Ahojte všetci! Na mojom obľúbenom portáli bolo publikovaných veľa rôznych článkov o certifikácii informačnej bezpečnosti, takže si nerobím nárok na originalitu alebo jedinečnosť obsahu, ale aj tak by som sa rád podelil o svoje skúsenosti so získaním certifikácie GIAC (Global Information Assurance Company) v oblasti priemyselnej kybernetickej bezpečnosti. Odkedy sa objavili také strašidelné slová ako , , Shamoon, Triton, sa postupne začal formovať trh pre poskytovanie služieb špecialistami, ktorí sú údajne IT, ale dokážu aj preťažiť PLC prepísaním konfigurácie do rebríčkov bez zastavenia zariadenia.
Takto sa zrodil koncept IT&OT (Informačné technológie a prevádzkové technológie).
Hneď nato (je zrejmé, že nekvalifikovaný personál nemôže mať povolené pracovať) vznikla potreba certifikovať špecialistov v oblasti súvisiacej so zabezpečovaním bezpečnosti automatizovaných systémov riadenia procesov, priemyselných systémov - ktorých je, ako sa ukázalo, v našich životoch veľa, od automatického ventilu prívodu vody v byte až po systém riadenia lietadla (pamätajte si na vynikajúci článok o vyšetrovaní problémov ). A dokonca, ako sa zrazu ukázalo, aj zložité zdravotnícke vybavenie.
Malý lyrický príbeh o tom, ako som dospel k potrebe certifikácie (môžete to preskočiť): Po úspešnom absolvovaní Fakulty informačnej bezpečnosti koncom prvého desaťročia 21. storočia som hrdo vstúpil do radov odvetvia prístrojových a riadiacich systémov (ICP), pracoval som ako mechanik pre slaboprúdové bezpečnostné poplašné systémy. Myslím, že to mi vtedy povedali vo firme. :) Tak sa začala moja kariéra špecialistu na priemyselné riadiace systémy (ICS) s bakalárskym titulom v odbore informačná bezpečnosť. O šesť rokov neskôr, keď som sa povýšil na vedúceho oddelenia SCADA systémov, som nastúpil ako konzultant pre bezpečnosť priemyselných riadiacich systémov pre zahraničného dodávateľa softvéru a hardvéru. Vtedy vznikla potreba stať sa certifikovaným špecialistom na informačnú bezpečnosť.
je vývoj Organizácia, ktorá poskytuje školenia a certifikácie pre špecialistov v oblasti informačnej bezpečnosti. Certifikát GIAC má veľmi vysokú reputáciu medzi profesionálmi a klientmi na trhoch EMEA, USA a Ázie a Tichomoria. V bývalom Sovietskom zväze a SNŠ si o takýto certifikát môžu požiadať iba zahraničné spoločnosti podnikajúce v našich krajinách, ako aj medzinárodné a konzultačné agentúry. Osobne som sa nikdy nestretol so žiadosťou o takúto certifikáciu od domácich spoločností. Väčšinou všetci žiadajú o CISSP. Toto je môj subjektívny názor a ak sa niekto podelí o svoje skúsenosti v komentároch, rád si o tom prečítam.
SANS má pomerne rozmanité kurzy (podľa môjho názoru ich v poslednej dobe príliš rozšírili), ale sú tam aj veľmi zaujímavé praktické kurzy. Obzvlášť sa mi páčili Ale príbeh bude o kurze a osvedčenie s názvom: .
Zo všetkých certifikácií v oblasti priemyselnej kybernetickej bezpečnosti, ktoré SANS ponúka, je táto najkomplexnejšia. Druhá sa viac zameriava na systémy energetických sietí, ktorým sa na Západe venuje osobitná pozornosť a považujú sa za samostatnú triedu systémov. Tretia (v čase mojej certifikácie) sa zameriavala na reakciu na incidenty.
Kurz nie je lacný, ale poskytuje pomerne komplexné znalosti o IT a OT. Bude obzvlášť užitočný pre tých súdruhov, ktorí sa rozhodli zmeniť svoj odbor, napríklad z IT bezpečnosti v bankovníctve na priemyselnú kybernetickú bezpečnosť. Keďže som už mal skúsenosti s APCS, prístrojovou technikou a operačnými technológiami, tento kurz pre mňa nebol nič zásadne nové ani dôležité.
Kurz pozostával z 50 % teórie a 50 % praktickej časti. Najzaujímavejšou praktickou časťou bola súťaž NetWars. Počas dvoch dní, po hlavnom kurze, boli študenti všetkých ročníkov rozdelení do tímov a plnili úlohy zahŕňajúce získanie prístupových práv, extrakciu potrebných informácií, získanie prístupu k sieti, množstvo úloh na prelomenie hashov, prácu s Wiresharkom a všetky možné ďalšie výhody.
