Cześć wszystkim! W ulubionym przez wszystkich portalu pojawiło się wiele różnych artykułów na temat certyfikacji w zakresie bezpieczeństwa informacji, więc nie będę rościć sobie pretensji do oryginalności i niepowtarzalności treści, ale mimo to bardzo chciałbym podzielić się swoim doświadczeniem związanym z uzyskaniem GIAC (Global Information Assurance Company) certyfikacja z zakresu cyberbezpieczeństwa przemysłowego. Od czasu pojawienia się tak okropnych słów jak , , Shamoon, Triton, zaczął się kształtować rynek świadczenia usług specjalistów, którzy pozornie są informatykami, ale potrafią też przeciążać sterowniki PLC przepisywaniem konfiguracji na drabinkach, a jednocześnie nie można zatrzymać zakładu.
Tak narodziła się koncepcja IT&OT (Information Technology & Operation Technology).
Zaraz obok (wiadomo, że niekwalifikowany personel nie powinien być dopuszczony do pracy) pojawiła się potrzeba certyfikacji specjalistów z zakresu zapewnienia bezpieczeństwa systemów sterowania procesami i systemów przemysłowych – których, jak się okazuje, jest mnóstwo ich w naszym życiu, od automatycznego zaworu doprowadzającego wodę w mieszkaniu po system sterowania samolotami (pamiętajcie świetny artykuł o badaniu problemów ). A nawet, jak się nagle okazało, skomplikowany sprzęt medyczny.
Krótki tekst o tym jak doszedłem do konieczności uzyskania certyfikatu (można pominąć): Po pomyślnym ukończeniu studiów na Wydziale Bezpieczeństwa Informacji pod koniec lat XNUMX-tych z głową wszedłem w szeregi owiec oprzyrządowania utrzymywał się na wysokim poziomie, pracując jako mechanik przy niskoprądowych systemach alarmowych. Wygląda na to, że w tamtym czasie w przedsiębiorstwie mówiono mi o bezpieczeństwie informacji :) Tak zaczęła się moja kariera jako specjalisty ds. systemów automatyki z tytułem licencjata z zakresu bezpieczeństwa informacji. Sześć lat później, awansując na stanowisko kierownika działu systemów SCADA, odszedłem do pracy jako konsultant ds. bezpieczeństwa przemysłowych systemów sterowania w zagranicznej firmie zajmującej się sprzedażą oprogramowania i sprzętu. To tu pojawiła się potrzeba bycia certyfikowanym specjalistą ds. bezpieczeństwa informacji.
jest rozwinięciem organizacja prowadząca szkolenia i certyfikację specjalistów ds. bezpieczeństwa informacji. Reputacja certyfikatu GIAC jest bardzo wysoka wśród specjalistów i klientów na rynkach EMEA, USA i Azji i Pacyfiku. Tutaj, na przestrzeni poradzieckiej i w krajach WNP, o taki certyfikat mogą ubiegać się jedynie zagraniczne firmy prowadzące działalność w naszych krajach, agencje międzynarodowe i konsultingowe. Osobiście nigdy nie spotkałem się z prośbą o taką certyfikację ze strony krajowych firm. W zasadzie wszyscy proszą o CISSP. To jest moja subiektywna opinia i jeśli ktoś podzieli się swoimi doświadczeniami w komentarzach, będzie ciekawie się dowiedzieć.
W SANS jest całkiem sporo różnych obszarów (moim zdaniem chłopaki ostatnio za bardzo powiększyli ich liczbę), ale są też bardzo ciekawe kursy praktyczne. Szczególnie mi się to podobało . Ale historia będzie dotyczyć kursu oraz certyfikat o nazwie: .
Ze wszystkich rodzajów certyfikatów Industrial Cyber Security oferowanych przez SANS, ten jest najbardziej uniwersalny. Drugie dotyczy bowiem raczej systemów elektroenergetycznych, którym na Zachodzie poświęca się szczególną uwagę i należą do odrębnej klasy systemów. I trzeci (w momencie mojej ścieżki certyfikacyjnej) związany z reagowaniem na incydenty.
