څنګه Cossacks د GICSP سند ترلاسه کړ

سلام و ټولو ته! د هرچا د خوښې وړ پورټل د معلوماتو امنیت په برخه کې د تصدیق په اړه ډیری بیلابیل مقالې درلودې، نو زه د مینځپانګې اصليت او انفرادیت ادعا نه کوم ، مګر زه لاهم واقعیا غواړم د GIAC (د نړیوال معلوماتو تضمین شرکت) ترلاسه کولو تجربه شریک کړم. د صنعتي سایبر امنیت په برخه کې تصدیق. لکه څنګه چې د داسې ناوړه الفاظو څرګندیدو راهیسې Stuxnet, ښاروال، شمون، ټریټون، د متخصصینو د خدماتو چمتو کولو بازار چې داسې ښکاري چې IT وي، مګر کولی شي په زینو باندې د ترتیب بیا لیکلو سره PLCs ډیر کړي، او په ورته وخت کې د نبات مخه نشي نیول کیدی، جوړیدل پیل کړل.

په دې توګه د IT&OT مفهوم نړۍ ته راغی.

سمدلاسه وروسته (دا روښانه ده چې غیر وړ پرسونل باید د کار کولو اجازه ورنکړل شي) د پروسې کنټرول سیسټمونو او صنعتي سیسټمونو خوندیتوب تضمین کولو پورې اړوند ساحه کې د متخصصینو تصدیق کولو اړتیا رامینځته شوه - له دې څخه ، دا په ګوته کیږي چې ډیری شتون لري. دوی زموږ په ژوند کې ، په اپارتمان کې د اوبو رسولو اتومات والو څخه د کنټرول سیسټم الوتکې پورې (د ستونزو د تحقیق په اړه عالي مقاله په یاد ولرئ بوینګ). او حتی، لکه څنګه چې دا ناڅاپه وګرځید، پیچلي طبي تجهیزات.

د دې په اړه یو لنډ شعر چې څنګه زه د تصدیق ترلاسه کولو اړتیا ته ورسیدم (تاسو کولی شئ دا پریږدئ): د XNUMX لسیزې په پای کې د معلوماتو امنیت پوهنځی کې په بریالیتوب سره خپلې زده کړې بشپړې کړې ، ما د خپل سر سره د وسیلې پسونو په لیکه کې ګام پورته کړ. لوړ ساتل شوی، د ټیټ اوسني امنیتي الارم سیسټمونو لپاره د میخانیک په توګه کار کوي. داسې ښکاري چې د معلوماتو امنیت ما ته په هغه وخت کې په تصدۍ کې ویل شوی و :) دا څنګه د معلوماتو امنیت کې د لیسانس سند سره د اتومات کنټرول سیسټم متخصص په توګه زما دنده پیل شوه. شپږ کاله وروسته، د SCADA سیسټمونو د څانګې د مشر رتبې ته د رسیدو سره، ما په یوه بهرني شرکت کې د صنعتي کنټرول سیسټمونو لپاره د امنیتي مشاور په توګه کار کولو ته پریښود چې سافټویر او تجهیزات پلوري. دا هغه ځای دی چې د تصدیق شوي معلوماتو امنیت متخصص کیدو اړتیا راپورته شوه.

GIAC پرمختګ دی Sans یوه اداره چې د معلوماتو امنیت متخصصینو روزنه او تصدیق ترسره کوي. د GIAC سند شهرت د EMEA، متحده ایالاتو او آسیا پسیفک بازارونو کې د متخصصینو او پیرودونکو ترمنځ خورا لوړ دی. دلته، د شوروي وروسته ځای او د CIS هیوادونو کې، دا ډول سند یوازې د بهرنیو شرکتونو لخوا زموږ په هیوادونو کې د سوداګرۍ، نړیوالو او مشورتي ادارو لخوا غوښتنه کیدی شي. په شخصي توګه، ما هیڅکله د کورنیو شرکتونو څخه د دې ډول تصدیق لپاره غوښتنه نه ده کړې. هرڅوک اساسا د CISSP غوښتنه کوي. دا زما موضوعي نظر دی او که څوک په نظرونو کې خپله تجربه شریکه کړي، دا به په زړه پورې وي چې پوه شي.