Materiál kurzu je zhrnutý v knihách, ktoré potom dostanete na neobmedzené používanie. Mimochodom, tieto knihy si môžete vziať aj na skúšku, keďže ide o otvorenú knihu, ale veľmi vám nepomôžu, keďže skúška trvá 3 hodiny, má 115 otázok a je v angličtine. Počas celých 3 hodín si môžete dať 15-minútovú prestávku. Majte však na pamäti, že 15-minútová prestávka a návrat k testom po 5 minútach je len premárnením zvyšných 10 minút, pretože test už nemôžete ďalej pozastaviť. Môžete preskočiť až 15 otázok, ktoré sa zobrazia úplne na konci.
Osobne neodporúčam nechávať si príliš veľa otázok na neskôr, pretože tri hodiny sú naozaj málo a keď na konci máte nezodpovedané otázky, existuje vysoké riziko, že zmeškáte termín. Ja som si na neskôr nechal iba tri otázky, ktoré boli pre mňa skutočne náročné, pretože sa týkali znalosti noriem NIST 800.82 a NERC. Z psychologického hľadiska sú tieto otázky na samom konci nervy drásajúce – keď je váš mozog unavený, potrebujete cikať a časovač na obrazovke sa zdá byť exponenciálne zrýchlený.
Celkovo na úspešné absolvovanie testu musíte dosiahnuť 71 % správnych odpovedí. Pred samotnou skúškou budete mať možnosť precvičiť si testy – cena zahŕňa dva praktické testy so 115 otázkami, každý s rovnakými podmienkami ako pri skutočnej skúške.
Odporúčam absolvovať skúšku mesiac po ukončení školenia a tento mesiac systematicky a samostatne študovať témy, o ktorých si nie ste istí. Je dobré vziať si tlačené materiály, ktoré ste dostali počas kurzu – slúžia ako stručné prehľady každej témy – a cielene si preštudovať témy preberané v týchto knihách. Rozdeľte si mesiac na dve časti a absolvujte praktické testy, aby ste získali približnú predstavu o svojich silných stránkach a oblastiach, v ktorých sa potrebujete zlepšiť.
Rád by som zdôraznil nasledujúce hlavné oblasti, ktoré tvoria samotnú skúšku (nie samotný kurz, keďže pokrýva oveľa širšie témy):
- Fyzická bezpečnosť: Rovnako ako pri iných certifikačných skúškach, aj tejto téme je v GICSP venovaná značná pozornosť. Otázky sa týkajú rôznych typov fyzických zámkov dverí a opisujú situácie týkajúce sa falšovaných elektronických prístupových kariet, čo si vyžaduje jasnú identifikáciu problému. Existujú aj otázky priamo súvisiace s bezpečnosťou technológií (procesov) v závislosti od predmetnej oblasti – ropné a plynárenské procesy, jadrové elektrárne alebo energetické siete. Otázka môže napríklad znieť: Určte, aký typ fyzickej bezpečnostnej kontroly je použitý, keď sa prijme alarm zo snímača teploty pary na HMI? Alebo otázka typu: Aká situácia (udalosť) by spustila analýzu videozáznamov z obvodového bezpečnostného systému zariadenia?
V percentuálnom vyjadrení by som poznamenal, že počet otázok v tejto časti v mojej skúške a v praktických testoch nepresiahol 5 %.
- Ďalšia a jedna z najbežnejších kategórií otázok sa týka systémov riadenia procesov, PLC a SCADA. Tu je potrebný systematický prístup k štúdiu materiálov o štruktúre systémov riadenia procesov, od senzorov až po servery hostujúce aplikačný softvér. Bude sa klásť značný počet otázok o rôznych typoch priemyselných protokolov prenosu dát (ModBus, RTU, Profibus, HART atď.). Otázky budú zahŕňať rozdiely medzi RTU a PLC, ako chrániť dáta PLC pred škodlivou úpravou, kde pamäť PLC ukladá dáta a kde je uložená samotná logika (program napísaný programátorom riadenia procesov). Napríklad by sa dala položiť otázka, ako je táto: Ako možno zistiť útok medzi PLC a HMI pracujúcim prostredníctvom protokolu ModBus?
Stretnete sa s otázkami o rozdieloch medzi systémami SCADA a DCS. Veľké množstvo otázok sa týka pravidiel oddelenia sietí APCS L1 a L2 od L3 (podrobnejšie sa tomu budem venovať v časti o sieťových otázkach). Situačné otázky na túto tému budú tiež veľmi rozmanité – opisujú situáciu v riadiacej miestnosti a vyžadujú výber akcií, ktoré má vykonať operátor procesu alebo dispečer.
