Dag Allemaal! Ieders favoriete portal bevatte veel verschillende artikelen over certificering op het gebied van informatiebeveiliging, dus ik ga de originaliteit en uniciteit van de inhoud niet claimen, maar ik zou toch heel graag mijn ervaring willen delen met het verkrijgen van GIAC (Global Information Assurance Company) certificering op het gebied van industriële cyberbeveiliging. Sinds het verschijnen van zulke vreselijke woorden als , Shamoon, Triton, begon zich een markt te vormen voor de dienstverlening van specialisten die IT lijken te zijn, maar ook PLC's kunnen overbelasten met het herschrijven van de configuratie op ladders, en tegelijkertijd de fabriek niet kan stoppen.
Zo kwam het concept IT&OT (Information Technology & Operation Technology) ter wereld.
Onmiddellijk daarna (het is duidelijk dat ongekwalificeerd personeel niet mag werken) ontstond de behoefte om specialisten op het gebied van het waarborgen van de veiligheid van procescontrolesystemen en industriële systemen te certificeren - waarvan er, zo blijkt, veel zijn ze in ons leven, van een automatische watertoevoerklep in een appartement tot een besturingssysteem voor vliegtuigen (denk aan het uitstekende artikel over het onderzoeken van problemen ). En zelfs, zo bleek plotseling, complexe medische apparatuur.
Een korte tekst over hoe ik tot de noodzaak kwam om certificering te behalen (je kunt deze overslaan): Nadat ik eind jaren XNUMX mijn studie aan de Faculteit Informatiebeveiliging met succes had afgerond, stapte ik met mijn hoofd in de gelederen van de instrumentatieschapen hoog gehouden, werkzaam als monteur voor beveiligingsalarmsystemen met lage stroomsterkte. Het lijkt erop dat de informatiebeveiliging mij destijds bij de onderneming werd verteld :) Zo begon mijn carrière als specialist in geautomatiseerde controlesystemen met een bachelordiploma in informatiebeveiliging. Zes jaar later, nadat ik was opgeklommen tot hoofd van de afdeling SCADA-systemen, ging ik werken als beveiligingsadviseur voor industriële besturingssystemen bij een buitenlands bedrijf dat software en apparatuur verkoopt. Hier ontstond de behoefte om een gecertificeerde informatiebeveiligingsspecialist te zijn.
is een ontwikkeling een organisatie die training en certificering van informatiebeveiligingsspecialisten verzorgt. De reputatie van het GIAC-certificaat is zeer hoog onder specialisten en klanten in de markten EMEA, VS en Azië-Pacific. Hier, in de post-Sovjetruimte en in de GOS-landen, kan een dergelijk certificaat alleen worden aangevraagd door buitenlandse bedrijven met activiteiten in onze landen, internationale en adviesbureaus. Persoonlijk ben ik nog nooit een verzoek om een dergelijke certificering van binnenlandse bedrijven tegengekomen. Eigenlijk vraagt iedereen om CISSP. Dit is mijn subjectieve mening en als iemand zijn ervaring in de reacties deelt, zal het interessant zijn om te weten.
Er zijn nogal wat verschillende gebieden in SANS (naar mijn mening hebben de jongens hun aantal de laatste tijd te veel uitgebreid), maar er zijn ook zeer interessante praktische cursussen. Ik vond het vooral leuk . Maar het verhaal zal over de cursus gaan en een certificaat genaamd: .
Van alle soorten Industrial Cyber Security-certificeringen die SANS aanbiedt, is dit de meest universele. Omdat de tweede meer betrekking heeft op Power Grid-systemen, die in het Westen speciale aandacht krijgen en tot een aparte klasse van systemen behoren. En de derde (ten tijde van mijn certificeringstraject) had betrekking op Incident Response.
De cursus is niet goedkoop, maar biedt wel een behoorlijk uitgebreide kennis van IT&OT. Het zal vooral nuttig zijn voor die kameraden die hebben besloten hun vakgebied te veranderen, bijvoorbeeld van IT-beveiliging in de banksector naar industriële cyberbeveiliging. Omdat ik al een achtergrond had op het gebied van procesbesturingssystemen, instrumentatie en besturingstechnologie, was er voor mij niets fundamenteel nieuws of van levensbelang in deze cursus.
De cursus bestaat uit 50% theorie en 50% praktijk. Vanuit de praktijk was NetWars de interessantste wedstrijd. Twee dagen lang, na het hoofdgerecht van de lessen, werden alle studenten van alle klassen verdeeld in teams en voerden ze taken uit om toegangsrechten te verkrijgen, de nodige informatie te extraheren, toegang te krijgen tot het netwerk, een heleboel taken om hashes te promoten, te werken met Wireshark en allerlei soorten lekkers.
