Sveiki visi! Visų mėgstamame portale buvo daug įvairių straipsnių apie sertifikavimą informacijos saugumo srityje, todėl nepretenduosiu į turinio originalumą ir unikalumą, bet vis tiek labai norėčiau pasidalinti savo patirtimi, įgyta GIAC (Global Information Assurance Company) gavimo metu. sertifikavimas pramoninio kibernetinio saugumo srityje. Nuo tada, kai pasirodė tokie baisūs žodžiai kaip , , Shamoon, Triton pradėjo formuotis paslaugų teikimo rinka specialistų, kurie atrodo IT, bet gali ir perkrauti PLC perrašydami konfigūraciją ant kopėčių, o tuo pačiu metu gamyklos negalima sustabdyti.
Taip į pasaulį atėjo IT&OT (Information Technology & Operation Technology) koncepcija.
Iš karto po to (aišku, kad nekvalifikuotiems darbuotojams neturėtų būti leidžiama dirbti) atsirado poreikis atestuoti specialistus srityje, susijusioje su procesų valdymo sistemų ir pramonės sistemų saugos užtikrinimu – kurių, pasirodo, yra daug juos mūsų gyvenime, nuo automatinio vandens tiekimo vožtuvo bute iki valdymo sistemos lėktuvų (prisiminkite puikų straipsnį apie problemų tyrimą ). Ir net, kaip staiga paaiškėjo, sudėtinga medicininė įranga.
Trumpas dainos tekstas apie tai, kaip man prireikė gauti sertifikatą (galite ir praleisti): XNUMX-ųjų pabaigoje sėkmingai baigęs studijas Informacijos saugumo fakultete galva įstojau į instrumentų avių gretas. išlaikomas aukštai, dirba silpnos srovės apsaugos signalizacijos sistemų mechaniku. Atrodo, kad apie informacijos saugą man buvo pasakyta tuo metu įmonėje :) Taip prasidėjo mano, kaip automatizuotų valdymo sistemų specialistės, turinčios informacijos saugos bakalauro laipsnį, karjera. Po šešerių metų, pakilęs iki SCADA sistemų skyriaus vadovo, išvykau dirbti pramonės valdymo sistemų saugos konsultantu į užsienio kompaniją, prekiaujančią programine įranga ir įranga. Čia ir atsirado poreikis būti sertifikuotu informacijos saugos specialistu.
yra plėtra organizacija, vykdanti informacijos saugos specialistų mokymus ir atestavimą. GIAC sertifikato reputacija yra labai aukšta tarp specialistų ir klientų EMEA, JAV ir Azijos Ramiojo vandenyno rinkose. Čia, posovietinėje erdvėje ir NVS šalyse, tokio sertifikato gali prašyti tik mūsų šalyse verslą turinčios užsienio įmonės, tarptautinės ir konsultacinės agentūros. Asmeniškai aš niekada nesu susidūręs su prašymu išduoti tokį sertifikatą iš šalies įmonių. Visi iš esmės prašo CISSP. Tai mano subjektyvi nuomonė ir jei kas pasidalins savo patirtimi komentaruose, būtų įdomu sužinoti.
SANS yra nemažai skirtingų sričių (mano nuomone, pastaruoju metu vaikinai per daug išplėtė savo skaičių), tačiau yra ir labai įdomių praktinių kursų. Man ypač patiko . Bet istorija bus apie kursą ir sertifikatas, vadinamas: .
Iš visų SANS siūlomų pramoninio kibernetinio saugumo sertifikatų tipų šis yra universaliausias. Kadangi antrasis labiau susijęs su Power Grid sistemomis, kurios Vakaruose sulaukia ypatingo dėmesio ir priklauso atskirai sistemų klasei. Ir trečiasis (mano sertifikavimo kelio metu) buvo susijęs su atsaku į incidentus.
Kursas nėra pigus, tačiau suteikia gana plačių IT&OT žinių. Tai bus ypač naudinga tiems bendražygiams, kurie nusprendė pakeisti savo sritį, pavyzdžiui, iš IT saugumo bankų pramonėje į pramoninį kibernetinį saugumą. Kadangi jau turėjau išsilavinimą procesų valdymo sistemų, prietaisų ir eksploatavimo technologijų srityje, šiame kurse man nebuvo nieko iš esmės naujo ar gyvybiškai svarbaus.
Kursą sudaro 50% teorijos ir 50% praktikos. Iš praktikos įdomiausias konkursas buvo NetWars. Dvi dienas po pagrindinio kurso visi visų klasių mokiniai buvo suskirstyti į komandas ir atliko užduotis gauti prieigos teises, išgauti reikiamą informaciją, gauti prieigą prie tinklo, krūva užduočių reklamuoti maišą, dirbti su Wireshark. ir visokių gėrybių.