Kurs nie jest tani, ale zapewnia dość obszerną wiedzę z zakresu IT&OT. Szczególnie przyda się tym towarzyszom, którzy zdecydowali się na zmianę swojej dziedziny, np. z bezpieczeństwa IT w branży bankowej na Cyberbezpieczeństwo Przemysłowe. Ponieważ miałem już doświadczenie w dziedzinie systemów sterowania procesami, oprzyrządowania i technologii operacyjnej, na tym kursie nie było dla mnie nic zasadniczo nowego ani istotnego.
Kurs składa się w 50% z teorii i 50% z praktyki. Z praktyki najciekawszym konkursem był NetWars. Przez dwa dni po głównym toku zajęć wszyscy uczniowie wszystkich klas zostali podzieleni na zespoły i wykonywali zadania mające na celu uzyskanie praw dostępu, wydobycie niezbędnych informacji, uzyskanie dostępu do sieci, szereg zadań promujących hasze, pracę z Wireshark i wszelkiego rodzaju różne smakołyki.
Materiał kursu jest podsumowany w formie książek, które następnie otrzymujesz do stałego użytku. Nawiasem mówiąc, możesz zabrać je na egzamin, ponieważ format to Open Book, ale niewiele ci pomogą, ponieważ egzamin trwa 3 godziny, 115 pytań, a językiem wykładu jest angielski. Przez całe 3 godziny możesz zrobić sobie 15-minutową przerwę. Pamiętaj jednak, że robiąc sobie 15-minutową przerwę i wracając do testów po 5, po prostu rezygnujesz z pozostałych dziesięciu minut, ponieważ nie będziesz już mógł zatrzymać czasu w programie testowym. Możesz pominąć maksymalnie 15 pytań, które wówczas pojawią się na samym końcu.
Osobiście nie polecam zostawiać dużej ilości pytań na później, bo 3 godziny to naprawdę mało czasu, a gdy na koniec pojawią się pytania, które nie zostały jeszcze rozwiązane, jest duże prawdopodobieństwo, że nie uda się tego zrobić to na czas. Na później zostawiłem tylko trzy pytania, które były dla mnie naprawdę trudne, gdyż dotyczyły znajomości standardu NIST 800.82 i NERC. Psychologicznie takie pytania „na później” działają na nerwy już na samym końcu – kiedy mózg jest zmęczony, chcesz iść do toalety, licznik czasu na ekranie zdaje się przyspieszać wykładniczo.
Ogólnie rzecz biorąc, aby zdać test, należy uzyskać 71% poprawnych odpowiedzi. Przed przystąpieniem do egzaminu będziesz miał okazję poćwiczyć na prawdziwych testach - gdyż cena obejmuje 2 testy praktyczne składające się ze 115 pytań i na warunkach zbliżonych do prawdziwego egzaminu.
Polecam przystąpić do egzaminu miesiąc po ukończeniu szkolenia, przeznaczając ten miesiąc na systematyczną samokształcenie w tych zagadnieniach, co do których czujesz się niepewnie. Byłoby miło, gdybyś wziął otrzymane w trakcie kursu materiały drukowane, które wyglądają jak krótkie streszczenia na każdy temat i celowo poszukał informacji na tematy zawarte w tych książkach. Podziel miesiąc na dwie części, rozwiązując testy praktyczne i uzyskując przybliżony obraz tego, w jakich obszarach jesteś mocny, a gdzie musisz się poprawić.
