Salutare tuturor! Portalul preferat al tuturor a avut multe articole diferite despre certificare în domeniul securității informațiilor, așa că nu voi pretinde originalitatea și unicitatea conținutului, dar mi-ar plăcea totuși să împărtășesc experiența mea de obținere a GIAC (Global Information Assurance Company) certificare în domeniul securității cibernetice industriale. De la apariţia unor cuvinte atât de groaznice ca , A început să se formeze , Shamoon, Triton, o piață pentru furnizarea de servicii de specialiști care par a fi IT, dar care pot supraîncărca și PLC-uri cu rescrierea configurației pe scări, iar în același timp centrala nu poate fi oprită.
Așa a apărut conceptul de IT&OT (Information Technology & Operation Technology).
Imediat în continuare (este clar că personalul necalificat nu trebuie lăsat să lucreze) a apărut necesitatea certificării specialiștilor în domeniul care ține de asigurarea securității sistemelor de control al proceselor și a sistemelor industriale - dintre care, se dovedește, există o mulțime de ei în viața noastră, de la o supapă automată de alimentare cu apă într-un apartament la un sistem de control avioanelor (amintiți-vă de articolul excelent despre investigarea problemelor ). Și chiar, după cum sa dovedit brusc, echipamente medicale complexe.
O scurtă versuri despre cum am ajuns la necesitatea obținerii certificării (puteți sări peste ea): După ce am absolvit cu succes studiile la Facultatea de Securitate Informațională la sfârșitul anilor 2000, am pășit în rândurile sistemelor de instrumentare și control cu mine. capul sus, lucrând ca mecanic pentru sistemele de alarmă de securitate cu curent scăzut. Se pare că securitatea informațiilor mi s-a spus la întreprindere la acel moment :) Așa a început cariera mea de specialist în sisteme de control automatizat cu o diplomă de licență în securitatea informațiilor. Șase ani mai târziu, ajungând la rangul de șef al departamentului de sisteme SCADA, am plecat să lucrez ca consultant de securitate pentru sisteme de control industrial într-o companie străină care vând software și echipamente. Aici a apărut nevoia de a fi un specialist certificat în securitatea informațiilor.
este o dezvoltare o organizație care efectuează formarea și certificarea specialiștilor în securitatea informațiilor. Reputația certificatului GIAC este foarte ridicată în rândul specialiștilor și clienților de pe piețele EMEA, SUA și Asia Pacific. Aici, în spațiul post-sovietic și în țările CSI, un astfel de certificat poate fi solicitat doar de companiile străine cu afaceri în țările noastre, agențiile internaționale și de consultanță. Personal, nu am întâlnit niciodată o solicitare pentru o astfel de certificare din partea companiilor autohtone. Practic, toată lumea cere CISSP. Aceasta este părerea mea subiectivă și dacă cineva își împărtășește experiența în comentarii, va fi interesant de știut.
Există destul de multe domenii diferite în SANS (după părerea mea, de curând băieții și-au mărit prea mult numărul), dar există și cursuri practice foarte interesante. Mi-a plăcut în special . Dar povestea va fi despre curs și un certificat numit: .
Dintre toate tipurile de certificări Industrial Cyber Security oferite de SANS, aceasta este cea mai universală. Deoarece al doilea se referă mai mult la sistemele Power Grid, care în Occident primesc o atenție specială și aparțin unei clase separate de sisteme. Iar al treilea (la momentul căii mele de certificare) era legat de răspunsul la incident.
Cursul nu este ieftin, dar oferă cunoștințe destul de extinse despre IT&OT. Va fi util în special pentru acei camarazi care au decis să-și schimbe domeniul, de exemplu de la securitatea IT în industria bancară la Securitatea cibernetică industrială. Deoarece aveam deja o experiență în domeniul sistemelor de control al proceselor, al instrumentării și al tehnologiei de operare, nu a fost nimic fundamental nou sau de importanță vitală pentru mine în acest curs.
Cursul constă în 50% teorie și 50% practică. Din practică, cel mai interesant concurs a fost NetWars. Timp de două zile, după cursul principal al orelor, toți studenții din toate clasele au fost împărțiți în echipe și au efectuat sarcini pentru a obține drepturi de acces, a extrage informațiile necesare, a obține acces la rețea, o grămadă de sarcini pentru promovarea hashurilor, a lucra cu Wireshark și tot felul de bunătăți diferite.
Materialul de curs este rezumat sub formă de cărți, pe care apoi le primiți pentru uz perpetuu. Apropo, le poți lua la examen, deoarece formatul este Open Book, dar nu te vor ajuta prea mult, deoarece examenul are 3 ore, 115 întrebări, iar limba de livrare este engleza. Pe parcursul celor 3 ore, puteți face o pauză de 15 minute. Dar rețineți că, luând o pauză de 15 minute și revenind la teste după 5, renunțați pur și simplu la cele zece minute rămase, deoarece nu veți mai putea opri timpul în programul de testare. Puteți sări peste până la 15 întrebări, care vor apărea apoi la sfârșit.
