Hai semua! Portal kegemaran semua orang mempunyai banyak artikel berbeza tentang pensijilan dalam bidang keselamatan maklumat, jadi saya tidak akan menuntut keaslian dan keunikan kandungan, tetapi saya masih ingin berkongsi pengalaman saya mendapatkan GIAC (Syarikat Jaminan Maklumat Global) pensijilan dalam bidang keselamatan siber industri. Sejak kemunculan perkataan yang dahsyat seperti , , Shamoon, Triton, pasaran untuk penyediaan perkhidmatan pakar yang kelihatan seperti IT, tetapi juga boleh membebankan PLC dengan menulis semula konfigurasi pada tangga, dan pada masa yang sama loji tidak dapat dihentikan, mula terbentuk.
Ini adalah bagaimana konsep IT&OT (Teknologi Maklumat & Teknologi Operasi) muncul ke dunia.
Sejurus selepas itu (jelas bahawa kakitangan yang tidak berkelayakan tidak boleh dibenarkan bekerja) datang keperluan untuk memperakui pakar dalam bidang yang berkaitan dengan memastikan keselamatan sistem kawalan proses dan sistem perindustrian - yang, ternyata, terdapat banyak mereka dalam kehidupan kita, dari injap bekalan air automatik di apartmen kepada kapal terbang sistem kawalan (ingat artikel yang sangat baik tentang menyiasat masalah ). Dan walaupun, kerana tiba-tiba ternyata, peralatan perubatan yang kompleks.
Lirik pendek tentang bagaimana saya sampai kepada keperluan untuk mendapatkan pensijilan (anda boleh melangkaunya): Setelah berjaya menamatkan pengajian saya di Fakulti Keselamatan Maklumat pada akhir tahun XNUMX-an, saya melangkah ke barisan biri-biri instrumentasi dengan kepala saya. tinggi, bekerja sebagai mekanik untuk sistem penggera keselamatan semasa rendah. Nampaknya keselamatan maklumat telah diberitahu kepada saya di perusahaan pada masa itu :) Beginilah bermulanya kerjaya saya sebagai pakar sistem kawalan automatik dengan ijazah sarjana muda dalam keselamatan maklumat. Enam tahun kemudian, setelah naik ke pangkat ketua jabatan sistem SCADA, saya pergi bekerja sebagai perunding keselamatan untuk sistem kawalan industri di sebuah syarikat asing yang menjual perisian dan peralatan. Di sinilah keperluan untuk menjadi pakar keselamatan maklumat bertauliah timbul.
adalah satu perkembangan sebuah organisasi yang menjalankan latihan dan pensijilan pakar keselamatan maklumat. Reputasi sijil GIAC sangat tinggi dalam kalangan pakar dan pelanggan dalam pasaran EMEA, AS dan Asia Pasifik. Di sini, dalam ruang pasca-Soviet dan di negara-negara CIS, sijil seperti itu hanya boleh diminta oleh syarikat asing yang mempunyai perniagaan di negara kita, antarabangsa dan agensi perunding. Secara peribadi, saya tidak pernah menemui permintaan untuk pensijilan sedemikian daripada syarikat domestik. Semua orang pada dasarnya meminta CISSP. Ini adalah pendapat subjektif saya dan jika sesiapa berkongsi pengalaman mereka dalam komen, ia akan menjadi menarik untuk mengetahui.
Terdapat beberapa kawasan yang berbeza di SANS (pada pendapat saya, baru-baru ini lelaki telah mengembangkan bilangan mereka terlalu banyak), tetapi terdapat juga kursus praktikal yang sangat menarik. Saya sangat menyukainya . Tetapi ceritanya adalah mengenai kursus dan sijil yang dipanggil: .
Daripada semua jenis pensijilan Keselamatan Siber Industri yang ditawarkan oleh SANS, ini adalah yang paling universal. Oleh kerana yang kedua lebih berkaitan dengan sistem Grid Kuasa, yang di Barat mendapat perhatian khusus dan tergolong dalam kelas sistem yang berasingan. Dan yang ketiga (pada masa laluan pensijilan saya) berkaitan dengan Tindak Balas Insiden.
