Hei alle sammen! Alles favorittportal hadde mange forskjellige artikler om sertifisering innen informasjonssikkerhet, så jeg kommer ikke til å påstå originalitet og unikhet ved innholdet, men jeg vil likevel veldig gjerne dele min erfaring med å skaffe GIAC (Global Information Assurance Company) sertifisering innen industriell cybersikkerhet. Siden utseendet til slike forferdelige ord som , , Shamoon, Triton, et marked for levering av tjenester til spesialister som ser ut til å være IT, men som også kan overbelaste PLS-er med å omskrive konfigurasjonen på stiger, og samtidig anlegget ikke kan stoppes, begynte å dannes.
Slik kom konseptet IT&OT (Information Technology & Operation Technology) til verden.
Umiddelbart etterpå (det er klart at ukvalifisert personell ikke skal få jobbe) kom behovet for å sertifisere spesialister på feltet knyttet til å sikre sikkerheten til prosesskontrollsystemer og industrielle systemer - som det viser seg er mange av. dem i livene våre, fra en automatisk vannforsyningsventil i en leilighet til et kontrollsystem fly (husk den utmerkede artikkelen om å undersøke problemer ). Og til og med, som det plutselig viste seg, komplekst medisinsk utstyr.
En kort tekst om hvordan jeg kom til behovet for å få sertifisering (du kan hoppe over det): Etter å ha fullført studiene mine ved Fakultet for informasjonssikkerhet på slutten av XNUMX-tallet, trådte jeg inn i rekken av instrumenteringssauen med hodet. holdt høyt, jobber som mekaniker for lavstrøms sikkerhetsalarmsystemer. Det virker som om informasjonssikkerheten ble fortalt meg på den tiden :) Slik begynte min karriere som spesialist på automatiserte kontrollsystemer med en bachelorgrad i informasjonssikkerhet. Seks år senere, etter å ha blitt sjef for SCADA-systemavdelingen, dro jeg for å jobbe som sikkerhetskonsulent for industrielle kontrollsystemer i et utenlandsk selskap som selger programvare og utstyr. Det var her behovet for å være sertifisert informasjonssikkerhetsspesialist oppsto.
er en utvikling en organisasjon som gjennomfører opplæring og sertifisering av informasjonssikkerhetsspesialister. Omdømmet til GIAC-sertifikatet er svært høyt blant spesialister og kunder i EMEA-, USA- og Asia-Stillehavsmarkedet. Her, i det post-sovjetiske rommet og i CIS-landene, kan et slikt sertifikat bare etterspørres av utenlandske selskaper med virksomhet i våre land, internasjonale og konsulentbyråer. Personlig har jeg aldri møtt en forespørsel om slik sertifisering fra innenlandske selskaper. Alle spør i utgangspunktet om CISSP. Dette er min subjektive mening, og hvis noen deler sin erfaring i kommentarene, vil det være interessant å vite.
Det er ganske mange forskjellige områder i SANS (etter min mening har gutta nylig utvidet antallet for mye), men det er også veldig interessante praktiske kurs. Jeg likte det spesielt godt . Men historien skal handle om kurset og et sertifikat som heter: .
Av alle typer Industrial Cyber Security-sertifiseringer som tilbys av SANS, er dette den mest universelle. Siden det andre forholder seg mer til Power Grid-systemer, som i Vesten får spesiell oppmerksomhet og tilhører en egen klasse av systemer. Og den tredje (på tidspunktet for sertifiseringsstien min) relatert til Incident Response.
Kurset er ikke billig, men det gir ganske omfattende kunnskap om IT&OT. Det vil være spesielt nyttig for de kameratene som har bestemt seg for å endre sitt felt, for eksempel fra IT-sikkerhet i bankbransjen til Industrial Cyber Security. Siden jeg allerede hadde bakgrunn innen prosesskontrollsystemer, instrumentering og driftsteknologi, var det ikke noe fundamentalt nytt eller livsviktig for meg i dette kurset.
Emnet består av 50 % teori og 50 % praksis. Fra praksis var den mest interessante konkurransen NetWars. I to dager, etter hovedkurset i klassene, ble alle elevene i alle klassene delt inn i team og utførte oppgaver for å få tilgangsrettigheter, trekke ut nødvendig informasjon, få tilgang til nettverket, en haug med oppgaver for å promotere hasjer, jobbe med Wireshark og alle mulige forskjellige godsaker.
Kursmateriellet er oppsummert i form av bøker, som du så får til evig bruk. Forresten, du kan ta dem til eksamen, siden formatet er Open Book, men de vil ikke hjelpe deg mye, siden eksamen har 3 timer, 115 spørsmål, og leveringsspråket er engelsk. I løpet av hele 3 timer kan du ta en pause på 15 minutter. Men husk at ved å ta en pause på 15 minutter og gå tilbake til testene etter 5, gir du rett og slett opp de resterende ti minuttene, siden du ikke lenger vil kunne stoppe tiden i testprogrammet. Du kan hoppe over opptil 15 spørsmål, som da vises helt til slutt.