Personal, nu recomand să lăsați multe întrebări pentru mai târziu, pentru că 3 ore într-adevăr nu sunt timp suficient, iar când la sfârșit aveți întrebări care nu au fost încă rezolvate, există o mare probabilitate de a nu putea face ea la timp. Am lăsat pentru mai târziu doar trei întrebări care mi-au fost cu adevărat dificile, deoarece se refereau la cunoașterea standardului NIST 800.82 și NERC. Din punct de vedere psihologic, astfel de întrebări „pentru mai târziu” îți lovesc nervii la sfârșit - când creierul tău este obosit, vrei să mergi la toaletă, temporizatorul de pe ecran pare să accelereze exponențial.
În general, pentru a trece testul trebuie să obții 71% de răspunsuri corecte. Inainte de sustinerea examenului veti avea ocazia sa exersati pe teste reale - intrucat in pret sunt incluse 2 probe practice de 115 intrebari si cu conditii similare examenului real.
Recomand susținerea examenului la o lună de la finalizarea instruirii, petrecând această lună pe auto-studiu sistematic asupra acelor probleme în care te simți nesigur. Ar fi bine să luați materialele tipărite primite în timpul cursului, care arată ca scurte rezumate pe fiecare subiect - și să căutați intenționat informații despre subiectele cuprinse în aceste cărți. Împărțiți luna în două părți, făcând teste practice și obținând o imagine generală a domeniilor în care sunteți puternic și în care trebuie să vă îmbunătățiți.
Aș dori să evidențiez următoarele domenii principale care compun examenul în sine (nu cursul de formare, deoarece acoperă subiecte mult mai extinse):
- Securitate fizică: La fel ca și altor examene de certificare, acestei probleme i se acordă multă atenție în GICSP. Există întrebări despre tipurile de încuietori fizice de pe uși, sunt descrise situații cu falsificarea permiselor electronice, în care trebuie să oferiți un răspuns pentru a identifica fără ambiguitate problema. Există întrebări legate direct de siguranța tehnologiei (procesului), în funcție de domeniul subiectului - procese de petrol și gaze, centrale nucleare sau rețele electrice. De exemplu, poate exista o întrebare de genul: Determinați ce tip de control al securității fizice este situația când o alarmă vine de la senzorul de temperatură a aburului de pe HMI? Sau o întrebare de genul: Ce situație (eveniment) va servi drept motiv pentru a analiza înregistrările video de la camerele de supraveghere ale sistemului de securitate perimetral al unității?
În termeni procentuali, aș reține că numărul de întrebări din această secțiune la examenul meu și la testele practice nu a depășit 5%.
- O alta si una dintre cele mai raspandite categorii de intrebari sunt intrebarile referitoare la sistemele de control al proceselor, PLC, SCADA: aici va fi necesara abordarea sistematica a studiului materialelor asupra modului in care sunt structurate sistemele de control al proceselor, de la senzori la servere unde insusi aplicatia software. aleargă. Se va găsi un număr suficient de întrebări privind tipurile de protocoale de transfer de date industriale (ModBus, RTU, Profibus, HART etc.). Vor exista întrebări despre cum diferă RTU de PLC, cum să protejăm datele din PLC împotriva modificărilor de către un atacator, în ce zone de memorie PLC stochează datele și unde este stocată logica în sine (un program scris de un programator al sistemului de control al procesului). ). De exemplu, poate exista o întrebare de acest tip: Dați un răspuns la modul în care puteți detecta un atac între un PLC și un HMI care funcționează folosind protocolul ModBus?
Vor fi întrebări despre diferențele dintre sistemele SCADA și DCS. Un număr mare de întrebări privind regulile de separare a rețelelor automate de control al proceselor la nivelul L1, L2 de la nivelul L3 (voi descrie mai detaliat în secțiunea cu întrebări despre rețea). Întrebările situaționale pe această temă vor fi, de asemenea, foarte diverse - ele descriu situația din camera de control și trebuie să selectați acțiunile care trebuie efectuate de operatorul de proces sau de dispecer.
