Olá a todos! O portal preferido de todos trazia diversos artigos sobre certificação na área de segurança da informação, então não vou reivindicar a originalidade e exclusividade do conteúdo, mas ainda assim gostaria de compartilhar minha experiência de obtenção do GIAC (Global Information Assurance Company) certificação na área de segurança cibernética industrial. Desde o aparecimento de palavras tão terríveis como , , Shamoon, Triton, começou a se formar um mercado de prestação de serviços de especialistas que parecem ser de TI, mas também podem sobrecarregar os PLCs com a reescrita da configuração em escadas, e ao mesmo tempo a planta não pode parar.
Foi assim que o conceito de IT&OT (Tecnologia da Informação e Tecnologia de Operação) surgiu no mundo.
Imediatamente a seguir (é claro que pessoal não qualificado não deve ser autorizado a trabalhar) surgiu a necessidade de certificar especialistas na área relacionada com a garantia da segurança de sistemas de controlo de processos e sistemas industriais - dos quais, verifica-se, existem muitos em nossas vidas, desde uma válvula automática de abastecimento de água em um apartamento até um sistema de controle aviões (lembre-se do excelente artigo sobre investigação de problemas ). E até, como de repente se descobriu, equipamentos médicos complexos.
Uma breve letra sobre como cheguei à necessidade de obter a certificação (você pode pular): Depois de concluir com sucesso meus estudos na Faculdade de Segurança da Informação no final dos anos XNUMX, entrei na categoria de ovelhas de instrumentação com a cabeça mantido alto, trabalhando como mecânico de sistemas de alarme de segurança de baixa corrente. Parece que naquela época a segurança da informação me foi informada na empresa :) Foi assim que começou minha carreira como especialista em sistemas de controle automatizado com bacharelado em segurança da informação. Seis anos depois, tendo subido ao cargo de chefe do departamento de sistemas SCADA, saí para trabalhar como consultor de segurança de sistemas de controle industrial em uma empresa estrangeira que vende software e equipamentos. Foi aí que surgiu a necessidade de ser um especialista certificado em segurança da informação.
é um desenvolvimento uma organização que realiza treinamento e certificação de especialistas em segurança da informação. A reputação do certificado GIAC é muito elevada entre especialistas e clientes nos mercados EMEA, EUA e Ásia-Pacífico. Aqui, no espaço pós-soviético e nos países da CEI, tal certificado só pode ser solicitado por empresas estrangeiras com negócios nos nossos países, agências internacionais e de consultoria. Pessoalmente, nunca encontrei um pedido de tal certificação por parte de empresas nacionais. Todo mundo está basicamente pedindo pelo CISSP. Esta é a minha opinião subjetiva e se alguém compartilhar sua experiência nos comentários será interessante saber.
Existem algumas áreas diferentes no SANS (na minha opinião, recentemente a galera aumentou muito o seu número), mas também existem cursos práticos muito interessantes. eu gostei especialmente . Mas a história será sobre o curso e um certificado chamado: .
De todos os tipos de certificações de Segurança Cibernética Industrial oferecidas pela SANS, esta é a mais universal. Já o segundo diz respeito mais aos sistemas Power Grid, que no Ocidente recebem atenção especial e pertencem a uma classe separada de sistemas. E a terceira (na época da minha trajetória de certificação) relacionada à Resposta a Incidentes.
O curso não é barato, mas oferece amplo conhecimento de TI e TO. Será especialmente útil para aqueles camaradas que decidiram mudar de área, por exemplo, de segurança de TI no setor bancário para segurança cibernética industrial. Como eu já tinha experiência na área de sistemas de controle de processos, instrumentação e tecnologia de operação, não havia nada de fundamentalmente novo ou de vital importância para mim neste curso.
O curso consiste em 50% de teoria e 50% de prática. Na prática, o concurso mais interessante foi o NetWars. Durante dois dias, após o curso principal das aulas, todos os alunos de todas as turmas foram divididos em equipes e realizaram tarefas para obter direitos de acesso, extrair as informações necessárias, obter acesso à rede, um monte de tarefas para promover hashes, trabalhar com Wireshark e todos os tipos de guloseimas diferentes.
