Kā kazaki saņēma GICSP sertifikātu

Sveiki visiem! Ikviena iemīļotajā portālā bija daudz dažādu rakstu par sertifikāciju informācijas drošības jomā, tāpēc es nepretendēju uz satura oriģinalitāti un unikalitāti, bet tomēr ļoti vēlos padalīties savā pieredzē par GIAC (Global Information Assurance Company) iegūšanu. sertifikācija rūpnieciskās kiberdrošības jomā. Kopš parādījās tik briesmīgi vārdi kā Stuxnet, MērsSāka veidoties Shamoon, Triton speciālistu pakalpojumu sniegšanas tirgus, kas it kā ir IT, bet var arī pārslogot PLC ar konfigurācijas pārrakstīšanu uz kāpnēm, un tajā pašā laikā ražotni nevar apturēt.

Tā pasaulē ienāca IT&OT (Information Technology & Operation Technology) jēdziens.

Tūlīt pēc tam (skaidrs, ka nekvalificētam personālam strādāt nedrīkst) radās nepieciešamība sertificēt speciālistus jomā, kas saistīta ar procesu vadības sistēmu un industriālo sistēmu drošības nodrošināšanu - no kurām, izrādās, ir ļoti daudz tos mūsu dzīvē, no automātiskā ūdens padeves vārsta dzīvoklī līdz lidmašīnu vadības sistēmai (atcerieties lielisko rakstu par problēmu izmeklēšanu Boeing). Un pat, kā pēkšņi izrādījās, sarežģītas medicīnas iekārtas.

Īss liriks par to, kā nonācu līdz nepieciešamībai iegūt sertifikātu (var izlaist): XNUMX. gadu beigās sekmīgi pabeidzis studijas Informācijas drošības fakultātē, ar galvu iegāju instrumentācijas aitu rindās. turējās augstu, strādājot par vājstrāvas apsardzes signalizācijas sistēmu mehāniķi. Šķiet, ka man toreiz uzņēmumā stāstīja par informācijas drošību :) Tā sākās mana automatizētās vadības sistēmu speciālista karjera ar bakalaura grādu informācijas drošībā. Pēc sešiem gadiem, sasniedzot SCADA sistēmu nodaļas vadītāja pakāpi, es aizbraucu strādāt par industriālo vadības sistēmu drošības konsultantu ārvalstu uzņēmumā, kas pārdod programmatūru un aprīkojumu. Šeit radās nepieciešamība būt sertificētam informācijas drošības speciālistam.

GIAC ir attīstība BEZ organizācija, kas veic informācijas drošības speciālistu apmācību un sertifikāciju. GIAC sertifikāta reputācija ir ļoti augsta speciālistu un klientu vidū EMEA, ASV un Āzijas Klusā okeāna tirgos. Šeit, postpadomju telpā un NVS valstīs, šādu sertifikātu var pieprasīt tikai ārvalstu uzņēmumi, kas veic uzņēmējdarbību mūsu valstīs, starptautiskās un konsultāciju aģentūras. Personīgi es nekad neesmu saskāries ar pieprasījumu pēc šādas sertifikācijas no pašmāju uzņēmumiem. Ikviens būtībā prasa CISSP. Šis ir mans subjektīvais viedoklis un, ja kāds komentāros padalīsies pieredzē, būs interesanti uzzināt.

SANS ir diezgan daudz dažādu jomu (manuprāt, pēdējā laikā puiši ir pārāk paplašinājuši savu skaitu), taču ir arī ļoti interesanti praktiskie kursi. Man tas īpaši patika NetWars. Bet stāsts būs par kursu ICS410: ICS/SCADA drošības pamati un sertifikāts ar nosaukumu: Globālais rūpnieciskās kiberdrošības profesionālis (GICSP).

