Sveiki visiem! Ikviena iemīļotajÄ portÄlÄ bija daudz dažÄdu rakstu par sertifikÄciju informÄcijas droŔības jomÄ, tÄpÄc es nepretendÄju uz satura oriÄ£inalitÄti un unikalitÄti, bet tomÄr ļoti vÄlos padalÄ«ties savÄ pieredzÄ par GIAC (Global Information Assurance Company) iegÅ«Å”anu. sertifikÄcija rÅ«pnieciskÄs kiberdroŔības jomÄ. KopÅ” parÄdÄ«jÄs tik briesmÄ«gi vÄrdi kÄ Stuxnet, MÄrsSÄka veidoties Shamoon, Triton speciÄlistu pakalpojumu sniegÅ”anas tirgus, kas it kÄ ir IT, bet var arÄ« pÄrslogot PLC ar konfigurÄcijas pÄrrakstÄ«Å”anu uz kÄpnÄm, un tajÄ paÅ”Ä laikÄ ražotni nevar apturÄt.
TÅ«lÄ«t pÄc tam (skaidrs, ka nekvalificÄtam personÄlam strÄdÄt nedrÄ«kst) radÄs nepiecieÅ”amÄ«ba sertificÄt speciÄlistus jomÄ, kas saistÄ«ta ar procesu vadÄ«bas sistÄmu un industriÄlo sistÄmu droŔības nodroÅ”inÄÅ”anu - no kurÄm, izrÄdÄs, ir ļoti daudz tos mÅ«su dzÄ«vÄ, no automÄtiskÄ Å«dens padeves vÄrsta dzÄ«voklÄ« lÄ«dz lidmaŔīnu vadÄ«bas sistÄmai (atcerieties lielisko rakstu par problÄmu izmeklÄÅ”anu Boeing). Un pat, kÄ pÄkÅ”Åi izrÄdÄ«jÄs, sarežģītas medicÄ«nas iekÄrtas.
ÄŖss liriks par to, kÄ nonÄcu lÄ«dz nepiecieÅ”amÄ«bai iegÅ«t sertifikÄtu (var izlaist): XNUMX. gadu beigÄs sekmÄ«gi pabeidzis studijas InformÄcijas droŔības fakultÄtÄ, ar galvu iegÄju instrumentÄcijas aitu rindÄs. turÄjÄs augstu, strÄdÄjot par vÄjstrÄvas apsardzes signalizÄcijas sistÄmu mehÄniÄ·i. Å Ä·iet, ka man toreiz uzÅÄmumÄ stÄstÄ«ja par informÄcijas droŔību :) TÄ sÄkÄs mana automatizÄtÄs vadÄ«bas sistÄmu speciÄlista karjera ar bakalaura grÄdu informÄcijas droŔībÄ. PÄc seÅ”iem gadiem, sasniedzot SCADA sistÄmu nodaļas vadÄ«tÄja pakÄpi, es aizbraucu strÄdÄt par industriÄlo vadÄ«bas sistÄmu droŔības konsultantu Ärvalstu uzÅÄmumÄ, kas pÄrdod programmatÅ«ru un aprÄ«kojumu. Å eit radÄs nepiecieÅ”amÄ«ba bÅ«t sertificÄtam informÄcijas droŔības speciÄlistam.
GIAC ir attÄ«stÄ«ba BEZ organizÄcija, kas veic informÄcijas droŔības speciÄlistu apmÄcÄ«bu un sertifikÄciju. GIAC sertifikÄta reputÄcija ir ļoti augsta speciÄlistu un klientu vidÅ« EMEA, ASV un Äzijas KlusÄ okeÄna tirgos. Å eit, postpadomju telpÄ un NVS valstÄ«s, Å”Ädu sertifikÄtu var pieprasÄ«t tikai Ärvalstu uzÅÄmumi, kas veic uzÅÄmÄjdarbÄ«bu mÅ«su valstÄ«s, starptautiskÄs un konsultÄciju aÄ£entÅ«ras. PersonÄ«gi es nekad neesmu saskÄries ar pieprasÄ«jumu pÄc Å”Ädas sertifikÄcijas no paÅ”mÄju uzÅÄmumiem. Ikviens bÅ«tÄ«bÄ prasa CISSP. Å is ir mans subjektÄ«vais viedoklis un, ja kÄds komentÄros padalÄ«sies pieredzÄ, bÅ«s interesanti uzzinÄt.