په SANS کې یو څو مختلف ساحې شتون لري (زما په نظر ، پدې وروستیو کې هلکانو خپل شمیر خورا ډیر کړی) ، مګر خورا په زړه پوري عملي کورسونه هم شتون لري. ما په ځانګړې توګه دا خوښ کړ NetWars. مګر کیسه به د کورس په اړه وي ICS410: ICS/SCADA امنیتي ضروريات او یو سند نومیږي: د نړیوال صنعتي سایبر امنیت مسلکي (GICSP).

د SANS لخوا وړاندیز شوي د صنعتي سایبر امنیت تصدیقونو ټولو ډولونو څخه ، دا خورا نړیوال دی. ځکه چې دوهم د بریښنا د شبکې سیسټمونو پورې اړه لري، کوم چې په لویدیځ کې ځانګړې پاملرنه ترلاسه کوي او د سیسټمونو جلا ټولګي پورې اړه لري. او دریم (زما د تصدیق کولو په وخت کې) د پیښې ځواب پورې اړوند.
کورس ارزانه ندی، مګر دا د IT&OT په اړه خورا پراخه پوهه وړاندې کوي. دا به په ځانګړې توګه د هغو ملګرو لپاره ګټور وي چې پریکړه یې کړې چې خپل ساحه بدل کړي، د بیلګې په توګه د بانکدارۍ صنعت کې د IT امنیت څخه صنعتي سایبر امنیت ته. څنګه چې ما دمخه د پروسې کنټرول سیسټمونو ، وسیلو او عملیاتي ټیکنالوژۍ په برخه کې شالید درلود ، پدې کورس کې زما لپاره په بنسټیز ډول نوي یا حیاتي مهم څه ندي.

کورس 50٪ تیوري او 50٪ تمرین لري. د تمرین څخه، ترټولو زړه پورې سیالي NetWars وه. د دوو ورځو لپاره، د ټولګیو د اصلي کورس وروسته، د ټولو ټولګیو ټول زده کونکي په ټیمونو ویشل شوي وو او دندې یې ترسره کړې ترڅو د لاسرسي حقونه ترلاسه کړي، اړین معلومات راوباسي، شبکې ته لاسرسۍ ترلاسه کړي، د هشونو د ودې لپاره د دندو یوه ډله، د Wireshark سره کار وکړي. او هر ډول مختلف شیان.

د کورس مواد د کتابونو په بڼه لنډیز شوي، کوم چې تاسو بیا ستاسو د تل پاتې کارونې لپاره ترلاسه کوئ. په هرصورت، تاسو کولی شئ دوی د ازموینې لپاره واخلئ، ځکه چې بڼه یې خلاص کتاب دی، مګر دوی به تاسو سره ډیره مرسته ونکړي، ځکه چې ازموینه 3 ساعته، 115 پوښتنې لري، او د سپارلو ژبه انګلیسي ده. د ټول 3 ساعتونو په جریان کې، تاسو کولی شئ د 15 دقیقو وقفه واخلئ. مګر په یاد ولرئ چې د 15 دقیقو لپاره وقفه اخیستل او د 5 وروسته ازموینې ته راستنیدل ، تاسو په ساده ډول پاتې لس دقیقې ورکوئ ، ځکه چې تاسو به نور نشئ کولی د ازموینې برنامې کې وخت ودروئ. تاسو کولی شئ تر 15 پورې پوښتنې پریږدئ، چې بیا به په پای کې څرګند شي.

په شخصي توګه، زه وړاندیز نه کوم چې ډیری پوښتنې د وروسته لپاره پریږدئ، ځکه چې 3 ساعته واقعیا کافي وخت نه دی، او کله چې تاسو په پای کې پوښتنې لرئ چې لا تر اوسه حل شوي ندي، د نه کولو احتمال شتون لري. دا په وخت. ما وروسته یوازې درې پوښتنو ته پریښود چې زما لپاره واقعیا ستونزمنې وې، ځکه چې دوی د NIST 800.82 او NERC معیارونو سره تړاو لري. په رواني لحاظ، دا ډول پوښتنې "وروسته لپاره" ستاسو اعصاب په پای کې په نښه کوي - کله چې ستاسو دماغ ستړی وي، تاسو غواړئ تشناب ته لاړ شئ، په سکرین کې ټایمر په چټکۍ سره ګړندی ښکاري.