Kursus ini tidak murah, tetapi ia memberikan pengetahuan yang cukup luas tentang IT&OT. Ia amat berguna untuk rakan seperjuangan yang telah memutuskan untuk menukar bidang mereka, contohnya daripada keselamatan IT dalam industri perbankan kepada Keselamatan Siber Industri. Memandangkan saya sudah mempunyai latar belakang dalam bidang sistem kawalan proses, instrumentasi dan teknologi operasi, tiada apa-apa perkara yang secara asasnya baharu atau amat penting bagi saya dalam kursus ini.
Kursus ini terdiri daripada 50% teori dan 50% amali. Dari latihan, pertandingan yang paling menarik ialah NetWars. Selama dua hari, selepas kursus utama kelas, semua pelajar semua kelas dibahagikan kepada pasukan dan melaksanakan tugas untuk mendapatkan hak akses, mengekstrak maklumat yang diperlukan, mendapatkan akses kepada rangkaian, sekumpulan tugas untuk mempromosikan cincang, bekerja dengan Wireshark dan pelbagai jenis kebaikan.
Bahan kursus diringkaskan dalam bentuk buku, yang kemudian anda terima untuk kegunaan berterusan anda. Ngomong-ngomong, anda boleh mengambil mereka untuk peperiksaan, kerana formatnya adalah Buku Terbuka, tetapi mereka tidak akan banyak membantu anda, kerana peperiksaan mempunyai 3 jam, 115 soalan, dan bahasa penyampaian ialah bahasa Inggeris. Sepanjang 3 jam, anda boleh berehat selama 15 minit. Tetapi perlu diingat bahawa dengan berehat selama 15 minit dan kembali kepada ujian selepas 5, anda hanya melepaskan baki sepuluh minit, kerana anda tidak akan dapat menghentikan masa dalam program ujian lagi. Anda boleh melangkau sehingga 15 soalan, yang kemudiannya akan muncul pada penghujungnya.
Secara peribadi, saya tidak mengesyorkan meninggalkan banyak soalan untuk kemudian, kerana 3 jam benar-benar tidak cukup masa, dan apabila pada akhirnya anda mempunyai soalan yang masih belum diselesaikan, terdapat kebarangkalian tinggi untuk tidak dapat melakukannya. ia dalam masa. Saya meninggalkan untuk kemudian hanya tiga soalan yang sangat sukar bagi saya, kerana ia berkaitan dengan pengetahuan tentang piawaian NIST 800.82 dan NERC. Dari segi psikologi, soalan sedemikian "untuk kemudian" menghentam saraf anda pada penghujungnya - apabila otak anda letih, anda ingin pergi ke tandas, pemasa pada skrin seolah-olah memecut secara eksponen.
Secara umum, untuk lulus ujian anda perlu menjaringkan 71% jawapan betul. Sebelum mengambil peperiksaan, anda akan berpeluang untuk berlatih pada ujian sebenar - kerana harga termasuk 2 ujian latihan bagi 115 soalan dan dengan syarat yang serupa dengan peperiksaan sebenar.
Saya mengesyorkan anda mengambil peperiksaan sebulan selepas menamatkan latihan, menghabiskan bulan ini untuk kajian kendiri yang sistematik mengenai isu-isu yang anda rasa tidak pasti. Alangkah baiknya jika anda mengambil bahan bercetak yang diterima semasa kursus, yang kelihatan seperti abstrak pendek pada setiap topik - dan sengaja mencari maklumat mengenai topik yang terkandung dalam buku ini. Pecahkan bulan kepada dua bahagian, ambil ujian amalan dan dapatkan gambaran kasar tentang bidang yang anda kuat dan tempat yang perlu anda perbaiki.