No visiem SANS piedÄvÄtajiem rÅ«pnieciskÄs kiberdroŔības sertifikÄtu veidiem Å”is ir universÄlÄkais. TÄ kÄ otrais vairÄk attiecas uz Power Grid sistÄmÄm, kurÄm Rietumos tiek pievÄrsta Ä«paÅ”a uzmanÄ«ba un kas pieder pie atseviŔķas sistÄmu klases. Un treÅ”ais (mana sertifikÄcijas ceļa laikÄ) bija saistÄ«ts ar incidentu reaÄ£ÄÅ”anu.
Kurss nav lÄts, taÄu sniedz diezgan plaÅ”as zinÄÅ”anas IT&OT. Tas bÅ«s Ä«paÅ”i noderÄ«gi tiem biedriem, kuri nolÄmuÅ”i mainÄ«t savu jomu, piemÄram, no IT droŔības banku nozarÄ uz Industrial Cyber āāāāSecurity. TÄ kÄ man jau bija pieredze procesu vadÄ«bas sistÄmu, instrumentu un darbÄ«bas tehnoloÄ£iju jomÄ, Å”ajÄ kursÄ man nebija nekÄ principiÄli jauna vai vitÄli svarÄ«ga.
Kurss sastÄv no 50% teorijas un 50% prakses. No prakses interesantÄkais konkurss bija NetWars. Divas dienas pÄc nodarbÄ«bu pamatkursa visi visu klaÅ”u skolÄni tika sadalÄ«ti komandÄs un veica uzdevumus piekļuves tiesÄ«bu iegÅ«Å”anai, nepiecieÅ”amÄs informÄcijas iegÅ«Å”anai, piekļuvei tÄ«klam, virkni uzdevumu hash popularizÄÅ”anai, darbu ar Wireshark un visÄdi dažÄdi labumi.
Kursa materiÄls ir apkopots grÄmatu veidÄ, kuras jÅ«s pÄc tam saÅemat pastÄvÄ«gai lietoÅ”anai. Starp citu, jÅ«s varat tos kÄrtot eksÄmenam, jo āāformÄts ir Open Book, taÄu tie jums daudz nepalÄ«dzÄs, jo eksÄmenÄ ir 3 stundas, 115 jautÄjumi un piegÄdes valoda ir angļu. Visu 3 stundu laikÄ varat ieturÄt 15 minÅ«Å”u pÄrtraukumu. Bet paturiet prÄtÄ, ka, paÅemot 15 minÅ«Å”u pÄrtraukumu un atgriežoties pie testiem pÄc 5, jÅ«s vienkÄrÅ”i atdodat atlikuÅ”Äs desmit minÅ«tes, jo vairs nevarÄsit apturÄt laiku testÄÅ”anas programmÄ. Varat izlaist lÄ«dz 15 jautÄjumiem, kas pÄc tam parÄdÄ«sies paÅ”Äs beigÄs.
PersonÄ«gi neiesaku daudz jautÄjumu atstÄt vÄlÄkam laikam, jo āā3 stundas tieÅ”Äm ir par maz un kad beigÄs rodas jautÄjumi, kas vÄl nav atrisinÄti, ir liela varbÅ«tÄ«ba, ka nevarÄsi izdarÄ«t to laikÄ. Es atstÄju vÄlÄkam tikai trÄ«s jautÄjumus, kas man bija patieÅ”Äm grÅ«ti, jo tie bija saistÄ«ti ar zinÄÅ”anÄm par NIST 800.82 un NERC standartu. PsiholoÄ£iski Å”Ädi jautÄjumi āvÄlÄkamā krÄ«t uz nerviem paÅ”Äs beigÄs ā kad smadzenes ir noguruÅ”as, gribas iet uz tualeti, taimeris ekrÄnÄ Å”Ä·iet eksponenciÄli paÄtrinÄs.