No visiem SANS piedāvātajiem rūpnieciskās kiberdrošības sertifikātu veidiem šis ir universālākais. Tā kā otrais vairāk attiecas uz Power Grid sistēmām, kurām Rietumos tiek pievērsta īpaša uzmanība un kas pieder pie atsevišķas sistēmu klases. Un trešais (mana sertifikācijas ceļa laikā) bija saistīts ar incidentu reaģēšanu.
Kurss nav lēts, taču sniedz diezgan plašas zināšanas IT&OT. Tas būs īpaši noderīgi tiem biedriem, kuri nolēmuši mainīt savu jomu, piemēram, no IT drošības banku nozarē uz Industrial Cyber ​​​​Security. Tā kā man jau bija pieredze procesu vadības sistēmu, instrumentu un darbības tehnoloģiju jomā, šajā kursā man nebija nekā principiāli jauna vai vitāli svarīga.

Kurss sastāv no 50% teorijas un 50% prakses. No prakses interesantākais konkurss bija NetWars. Divas dienas pēc nodarbību pamatkursa visi visu klašu skolēni tika sadalīti komandās un veica uzdevumus piekļuves tiesību iegūšanai, nepieciešamās informācijas iegūšanai, piekļuvei tīklam, virkni uzdevumu hash popularizēšanai, darbu ar Wireshark un visādi dažādi labumi.

Kursa materiāls ir apkopots grāmatu veidā, kuras jūs pēc tam saņemat pastāvīgai lietošanai. Starp citu, jūs varat tos kārtot eksāmenam, jo ​​formāts ir Open Book, taču tie jums daudz nepalīdzēs, jo eksāmenā ir 3 stundas, 115 jautājumi un piegādes valoda ir angļu. Visu 3 stundu laikā varat ieturēt 15 minūšu pārtraukumu. Bet paturiet prātā, ka, paņemot 15 minūšu pārtraukumu un atgriežoties pie testiem pēc 5, jūs vienkārši atdodat atlikušās desmit minūtes, jo vairs nevarēsit apturēt laiku testēšanas programmā. Varat izlaist līdz 15 jautājumiem, kas pēc tam parādīsies pašās beigās.

Personīgi neiesaku daudz jautājumu atstāt vēlākam laikam, jo ​​3 stundas tiešām ir par maz un kad beigās rodas jautājumi, kas vēl nav atrisināti, ir liela varbūtība, ka nevarēsi izdarīt to laikā. Es atstāju vēlākam tikai trīs jautājumus, kas man bija patiešām grūti, jo tie bija saistīti ar zināšanām par NIST 800.82 un NERC standartu. Psiholoģiski šādi jautājumi “vēlākam” krīt uz nerviem pašās beigās – kad smadzenes ir nogurušas, gribas iet uz tualeti, taimeris ekrānā šķiet eksponenciāli paātrinās.

Kopumā, lai nokārtotu testu, jums jāsaņem 71% pareizo atbilžu. Pirms eksāmena kārtošanas jums būs iespēja praktizēties uz reāliem testiem - jo cenā ir iekļauti 2 prakses testi no 115 jautājumiem un ar nosacījumiem, kas līdzīgi reālajam eksāmenam.

Eksāmenu iesaku kārtot mēnesi pēc apmācību pabeigšanas, šo mēnesi veltīt sistemātiskai pašmācībai par tiem jautājumiem, kuros jūtaties nepārliecināts. Būtu jauki, ja paņemtu kursā saņemtos drukātos materiālus, kas izskatās pēc īsiem konspektiem par katru tēmu – un mērķtiecīgi meklētu informāciju par šajās grāmatās ietvertajām tēmām. Sadaliet mēnesi divās daļās, veicot prakses testus un iegūstot aptuvenu priekšstatu par to, kurās jomās esat spēcīgs un kur jums ir jāuzlabo.