Personlig anbefaler jeg ikke å legge igjen mange spørsmål til senere, fordi 3 timer er virkelig ikke nok tid, og når du på slutten har spørsmål som ennå ikke er løst, er det stor sannsynlighet for at du ikke kan gjøre det. det i tide. Jeg la igjen for senere bare tre spørsmål som var veldig vanskelige for meg, siden de var relatert til kunnskap om NIST 800.82 og NERC-standarden. Psykologisk sett treffer slike spørsmål "til senere" nervene dine helt på slutten - når hjernen din er sliten, vil du gå på toalettet, ser tidtakeren på skjermen ut til å øke eksponentielt.
Generelt, for å bestå testen må du oppnå 71 % riktige svar. Før du går opp til eksamen vil du få mulighet til å øve på reelle prøver - da prisen inkluderer 2 øvingsprøver på 115 spørsmål og med betingelser som ligner på ekte eksamen.
Jeg anbefaler å ta eksamen en måned etter fullført opplæring, og bruke denne måneden på systematiske selvstudier på de problemstillingene du føler deg usikker på. Det ville vært fint om du tar med deg det trykte materialet som er mottatt i løpet av kurset, som ser ut som korte sammendrag om hvert tema – og målrettet søker etter informasjon om temaene i disse bøkene. Del måneden i to deler, ta praksistester og få et grovt bilde av hvilke områder du er sterk på og hvor du må forbedre deg.
Jeg vil fremheve følgende hovedområder som utgjør selve eksamen (ikke opplæringskurset, siden det dekker mye mer omfattende emner):
- Fysisk sikkerhet: Som andre sertifiseringseksamener, er dette problemet viet mye oppmerksomhet i GICSP. Det er spørsmål om typer fysiske låser på dører, situasjoner med forfalskning av elektroniske pass er beskrevet, hvor du må gi et svar for entydig å identifisere problemet. Det er spørsmål direkte knyttet til sikkerheten til teknologien (prosessen), avhengig av fagområdet - olje- og gassprosesser, kjernekraftverk eller kraftnett. For eksempel kan det være et spørsmål som: Bestem hvilken type fysisk sikkerhetskontroll som er situasjonen når en alarm kommer fra damptemperatursensoren på HMI? Eller et spørsmål som: Hvilken situasjon (hendelse) vil tjene som grunn til å analysere videoopptak fra overvåkingskameraer av anleggets perimetersikkerhetssystem?
Prosentvis vil jeg bemerke at antall spørsmål på denne delen i min eksamen og i praksisprøver ikke oversteg 5 %.
- En annen og en av de mest utbredte spørsmålskategoriene er spørsmål om prosesskontrollsystemer, PLC, SCADA: her vil det være nødvendig å systematisk nærme seg studiet av materialer om hvordan prosesskontrollsystemer er strukturert, fra sensorer til servere hvor selve applikasjonsprogramvaren løper. Et tilstrekkelig antall spørsmål vil bli funnet om typer industrielle dataoverføringsprotokoller (ModBus, RTU, Profibus, HART, etc.). Det vil være spørsmål om hvordan RTU skiller seg fra PLS, hvordan man beskytter data i PLS fra modifikasjon av en angriper, i hvilke minneområder PLS lagrer data, og hvor selve logikken er lagret (et program skrevet av en prosesskontrollsystemprogrammerer ). For eksempel kan det være et spørsmål av denne typen: Gi et svar på hvordan du kan oppdage et angrep mellom en PLS og en HMI som opererer ved hjelp av ModBus-protokollen?
Det vil være spørsmål om forskjellene mellom SCADA- og DCS-systemer. Et stort antall spørsmål om reglene for å skille automatiserte prosesskontrollnettverk på L1, L2-nivå fra L3-nivå (jeg vil beskrive nærmere i avsnittet med spørsmål om nettverket). Situasjonsspørsmål om dette emnet vil også være svært forskjellige - de beskriver situasjonen i kontrollrommet, og du må velge handlinger som må utføres av prosessoperatøren eller ekspeditøren.