KopumÄ, lai nokÄrtotu testu, jums jÄsaÅem 71% pareizo atbilžu. Pirms eksÄmena kÄrtoÅ”anas jums bÅ«s iespÄja praktizÄties uz reÄliem testiem - jo cenÄ ir iekļauti 2 prakses testi no 115 jautÄjumiem un ar nosacÄ«jumiem, kas lÄ«dzÄ«gi reÄlajam eksÄmenam.
EksÄmenu iesaku kÄrtot mÄnesi pÄc apmÄcÄ«bu pabeigÅ”anas, Å”o mÄnesi veltÄ«t sistemÄtiskai paÅ”mÄcÄ«bai par tiem jautÄjumiem, kuros jÅ«taties nepÄrliecinÄts. BÅ«tu jauki, ja paÅemtu kursÄ saÅemtos drukÄtos materiÄlus, kas izskatÄs pÄc Ä«siem konspektiem par katru tÄmu ā un mÄrÄ·tiecÄ«gi meklÄtu informÄciju par Å”ajÄs grÄmatÄs ietvertajÄm tÄmÄm. Sadaliet mÄnesi divÄs daļÄs, veicot prakses testus un iegÅ«stot aptuvenu priekÅ”statu par to, kurÄs jomÄs esat spÄcÄ«gs un kur jums ir jÄuzlabo.
Es vÄlÄtos izcelt Å”Ädas galvenÄs jomas, kas veido paÅ”u eksÄmenu (nevis apmÄcÄ«bas kursu, jo tas aptver daudz plaÅ”Äkas tÄmas):
FiziskÄ droŔība: tÄpat kÄ citiem sertifikÄcijas eksÄmeniem, Å”im jautÄjumam GICSP tiek pievÄrsta liela uzmanÄ«ba. Ir jautÄjumi par durvju fizisko slÄdzeÅu veidiem, aprakstÄ«tas situÄcijas ar elektronisko caurlaižu viltoÅ”anu, kur jÄsniedz atbilde, lai nepÄrprotami identificÄtu problÄmu. Ir jautÄjumi, kas tieÅ”i saistÄ«ti ar tehnoloÄ£ijas (procesa) droŔību, atkarÄ«bÄ no priekÅ”meta jomas - naftas un gÄzes procesi, atomelektrostacijas vai elektrotÄ«kli. PiemÄram, var rasties Å”Äds jautÄjums: Nosakiet, kÄda veida fiziskÄs droŔības kontrole ir situÄcija, kad trauksmes signÄls nÄk no HMI tvaika temperatÅ«ras sensora? Vai tÄds jautÄjums kÄ: KÄda situÄcija (notikums) bÅ«s iemesls, lai analizÄtu objekta perimetra droŔības sistÄmas novÄroÅ”anas kameru videoierakstus?
ProcentuÄlÄ izteiksmÄ es atzÄ«mÄju, ka jautÄjumu skaits Å”ajÄ sadaÄ¼Ä manÄ eksÄmenÄ un prakses pÄrbaudÄ«jumos nepÄrsniedza 5%.
VÄl viena un viena no visizplatÄ«tÄkajÄm jautÄjumu kategorijÄm ir jautÄjumi par procesu vadÄ«bas sistÄmÄm, PLC, SCADA: Å”eit bÅ«s sistemÄtiski jÄpieiet materiÄlu izpÄtei par to, kÄ tiek strukturÄtas procesu vadÄ«bas sistÄmas, no sensoriem lÄ«dz serveriem, kur pati lietojumprogrammatÅ«ra. skrien. Pietiekams skaits jautÄjumu tiks atrasts par industriÄlo datu pÄrraides protokolu veidiem (ModBus, RTU, Profibus, HART u.c.). BÅ«s jautÄjumi par to, ar ko RTU atŔķiras no PLC, kÄ aizsargÄt datus PLC no uzbrucÄja veiktÄs modifikÄcijas, kÄdos atmiÅas apgabalos PLC glabÄ datus un kur glabÄjas pati loÄ£ika (procesa vadÄ«bas sistÄmas programmÄtÄja rakstÄ«ta programma ). PiemÄram, var bÅ«t Å”Äda veida jautÄjums: Sniedziet atbildi, kÄ noteikt uzbrukumu starp PLC un HMI, kas darbojas, izmantojot ModBus protokolu?
