Pozdravljeni vsi skupaj! Vsem najljubši portal je imel veliko različnih člankov o certificiranju na področju informacijske varnosti, zato ne bom zahteval izvirnosti in edinstvenosti vsebine, vendar bi vseeno rad delil svojo izkušnjo s pridobitvijo GIAC (Global Information Assurance Company) certificiranje na področju industrijske kibernetske varnosti. Od pojava tako strašnih besed, kot , , Shamoon, Triton, začeli so nastajati trg za opravljanje storitev strokovnjakov, ki so navidezno IT, lahko pa tudi preobremenijo PLC-je s prepisovanjem konfiguracije na lestvicah, hkrati pa obrata ni mogoče ustaviti.
Tako je na svet prišel koncept IT&OT (Information Technology & Operation Technology).
Takoj zatem (jasno je, da nekvalificirano osebje ne bi smelo delati) je prišla na vrsto potreba po certificiranju specialistov na področju zagotavljanja varnosti sistemov vodenja procesov in industrijskih sistemov - teh je, kot kaže, zelo veliko. v naših življenjih, od avtomatskega vodovodnega ventila v stanovanju do nadzornega sistema letal (spomnite se odličnega članka o raziskovanju težav ). In celo, kot se je nenadoma izkazalo, zapleteno medicinsko opremo.
Kratek tekst o tem, kako sem prišel do potrebe po pridobitvi certifikata (lahko ga preskočite): Po uspešno zaključenem študiju na Fakulteti za informacijsko varnost konec XNUMX-ih sem z glavo stopil med instrumentalne ovce. držal visoko, delal kot mehanik za slabotočne varnostne alarmne sisteme. Zdi se, kot da so mi informacijsko varnost takrat povedali v podjetju :) Tako se je začela moja kariera specialista za avtomatizirane sisteme vodenja z diplomo iz informacijske varnosti. Šest let kasneje, ko sem napredoval do vodje oddelka SCADA sistemov, sem odšel delati kot varnostni svetovalec za industrijske nadzorne sisteme v tujem podjetju, ki prodaja programsko opremo in opremo. Tu se je pojavila potreba po certificiranem strokovnjaku za informacijsko varnost.
je razvoj organizacija, ki izvaja usposabljanje in certificiranje strokovnjakov za informacijsko varnost. Ugled certifikata GIAC je med strokovnjaki in strankami na trgih EMEA, ZDA in azijsko-pacifiškega območja zelo visok. Pri nas, v postsovjetskem prostoru in v državah SND, lahko za tak certifikat zahtevajo le tuja podjetja, ki poslujejo v naših državah, mednarodne in svetovalne agencije. Osebno se še nisem srečal s prošnjo za tako certificiranje domačih podjetij. V bistvu vsi sprašujejo po CISSP. To je moje subjektivno mnenje in če kdo deli svoje izkušnje v komentarjih, bo zanimivo vedeti.
V SANS je kar nekaj različnih področij (po mojem mnenju so fantje v zadnjem času preveč razširili njihovo število), obstajajo pa tudi zelo zanimivi praktični tečaji. Še posebej mi je bil všeč . Toda zgodba bo o tečaju in potrdilo z imenom: .
Od vseh vrst certifikatov Industrial Cyber Security, ki jih ponuja SANS, je to najbolj univerzalno. Ker se drugi nanaša bolj na sisteme Power Grid, ki so na Zahodu deležni posebne pozornosti in spadajo v poseben razred sistemov. In tretji (v času moje certifikacijske poti) je bil povezan z odzivom na incidente.
Tečaj ni poceni, vendar nudi precej obsežno znanje IT&OT. Še posebej bo koristen za tiste tovariše, ki so se odločili spremeniti svoje področje, na primer iz IT varnosti v bančni industriji v Industrial Cyber Security. Ker sem že imel predznanje na področju sistemov za vodenje procesov, instrumentov in operacijske tehnike, zame v tem predmetu ni bilo nič bistveno novega ali življenjsko pomembnega.
Tečaj je sestavljen iz 50% teorije in 50% prakse. Iz prakse je bilo najbolj zanimivo tekmovanje NetWars. Dva dni, po glavnem tečaju pouka, so bili vsi učenci vseh razredov razdeljeni v ekipe in opravljali naloge za pridobitev dostopnih pravic, pridobivanje potrebnih informacij, dostop do omrežja, kup nalog za promocijo hashov, delo z Wiresharkom. in vse vrste različnih dobrot.
Tečajno gradivo je povzeto v obliki knjig, ki jih nato prejmete v trajno uporabo. Mimogrede, lahko jih opravljate na izpitu, saj je format Open Book, vendar vam ne bodo veliko pomagali, saj ima izpit 3 ure, 115 vprašanj, jezik dostave pa je angleščina. V vseh 3 urah si lahko vzamete 15 minutni odmor. Vendar ne pozabite, da se s 15-minutnim odmorom in vrnitvijo k testom po 5 preprosto odrečete preostalim desetim minutam, saj časa v programu testiranja ne boste mogli več ustaviti. Preskočite lahko do 15 vprašanj, ki se nato prikažejo čisto na koncu.