O material do curso é resumido na forma de livros, que você recebe para uso perpétuo. Aliás, você pode fazer o exame, já que o formato é Open Book, mas não vão te ajudar muito, já que o exame tem 3 horas, 115 questões, e o idioma de entrega é o inglês. Durante as 3 horas inteiras, você pode fazer uma pausa de 15 minutos. Mas lembre-se que ao fazer uma pausa de 15 minutos e retornar aos testes após os 5, você está simplesmente desistindo dos dez minutos restantes, já que não poderá mais parar o tempo no programa de testes. Você pode pular até 15 perguntas, que aparecerão no final.
Pessoalmente, não recomendo deixar muitas dúvidas para depois, porque 3 horas realmente não é tempo suficiente, e quando no final você tem dúvidas que ainda não foram resolvidas, há uma grande probabilidade de não conseguir fazer isso a tempo. Deixei para depois apenas três questões que foram realmente difíceis para mim, pois diziam respeito ao conhecimento do padrão NIST 800.82 e NERC. Psicologicamente, essas perguntas “para mais tarde” atingem seus nervos no final - quando seu cérebro está cansado, você quer ir ao banheiro, o cronômetro na tela parece acelerar exponencialmente.
Em geral, para passar no teste você precisa acertar 71% de respostas corretas. Antes de fazer o exame, você terá a oportunidade de praticar em testes reais - pois o preço inclui 2 testes práticos de 115 questões e com condições semelhantes às do exame real.
Recomendo fazer o exame um mês após a conclusão do treinamento, dedicando este mês ao auto-estudo sistemático sobre as questões em que você se sente inseguro. Seria bom se você pegasse os materiais impressos recebidos durante o curso, que parecem pequenos resumos sobre cada tema - e buscasse propositalmente informações sobre os temas contidos nesses livros. Divida o mês em duas partes, fazendo testes práticos e obtendo uma ideia aproximada de quais áreas você é forte e onde precisa melhorar.
Gostaria de destacar as seguintes áreas principais que compõem o exame em si (não o curso de formação, pois abrange temas muito mais extensos):
- Segurança Física: Assim como outros exames de certificação, esse assunto recebe muita atenção no GICSP. Há dúvidas sobre os tipos de fechaduras físicas nas portas, são descritas situações de falsificação de passes eletrônicos, onde é necessário dar uma resposta para identificar de forma inequívoca o problema. Existem questões diretamente relacionadas à segurança da tecnologia (processo), dependendo da área temática – processos de petróleo e gás, usinas nucleares ou redes elétricas. Por exemplo, pode haver uma pergunta como: Determine que tipo de controle de segurança física é a situação quando um Alarme vem do sensor de temperatura do vapor na IHM? Ou uma pergunta como: Que situação (evento) servirá de motivo para analisar as gravações de vídeo das câmeras de vigilância do sistema de segurança perimetral da instalação?
Em termos percentuais, observo que o número de questões desta secção no meu exame e nos testes práticos não ultrapassou 5%.
- Outra e uma das categorias de questões mais difundidas são as questões sobre sistemas de controle de processos, PLC, SCADA: aqui será necessário abordar sistematicamente o estudo de materiais sobre como os sistemas de controle de processos são estruturados, desde sensores até servidores onde o próprio software aplicativo corre. Um número suficiente de perguntas será encontrado sobre os tipos de protocolos de transferência de dados industriais (ModBus, RTU, Profibus, HART, etc.). Haverá questões sobre como a RTU difere do PLC, como proteger os dados no PLC contra modificação por um invasor, em quais áreas de memória o PLC armazena dados e onde a própria lógica é armazenada (um programa escrito por um programador de sistema de controle de processo ). Por exemplo, pode haver uma pergunta deste tipo: Responda como você pode detectar um ataque entre um CLP e uma IHM que opera utilizando o protocolo ModBus?
Haverá dúvidas sobre as diferenças entre os sistemas SCADA e DCS. Um grande número de perguntas sobre as regras para separar redes automatizadas de controle de processos no nível L1, L2 do nível L3 (descreverei com mais detalhes na seção com perguntas sobre a rede). As questões situacionais sobre este tema também serão muito diversas - elas descrevem a situação na sala de controle e é necessário selecionar ações que devem ser executadas pelo operador do processo ou despachante.