Chciałbym wyróżnić następujące główne obszary składające się na sam egzamin (a nie na szkolenie, ponieważ obejmuje znacznie szersze tematy):
- Bezpieczeństwo fizyczne: Podobnie jak inne egzaminy certyfikacyjne, tej kwestii poświęca się wiele uwagi w GICSP. Pojawiają się pytania dotyczące rodzajów zamków fizycznych w drzwiach, opisano sytuacje z fałszowaniem przepustek elektronicznych, w których należy udzielić odpowiedzi, aby jednoznacznie zidentyfikować problem. Pojawiają się pytania bezpośrednio związane z bezpieczeństwem technologii (procesu), w zależności od tematyki – procesy naftowe i gazowe, elektrownie jądrowe czy sieci energetyczne. Na przykład może pojawić się pytanie: Określ, jaki rodzaj kontroli bezpieczeństwa fizycznego ma miejsce, gdy alarm pochodzi z czujnika temperatury pary na HMI? Lub pytanie typu: Jaka sytuacja (zdarzenie) będzie powodem do analizy nagrań wideo z kamer monitoringu obwodowego obiektu?
Procentowo odnotowałbym, że liczba pytań z tej części na moim egzaminie i testach praktycznych nie przekroczyła 5%.
- Inną i jedną z najbardziej rozpowszechnionych kategorii pytań są pytania dotyczące systemów sterowania procesami, PLC, SCADA: w tym przypadku konieczne będzie systematyczne podejście do badania materiałów na temat struktury systemów sterowania procesami, od czujników po serwery, na których samo oprogramowanie aplikacyjne biegnie. Wystarczająca liczba pytań znajdzie się na temat rodzajów przemysłowych protokołów przesyłania danych (ModBus, RTU, Profibus, HART itp.). Pojawią się pytania o to, czym RTU różni się od PLC, jak chronić dane w PLC przed modyfikacją przez atakującego, w jakich obszarach pamięci PLC przechowuje dane i gdzie przechowywana jest sama logika (program napisany przez programistę systemu sterowania procesem ). Przykładowo może pojawić się pytanie tego typu: Podaj odpowiedź, w jaki sposób można wykryć atak pomiędzy sterownikiem PLC a HMI, które działają w oparciu o protokół ModBus?
Pojawią się pytania o różnice pomiędzy systemami SCADA i DCS. Duża liczba pytań dotyczących zasad oddzielania sieci zautomatyzowanego sterowania procesami na poziomie L1, L2 od poziomu L3 (opiszę szerzej w części z pytaniami o sieć). Pytania sytuacyjne na ten temat również będą bardzo zróżnicowane - opisują sytuację w sterowni i trzeba wybrać działania, które musi wykonać operator procesu lub dyspozytor.
Ogólnie rzecz biorąc, ta sekcja jest najbardziej specyficzna i wąska. Wymaga dobrej wiedzy:
— zautomatyzowany system sterowania, część terenowa (czujniki, rodzaje połączeń urządzeń, cechy fizyczne czujników, PLC, RTU);
— systemy awaryjnego wyłączania (ESD – Emergency Shut System) procesów i obiektów (swoją drogą, istnieje doskonały cykl artykułów na ten temat na temat Habré z )
— podstawową wiedzę na temat procesów fizycznych zachodzących np. podczas rafinacji ropy naftowej, wytwarzania energii elektrycznej, rurociągów itp.;
— zrozumienie architektury systemów DCS i SCADA;
Pragnę zauważyć, że pytania tego typu mogą pojawić się aż w 25% we wszystkich 115 pytaniach egzaminu. - Technologie sieciowe i bezpieczeństwo sieci: Myślę, że na egzaminie najważniejsza jest liczba pytań z tego tematu. Prawdopodobnie będzie absolutnie wszystko - model OSI, na jakich poziomach działa ten czy inny protokół, wiele pytań dotyczących segmentacji sieci, pytań sytuacyjnych dotyczących ataków sieciowych, przykłady logów połączeń z propozycją określenia rodzaju ataku, przykłady konfiguracji przełączników z propozycją ustalenia podatnej konfiguracji, pytania dotyczące podatności protokołów sieciowych, pytania dotyczące specyfiki połączeń sieciowych przemysłowych protokołów komunikacyjnych. Ludzie szczególnie dużo pytają o ModBus. Struktura pakietów sieciowych tego samego ModBus w zależności od jego typu i wersji obsługiwanych przez urządzenie. Dużo uwagi poświęca się atakom na sieci bezprzewodowe - ZigBee, Wireless HART i po prostu pytaniom o bezpieczeństwo sieci całej rodziny 802.1x. Pojawią się pytania o zasady umieszczania określonych serwerów w sieci systemów sterowania procesami (tutaj należy zapoznać się z normą IEC-62443 i zrozumieć zasady modeli referencyjnych sieci systemów sterowania procesami). Pojawią się pytania o model Purdue.