Kurso medžiaga yra apibendrinta knygų pavidalu, kurias gausite nuolatiniam naudojimui. Beje, galite laikyti juos egzaminui, nes formatas yra Open Book, bet jie jums nelabai padės, nes egzaminas turi 3 valandas, 115 klausimų, o pristatymo kalba yra anglų. Per visas 3 valandas galite padaryti 15 minučių pertrauką. Tačiau atminkite, kad darydami 15 minučių pertrauką ir grįžę prie testų po 5, jūs tiesiog atiduosite likusias dešimt minučių, nes nebegalėsite sustabdyti laiko testavimo programoje. Galite praleisti iki 15 klausimų, kurie tada pasirodys pačioje pabaigoje.
Asmeniškai nerekomenduoju daug klausimų palikti vėlesniam laikui, nes 3 valandų tikrai per mažai, o kai pabaigoje kyla klausimų, kurie dar neišspręsti, didelė tikimybė, kad nepavyks. tai laiku. Vėliau palikau tik tris klausimus, kurie man buvo tikrai sunkūs, nes buvo susiję su NIST 800.82 ir NERC standarto žiniomis. Psichologiškai tokie klausimai „vėliau“ trenkia nervus pačioje pabaigoje - kai pavargsta smegenys, norisi į tualetą, laikmatis ekrane tarsi greitėja.
Apskritai, norint išlaikyti testą, reikia surinkti 71% teisingų atsakymų. Prieš laikydami egzaminą turėsite galimybę pasipraktikuoti ties tikrais testais – kadangi į kainą įeina 2 praktikos testai iš 115 klausimų ir su panašiomis į tikrojo egzamino sąlygomis.
Egzaminą rekomenduoju laikyti praėjus mėnesiui po mokymų baigimo, šį mėnesį skirti sistemingam savarankiškam mokymuisi tais klausimais, kuriuose jaučiatės neaiškūs. Būtų gerai, jei paimtumėte kurso metu gautą spausdintą medžiagą, kuri atrodo kaip trumpos tezės kiekviena tema – ir tikslingai ieškotumėte informacijos šiose knygose esančiomis temomis. Mėnesį padalinkite į dvi dalis, atlikite praktinius testus ir susidarykite apytikslį vaizdą apie tai, kuriose srityse esate stiprūs ir kur jums reikia tobulėti.
Norėčiau pabrėžti šias pagrindines sritis, kurios sudaro patį egzaminą (ne mokymo kursą, nes jis apima daug platesnių temų):
- Fizinis saugumas: kaip ir kitiems sertifikavimo egzaminams, šiai problemai GICSP skiriamas didelis dėmesys. Kyla klausimų dėl fizinių durų spynų tipų, aprašomos situacijos su elektroninių leidimų klastojimu, kai reikia atsakyti, kad vienareikšmiškai identifikuotų problemą. Kyla klausimų, tiesiogiai susijusių su technologijos (proceso) sauga, priklausomai nuo dalykinės srities – naftos ir dujų procesai, atominės elektrinės ar elektros tinklai. Pavyzdžiui, gali kilti toks klausimas: nustatyti, kokio tipo fizinės saugos kontrolė yra situacija, kai HMI garų temperatūros jutiklis duoda pavojaus signalą? Arba toks klausimas: kokia situacija (įvykis) bus priežastis analizuoti objekto perimetro apsaugos sistemos stebėjimo kamerų vaizdo įrašus?
Vertinant procentais, atkreipčiau dėmesį, kad šios skilties klausimų skaičius mano egzamine ir praktikos testuose neviršijo 5%.
- Kita ir viena iš labiausiai paplitusių klausimų kategorijų yra klausimai apie procesų valdymo sistemas, PLC, SCADA: čia reikės sistemingai tirti medžiagą apie tai, kaip struktūrinės procesų valdymo sistemos, nuo jutiklių iki serverių, kuriuose pati taikomoji programinė įranga. bėga. Bus rasta pakankamai klausimų dėl pramoninių duomenų perdavimo protokolų tipų (ModBus, RTU, Profibus, HART ir kt.). Bus klausimų, kuo RTU skiriasi nuo PLC, kaip apsaugoti PLC esančius duomenis nuo užpuoliko modifikacijų, kokiose atminties srityse PLC saugo duomenis ir kur saugoma pati logika (procesų valdymo sistemos programuotojo parašyta programa ). Pavyzdžiui, gali kilti tokio tipo klausimas: Pateikite atsakymą, kaip galite aptikti ataką tarp PLC ir HMI, veikiančio naudojant ModBus protokolą?
Bus klausimų apie SCADA ir DCS sistemų skirtumus. Daug klausimų dėl automatizuotų procesų valdymo tinklų atskyrimo L1, L2 lygiu nuo L3 lygio taisyklių (plačiau aprašysiu skyriuje su klausimais apie tinklą). Situaciniai klausimai šia tema taip pat bus labai įvairūs – jie apibūdina situaciją valdymo kambaryje ir reikia pasirinkti veiksmus, kuriuos turi atlikti proceso operatorius ar dispečeris.