په عموم کې، د ازموینې پاس کولو لپاره تاسو اړتیا لرئ چې 71٪ سم ځوابونه نمرې ورکړئ. د ازموینې اخیستو دمخه، تاسو به فرصت ولرئ چې په ریښتیني ازموینو کې تمرین وکړئ - ځکه چې قیمت کې د 2 پوښتنو 115 تمریني ازموینې شاملې دي او د اصلي ازموینې سره ورته شرایطو سره.

زه وړاندیز کوم چې د روزنې بشپړولو څخه یوه میاشت وروسته ازموینه واخلئ ، دا میاشت د هغه مسلو په اړه په سیستماتیک ځان مطالعه کې مصرف کړئ چې تاسو یې ډاډه نه یاست. دا به ښه وي که تاسو د کورس په جریان کې ترلاسه شوي چاپ شوي توکي واخلئ، کوم چې د هرې موضوع په اړه د لنډو لنډیزونو په څیر ښکاري - او په اراده توګه په دې کتابونو کې د موضوعاتو په اړه معلومات وپلټئ. میاشت په دوو برخو وویشئ، د تمرین آزموینې واخلئ او په کومو برخو کې تاسو پیاوړي یاست او چیرې چې تاسو اړتیا لرئ ښه کولو ته اړتیا لرئ یو ناڅاپه انځور ترلاسه کړئ.

زه غواړم لاندې مهمې برخې روښانه کړم چې پخپله ازموینه جوړوي (نه د روزنې کورس، ځکه چې دا خورا پراخه موضوعات پوښي):

1. فزیکي امنیت: د نورو تصدیق ازموینې په څیر، دې مسلې ته په GICSP کې ډیره پاملرنه کیږي. په دروازو کې د فزیکي قلفونو ډولونو په اړه پوښتنې شتون لري، د بریښنایی پاسونو جعل کولو حالتونه بیان شوي، چیرې چې تاسو اړتیا لرئ د ستونزې په واضح ډول پیژندلو لپاره ځواب ورکړئ. په مستقیم ډول د ټیکنالوژۍ (پروسس) خوندیتوب پورې اړوند پوښتنې شتون لري ، د موضوع ساحې پورې اړه لري - د تیلو او ګازو پروسې ، اټومي بریښنا فابریکې یا د بریښنا شبکې. د مثال په توګه، کیدای شي یوه پوښتنه وي لکه: معلومه کړئ چې کوم ډول فزیکي امنیت کنټرول وضعیت دی کله چې الارم په HMI کې د بخار تودوخې سینسر څخه راځي؟ یا یوه پوښتنه لکه: کوم حالت (پیښه) به د تاسیساتو د امنیت سیسټم د څارنې کیمرې څخه د ویډیو ریکارډونو تحلیل کولو لپاره د دلیل په توګه کار وکړي؟

   د سلنې په شرایطو کې، زه به یادونه وکړم چې زما په ازموینه کې د دې برخې په اړه د پوښتنو شمیره او په عملي ازموینو کې له 5٪ څخه ډیر نه و.

2. د پوښتنو بله او یو له خورا پراخه کټګوریو څخه د پروسې کنټرول سیسټمونو ، PLC ، SCADA په اړه پوښتنې دي: دلته به اړین وي چې په سیستماتیک ډول د موادو مطالعې ته مراجعه وکړئ چې څنګه د پروسې کنټرول سیسټمونه جوړښت شوي ، له سینسر څخه سرورونو ته چیرې چې پخپله غوښتنلیک سافټویر. منډې د صنعتي معلوماتو لیږد پروتوکولونو ډولونو (ModBus, RTU, Profibus, HART, etc.) په اړه به کافي شمیر پوښتنې وموندل شي. پدې اړه به پوښتنې وي چې RTU څنګه د PLC څخه توپیر لري، څنګه په PLC کې ډاټا د برید کونکي لخوا ترمیم څخه خوندي کوي، په کوم حافظه کې PLC ډاټا ذخیره کوي، او چیرې چې منطق پخپله ذخیره کیږي (یو پروګرام چې د پروسې کنټرول سیسټم پروګرامر لخوا لیکل شوی. ). د مثال په توګه، کیدای شي د دې ډول یوه پوښتنه وي: یو ځواب ورکړئ چې تاسو څنګه کولی شئ د PLC او HMI ترمنځ برید کشف کړئ چې د ModBus پروتوکول په کارولو سره کار کوي؟

