланыштуу болгондуктан, мен үчүн чындап эле кыйын болгон үч гана суроого кийинчерээк калтырдым. Психологиялык жактан "кийинкиге" деген суроолор нервиңди эң аягында сүзөт - мээң чарчаганда, ажатканага баргың келет, экрандагы таймер экспоненциалдуу түрдө тездейт.
Жалпысынан тесттен өтүү үчүн 71% туура жооп алуу керек. Экзамен тапшыраардан мурун, сиз чыныгы тесттер боюнча машыгуу мүмкүнчүлүгүнө ээ болосуз - анткени баа 2 суроодон турган 115 практикалык тестти камтыйт жана чыныгы экзаменге окшош шарттар менен.
Тренингди аяктагандан кийин бир ай өткөндөн кийин экзамен тапшырууну сунуштайм, бул айды өзүңүзгө ишенбеген маселелер боюнча системалуу өз алдынча изилдөөгө жумшаңыз. Курстун жүрүшүндө алынган ар бир тема боюнча кыскача реферат сыяктуу көрүнгөн басма материалдарды алып, бул китептерде камтылган темалар боюнча маалыматты максаттуу түрдө издесеңиз жакшы болмок. Айды эки бөлүккө бөлүп, практикалык тесттерди тапшырыңыз жана кайсы тармактарда күчтүү экениңизди жана кайсы жерде жакшырышыңыз керектигин болжолдуу түрдө түшүнүңүз.
Мен экзамендин өзүн түзгөн төмөнкү негизги багыттарды белгилегим келет (окутуу курсу эмес, анткени ал кеңири темаларды камтыйт):
- Физикалык коопсуздук: Башка күбөлүк сынактары сыяктуу эле, бул маселеге GICSPте көп көңүл бурулат. Эшиктерге физикалык кулпулардын түрлөрү жөнүндө суроолор бар, электрондук өтмөктөрдү жасалмалоо жагдайлары сүрөттөлөт, мында көйгөйдү бир тараптуу аныктоо үчүн жооп бериш керек. Технологиянын (процесстин) коопсуздугуна түздөн-түз байланыштуу суроолор бар, предметтик чөйрөсүнө жараша - мунай жана газ процесстери, атомдук электр станциялары же электр тармактары. Мисалы, төмөнкүдөй суроо болушу мүмкүн: Сигнал HMIдеги буу температурасы сенсорунан келгенде, физикалык коопсуздукту көзөмөлдөөнүн кандай түрү экенин аныктаңыз? Же мындай суроо: Кандай кырдаал (окуя) объекттин периметри боюнча коопсуздук тутумунун байкоо камераларынан алынган видео жазууларды талдоо үчүн негиз болуп кызмат кылат?
Процент менен алганда, мен экзаменимде жана практикалык тесттерде бул бөлүм боюнча суроолордун саны 5% дан ашпаганын белгилейт элем.
- Суроолордун дагы бир жана эң кеңири таралган категорияларынын бири болуп процессти башкаруу системалары, PLC, SCADA боюнча суроолор болуп саналат: бул жерде процессти башкаруу системалары кандайча структураланганы боюнча материалдарды изилдөөгө системалуу түрдө кайрылыш керек, сенсорлордон баштап, колдонмо программалык камсыздоонун өзү жайгашкан серверлерге чейин. чуркайт. Өнөр жайлык маалыматтарды берүү протоколдорунун түрлөрү боюнча жетиштүү сандагы суроолор табылат (ModBus, RTU, Profibus, HART ж.б.). RTU PLCден эмнеси менен айырмаланат, PLCдеги маалыматтарды чабуулчу тарабынан модификациядан кантип коргоо керек, PLC кайсы эстутум аймактарында маалыматтарды сактайт жана логиканын өзү кайда сакталат (процессти башкаруу тутумунун программисти жазган программа) деген суроолор пайда болот. ). Мисалы, мындай түрдөгү суроо болушу мүмкүн: ModBus протоколу менен иштеген PLC менен HMI ортосундагы чабуулду кантип аныктоого болот деген суроого жооп бериңизчи?
SCADA жана DCS системаларынын ортосундагы айырмачылыктар жөнүндө суроолор пайда болот. L1, L2 деңгээлиндеги процесстерди башкаруунун автоматташтырылган тармактарын L3 деңгээлинен бөлүү эрежелери боюнча суроолордун көп саны (мен тармак боюнча суроолор менен бөлүмдө кененирээк айтып берем). Бул тема боюнча кырдаалдык суроолор да абдан ар түрдүү болот - алар башкаруу бөлмөсүндөгү кырдаалды сүрөттөйт жана процесс оператору же диспетчер аткарышы керек болгон аракеттерди тандоо керек.