Generelt er denne delen den mest spesifikke og smale profilen. Krever at du har gode kunnskaper:
— automatisert kontrollsystem, feltdel (sensorer, typer enhetstilkoblinger, fysiske funksjoner til sensorer, PLS, RTU);
— nødavstengningssystemer (ESD – emergency shutdown system) av prosesser og objekter (det er forresten en utmerket serie med artikler om dette emnet på Habré fra )
— en grunnleggende forståelse av de fysiske prosessene som forekommer, for eksempel ved oljeraffinering, elektrisitetsproduksjon, rørledninger osv.;
— forståelse av arkitekturen til DCS- og SCADA-systemer;
Jeg vil merke meg at spørsmål av denne typen kan forekomme opptil 25 % gjennom alle 115 spørsmålene i eksamen. - Nettverksteknologier og nettverkssikkerhet: Jeg tror at antall spørsmål i dette emnet kommer først i eksamen. Det vil sannsynligvis være absolutt alt - OSI-modellen, på hvilke nivåer denne eller den protokollen fungerer, mange spørsmål om nettverkssegmentering, situasjonsspørsmål om nettverksangrep, eksempler på tilkoblingslogger med et forslag om å bestemme typen angrep, eksempler på svitsjkonfigurasjoner med et forslag om å bestemme en sårbar konfigurasjon, spørsmål om sårbarheter i nettverksprotokoller, spørsmål om spesifikasjonene til nettverkstilkoblinger til industrielle kommunikasjonsprotokoller. Folk spør spesielt mye om ModBus. Strukturen til nettverkspakker av samme ModBus, avhengig av typen og versjoner som støttes av enheten. Mye oppmerksomhet rettes mot angrep på trådløse nettverk - ZigBee, Wireless HART, og rett og slett spørsmål om nettverkssikkerhet for hele 802.1x-familien. Det vil være spørsmål om reglene for plassering av visse servere i prosesskontrollsystemnettverket (her må du lese IEC-62443-standarden og forstå prinsippene for referansemodeller for prosesskontrollsystemnettverk). Det vil være spørsmål om Purdue-modellen.
- En kategori av problemer som utelukkende er relatert til funksjonelle funksjoner ved driften av elektrisitetsoverføringssystemer og informasjonssikkerhetssystemer for dem. I USA kalles denne kategorien av automatiserte prosesskontrollsystemer Power Grid og er tildelt en egen rolle. For dette formålet er det til og med gitt ut separate standarder (NIST 800.82) som regulerer tilnærmingen til å lage informasjonssikkerhetssystemer for denne sektoren. I våre land er denne sektoren for det meste begrenset til ASKUE-systemer (korriger meg hvis noen har sett en mer seriøs tilnærming til overvåking av elektrisitetsdistribusjons- og leveringssystemer). Så i eksamen vil du finne ganske spesifikke spørsmål knyttet til Power Grid. For det meste var dette use-cases for en spesifikk situasjon som utviklet seg ved Kraftverket, men det kan også være undersøkelser om enheter som brukes spesifikt i Kraftnettet. Det vil være spørsmål som tar for seg kunnskap om NIST-seksjoner for denne kategorien systemer.
- Spørsmål knyttet til kunnskap om standarder: NIST 800-82, NERC, IEC62443. Jeg tror her uten noen spesielle kommentarer - du må navigere i delene av standardene, som er ansvarlig for hva og hvilke anbefalinger den inneholder. Det er spesifikke spørsmål, for eksempel å spørre hyppigheten av å kontrollere funksjonaliteten til systemet, hyppigheten av å oppdatere prosedyren, etc. Som en prosentandel av slike spørsmål kan opptil 15 % av det totale antallet spørsmål påtreffes. Men det kommer an på. For eksempel, på to øvingsprøver kom jeg over bare et par lignende spørsmål. Men det var virkelig mange av dem under eksamen.
- Vel, den siste kategorien spørsmål er alle slags brukssaker og situasjonsspørsmål.
Generelt var selve opplæringen, med mulig unntak av CTF NetWars, lite informativ for meg med tanke på å tilegne meg potensielt ny kunnskap. Snarere ble det anskaffet dypere detaljer om noen emner, spesielt innen organisering og beskyttelse av radionettverk som brukes til å overføre teknologisk informasjon, samt mer organisert materiale om strukturen til utenlandske standarder viet til dette emnet. Derfor, for ingeniører og spesialister som har tilstrekkelig kunnskap og erfaring med å jobbe med prosesskontrollsystemer/instrumenteringssystemer eller Industrial Networks, kan du tenke på å spare på opplæring (og sparing er fornuftig), forberede deg og gå rett til å ta sertifiseringseksamen, som , forresten, er verdt 700 USD. Ved feil må du betale på nytt. Det er mange sertifiseringssentre som godtar deg til eksamen; det viktigste er å søke på forhånd. Generelt anbefaler jeg å sette eksamensdatoen med en gang, fordi ellers vil du hele tiden forsinke den, og erstatte forberedelsesprosessen med andre viktige og ikke helt viktige saker. Og å ha en bestemt frist vil gjøre deg selvmotivert.
Kilde: www.habr.com