Ahojte všetci! Obľúbený portál každého mal veľa rôznych článkov o certifikácii v oblasti informačnej bezpečnosti, takže si nebudem nárokovať originalitu a jedinečnosť obsahu, ale aj tak by som sa rád podelil o svoje skúsenosti so získaním GIAC (Global Information Assurance Company) certifikácia v oblasti priemyselnej kybernetickej bezpečnosti. Od objavenia sa takých hrozných slov ako , , Shamoon, Triton, sa začal formovať trh poskytovania služieb špecialistov, ktorí sa zdajú byť IT, ale dokážu zahltiť aj PLC prepisovaním konfigurácie na rebríky a zároveň sa závod nedá zastaviť.
Takto prišiel na svet koncept IT&OT (Information Technology & Operation Technology).
Hneď potom (je jasné, že nekvalifikovaný personál by nemal mať dovolené pracovať) prišla potreba certifikovať špecialistov v oblasti súvisiacej so zaistením bezpečnosti systémov riadenia procesov a priemyselných systémov – ktorých, ako sa ukazuje, je veľa. v našom živote, od automatického vodovodného ventilu v byte až po riadiaci systém lietadiel (spomeňte si na výborný článok o vyšetrovaní problémov ). A dokonca, ako sa zrazu ukázalo, zložité lekárske vybavenie.
Krátky text o tom, ako som prišiel k potrebe získať certifikáciu (môžete preskočiť): Po úspešnom ukončení štúdia na Fakulte informačnej bezpečnosti koncom XNUMX-tych rokov som hlavou vkročil medzi prístrojové ovečky. pracoval ako mechanik pre slaboprúdové zabezpečovacie systémy. Zdá sa mi, že informačnú bezpečnosť mi v tom čase povedali v podniku :) Takto začala moja kariéra špecialistu na automatizované riadiace systémy s bakalárskym titulom v odbore informačná bezpečnosť. O šesť rokov neskôr, keď som sa dostal do pozície vedúceho oddelenia SCADA systémov, som odišiel pracovať ako bezpečnostný konzultant pre priemyselné riadiace systémy v zahraničnej spoločnosti, ktorá predáva softvér a zariadenia. Tu vznikla potreba byť certifikovaným špecialistom na informačnú bezpečnosť.
je vývoj organizácia, ktorá vykonáva školenia a certifikáciu špecialistov informačnej bezpečnosti. Povesť certifikátu GIAC je medzi odborníkmi a zákazníkmi na trhoch EMEA, USA a Ázie a Tichomoria veľmi vysoká. U nás, v postsovietskom priestore a v krajinách SNŠ o takýto certifikát môžu požiadať len zahraničné spoločnosti pôsobiace v našich krajinách, medzinárodné a poradenské agentúry. Osobne som sa nikdy nestretol so žiadosťou o takúto certifikáciu od domácich firiem. Každý v podstate žiada CISSP. Toto je môj subjektívny názor a ak sa niekto podelí o svoje skúsenosti v komentároch, bude zaujímavé vedieť.
V SANS je pomerne veľa rôznych oblastí (podľa mňa ich v poslednej dobe chalani až príliš rozšírili), ale sú tu aj veľmi zaujímavé praktické kurzy. Obzvlášť sa mi to páčilo . Príbeh však bude o priebehu a certifikát s názvom: .
Zo všetkých typov certifikácií priemyselnej kybernetickej bezpečnosti, ktoré ponúka SANS, je táto najuniverzálnejšia. Keďže druhý sa týka skôr systémov Power Grid, ktorým sa na Západe venuje osobitná pozornosť a patria do samostatnej triedy systémov. A tretí (v čase mojej certifikačnej cesty) sa týkal reakcie na incidenty.
Kurz nie je lacný, ale poskytuje pomerne rozsiahle znalosti z IT&OT. Bude sa hodiť najmä tým súdruhom, ktorí sa rozhodli zmeniť svoj odbor, napríklad z IT bezpečnosti v bankovníctve na priemyselnú kybernetickú bezpečnosť. Keďže som už mal skúsenosti v oblasti systémov riadenia procesov, prístrojovej a prevádzkovej techniky, v tomto kurze nebolo pre mňa nič zásadne nové alebo životne dôležité.
Kurz pozostáva z 50% teórie a 50% praxe. Z praxe bola najzaujímavejšia súťaž NetWars. Dva dni po hlavnom kurze boli všetci študenti všetkých tried rozdelení do tímov a plnili úlohy na získanie prístupových práv, extrahovanie potrebných informácií, získanie prístupu do siete, kopu úloh na propagáciu hash, prácu s Wireshark a všelijaké rôzne dobroty.