În general, această secțiune este cea mai specifică și mai îngustă. Vă cere să aveți cunoștințe bune:
— sistem de control automat, partea de câmp (senzori, tipuri de conexiuni ale dispozitivelor, caracteristici fizice ale senzorilor, PLC, RTU);
— sisteme de oprire de urgență (ESD – sistem de oprire de urgență) a proceselor și obiectelor (apropo, există o serie excelentă de articole pe această temă pe Habré din )
— o înțelegere de bază a proceselor fizice care au loc, de exemplu, în rafinarea petrolului, producerea de energie electrică, conducte etc.;
— înțelegerea arhitecturii sistemelor DCS și SCADA;
Aș reține că întrebările de acest tip pot apărea până la 25% în toate cele 115 întrebări ale examenului. - Tehnologii de rețea și securitatea rețelei: Cred că numărul de întrebări din acest subiect este pe primul loc la examen. Probabil că va fi absolut totul - modelul OSI, la ce niveluri funcționează acest sau acel protocol, multe întrebări despre segmentarea rețelei, întrebări situaționale privind atacurile de rețea, exemple de jurnale de conexiune cu o propunere pentru a determina tipul de atac, exemple de configurații de comutatoare cu o propunere de determinare a unei configurații vulnerabile, întrebări privind vulnerabilitățile protocoalelor de rețea, întrebări privind specificul conexiunilor de rețea ale protocoalelor de comunicații industriale. Oamenii întreabă mult mai ales despre ModBus. Structura pachetelor de rețea ale aceluiași ModBus, în funcție de tipul acestuia și de versiunile suportate de dispozitiv. Se acordă multă atenție atacurilor asupra rețelelor wireless - ZigBee, Wireless HART și pur și simplu întrebărilor despre securitatea rețelei a întregii familii 802.1x. Vor exista întrebări despre regulile de plasare a anumitor servere în rețeaua sistemului de control al proceselor (aici trebuie să citiți standardul IEC-62443 și să înțelegeți principiile modelelor de referință ale rețelelor sistemelor de control al proceselor). Vor fi întrebări despre modelul Purdue.
- O categorie de probleme care se referă exclusiv la caracteristicile funcționale ale funcționării sistemelor de transport de energie electrică și a sistemelor de securitate a informațiilor pentru acestea. În SUA, această categorie de sisteme automate de control al proceselor se numește Power Grid și i se atribuie un rol separat. În acest scop, sunt chiar emise standarde separate (NIST 800.82) care reglementează abordarea creării sistemelor de securitate a informațiilor pentru acest sector. În țările noastre, în cea mai mare parte, acest sector este limitat la sistemele ASKUE (corectează-mă dacă cineva a văzut o abordare mai serioasă a monitorizării sistemelor de distribuție și livrare a energiei electrice). Deci, la examen vei găsi întrebări destul de specifice legate de Power Grid. În cea mai mare parte, acestea au fost cazuri de utilizare pentru o situație specifică care s-a dezvoltat la centrala electrică, dar pot exista și sondaje asupra dispozitivelor care sunt utilizate în mod specific în rețeaua electrică. Vor exista întrebări referitoare la cunoștințele secțiunilor NIST pentru această categorie de sisteme.
- Întrebări legate de cunoașterea standardelor: NIST 800-82, NERC, IEC62443. Cred că aici fără comentarii speciale - trebuie să navigați în secțiunile standardelor, care este responsabil pentru ce și ce recomandări conține. Există întrebări specifice, de exemplu, întrebând frecvența verificării funcționalității sistemului, frecvența actualizării procedurii etc. Ca procent din astfel de întrebări, pot fi întâlnite până la 15% din numărul total de întrebări. Dar depinde. De exemplu, la două teste practice am întâlnit doar câteva întrebări similare. Dar chiar au fost mulți în timpul examenului.
- Ei bine, ultima categorie de întrebări este tot felul de cazuri de utilizare și întrebări situaționale.
În general, instruirea în sine, cu posibila excepție a CTF NetWars, nu a fost foarte informativă pentru mine în ceea ce privește dobândirea de cunoștințe potențial noi. Mai degrabă, s-au dobândit detalii mai aprofundate asupra unor subiecte, în special în domeniul organizării și protejării rețelelor radio utilizate pentru transmiterea informațiilor tehnologice, precum și material mai organizat privind structura standardelor străine dedicate acestei teme. Prin urmare, pentru inginerii și specialiștii care au suficiente cunoștințe și experiență în lucrul cu sisteme de control al proceselor/sisteme de instrumente sau rețele industriale, vă puteți gândi la economisirea în formare (și economisirea are sens), pregătiți-vă și mergeți direct la examenul de certificare, care , apropo, valorează 700 USD. În caz de eșec, va trebui să plătiți din nou. Există o mulțime de centre de certificare care te vor accepta pentru examen, principalul lucru este să aplici în avans. În general, recomand să stabiliți imediat data examenului, pentru că altfel o veți întârzia constant, înlocuind procesul de pregătire cu alte chestiuni vitale și nu în totalitate importante. Și a avea o anumită dată limită te va face să te automotivezi.
Sursa: www.habr.com