Osebno ne priporočam, da pustite veliko vprašanj za pozneje, ker je 3 ure res premalo časa in ko imate na koncu vprašanja, ki še niso rešena, obstaja velika verjetnost, da ne boste mogli to pravočasno. Za kasneje sem pustil samo tri vprašanja, ki so bila zame zelo težka, saj so se nanašala na poznavanje standarda NIST 800.82 in NERC. Psihološko vas takšna vprašanja "za pozneje" udarijo ob živce čisto na koncu - ko so vaši možgani utrujeni, želite iti na stranišče, se zdi, da se časovnik na zaslonu eksponentno pospeši.
Na splošno morate za opravljanje testa doseči 71 % pravilnih odgovorov. Pred opravljanjem izpita boste imeli možnost vaje na pravih testih - saj sta v ceno vključena 2 vadbena testa po 115 vprašanj in s pogoji, podobnimi pravemu izpitu.
Priporočam, da opravite izpit mesec dni po zaključku usposabljanja, ta mesec pa porabite za sistematično samostojno učenje o tistih vprašanjih, pri katerih se ne počutite prepričani. Lepo bi bilo, če bi vzeli tiskane materiale, ki ste jih prejeli med tečajem in so videti kot kratki povzetki za vsako temo - in namensko iskali informacije o temah, ki jih vsebujejo te knjige. Mesec razdelite na dva dela, opravite praktične teste in si ustvarite grobo sliko o tem, na katerih področjih ste močni in kje se morate izboljšati.
Rad bi izpostavil naslednja glavna področja, ki sestavljajo sam izpit (ne tečaj usposabljanja, saj zajema veliko obsežnejše teme):
- Fizično varovanje: tako kot drugi certifikacijski izpiti tudi temu vprašanju GICSP namenja veliko pozornosti. Obstajajo vprašanja o vrstah fizičnih ključavnic na vratih, opisane so situacije s ponarejanjem elektronskih dovolilnic, kjer morate dati odgovor, da nedvoumno ugotovite težavo. Obstajajo vprašanja, ki so neposredno povezana z varnostjo tehnologije (procesa), odvisno od predmetnega področja - naftni in plinski procesi, jedrske elektrarne ali električna omrežja. Na primer, lahko se pojavi vprašanje, kot je: Ugotovite, kakšna vrsta fizičnega varnostnega nadzora je situacija, ko pride alarm iz senzorja temperature pare na HMI? Ali vprašanje tipa: Katera situacija (dogodek) bo razlog za analizo video posnetkov nadzornih kamer sistema varovanja perimetra objekta?
V odstotkih bi opazil, da število vprašanj v tem razdelku na mojem izpitu in na vajah ni preseglo 5%.
- Druga in ena najbolj razširjenih kategorij vprašanj so vprašanja o sistemih za vodenje procesov, PLC, SCADA: tukaj bo treba sistematično pristopiti k preučevanju materialov o tem, kako so strukturirani sistemi za vodenje procesov, od senzorjev do strežnikov, kjer je sama aplikativna programska oprema. teče. Zadostno število vprašanj bo na voljo o vrstah industrijskih protokolov za prenos podatkov (ModBus, RTU, Profibus, HART itd.). Pojavila se bodo vprašanja o tem, kako se RTU razlikuje od PLC-ja, kako zaščititi podatke v PLC-ju pred spreminjanjem s strani napadalca, v katerih pomnilniških območjih PLC shranjuje podatke in kje je shranjena sama logika (program, ki ga je napisal programer sistema za krmiljenje procesov ). Na primer, lahko obstaja vprašanje te vrste: Odgovorite, kako lahko zaznate napad med PLC in HMI, ki delujeta s protokolom ModBus?
Postavljena bodo vprašanja o razlikah med sistemi SCADA in DCS. Veliko število vprašanj o pravilih za ločevanje avtomatiziranih omrežij za vodenje procesov na ravni L1, L2 od ravni L3 (podrobneje bom opisal v razdelku z vprašanji o omrežju). Tudi situacijska vprašanja na to temo bodo zelo raznolika - opisujejo situacijo v nadzorni sobi in morate izbrati dejanja, ki jih mora izvesti operater ali dispečer.