Materiál kurzu je zhrnutý vo forme kníh, ktoré potom dostanete na večné používanie. Mimochodom, môžete si ich vziať na skúšku, keďže formát je Open Book, ale veľmi vám nepomôžu, keďže skúška má 3 hodiny, 115 otázok a jazykom doručenia je angličtina. Počas celých 3 hodín si môžete urobiť prestávku 15 minút. Majte však na pamäti, že 15-minútovou prestávkou a návratom k testom po 5 sa jednoducho vzdávate zvyšných desiatich minút, pretože už nebudete môcť zastaviť čas v testovacom programe. Môžete preskočiť až 15 otázok, ktoré sa potom objavia na samom konci.
Osobne neodporúčam nechávať veľa otázok na neskôr, pretože 3 hodiny je naozaj málo času a keď máte na konci ešte nevyriešené otázky, je veľká pravdepodobnosť, že to nezvládnete. to v čase. Na neskôr som si nechal len tri otázky, ktoré boli pre mňa naozaj ťažké, keďže sa týkali znalosti štandardu NIST 800.82 a NERC. Psychologicky vám takéto otázky „na neskôr“ zasiahli nervy na samom konci – keď je váš mozog unavený, chcete ísť na záchod, zdá sa, že časovač na obrazovke sa exponenciálne zrýchľuje.
Vo všeobecnosti na úspešné absolvovanie testu potrebujete získať 71 % správnych odpovedí. Pred skúškou budete mať možnosť precvičiť si reálne testy - nakoľko v cene sú 2 cvičné testy po 115 otázok a s podmienkami podobnými skutočnej skúške.
Skúšku odporúčam absolvovať mesiac po absolvovaní školenia, tento mesiac venovať systematickému samoštúdiu tých otázok, v ktorých sa cítite neisto. Bolo by fajn, keby ste si vzali tlačené materiály, ktoré ste dostali počas kurzu, ktoré vyzerajú ako krátke abstrakty ku každej téme – a cielene hľadali informácie o témach obsiahnutých v týchto knihách. Rozdeľte mesiac na dve časti, urobte si cvičné testy a urobte si hrubý obraz o tom, v ktorých oblastiach ste silní a kde sa potrebujete zlepšiť.
Chcel by som zdôrazniť nasledujúce hlavné oblasti, ktoré tvoria samotnú skúšku (nie výcvikový kurz, pretože zahŕňa oveľa rozsiahlejšie témy):
- Fyzická bezpečnosť: Podobne ako pri iných certifikačných skúškach sa tejto problematike venuje veľká pozornosť v GICSP. Sú tu otázky o typoch fyzických zámkov na dverách, sú popísané situácie s falšovaním elektronických preukazov, kde je potrebné dať odpoveď na jednoznačnú identifikáciu problému. Existujú otázky priamo súvisiace s bezpečnosťou technológie (procesu), v závislosti od predmetnej oblasti – ropné a plynárenské procesy, jadrové elektrárne alebo energetické siete. Môže tu byť napríklad otázka: Určte, o aký typ kontroly fyzickej bezpečnosti ide, keď prichádza alarm zo snímača teploty pary na HMI? Alebo otázka typu: Aká situácia (udalosť) bude slúžiť ako dôvod na analýzu videozáznamov z kamier obvodového bezpečnostného systému objektu?
V percentuálnom vyjadrení by som poznamenal, že počet otázok v tejto časti v mojej skúške a v cvičných testoch nepresiahol 5 %.
- Ďalšou a jednou z najrozšírenejších kategórií otázok sú otázky na systémy riadenia procesov, PLC, SCADA: tu bude potrebné systematicky pristupovať k štúdiu materiálov o štruktúre systémov riadenia procesov, od senzorov až po servery, kde samotný aplikačný softvér beží. Dostatočný počet otázok sa nájde k typom priemyselných protokolov prenosu dát (ModBus, RTU, Profibus, HART atď.). Budú otázky o tom, ako sa RTU líši od PLC, ako chrániť dáta v PLC pred modifikáciou útočníkom, v ktorých pamäťových oblastiach PLC ukladá dáta a kde je uložená samotná logika (program napísaný programátorom systému riadenia procesov ). Môže tu byť napríklad otázka tohto typu: Odpovedzte na to, ako môžete zistiť útok medzi PLC a HMI, ktoré fungujú pomocou protokolu ModBus?
Budú otázky týkajúce sa rozdielov medzi systémami SCADA a DCS. Veľké množstvo otázok k pravidlám oddeľovania sietí automatizovaného riadenia procesov na úrovni L1, L2 od úrovne L3 (podrobnejšie popíšem v časti s otázkami o sieti). Situačné otázky k tejto téme budú tiež veľmi rôznorodé – popisujú situáciu vo velíne a je potrebné vybrať úkony, ktoré musí vykonať operátor procesu alebo dispečer.