BÅ«s jautÄjumi par atŔķirÄ«bÄm starp SCADA un DCS sistÄmÄm. Liels skaits jautÄjumu par noteikumiem automatizÄto procesu vadÄ«bas tÄ«klu atdalÄ«Å”anai L1, L2 lÄ«menÄ« no L3 lÄ«meÅa (sÄ«kÄk aprakstÄ«Å”u sadaÄ¼Ä ar jautÄjumiem par tÄ«klu). ArÄ« situÄcijas jautÄjumi par Å”o tÄmu bÅ«s ļoti dažÄdi ā tie apraksta situÄciju vadÄ«bas telpÄ un ir jÄizvÄlas darbÄ«bas, kas jÄveic procesa operatoram vai dispeÄeram.
KopumÄ Å”Ä« sadaļa ir visspecifiskÄkÄ un Å”aurÄkÄ profila. NepiecieÅ”amas labas zinÄÅ”anas:
ā automatizÄtÄ vadÄ«bas sistÄma, lauka daļa (sensori, ierÄ«Äu pieslÄgumu veidi, sensoru fiziskÄs Ä«paŔības, PLC, RTU);
ā procesu un objektu avÄrijas izslÄgÅ”anas sistÄmas (ESD ā avÄrijas izslÄgÅ”anas sistÄma) (starp citu, par Å”o tÄmu ir lieliska rakstu sÄrija par HabrÄ no plkst. Vladimirs_Sklyar)
ā pamatzinÄÅ”anas par fizikÄlajiem procesiem, kas notiek, piemÄram, naftas pÄrstrÄdÄ, elektroenerÄ£ijas ražoÅ”anÄ, cauruļvados utt.;
ā izpratne par DCS un SCADA sistÄmu arhitektÅ«ru;
AtzÄ«mÄÅ”u, ka Å”Äda veida jautÄjumi var rasties lÄ«dz 25% visos 115 eksÄmena jautÄjumos.
TÄ«kla tehnoloÄ£ijas un tÄ«kla droŔība: manuprÄt, jautÄjumu skaits Å”ajÄ tÄmÄ ir pirmajÄ vietÄ eksÄmenÄ. DroÅ”i vien bÅ«s pilnÄ«gi viss - OSI modelis, kÄdos lÄ«meÅos darbojas tas vai cits protokols, daudzi jautÄjumi par tÄ«kla segmentÄciju, situÄcijas jautÄjumi par tÄ«kla uzbrukumiem, savienojumu žurnÄlu piemÄri ar ierosinÄjumu noteikt uzbrukuma veidu, slÄdžu konfigurÄciju piemÄri ar ierosinÄjumu noteikt ievainojamo konfigurÄciju, jautÄjumiem par ievainojamÄ«bu tÄ«kla protokoliem, jautÄjumiem par industriÄlo sakaru protokolu tÄ«kla savienojumu specifiku. CilvÄki Ä«paÅ”i daudz jautÄ par ModBus. TÄs paÅ”as ModBus tÄ«kla pakeÅ”u struktÅ«ra atkarÄ«bÄ no tÄs veida un ierÄ«ces atbalstÄ«tajÄm versijÄm. Liela uzmanÄ«ba tiek pievÄrsta uzbrukumiem bezvadu tÄ«kliem - ZigBee, Wireless HART, tikai jautÄjumi par visas 802.1x saimes tÄ«kla droŔību. BÅ«s jautÄjumi par noteiktu serveru izvietoÅ”anas noteikumiem procesu vadÄ«bas sistÄmas tÄ«klÄ (Å”eit nepiecieÅ”ams iepazÄ«ties ar IEC-62443 standartu un saprast procesu vadÄ«bas sistÄmu tÄ«klu references modeļu principus). BÅ«s jautÄjumi par Purdue modeli.