Em geral, esta seção é a mais específica e de perfil restrito. Requer que você tenha bons conhecimentos:
— sistema de controle automatizado, parte de campo (sensores, tipos de conexões de dispositivos, características físicas dos sensores, PLC, RTU);
— sistemas de desligamento de emergência (ESD – sistema de desligamento de emergência) de processos e objetos (aliás, há uma excelente série de artigos sobre esse assunto no Habré de )
— uma compreensão básica dos processos físicos que ocorrem, por exemplo, na refinação de petróleo, na produção de electricidade, em oleodutos, etc.;
— compreensão da arquitetura dos sistemas DCS e SCADA;
Observo que questões desse tipo podem ocorrer em até 25% em todas as 115 questões do exame. - Tecnologias de rede e segurança de rede: Acho que o número de questões deste tópico vem em primeiro lugar no exame. Provavelmente haverá absolutamente tudo - o modelo OSI, em que níveis este ou aquele protocolo opera, muitas dúvidas sobre segmentação de rede, questões situacionais sobre ataques de rede, exemplos de logs de conexão com proposta para determinar o tipo de ataque, exemplos de configurações de switch com proposta para determinar uma configuração vulnerável, questões sobre vulnerabilidades protocolos de rede, questões sobre as especificidades das conexões de rede de protocolos de comunicação industrial. Principalmente as pessoas perguntam muito sobre ModBus. A estrutura dos pacotes de rede do mesmo ModBus, dependendo do seu tipo e das versões suportadas pelo dispositivo. Muita atenção é dada aos ataques a redes sem fio - ZigBee, Wireless HART e simplesmente questões sobre segurança de rede de toda a família 802.1x. Haverá dúvidas sobre as regras para colocação de determinados servidores na rede de sistemas de controle de processos (aqui você precisa ler a norma IEC-62443 e entender os princípios de modelos de referência de redes de sistemas de controle de processos). Haverá perguntas sobre o modelo Purdue.
- Uma categoria de questões que diz respeito exclusivamente às características funcionais do funcionamento dos sistemas de transmissão de eletricidade e dos sistemas de segurança da informação dos mesmos. Nos EUA, esta categoria de sistemas automatizados de controle de processos é chamada Power Grid e recebe uma função separada. Para o efeito, são ainda emitidas normas distintas (NIST 800.82) que regulamentam a abordagem à criação de sistemas de segurança da informação para este sector. Nos nossos países, na maior parte, este sector está limitado aos sistemas ASKUE (corrija-me se alguém tiver visto uma abordagem mais séria para monitorizar os sistemas de distribuição e entrega de electricidade). Portanto, no exame você encontrará questões bastante específicas relacionadas ao Power Grid. Na maior parte, estes foram casos de uso para uma situação específica que se desenvolveu na Central Elétrica, mas também pode haver pesquisas sobre dispositivos que são usados especificamente na Rede Elétrica. Haverá questões abordando o conhecimento das seções do NIST para esta categoria de sistemas.
- Questões relacionadas ao conhecimento das normas: NIST 800-82, NERC, IEC62443. Acho que aqui, sem nenhum comentário especial, você precisa navegar pelas seções das normas, que são responsáveis pelo que e quais recomendações elas contêm. Existem questões específicas, por exemplo, perguntando sobre a frequência de verificação da funcionalidade do sistema, a frequência de atualização do procedimento, etc. Como porcentagem dessas questões, podem ser encontrados até 15% do número total de questões. Mas isso depende. Por exemplo, em dois testes práticos, encontrei apenas algumas perguntas semelhantes. Mas realmente havia muitos deles durante o exame.
- Bem, a última categoria de perguntas são todos os tipos de casos de uso e questões situacionais.
Em geral, a formação em si, com a possível excepção do CTF NetWars, não foi muito informativa para mim em termos de aquisição de conhecimentos potencialmente novos. Pelo contrário, foram adquiridos detalhes mais aprofundados sobre alguns temas, especialmente no domínio da organização e protecção de redes rádio utilizadas para transmitir informação tecnológica, bem como material mais organizado sobre a estrutura de normas estrangeiras dedicadas a este tema. Portanto, para engenheiros e especialistas que possuem conhecimento e experiência suficientes trabalhando com sistemas de controle de processos/sistemas de instrumentação ou Redes Industriais, você pode pensar em economizar em treinamento (e economizar faz sentido), se preparar e ir direto para fazer o exame de certificação, que , aliás, vale 700USD. Em caso de falha, você terá que pagar novamente. Existem muitos centros de certificação que aceitam você para o exame; o principal é se inscrever com antecedência. Em geral, recomendo marcar a data do exame imediatamente, caso contrário você o atrasará constantemente, substituindo o processo de preparação por outros assuntos vitais e não totalmente importantes. E ter um prazo específico deixará você automotivado.
Fonte: habr.com