Vo všeobecnosti je táto sekcia najšpecifickejšia a najužšia. Vyžaduje, aby ste mali dobré znalosti:
— automatizovaný riadiaci systém, poľná časť (snímače, typy pripojení zariadení, fyzikálne vlastnosti snímačov, PLC, RTU);
— núdzové vypínacie systémy (ESD – emergency shutdown system) procesov a objektov (mimochodom na Habré je výborná séria článkov na túto tému z r. )
— základné pochopenie fyzikálnych procesov, ktoré sa vyskytujú napríklad pri rafinácii ropy, výrobe elektriny, potrubí atď.;
— pochopenie architektúry systémov DCS a SCADA;
Chcel by som poznamenať, že otázky tohto typu sa môžu vyskytnúť až v 25 % vo všetkých 115 otázkach skúšky. - Sieťové technológie a sieťová bezpečnosť: Myslím si, že počet otázok v tejto téme je na skúške na prvom mieste. Bude tam asi úplne všetko - OSI model, na akých úrovniach funguje ten či onen protokol, veľa otázok na segmentáciu siete, situačné otázky na sieťové útoky, príklady logov pripojení s návrhom na určenie typu útoku, príklady konfigurácií prepínačov. s návrhom na určenie zraniteľnej konfigurácie, otázky na zraniteľnosti sieťových protokolov, otázky na špecifiká sieťových pripojení priemyselných komunikačných protokolov. Ľudia sa veľa pýtajú najmä na ModBus. Štruktúra sieťových paketov rovnakého ModBus v závislosti od jeho typu a verzií podporovaných zariadením. Veľká pozornosť je venovaná útokom na bezdrôtové siete - ZigBee, Wireless HART a jednoducho otázkam o sieťovej bezpečnosti celej rodiny 802.1x. Budú otázky týkajúce sa pravidiel pre umiestnenie určitých serverov v sieti systémov riadenia procesov (tu si musíte prečítať normu IEC-62443 a pochopiť princípy referenčných modelov sietí systémov riadenia procesov). Budú otázky týkajúce sa modelu Purdue.
- Kategória problémov, ktorá sa týka výlučne funkčných vlastností prevádzky elektrických prenosových sústav a systémov informačnej bezpečnosti pre ne. V USA sa táto kategória automatizovaných systémov riadenia procesov nazýva Power Grid a je jej pridelená samostatná úloha. Na tento účel sú dokonca vydané samostatné štandardy (NIST 800.82) upravujúce prístup k tvorbe systémov informačnej bezpečnosti pre tento sektor. V našich krajinách je tento sektor väčšinou obmedzený na systémy ASKUE (opravte ma, ak niekto videl serióznejší prístup k monitorovaniu systémov distribúcie a dodávky elektriny). V skúške teda nájdete celkom špecifické otázky týkajúce sa Power Grid. Z veľkej časti to boli prípady použitia pre konkrétnu situáciu, ktorá sa vyvinula v Elektrárni, ale môžu existovať aj prieskumy zariadení, ktoré sa používajú špeciálne v Power Grid. Budú tu otázky týkajúce sa znalostí sekcií NIST pre túto kategóriu systémov.
- Otázky súvisiace so znalosťou noriem: NIST 800-82, NERC, IEC62443. Myslím, že tu bez špeciálnych komentárov - musíte sa pohybovať v sekciách noriem, kto je zodpovedný za to, čo a aké odporúčania obsahuje. Sú tam konkrétne otázky, napríklad na frekvenciu kontroly funkčnosti systému, frekvenciu aktualizácie postupu atď. V percentách takýchto otázok sa možno stretnúť až s 15 % z celkového počtu otázok. Ale záleží. Napríklad na dvoch cvičných testoch som narazil len na pár podobných otázok. Ale na skúške ich bolo naozaj veľa.
- Poslednou kategóriou otázok sú všetky druhy prípadov použitia a situačné otázky.
Vo všeobecnosti samotné školenie, možno s výnimkou CTF NetWars, nebolo pre mňa veľmi informatívne z hľadiska získavania potenciálne nových vedomostí. Získali sa skôr hlbšie detaily niektorých tém, najmä v oblasti organizácie a ochrany rádiových sietí využívaných na prenos technologických informácií, ako aj organizovanejší materiál o štruktúre zahraničných noriem venovaných tejto téme. Preto pre inžinierov a špecialistov, ktorí majú dostatočné znalosti a skúsenosti s prácou so systémami riadenia procesov/prístrojovými systémami alebo priemyselnými sieťami, môžete popremýšľať o úspore na školení (a šetrenie má zmysel), pripraviť sa a ísť rovno na certifikačnú skúšku, ktorá , mimochodom, má hodnotu 700 USD. V prípade zlyhania budete musieť zaplatiť znova. Existuje veľa certifikačných centier, ktoré vás na skúšku prijmú, hlavná vec je prihlásiť sa vopred. Vo všeobecnosti odporúčam stanoviť si termín skúšky hneď, pretože inak ho budete neustále odkladať a nahrádzať prípravný proces inými životne dôležitými a nie úplne dôležitými záležitosťami. A keď budete mať konkrétny dátum uzávierky, budete motivovaní.
Zdroj: hab.com