Es vēlētos izcelt šādas galvenās jomas, kas veido pašu eksāmenu (nevis apmācības kursu, jo tas aptver daudz plašākas tēmas):

1. Fiziskā drošība: tāpat kā citiem sertifikācijas eksāmeniem, šim jautājumam GICSP tiek pievērsta liela uzmanība. Ir jautājumi par durvju fizisko slēdzeņu veidiem, aprakstītas situācijas ar elektronisko caurlaižu viltošanu, kur jāsniedz atbilde, lai nepārprotami identificētu problēmu. Ir jautājumi, kas tieši saistīti ar tehnoloģijas (procesa) drošību, atkarībā no priekšmeta jomas - naftas un gāzes procesi, atomelektrostacijas vai elektrotīkli. Piemēram, var rasties šāds jautājums: Nosakiet, kāda veida fiziskās drošības kontrole ir situācija, kad trauksmes signāls nāk no HMI tvaika temperatūras sensora? Vai tāds jautājums kā: Kāda situācija (notikums) būs iemesls, lai analizētu objekta perimetra drošības sistēmas novērošanas kameru videoierakstus?

   Procentuālā izteiksmē es atzīmēju, ka jautājumu skaits šajā sadaļā manā eksāmenā un prakses pārbaudījumos nepārsniedza 5%.

2. Vēl viena un viena no visizplatītākajām jautājumu kategorijām ir jautājumi par procesu vadības sistēmām, PLC, SCADA: šeit būs sistemātiski jāpieiet materiālu izpētei par to, kā tiek strukturētas procesu vadības sistēmas, no sensoriem līdz serveriem, kur pati lietojumprogrammatūra. skrien. Pietiekams skaits jautājumu tiks atrasts par industriālo datu pārraides protokolu veidiem (ModBus, RTU, Profibus, HART u.c.). Būs jautājumi par to, ar ko RTU atšķiras no PLC, kā aizsargāt datus PLC no uzbrucēja veiktās modifikācijas, kādos atmiņas apgabalos PLC glabā datus un kur glabājas pati loģika (procesa vadības sistēmas programmētāja rakstīta programma ). Piemēram, var būt šāda veida jautājums: Sniedziet atbildi, kā noteikt uzbrukumu starp PLC un HMI, kas darbojas, izmantojot ModBus protokolu?

   Būs jautājumi par atšķirībām starp SCADA un DCS sistēmām. Liels skaits jautājumu par noteikumiem automatizēto procesu vadības tīklu atdalīšanai L1, L2 līmenī no L3 līmeņa (sīkāk aprakstīšu sadaļā ar jautājumiem par tīklu). Arī situācijas jautājumi par šo tēmu būs ļoti dažādi – tie apraksta situāciju vadības telpā un ir jāizvēlas darbības, kas jāveic procesa operatoram vai dispečeram.

   Kopumā šī sadaļa ir visspecifiskākā un šaurākā profila. Nepieciešamas labas zināšanas:
   — automatizētā vadības sistēma, lauka daļa (sensori, ierīču pieslēgumu veidi, sensoru fiziskās īpašības, PLC, RTU);
   — procesu un objektu avārijas izslēgšanas sistēmas (ESD – avārijas izslēgšanas sistēma) (starp citu, par šo tēmu ir lieliska rakstu sērija par Habrē no plkst. Vladimirs_Sklyar)
   — pamatzināšanas par fizikālajiem procesiem, kas notiek, piemēram, naftas pārstrādē, elektroenerģijas ražošanā, cauruļvados utt.;
   — izpratne par DCS un SCADA sistēmu arhitektūru;
   Atzīmēšu, ka šāda veida jautājumi var rasties līdz 25% visos 115 eksāmena jautājumos.