Celkovo je táto sekcia najšpecifickejšia a vysoko špecializovaná. Bude si vyžadovať dobrú znalosť:
— automatizovaný riadiaci systém, poľná časť (senzory, typy pripojenia zariadení, fyzikálne vlastnosti senzorov, PLC, RTU);
— systémy núdzového vypnutia (ESD) procesov a objektov (mimochodom, na Habr je vynikajúca séria článkov na túto tému )
- základné pochopenie fyzikálnych procesov, ktoré prebiehajú napríklad pri rafinácii ropy, výrobe energie, ropovodoch atď.;
— pochopenie štruktúry architektúr systémov DCS a SCADA;
Poznamenal by som, že otázky tohto typu sa môžu vyskytnúť až v 25 % zo 115 otázok v skúške. - Sieťové technológie a sieťová bezpečnosť: Myslím si, že počet otázok v skúške na túto tému je prvoradý. Pravdepodobne bude pokrývať všetko od modelu OSI a vrstiev, na ktorých každý protokol funguje, cez početné otázky týkajúce sa segmentácie siete, situačné otázky týkajúce sa sieťových útokov, príklady protokolov pripojení, ktoré žiadajú študentov o identifikáciu typu útoku, príklady konfigurácie prepínačov, ktoré žiadajú študentov o identifikáciu zraniteľných konfigurácií, otázky týkajúce sa zraniteľností sieťových protokolov a otázky týkajúce sa špecifík sieťových pripojení priemyselného komunikačného protokolu. Obzvlášť často sa kladie otázka ModBus, ako aj štruktúra sieťových paketov ModBus v závislosti od jeho typu a verzií podporovaných zariadením. Veľká pozornosť sa venuje útokom na bezdrôtové siete – ZigBee, bezdrôtový HART a otázky týkajúce sa sieťovej bezpečnosti pre celú rodinu 802.1x. Budú sa objavovať aj otázky týkajúce sa pravidiel nasadzovania špecifických serverov v sieti APCS (čo si vyžaduje prečítanie normy IEC-62443 a pochopenie princípov referenčných modelov siete APCS). Budú sa objavovať aj otázky týkajúce sa modelu Purdue.
- Kategória otázok, ktorá sa týka výlučne funkčných vlastností systémov prenosu energie a s nimi súvisiacich systémov informačnej bezpečnosti. V USA sa táto kategória automatizovaných systémov riadenia procesov nazýva „energetická sieť“ a má osobitnú úlohu. Boli dokonca vydané špecifické normy (NIST 800.82), ktoré upravujú prístup k vytváraniu systémov informačnej bezpečnosti pre tento sektor. V našich krajinách je tento sektor väčšinou obmedzený na automatizované systémy merania energie (prosím, opravte ma, ak sa niekto stretol so serióznejším prístupom k monitorovaniu systémov distribúcie a dodávky energie). Preto sa na skúške stretnete s pomerne špecifickými otázkami týkajúcimi sa energetickej siete. Väčšina z nich sú prípady použitia pre konkrétnu situáciu v elektrárni, ale môžu sa vyskytnúť aj otázky týkajúce sa zariadení používaných špecificky v energetickej sieti. Budú sa vyskytovať aj otázky týkajúce sa znalosti sekcií NIST pre túto kategóriu systémov.
- Otázky týkajúce sa znalosti noriem: NIST 800-82, NERC, IEC62443. Myslím si, že tu nie je veľa čo dodať – treba sa oboznámiť s jednotlivými časťami noriem, pričom každá z nich je za čo zodpovedná a aké odporúčania obsahujú. Sú tu aj špecifické otázky, napríklad otázky týkajúce sa frekvencie kontrol funkčnosti systému, frekvencie aktualizácií postupov atď. Takéto otázky môžu tvoriť až 15 % z celkového počtu otázok. Záleží však na šťastí. Napríklad som sa s niekoľkými takýmito otázkami stretol len na dvoch cvičných testoch. Ale na skúške ich bolo veľa.
- Poslednou kategóriou otázok sú všetky druhy prípadov použitia a situačných otázok.
Celkovo samotné školenie, s možnou výnimkou CTF NetWars, nebolo z hľadiska získavania nových vedomostí nijako zvlášť informatívne. Skôr som sa dozvedel hlbšie podrobnosti o určitých témach, najmä v oblasti organizácie a ochrany rádiových sietí používaných na prenos procesných informácií, ako aj štruktúrovanejší materiál o štruktúre medzinárodných noriem na túto tému. Preto by inžinieri a špecialisti s dostatočnými znalosťami a skúsenosťami s prácou so systémami riadenia procesov/prístrojovými systémami alebo priemyselnými sieťami mohli zvážiť úsporu peňazí na školení (a úspora má zmysel), samostatnú prípravu a okamžité absolvovanie certifikačnej skúšky, ktorá mimochodom stojí 700 USD. Ak neuspejete, budete musieť zaplatiť znova. Existuje veľa certifikačných centier, ktoré vás na skúšku prijmú; kľúčom je prihlásiť sa vopred. Vo všeobecnosti odporúčam stanoviť si termín skúšky hneď, pretože inak ju budete neustále odkladať a nahrádzať proces prípravy inými, dôležitými a nedôležitými záležitosťami. Konkrétny termín vám pomôže zostať motivovaný.
Zdroj: hab.com