De cursusstof wordt samengevat in de vorm van boeken, die u vervolgens ontvangt voor eeuwig gebruik. Je kunt ze trouwens meenemen voor het examen, aangezien het formaat Open Boek is, maar ze zullen je niet veel helpen, aangezien het examen 3 uur duurt, 115 vragen en de voertaal Engels is. Gedurende de gehele 3 uur kunt u een pauze van 15 minuten nemen. Maar houd er rekening mee dat als u een pauze van 15 minuten neemt en na vijf minuten weer begint met testen, u eenvoudigweg de resterende tien minuten opgeeft, omdat u de tijd in het testprogramma niet meer kunt stopzetten. U kunt maximaal 5 vragen overslaan, die dan helemaal aan het einde verschijnen.
Persoonlijk raad ik niet aan om veel vragen voor later te laten, omdat 3 uur echt niet genoeg tijd is, en als je aan het eind nog vragen hebt die nog niet zijn opgelost, is de kans groot dat je dit niet kunt doen het op tijd. Ik liet voor later slechts drie vragen over die voor mij erg moeilijk waren, omdat ze betrekking hadden op kennis van de NIST 800.82- en NERC-standaard. Psychologisch gezien raken dergelijke vragen 'voor later' je helemaal op de zenuwen - als je hersenen moe zijn, je naar het toilet wilt, lijkt de timer op het scherm exponentieel te versnellen.
Over het algemeen moet u, om voor de test te slagen, 71% juiste antwoorden scoren. Voordat u het examen aflegt, krijgt u de gelegenheid om te oefenen op echte toetsen - aangezien de prijs 2 oefentoetsen van 115 vragen omvat en met voorwaarden die vergelijkbaar zijn met die van het echte examen.
Ik raad aan om het examen een maand na afronding van de training af te leggen en deze maand te besteden aan systematische zelfstudie over de onderwerpen waarover je je onzeker voelt. Het zou leuk zijn als je het tijdens de cursus ontvangen gedrukte materiaal, dat eruit ziet als korte samenvattingen over elk onderwerp, gebruikt en doelbewust informatie zoekt over de onderwerpen in deze boeken. Verdeel de maand in twee delen, doe oefentests en krijg een globaal beeld van de gebieden waarin u sterk bent en waar u zich moet verbeteren.
Ik zou graag de volgende hoofdgebieden willen benadrukken die deel uitmaken van het examen zelf (niet de training, aangezien deze veel uitgebreidere onderwerpen omvat):
- Fysieke beveiliging: Net als andere certificeringsexamens krijgt dit onderwerp veel aandacht in de GISP. Er zijn vragen over de soorten fysieke sloten op deuren, er worden situaties beschreven met vervalsing van elektronische passen, waarbij u een antwoord moet geven om het probleem ondubbelzinnig te identificeren. Er zijn vragen die direct verband houden met de veiligheid van de technologie(proces), afhankelijk van het vakgebied – olie- en gasprocessen, kerncentrales of elektriciteitsnetwerken. Er kan bijvoorbeeld een vraag zijn als: Bepaal welk type fysieke beveiligingscontrole er is wanneer er een alarm afkomstig is van de stoomtemperatuursensor op de HMI? Of een vraag als: welke situatie (gebeurtenis) zal als reden dienen om video-opnamen van bewakingscamera’s van het perimeterbeveiligingssysteem van de faciliteit te analyseren?
Procentueel gezien zou ik willen opmerken dat het aantal vragen over dit onderdeel in mijn examen en in praktijktoetsen niet hoger was dan 5%.
- Een andere en een van de meest voorkomende categorieën vragen zijn vragen over procesbesturingssystemen, PLC, SCADA: hier zal het nodig zijn om systematisch de studie van materialen te benaderen over hoe procesbesturingssystemen zijn gestructureerd, van sensoren tot servers waar de applicatiesoftware zelf loopt. Er zullen voldoende vragen worden gevonden over de soorten protocollen voor industriële gegevensoverdracht (ModBus, RTU, Profibus, HART, enz.). Er zullen vragen rijzen over hoe RTU verschilt van PLC, hoe gegevens in de PLC kunnen worden beschermd tegen wijziging door een aanvaller, in welke geheugengebieden de PLC gegevens opslaat en waar de logica zelf is opgeslagen (een programma geschreven door een programmeur van een procesbesturingssysteem). ). Er kan bijvoorbeeld een vraag van dit type zijn: geef een antwoord op hoe je een aanval kunt detecteren tussen een PLC en een HMI die werken met het ModBus-protocol?
Er zullen vragen zijn over de verschillen tussen SCADA- en DCS-systemen. Een groot aantal vragen over de regels voor het scheiden van geautomatiseerde procescontrolenetwerken op L1-, L2-niveau en L3-niveau (ik zal dit in meer detail beschrijven in de sectie met vragen over het netwerk). Situationele vragen over dit onderwerp zullen ook zeer divers zijn: ze beschrijven de situatie in de controlekamer en u moet acties selecteren die moeten worden uitgevoerd door de procesoperator of coördinator.