Жалпысынан алганда, бул бөлүм өзгөчө жана тар профилдүү болуп саналат. Сизден жакшы билимди талап кылат:
— автоматташтырылган башкаруу системасы, талаа бөлүгү (датчиктер, түзүлүштөрдүн кошулуу түрлөрү, сенсорлордун физикалык өзгөчөлүктөрү, PLC, RTU);
— процесстердин жана объекттердин авариялык өчүрүү тутумдары (ESD – авариялык өчүрүү системасы) (Баса, бул тема боюнча Habré сайтында эң сонун макалалар бар. )
— мисалы, нефтини кайра иштетүүдө, электр энергиясын өндүрүүдө, түтүктөрдү өткөрүүдө ж.б. болуп жаткан физикалык процесстер жөнүндө негизги түшүнүк;
— DCS жана SCADA системаларынын архитектурасын түшүнүү;
Бул түрдөгү суроолор экзамендин бардык 25 суроосу боюнча 115% га чейин болушу мүмкүн экенин белгилейт элем. - Тармактык технологиялар жана тармактык коопсуздук: Бул темадагы суроолордун саны сынакта биринчи орунда турат деп ойлойм. Балким, баары болот - OSI модели, тигил же бул протокол кайсы деңгээлде иштейт, тармакты сегментациялоо боюнча көптөгөн суроолор, тармактык чабуулдар боюнча кырдаалдык суроолор, чабуулдун түрүн аныктоо сунушу менен байланыш журналдарынын мисалдары, коммутатор конфигурацияларынын мисалдары аялуу конфигурацияны аныктоо сунушу менен, тармак протоколдорунун аялуу жерлери боюнча суроолор, өнөр жай байланыш протоколдорунун тармактык байланыштарынын өзгөчөлүктөрү боюнча суроолор. Адамдар өзгөчө ModBus жөнүндө көп сурашат. Ошол эле ModBus тармак пакеттеринин түзүмү, анын түрүнө жана түзмөк тарабынан колдоого алынган версияларына жараша. Зымсыз тармактардагы чабуулдарга көп көңүл бурулат - ZigBee, Wireless HART жана жөн гана бүтүндөй 802.1x үй-бүлөсүнүн тармактык коопсуздугу жөнүндө суроолор. Процессти башкаруу тутумунун тармагында айрым серверлерди жайгаштыруу эрежелери жөнүндө суроолор пайда болот (бул жерде сиз IEC-62443 стандартын окуп, процессти башкаруу системаларынын тармактарынын эталондук моделдеринин принциптерин түшүнүшүңүз керек). Purdue модели тууралуу суроолор болот.
- Электр энергиясын берүү тутумдарын жана алар үчүн маалыматтык коопсуздук системаларын эксплуатациялоонун функционалдык өзгөчөлүктөрүнө гана тиешелүү маселелердин категориясы. АКШда процессти башкаруунун автоматташтырылган системаларынын бул категориясы Power Grid деп аталат жана өзүнчө роль ыйгарылган. Бул үчүн, атүгүл бул сектор үчүн маалыматтык коопсуздук системаларын түзүүгө болгон мамилени жөнгө салуучу өзүнчө стандарттар (NIST 800.82) чыгарылган. Биздин өлкөлөрдө, көпчүлүк учурда, бул сектор ASKUE системалары менен гана чектелет (эгер кимдир бирөө электр энергиясын бөлүштүрүү жана жеткирүү системаларын көзөмөлдөөгө олуттуу мамилени көргөн болсо, мени тууралаңыз). Ошентип, сынакта сиз электр тармагына байланыштуу так суроолорду таба аласыз. Көбүнчө булар ТЭЦте иштелип чыккан конкреттүү кырдаал үчүн колдонулган учурлар болгон, бирок электр тармагында атайын колдонулган түзүлүштөр боюнча изилдөөлөр да болушу мүмкүн. Бул категориядагы системалар үчүн NIST бөлүмдөрүн билүү боюнча суроолор болот.
- Стандарттарды билүү менен байланышкан суроолор: NIST 800-82, NERC, IEC62443. Менин оюмча, бул жерде эч кандай атайын комментарийлер жок - сиз стандарттардын бөлүмдөрүнө өтүшүңүз керек, ал эмне жана кандай сунуштарды камтыйт. Конкреттүү суроолор бар, мисалы, системанын иштешин текшерүү жыштыгын, процедураны жаңыртуу ж.б. Мындай суроолордун пайызы катары, суроолордун жалпы санынын 15% га чейин жолугууга болот. Бирок бул көз каранды. Мисалы, эки практикалык тесттен мен бир-эки эле окшош суроолорго туш болдум. Бирок экзамен учурунда алар чындап эле көп болчу.
- Ооба, суроолордун акыркы категориясы - бул колдонуунун бардык түрлөрү жана кырдаалдык суроолор.
Жалпысынан алганда, CTF NetWars программасын эске албаганда, тренингдин өзү мен үчүн потенциалдуу жаңы билимдерди алуу жагынан анчалык маалыматтуу болгон жок. Тескерисинче, кээ бир темалар боюнча тереңирээк маалымат, өзгөчө технологиялык маалыматты берүү үчүн колдонулган радио тармактарды уюштуруу жана коргоо жаатында, ошондой эле бул темага арналган чет өлкөлүк стандарттардын структурасы боюнча көбүрөөк уюшкан материалдар алынды. Ошондуктан, процессти башкаруу системалары/ приборлор системалары же Өнөр жай тармактары менен иштөө боюнча жетиштүү билими жана тажрыйбасы бар инженерлер жана адистер үчүн сиз окуудан үнөмдөө (жана үнөмдөө мааниси бар) жөнүндө ойлонсоңуз болот, өзүңүздү даярдап, түз эле аттестация экзаменин тапшырсаңыз болот. , Айтмакчы, 700USD турат. Эгер ишке ашпай калса, кайра төлөөгө туура келет. Сизди экзаменге кабыл ала турган көптөгөн сертификация борборлору бар, эң негизгиси алдын ала тапшыруу. Жалпысынан, мен экзамендин күнүн дароо коюуну сунуштайм, анткени антпесе, сиз аны дайыма кечеңдетип, даярдоо процессин башка өтө маанилүү эмес, маанилүү иштер менен алмаштырасыз. Ал эми белгилүү бир мөөнөткө ээ болуу сизди өзүн өзү шыктандырат.
Source: www.habr.com