- Kategoria zagadnień, która dotyczy wyłącznie cech funkcjonalnych funkcjonowania systemów przesyłowych energii elektrycznej i systemów bezpieczeństwa informacji dla nich. W USA ta kategoria zautomatyzowanych systemów sterowania procesami nosi nazwę Power Grid i ma przypisaną odrębną rolę. W tym celu wydawane są nawet odrębne standardy (NIST 800.82) regulujące podejście do tworzenia systemów bezpieczeństwa informacji dla tego sektora. W naszych krajach w przeważającej części sektor ten ogranicza się do systemów ASKUE (poprawcie mnie, jeśli ktoś spotkał się z poważniejszym podejściem do monitorowania systemów dystrybucji i dostaw energii elektrycznej). Na egzaminie znajdziesz więc dość konkretne pytania związane z siecią energetyczną. W większości były to przypadki użycia dla konkretnej sytuacji, która zaistniała w Elektrowni, ale mogą pojawić się również badania dotyczące urządzeń wykorzystywanych konkretnie w sieci elektroenergetycznej. Pojawią się pytania dotyczące znajomości sekcji NIST dla tej kategorii systemów.
- Pytania związane ze znajomością norm: NIST 800-82, NERC, IEC62443. Myślę, że tutaj bez specjalnych komentarzy - trzeba poruszać się po sekcjach standardów, które odpowiadają za to, co i jakie zalecenia zawiera. Pojawiają się pytania szczegółowe, np. pytanie o częstotliwość sprawdzania funkcjonalności systemu, częstotliwość aktualizacji procedury itp. Jako procent takich pytań można napotkać do 15% całkowitej liczby pytań. Ale to zależy. Na przykład podczas dwóch testów praktycznych natknąłem się tylko na kilka podobnych pytań. Ale podczas egzaminu było ich naprawdę dużo.
- Cóż, ostatnią kategorią pytań są wszelkiego rodzaju pytania dotyczące przypadków użycia i pytania sytuacyjne.
Ogólnie samo szkolenie, za wyjątkiem CTF NetWars, nie było dla mnie zbyt pouczające pod kątem zdobycia potencjalnie nowej wiedzy. Raczej uzyskano głębsze szczegóły niektórych tematów, zwłaszcza z zakresu organizacji i ochrony sieci radiowych służących do przesyłania informacji technologicznych, a także bardziej uporządkowany materiał na temat struktury norm zagranicznych poświęconych temu tematowi. Dlatego w przypadku inżynierów i specjalistów, którzy mają wystarczającą wiedzę i doświadczenie w pracy z systemami sterowania procesami/oprzyrządowaniem lub sieciami przemysłowymi, można pomyśleć o oszczędzaniu na szkoleniach (a oszczędzanie ma sens), przygotować się i od razu przystąpić do egzaminu certyfikacyjnego, który nawiasem mówiąc, jest wart 700 USD. W przypadku niepowodzenia będziesz musiał zapłacić ponownie. Centrów certyfikacji, które przyjmą Cię do egzaminu, jest mnóstwo, najważniejsze jest, aby złożyć wniosek z wyprzedzeniem. Generalnie radzę ustalić termin egzaminu od razu, bo w przeciwnym razie będziesz go ciągle opóźniać, zastępując proces przygotowań innymi istotnymi i nie do końca istotnymi sprawami. A określenie konkretnego terminu realizacji doda Ci motywacji.
Źródło: www.habr.com