3. Tīkla tehnoloģijas un tīkla drošība: manuprāt, jautājumu skaits šajā tēmā ir pirmajā vietā eksāmenā. Droši vien būs pilnīgi viss - OSI modelis, kādos līmeņos darbojas tas vai cits protokols, daudzi jautājumi par tīkla segmentāciju, situācijas jautājumi par tīkla uzbrukumiem, savienojumu žurnālu piemēri ar ierosinājumu noteikt uzbrukuma veidu, slēdžu konfigurāciju piemēri ar ierosinājumu noteikt ievainojamo konfigurāciju, jautājumiem par ievainojamību tīkla protokoliem, jautājumiem par industriālo sakaru protokolu tīkla savienojumu specifiku. Cilvēki īpaši daudz jautā par ModBus. Tās pašas ModBus tīkla pakešu struktūra atkarībā no tās veida un ierīces atbalstītajām versijām. Liela uzmanība tiek pievērsta uzbrukumiem bezvadu tīkliem - ZigBee, Wireless HART, tikai jautājumi par visas 802.1x saimes tīkla drošību. Būs jautājumi par noteiktu serveru izvietošanas noteikumiem procesu vadības sistēmas tīklā (šeit nepieciešams iepazīties ar IEC-62443 standartu un saprast procesu vadības sistēmu tīklu references modeļu principus). Būs jautājumi par Purdue modeli.
4. Jautājumu kategorija, kas attiecas tikai uz elektroenerģijas pārvades sistēmu un to informācijas drošības sistēmu darbības funkcionālajām iezīmēm. ASV šo automatizēto procesu vadības sistēmu kategoriju sauc par Power Grid un tai ir piešķirta atsevišķa loma. Šim nolūkam pat tiek izdoti atsevišķi standarti (NIST 800.82), kas regulē pieeju informācijas drošības sistēmu izveidei šai nozarei. Mūsu valstīs šī nozare pārsvarā aprobežojas ar ASKUE sistēmām (labojiet mani, ja kāds ir redzējis nopietnāku pieeju elektroenerģijas sadales un piegādes sistēmu uzraudzībai). Tātad eksāmenā jūs atradīsiet diezgan konkrētus jautājumus, kas saistīti ar Power Grid. Lielākoties tie bija lietošanas gadījumi konkrētai situācijai, kas izveidojusies elektrostacijā, taču var būt arī aptaujas par ierīcēm, kuras tiek izmantotas tieši elektrotīklā. Būs jautājumi par zināšanām par NIST sadaļām šai sistēmu kategorijai.
5. Jautājumi, kas saistīti ar zināšanām par standartiem: NIST 800-82, NERC, IEC62443. Es domāju šeit bez īpašiem komentāriem - vajag orientēties pa standartu sadaļām, kura atbild par ko un kādus ieteikumus satur. Ir specifiski jautājumi, piemēram, vaicājot par sistēmas funkcionalitātes pārbaudes biežumu, procedūras atjaunināšanas biežumu utt. Procentuāli šādi jautājumi var rasties līdz 15% no kopējā jautājumu skaita. Bet tas ir atkarīgs. Piemēram, divos prakses testos es saskāros tikai ar pāris līdzīgiem jautājumiem. Bet eksāmena laikā viņu tiešām bija daudz.
6. Nu, pēdējā jautājumu kategorija ir visa veida lietošanas gadījumi un situācijas jautājumi.

Kopumā pašas apmācības, iespējams, izņemot CTF NetWars, man nebija īpaši informatīvas potenciāli jaunu zināšanu apguves ziņā. Drīzāk tika iegūtas dziļākas detaļas par dažām tēmām, īpaši tehnoloģiskās informācijas pārraidīšanai izmantoto radiotīklu organizēšanas un aizsardzības jomā, kā arī sakārtotāks materiāls par šai tēmai veltīto ārvalstu standartu struktūru. Tāpēc inženieriem un speciālistiem, kuriem ir pietiekamas zināšanas un pieredze darbā ar procesu vadības sistēmām/instrumentu sistēmām vai industriālajiem tīkliem, varat padomāt par ietaupījumu uz apmācībām (un taupīt ir jēga), sagatavoties un uzreiz doties kārtot sertifikācijas eksāmenu, kas , starp citu, ir 700USD vērts. Neveiksmes gadījumā jums būs jāmaksā vēlreiz. Ir daudz sertifikācijas centru, kas jūs pieņems eksāmenam, galvenais ir pieteikties iepriekš. Vispār iesaku uzreiz noteikt eksāmena datumu, jo pretējā gadījumā to nemitīgi kavēsi, gatavošanās procesu aizstājot ar citām vitāli svarīgām un ne gluži svarīgām lietām. Un konkrēts termiņš liks jums pašmotivēt.

Avots: www.habr.com