Apskritai šis skyrius yra konkretiausias ir siauriausias. Reikalingos geros žinios:
— automatizuota valdymo sistema, lauko dalis (jutikliai, įrenginių jungčių tipai, fizinės jutiklių savybės, PLC, RTU);
— procesų ir objektų avarinio išjungimo sistemos (ESD – avarinio išjungimo sistema) (beje, šia tema yra puiki straipsnių serija apie Habré iš )
— pagrindinių fizinių procesų, vykstančių, pavyzdžiui, naftos perdirbimo, elektros energijos gamybos, vamzdynų ir kt., supratimas;
— supratimas apie DCS ir SCADA sistemų architektūrą;
Norėčiau atkreipti dėmesį, kad tokio tipo klausimų gali atsirasti iki 25% per visus 115 egzamino klausimų. - Tinklo technologijos ir tinklo saugumas: manau, kad klausimų skaičius šioje temoje yra pirmas egzamine. Turbūt bus absoliučiai visko - OSI modelis, kokiais lygiais veikia tas ar kitas protokolas, daug klausimų apie tinklo segmentavimą, situaciniai klausimai apie tinklo atakas, ryšio žurnalų pavyzdžiai su pasiūlymu nustatyti atakos tipą, komutatorių konfigūracijų pavyzdžiai. su pasiūlymu nustatyti pažeidžiamą konfigūraciją, klausimai apie tinklo protokolų pažeidžiamumą, klausimai apie pramoninių ryšių protokolų tinklo jungčių specifiką. Žmonės ypač daug klausia apie „ModBus“. Tos pačios ModBus tinklo paketų struktūra, atsižvelgiant į jo tipą ir įrenginio palaikomas versijas. Daug dėmesio skiriama atakoms prieš belaidžius tinklus – ZigBee, Wireless HART ir tiesiog klausimai apie visos 802.1x šeimos tinklo saugumą. Bus klausimų dėl tam tikrų serverių patalpinimo į procesų valdymo sistemos tinklą taisyklių (čia reikia perskaityti IEC-62443 standartą ir suprasti procesų valdymo sistemų tinklų etaloninių modelių principus). Kils klausimų dėl Purdue modelio.
- Klausimų kategorija, susijusi tik su elektros perdavimo sistemų ir jų informacinės apsaugos sistemų veikimo funkcinėmis savybėmis. JAV ši automatizuotų procesų valdymo sistemų kategorija vadinama Power Grid ir jai priskiriamas atskiras vaidmuo. Šiuo tikslu netgi išleidžiami atskiri standartai (NIST 800.82), reglamentuojantys požiūrį į šio sektoriaus informacijos saugumo sistemų kūrimą. Mūsų šalyse šis sektorius dažniausiai apsiriboja ASKUE sistemomis (pataisykite, jei kas matė rimtesnį požiūrį į elektros skirstymo ir tiekimo sistemų stebėjimą). Taigi, egzamine rasite gana konkrečių klausimų, susijusių su Power Grid. Dažniausiai tai buvo naudojimo atvejai konkrečiai situacijai, kuri susiklostė elektrinėje, tačiau gali būti ir įrenginių, kurie naudojami specialiai elektros tinkle, tyrimai. Bus klausimų, susijusių su žiniomis apie šios kategorijos sistemų NIST skyrius.
- Klausimai, susiję su standartų išmanymu: NIST 800-82, NERC, IEC62443. Čia manau be ypatingų komentarų – reikia naršyti standartų skyrelius, kas atsakinga už ką ir kokios rekomendacijos jame yra. Yra specifinių klausimų, pavyzdžiui, klausiama sistemos funkcionalumo tikrinimo dažnumo, procedūros atnaujinimo dažnumo ir pan. Tokių klausimų procentas gali būti pateiktas iki 15% visų klausimų. Bet tai priklauso. Pavyzdžiui, atliekant du praktinius testus, susidūriau su tik keliais panašiais klausimais. Bet per egzaminą jų buvo tikrai daug.
- Na, paskutinė klausimų kategorija yra visokie naudojimo atvejai ir situaciniai klausimai.
Apskritai, patys mokymai, galbūt išskyrus CTF NetWars, man nebuvo labai informatyvūs potencialiai naujų žinių įgijimo požiūriu. Atvirkščiai, buvo įgyta gilesnių kai kurių temų detalių, ypač radijo tinklų, naudojamų technologinei informacijai perduoti, organizavimo ir apsaugos srityje, taip pat labiau organizuota medžiaga apie šiai temai skirtų užsienio standartų struktūrą. Todėl inžinieriams ir specialistams, kurie turi pakankamai žinių ir patirties dirbant su procesų valdymo sistemomis/instrumentų sistemomis ar pramoniniais tinklais, galite pagalvoti apie taupymą mokymuose (o taupymas prasmingas), pasiruošti ir iškart eiti laikyti sertifikavimo egzaminą, kuris , beje, verta 700USD. Gedimo atveju turėsite sumokėti dar kartą. Yra daugybė sertifikavimo centrų, kurie priims jus laikyti egzaminą, svarbiausia yra iš anksto pateikti paraišką. Apskritai egzamino datą rekomenduoju nustatyti iš karto, nes kitu atveju nuolat jį vilkinsite, ruošimo procesą pakeisdami kitais gyvybiškai svarbiais ir ne visai svarbiais reikalais. O turėdami konkretų terminą, būsite motyvuoti.
Šaltinis: www.habr.com