Na splošno je ta razdelek najbolj specifičen in ozek profil. Zahteva dobro znanje:
— avtomatski nadzorni sistem, terenski del (senzorji, vrste povezav naprav, fizikalne lastnosti senzorjev, PLC, RTU);
— sistemi za zaustavitev v sili (ESD – Emergence shutdown system) procesov in objektov (mimogrede, na Habréju je na to temo odlična serija člankov iz )
— osnovno razumevanje fizikalnih procesov, ki nastanejo na primer pri rafiniranju nafte, proizvodnji električne energije, cevovodih itd.;
— razumevanje arhitekture sistemov DCS in SCADA;
Opozoril bi, da se tovrstna vprašanja lahko pojavijo do 25 % v vseh 115 vprašanjih izpita. - Omrežne tehnologije in varnost omrežja: Mislim, da je število vprašanj v tej temi na prvem mestu pri izpitu. Verjetno bo popolnoma vse - model OSI, na katerih ravneh deluje ta ali oni protokol, veliko vprašanj o segmentaciji omrežja, situacijska vprašanja o omrežnih napadih, primeri dnevnikov povezav s predlogom za določitev vrste napada, primeri konfiguracij stikal s predlogom določitve ranljive konfiguracije, vprašanja o ranljivostih omrežnih protokolov, vprašanja o posebnostih omrežnih povezav industrijskih komunikacijskih protokolov. Ljudje veliko sprašujejo predvsem o ModBusu. Struktura omrežnih paketov istega ModBusa, odvisno od njegove vrste in različic, ki jih podpira naprava. Veliko pozornosti namenjajo napadom na brezžična omrežja - ZigBee, Wireless HART in preprosto vprašanjem o varnosti omrežja celotne družine 802.1x. Pojavila se bodo vprašanja o pravilih umeščanja določenih strežnikov v omrežje sistemov za vodenje procesov (tukaj morate prebrati standard IEC-62443 in razumeti principe referenčnih modelov omrežij sistemov za vodenje procesov). Pojavila se bodo vprašanja o modelu Purdue.
- Kategorija vprašanj, ki se nanaša izključno na funkcionalne značilnosti delovanja sistemov za prenos električne energije in sistemov informacijske varnosti zanje. V ZDA se ta kategorija avtomatiziranih sistemov vodenja procesov imenuje Power Grid in ji je dodeljena posebna vloga. V ta namen so izdani celo ločeni standardi (NIST 800.82), ki urejajo pristop k ustvarjanju sistemov informacijske varnosti za ta sektor. Pri nas je ta sektor večinoma omejen na sisteme ASKUE (popravite me, če je kdo videl resnejši pristop k spremljanju sistemov za distribucijo in dostavo električne energije). Torej, na izpitu boste našli precej specifična vprašanja v zvezi z električnim omrežjem. Večinoma so bili to primeri uporabe za specifično situacijo, ki se je razvila v elektrarni, lahko pa so tudi ankete o napravah, ki se uporabljajo posebej v elektroenergetskem omrežju. Za to kategorijo sistemov bodo vprašanja o poznavanju razdelkov NIST.
- Vprašanja v zvezi s poznavanjem standardov: NIST 800-82, NERC, IEC62443. Mislim, da tukaj brez posebnih pripomb - morate krmariti po razdelkih standardov, ki so odgovorni za to, kaj in katera priporočila vsebuje. Obstajajo posebna vprašanja, na primer pogostost preverjanja delovanja sistema, pogostost posodabljanja postopka itd. Kot odstotek takšnih vprašanj je mogoče najti do 15% skupnega števila vprašanj. Je pa odvisno. Na primer, na dveh praktičnih testih sem naletel le na nekaj podobnih vprašanj. Med izpitom pa jih je bilo res veliko.
- No, zadnja kategorija vprašanj so vse vrste primerov uporabe in situacijskih vprašanj.
Na splošno samo usposabljanje, z izjemo morda CTF NetWars, zame ni bilo preveč informativno v smislu pridobivanja potencialno novega znanja. Pridobljene so bile globlje podrobnosti nekaterih vsebin, predvsem s področja organizacije in zaščite radijskih omrežij za prenos tehnoloških informacij, ter bolj urejeno gradivo o strukturi tujih standardov, posvečenih tej temi. Zato lahko inženirji in specialisti, ki imajo dovolj znanja in izkušenj z delom s sistemi za vodenje procesov/instrumentacijskimi sistemi ali industrijskimi omrežji, razmislijo o varčevanju pri usposabljanju (in varčevanje je smiselno), se pripravijo in gredo takoj na certifikacijski izpit, ki , mimogrede, je vreden 700 USD. V primeru neuspeha boste morali znova plačati. Obstaja veliko certifikacijskih centrov, ki vas bodo sprejeli na izpit, glavna stvar je, da se prijavite vnaprej. Na splošno priporočam, da datum izpita določite takoj, saj ga boste sicer nenehno odlašali in postopek priprave nadomestili z drugimi vitalnimi in ne povsem pomembnimi zadevami. Če imate določen datum roka, boste samomotivirani.
Vir: www.habr.com