Saya ingin menyerlahkan bidang utama berikut yang membentuk peperiksaan itu sendiri (bukan kursus latihan, kerana ia merangkumi topik yang lebih luas):
- Keselamatan Fizikal: Seperti peperiksaan pensijilan lain, isu ini diberi banyak perhatian dalam GICSP. Terdapat soalan mengenai jenis kunci fizikal pada pintu, situasi dengan pemalsuan pas elektronik diterangkan, di mana anda perlu memberikan jawapan untuk mengenal pasti masalah dengan jelas. Terdapat soalan yang berkaitan secara langsung dengan keselamatan teknologi (proses), bergantung pada bidang subjek - proses minyak dan gas, loji kuasa nuklear atau grid kuasa. Sebagai contoh, mungkin terdapat soalan seperti: Tentukan jenis kawalan keselamatan fizikal apakah keadaan apabila Penggera datang daripada penderia suhu stim pada HMI? Atau soalan seperti: Apakah situasi (peristiwa) yang akan menjadi alasan untuk menganalisis rakaman video daripada kamera pengawasan sistem keselamatan perimeter kemudahan itu?
Dari segi peratusan, saya akan ambil perhatian bahawa bilangan soalan pada bahagian ini dalam peperiksaan saya dan dalam ujian amalan tidak melebihi 5%.
- Satu lagi dan salah satu kategori soalan yang paling meluas ialah soalan mengenai sistem kawalan proses, PLC, SCADA: di sini adalah perlu untuk mendekati kajian bahan secara sistematik tentang bagaimana sistem kawalan proses distrukturkan, daripada penderia ke pelayan di mana perisian aplikasi itu sendiri. berlari. Bilangan soalan yang mencukupi akan ditemui pada jenis protokol pemindahan data industri (ModBus, RTU, Profibus, HART, dll.). Akan ada soalan tentang bagaimana RTU berbeza daripada PLC, cara melindungi data dalam PLC daripada pengubahsuaian oleh penyerang, di mana kawasan memori PLC menyimpan data, dan tempat logik itu sendiri disimpan (program yang ditulis oleh pengaturcara sistem kawalan proses ). Sebagai contoh, mungkin terdapat soalan jenis ini: Berikan jawapan kepada bagaimana anda boleh mengesan serangan antara PLC dan HMI yang beroperasi menggunakan protokol ModBus?
Akan ada soalan tentang perbezaan antara sistem SCADA dan DCS. Sebilangan besar soalan mengenai peraturan untuk memisahkan rangkaian kawalan proses automatik pada tahap L1, L2 dari tahap L3 (saya akan menerangkan dengan lebih terperinci dalam bahagian dengan soalan mengenai rangkaian). Soalan situasi mengenai topik ini juga akan sangat pelbagai - ia menerangkan situasi di dalam bilik kawalan dan anda perlu memilih tindakan yang mesti dilakukan oleh pengendali proses atau penghantar.
Secara umum, bahagian ini adalah yang paling khusus dan berprofil sempit. Memerlukan anda mempunyai pengetahuan yang baik:
β sistem kawalan automatik, bahagian medan (sensor, jenis sambungan peranti, ciri fizikal sensor, PLC, RTU);
β sistem penutupan kecemasan (ESD β sistem penutupan kecemasan) proses dan objek (omong-omong, terdapat siri artikel yang sangat baik mengenai topik ini tentang HabrΓ© dari )
β pemahaman asas tentang proses fizikal yang berlaku, contohnya, dalam penapisan minyak, penjanaan elektrik, saluran paip, dsb.;
β pemahaman tentang seni bina sistem DCS dan SCADA;
Saya akan ambil perhatian bahawa soalan jenis ini boleh berlaku sehingga 25% sepanjang kesemua 115 soalan peperiksaan. - Teknologi rangkaian dan keselamatan rangkaian: Saya berpendapat bahawa bilangan soalan dalam topik ini didahulukan dalam peperiksaan. Mungkin akan ada segala-galanya - model OSI, pada tahap apa protokol ini atau itu beroperasi, banyak soalan mengenai segmentasi rangkaian, soalan situasi mengenai serangan rangkaian, contoh log sambungan dengan cadangan untuk menentukan jenis serangan, contoh konfigurasi suis dengan cadangan untuk menentukan konfigurasi yang terdedah, soalan mengenai protokol rangkaian kelemahan, soalan mengenai spesifik sambungan rangkaian protokol komunikasi industri. Orang ramai terutama bertanya banyak tentang ModBus. Struktur paket rangkaian ModBus yang sama, bergantung pada jenis dan versinya yang disokong oleh peranti. Banyak perhatian diberikan kepada serangan pada rangkaian wayarles - ZigBee, Wireless HART, dan soalan ringkas tentang keselamatan rangkaian seluruh keluarga 802.1x. Akan ada soalan mengenai peraturan untuk meletakkan pelayan tertentu dalam rangkaian sistem kawalan proses (di sini anda perlu membaca standard IEC-62443 dan memahami prinsip model rujukan rangkaian sistem kawalan proses). Akan ada soalan tentang model Purdue.