   د SCADA او DCS سیسټمونو ترمنځ د توپیرونو په اړه به پوښتنې وي. د L1 ، L2 کچه د L3 کچې څخه د اتومات پروسې کنټرول شبکې جلا کولو قواعدو په اړه لوی شمیر پوښتنې (زه به د شبکې پوښتنو سره برخه کې په ډیر تفصیل سره تشریح کړم). پدې موضوع کې د وضعیت پوښتنې به هم خورا متفاوت وي - دوی د کنټرول په خونه کې وضعیت بیانوي او تاسو اړتیا لرئ هغه عملونه غوره کړئ چې باید د پروسې آپریټر یا لیږونکي لخوا ترسره شي.

   په عموم کې، دا برخه خورا مشخص او تنګ پروفایل دی. تاسو اړتیا لرئ چې ښه پوهه ولرئ:
   - د اتوماتیک کنټرول سیسټم، د ساحې برخه (سینسر، د وسیلو د اړیکو ډولونه، د سینسر فزیکي ځانګړتیاوې، PLC، RTU)؛
   - د پروسو او شیانو د بیړني بندولو سیسټم (ESD - د بیړني بند سیسټم) (د لارې په توګه، د دې موضوع په اړه د هابري څخه د مقالو یوه غوره لړۍ شتون لري. ولادیمیر_سکلیار)
   - د فزیکي پروسو بنسټیز پوهاوی چې واقع کیږي، د بیلګې په توګه، د تیلو تصفیه، د بریښنا تولید، پایپ لاینونه، او نور؛
   - د DCS او SCADA سیسټمونو جوړښت پوهه؛
   زه به یادونه وکړم چې د دې ډول پوښتنې د ازموینې په ټولو 25 پوښتنو کې تر 115٪ پورې واقع کیدی شي.