Over het algemeen is dit gedeelte het meest specifiek en smal-profiel. Vereist dat je over goede kennis beschikt:
— geautomatiseerd besturingssysteem, veldonderdeel (sensoren, soorten apparaatverbindingen, fysieke kenmerken van sensoren, PLC, RTU);
— noodstopsystemen (ESD – emergency shutdown system) van processen en objecten (er is trouwens een uitstekende serie artikelen over dit onderwerp op Habré van )
— een basiskennis van de fysieke processen die bijvoorbeeld plaatsvinden bij olieraffinage, elektriciteitsopwekking, pijpleidingen, enz.;
— inzicht in de architectuur van DCS- en SCADA-systemen;
Ik merk op dat dit soort vragen tot 25% van alle 115 vragen van het examen kunnen voorkomen. - Netwerktechnologieën en netwerkbeveiliging: ik denk dat het aantal vragen over dit onderwerp op de eerste plaats komt tijdens het examen. Er zal waarschijnlijk absoluut alles zijn: het OSI-model, op welke niveaus dit of dat protocol werkt, veel vragen over netwerksegmentatie, situationele vragen over netwerkaanvallen, voorbeelden van verbindingslogboeken met een voorstel om het type aanval te bepalen, voorbeelden van switchconfiguraties met een voorstel om een kwetsbare configuratie te bepalen, vragen over kwetsbaarheden in netwerkprotocollen, vragen over de specifieke kenmerken van netwerkverbindingen van industriële communicatieprotocollen. Mensen vragen vooral veel over ModBus. De structuur van netwerkpakketten van dezelfde ModBus, afhankelijk van het type en de versies die door het apparaat worden ondersteund. Er wordt veel aandacht besteed aan aanvallen op draadloze netwerken - ZigBee, Wireless HART, en eenvoudigweg vragen over netwerkbeveiliging van de hele 802.1x-familie. Er zullen vragen zijn over de regels voor het plaatsen van bepaalde servers in het procesbesturingssysteemnetwerk (hier moet u de IEC-62443-standaard lezen en de principes begrijpen van referentiemodellen van procesbesturingssysteemnetwerken). Er zullen vragen zijn over het Purdue-model.
- Een categorie van problemen die uitsluitend betrekking heeft op de functionele kenmerken van de werking van elektriciteitstransmissiesystemen en informatiebeveiligingssystemen daarvoor. In de VS wordt deze categorie geautomatiseerde procesbesturingssystemen Power Grid genoemd en krijgt deze een aparte rol toegewezen. Voor dit doel worden zelfs aparte standaarden uitgegeven (NIST 800.82) die de aanpak regelen voor het creëren van informatiebeveiligingssystemen voor deze sector. In onze landen is deze sector voor het grootste deel beperkt tot ASKUE-systemen (corrigeer mij als iemand een serieuzere aanpak heeft gezien voor het monitoren van elektriciteitsdistributie- en leveringssystemen). Op het examen vind je dus vrij specifieke vragen met betrekking tot Power Grid. Voor het grootste deel waren dit use-cases voor een specifieke situatie die zich in de energiecentrale ontwikkelden, maar er kunnen ook onderzoeken zijn naar apparaten die specifiek in het elektriciteitsnet worden gebruikt. Er zullen vragen gesteld worden over de kennis van NIST-secties voor deze categorie systemen.
- Vragen met betrekking tot kennis van normen: NIST 800-82, NERC, IEC62443. Ik denk dat je hier zonder speciale opmerkingen door de secties van de normen moet navigeren, die verantwoordelijk zijn voor wat en welke aanbevelingen het bevat. Er zijn specifieke vragen, bijvoorbeeld over de frequentie waarmee de functionaliteit van het systeem wordt gecontroleerd, de frequentie waarmee de procedure wordt bijgewerkt, enz. Als percentage van dergelijke vragen kan tot 15% van het totale aantal vragen worden tegengekomen. Maar het hangt ervan af. Bij twee oefentoetsen kwam ik bijvoorbeeld slechts een paar soortgelijke vragen tegen. Maar tijdens het examen waren het er echt heel veel.
- Welnu, de laatste categorie vragen bestaat uit allerlei gebruiksscenario's en situationele vragen.
Over het algemeen was de training zelf, met mogelijke uitzondering van CTF NetWars, voor mij niet erg informatief in termen van het verwerven van potentieel nieuwe kennis. In plaats daarvan werden diepere details van sommige onderwerpen verkregen, vooral op het gebied van de organisatie en bescherming van radionetwerken die worden gebruikt om technologische informatie te verzenden, evenals meer georganiseerd materiaal over de structuur van buitenlandse standaarden die aan dit onderwerp zijn gewijd. Voor ingenieurs en specialisten die voldoende kennis en ervaring hebben met het werken met procesbesturingssystemen/instrumentatiesystemen of industriële netwerken, kunt u daarom nadenken over het besparen op training (en besparen is zinvol), u voorbereiden en direct doorgaan met het certificeringsexamen, dat is trouwens 700 USD waard. Bij mislukking moet u opnieuw betalen. Er zijn tal van certificeringscentra die u voor het examen accepteren; het belangrijkste is dat u zich vooraf aanmeldt. Over het algemeen raad ik aan om de examendatum meteen vast te leggen, omdat je deze anders voortdurend uitstelt en het voorbereidingsproces vervangt door andere vitale en niet geheel belangrijke zaken. En het hebben van een specifieke deadline zal je gemotiveerd maken.
Bron: www.habr.com