- Kategori isu yang berkaitan secara eksklusif dengan ciri fungsi pengendalian sistem penghantaran elektrik dan sistem keselamatan maklumat untuk mereka. Di Amerika Syarikat, kategori sistem kawalan proses automatik ini dipanggil Power Grid dan diberikan peranan yang berasingan. Untuk tujuan ini, piawaian berasingan dikeluarkan (NIST 800.82) yang mengawal selia pendekatan untuk mencipta sistem keselamatan maklumat untuk sektor ini. Di negara kita, sebahagian besarnya, sektor ini terhad kepada sistem ASKUE (betulkan saya jika ada yang melihat pendekatan yang lebih serius untuk memantau sistem pengagihan dan penghantaran elektrik). Jadi, dalam peperiksaan anda akan menemui soalan yang agak khusus berkaitan dengan Power Grid. Untuk sebahagian besar, ini adalah kes penggunaan untuk situasi khusus yang dibangunkan di Loji Kuasa, tetapi mungkin terdapat juga tinjauan pada peranti yang digunakan secara khusus dalam Grid Kuasa. Akan ada soalan yang menangani pengetahuan tentang bahagian NIST untuk kategori sistem ini.
- Soalan yang berkaitan dengan pengetahuan tentang standard: NIST 800-82, NERC, IEC62443. Saya fikir di sini tanpa sebarang komen khas - anda perlu menavigasi bahagian piawaian, yang bertanggungjawab untuk apa dan apa cadangan yang terkandung di dalamnya. Terdapat soalan khusus, contohnya, bertanya kekerapan menyemak fungsi sistem, kekerapan mengemas kini prosedur, dsb. Sebagai peratusan soalan sedemikian, sehingga 15% daripada jumlah soalan boleh ditemui. Tetapi ia bergantung. Sebagai contoh, pada dua ujian amalan saya hanya menemui beberapa soalan yang serupa. Tetapi terdapat banyak daripada mereka semasa peperiksaan.
- Nah, kategori soalan terakhir ialah semua jenis kes penggunaan dan soalan situasi.
Secara umum, latihan itu sendiri, dengan kemungkinan pengecualian CTF NetWars, tidak begitu bermaklumat untuk saya dari segi memperoleh pengetahuan yang berpotensi baharu. Sebaliknya, butiran yang lebih mendalam tentang beberapa topik telah diperoleh, terutamanya dalam bidang organisasi dan perlindungan rangkaian radio yang digunakan untuk menghantar maklumat teknologi, serta bahan yang lebih teratur mengenai struktur piawaian asing yang dikhaskan untuk topik ini. Oleh itu, bagi jurutera dan pakar yang mempunyai pengetahuan dan pengalaman yang mencukupi bekerja dengan sistem kawalan proses/sistem instrumentasi atau Rangkaian Industri, anda boleh memikirkan tentang penjimatan latihan (dan penjimatan masuk akal), sediakan diri anda dan pergi terus untuk mengambil peperiksaan pensijilan, yang , by the way, bernilai 700USD. Sekiranya gagal, anda perlu membayar semula. Terdapat banyak pusat pensijilan yang akan menerima anda untuk peperiksaan; perkara utama ialah memohon terlebih dahulu. Secara umum, saya mengesyorkan tetapkan tarikh peperiksaan dengan segera, kerana jika tidak, anda akan sentiasa menangguhkannya, menggantikan proses penyediaan dengan perkara penting dan bukan perkara penting yang lain. Dan mempunyai tarikh akhir tertentu akan menjadikan anda bermotivasi diri.
Sumber: www.habr.com