3. د شبکې ټیکنالوژي او د شبکې امنیت: زه فکر کوم چې پدې موضوع کې د پوښتنو شمیر په ازموینه کې لومړی راځي. شاید هرڅه شتون ولري - د OSI ماډل، په کومو کچو کې دا یا هغه پروتوکول کار کوي، د شبکې ویشلو په اړه ډیری پوښتنې، د شبکې بریدونو وضعیت پوښتنې، د برید ډول ټاکلو لپاره د وړاندیز سره د اړیکو لاګ مثالونه، د سویچ ترتیبونو مثالونه د زیان منونکي تشکیلاتو د ټاکلو وړاندیز سره ، د زیان منونکو شبکې پروتوکولونو په اړه پوښتنې ، د صنعتي مخابراتو پروتوکولونو د شبکې اتصال مشخصاتو په اړه پوښتنې. خلک په ځانګړې توګه د ModBus په اړه ډیرې پوښتنې کوي. د ورته ModBus شبکې پاکټونو جوړښت، د هغې ډول او نسخو پورې اړه لري چې د وسیلې لخوا ملاتړ کیږي. د بې سیم شبکو بریدونو ته ډیره پاملرنه کیږي - ZigBee، Wireless HART، او په ساده ډول د ټولې 802.1x کورنۍ شبکې امنیت په اړه پوښتنې. د پروسې کنټرول سیسټم شبکې کې د ځینې سرورونو ځای په ځای کولو مقرراتو په اړه پوښتنې شتون لري (دلته تاسو اړتیا لرئ د IEC-62443 معیار ولولئ او د پروسې کنټرول سیسټمونو شبکې د حوالې ماډلونو اصولو باندې پوه شئ). د پردیو ماډل په اړه به پوښتنې وي.
4. د مسلو یوه کټګورۍ چې په ځانګړي ډول د بریښنا لیږد سیسټمونو او د دوی لپاره د معلوماتو امنیت سیسټمونو فعالیت فعالیت ځانګړتیاو پورې اړه لري. په متحده ایالاتو کې، د اتوماتیک پروسې کنټرول سیسټمونو دې کټګورۍ ته د بریښنا شبکه ویل کیږي او یو جلا رول ټاکل شوی. د دې هدف لپاره، حتی جلا معیارونه صادر شوي (NIST 800.82) د دې سکټور لپاره د معلوماتو امنیت سیسټمونو رامینځته کولو طریقه تنظیموي. زموږ په هیوادونو کې، د ډیری برخې لپاره، دا سکتور د ASKUE سیسټمونو پورې محدود دی (زه سمه کړئ که څوک د بریښنا د ویش او تحویلي سیسټمونو د څارنې لپاره خورا جدي چلند لیدلی وي). نو ، په ازموینه کې به تاسو د بریښنا شبکې پورې اړوند کافي ځانګړي پوښتنې ومومئ. د ډیری برخې لپاره، دا د یو ځانګړي حالت لپاره د کارونې قضیې وې چې د بریښنا په فابریکه کې رامینځته شوي، مګر ممکن د هغو وسایلو په اړه سروې هم وي چې په ځانګړې توګه د بریښنا په شبکه کې کارول کیږي. د دې کټګورۍ سیسټمونو لپاره به د NIST برخو د پوهې په اړه پوښتنې وي.
5. د معیارونو د پوهې پورې اړوند پوښتنې: NIST 800-82, NERC, IEC62443. زه فکر کوم دلته پرته له کوم ځانګړي تبصرې - تاسو اړتیا لرئ د معیارونو برخې ته لاړشئ ، کوم چې د څه لپاره مسؤل دی او کوم وړاندیزونه پکې شامل دي. دلته ځانګړي پوښتنې شتون لري، د بیلګې په توګه، د سیسټم د فعالیت چک کولو فریکونسۍ پوښتنه، د طرزالعمل تازه کولو فریکوینسي، او داسې نور. د دې ډول پوښتنو د سلنې په توګه، د ټولو پوښتنو 15٪ پورې مخامخ کیدی شي. مګر دا پورې اړه لري. د مثال په توګه، په دوه تمریني ازموینو کې ما یوازې یو څو ورته پوښتنو سره مخ شو. مګر واقعیا د ازموینې په جریان کې د دوی ډیری شتون درلود.
6. ښه، د پوښتنو وروستۍ کټګورۍ د کارولو هر ډول قضیې او وضعیت پوښتنې دي.

په عموم کې، پخپله روزنه، د CTF NetWars احتمالي استثنا سره، زما لپاره د احتمالي نوي پوهې ترلاسه کولو په برخه کې خورا معلوماتي نه و. بلکه، د ځینو موضوعاتو ژور توضیحات ترلاسه شوي، په ځانګړې توګه د تنظیم کولو او د راډیو شبکو د ساتنې په برخه کې چې د تخنیکي معلوماتو لیږدولو لپاره کارول کیږي، او همدارنګه د دې موضوع لپاره د بهرنیو معیارونو د جوړښت په اړه ډیر منظم مواد. له همدې امله ، د انجینرانو او متخصصینو لپاره چې د پروسې کنټرول سیسټمونو / وسایلو سیسټمونو یا صنعتي شبکو سره کار کولو کافي پوهه او تجربه لري ، تاسو کولی شئ د روزنې سپمولو په اړه فکر وکړئ (او سپمولو معنی لري) ، ځان چمتو کړئ او مستقیم د تصدیق ازموینې لپاره لاړشئ ، کوم چې په هرصورت، د 700USD ارزښت لري. د ناکامۍ په صورت کې، تاسو باید بیا پیسې ورکړئ. د تصدیق کولو ډیری مرکزونه شتون لري چې تاسو به د ازموینې لپاره ومني؛ اصلي شی دا دی چې دمخه غوښتنه وکړئ. په عموم کې ، زه وړاندیز کوم چې سمدلاسه د ازموینې نیټه تنظیم کړئ ، ځکه چې که نه نو تاسو به یې په دوامداره توګه وځنډوئ ، د چمتووالي پروسه د نورو حیاتي او په بشپړ ډول مهم مسلو سره ځای په ځای کړئ. او د ټاکلې نیټې نیټې درلودل به تاسو ځان هڅوي.

سرچینه: www.habr.com