JautÄjumu kategorija, kas attiecas tikai uz elektroenerÄ£ijas pÄrvades sistÄmu un to informÄcijas droŔības sistÄmu darbÄ«bas funkcionÄlajÄm iezÄ«mÄm. ASV Å”o automatizÄto procesu vadÄ«bas sistÄmu kategoriju sauc par Power Grid un tai ir pieŔķirta atseviŔķa loma. Å im nolÅ«kam pat tiek izdoti atseviŔķi standarti (NIST 800.82), kas regulÄ pieeju informÄcijas droŔības sistÄmu izveidei Å”ai nozarei. MÅ«su valstÄ«s Ŕī nozare pÄrsvarÄ aprobežojas ar ASKUE sistÄmÄm (labojiet mani, ja kÄds ir redzÄjis nopietnÄku pieeju elektroenerÄ£ijas sadales un piegÄdes sistÄmu uzraudzÄ«bai). TÄtad eksÄmenÄ jÅ«s atradÄ«siet diezgan konkrÄtus jautÄjumus, kas saistÄ«ti ar Power Grid. LielÄkoties tie bija lietoÅ”anas gadÄ«jumi konkrÄtai situÄcijai, kas izveidojusies elektrostacijÄ, taÄu var bÅ«t arÄ« aptaujas par ierÄ«cÄm, kuras tiek izmantotas tieÅ”i elektrotÄ«klÄ. BÅ«s jautÄjumi par zinÄÅ”anÄm par NIST sadaļÄm Å”ai sistÄmu kategorijai.
JautÄjumi, kas saistÄ«ti ar zinÄÅ”anÄm par standartiem: NIST 800-82, NERC, IEC62443. Es domÄju Å”eit bez Ä«paÅ”iem komentÄriem - vajag orientÄties pa standartu sadaļÄm, kura atbild par ko un kÄdus ieteikumus satur. Ir specifiski jautÄjumi, piemÄram, vaicÄjot par sistÄmas funkcionalitÄtes pÄrbaudes biežumu, procedÅ«ras atjauninÄÅ”anas biežumu utt. ProcentuÄli Å”Ädi jautÄjumi var rasties lÄ«dz 15% no kopÄjÄ jautÄjumu skaita. Bet tas ir atkarÄ«gs. PiemÄram, divos prakses testos es saskÄros tikai ar pÄris lÄ«dzÄ«giem jautÄjumiem. Bet eksÄmena laikÄ viÅu tieÅ”Äm bija daudz.
Nu, pÄdÄjÄ jautÄjumu kategorija ir visa veida lietoÅ”anas gadÄ«jumi un situÄcijas jautÄjumi.
KopumÄ paÅ”as apmÄcÄ«bas, iespÄjams, izÅemot CTF NetWars, man nebija Ä«paÅ”i informatÄ«vas potenciÄli jaunu zinÄÅ”anu apguves ziÅÄ. DrÄ«zÄk tika iegÅ«tas dziļÄkas detaļas par dažÄm tÄmÄm, Ä«paÅ”i tehnoloÄ£iskÄs informÄcijas pÄrraidÄ«Å”anai izmantoto radiotÄ«klu organizÄÅ”anas un aizsardzÄ«bas jomÄ, kÄ arÄ« sakÄrtotÄks materiÄls par Å”ai tÄmai veltÄ«to Ärvalstu standartu struktÅ«ru. TÄpÄc inženieriem un speciÄlistiem, kuriem ir pietiekamas zinÄÅ”anas un pieredze darbÄ ar procesu vadÄ«bas sistÄmÄm/instrumentu sistÄmÄm vai industriÄlajiem tÄ«kliem, varat padomÄt par ietaupÄ«jumu uz apmÄcÄ«bÄm (un taupÄ«t ir jÄga), sagatavoties un uzreiz doties kÄrtot sertifikÄcijas eksÄmenu, kas , starp citu, ir 700USD vÄrts. Neveiksmes gadÄ«jumÄ jums bÅ«s jÄmaksÄ vÄlreiz. Ir daudz sertifikÄcijas centru, kas jÅ«s pieÅems eksÄmenam, galvenais ir pieteikties iepriekÅ”. VispÄr iesaku uzreiz noteikt eksÄmena datumu, jo pretÄjÄ gadÄ«jumÄ to nemitÄ«gi kavÄsi, gatavoÅ”anÄs procesu aizstÄjot ar citÄm vitÄli svarÄ«gÄm un ne gluži svarÄ«gÄm lietÄm. Un konkrÄts termiÅÅ” liks jums paÅ”motivÄt.