Pershendetje te gjitheve! Portali i preferuar i të gjithëve kishte shumë artikuj të ndryshëm mbi certifikimin në fushën e sigurisë së informacionit, kështu që nuk do të pretendoj origjinalitetin dhe veçantinë e përmbajtjes, por gjithsesi do të doja të ndaj përvojën time për marrjen e GIAC (Global Information Assurance Company) çertifikim në fushën e sigurisë kibernetike industriale. Që nga shfaqja e fjalëve të tilla të tmerrshme si , , Shamoon, Triton, filloi të formohet një treg për ofrimin e shërbimeve të specialistëve që duket se janë IT, por mund të mbingarkojnë edhe PLC me rishkrimin e konfigurimit në shkallë, dhe në të njëjtën kohë impianti nuk mund të ndalet.
Kështu erdhi në botë koncepti i IT&OT (Information Technology & Operation Technology).
Menjëherë më pas (është e qartë se personeli i pakualifikuar nuk duhet të lejohet të punojë) erdhi nevoja për të certifikuar specialistë në fushën që lidhet me sigurimin e sigurisë së sistemeve të kontrollit të procesit dhe sistemeve industriale - nga të cilat, rezulton, ka shumë ato në jetën tonë, nga një valvul automatik i furnizimit me ujë në një apartament në një sistem kontrolli aeroplanë (kujtoni artikullin e shkëlqyer për hetimin e problemeve ). Dhe madje, siç doli papritmas, pajisje komplekse mjekësore.
Një tekst i shkurtër për mënyrën se si arrita në nevojën për të marrë certifikim (mund ta kapërceni): Pasi përfundova me sukses studimet në Fakultetin e Sigurisë së Informacionit në fund të viteve XNUMX, hyra në radhët e deleve të instrumenteve me kokën time. mbajtur lart, duke punuar si mekanik për sistemet e alarmit të sigurisë me rrymë të ulët. Duket sikur siguria e informacionit më ishte thënë në ndërmarrje në atë kohë :) Kështu filloi karriera ime si specialiste e sistemit të kontrollit të automatizuar me një diplomë bachelor në sigurinë e informacionit. Gjashtë vjet më vonë, pasi u ngrita në gradën e shefit të departamentit të sistemeve SCADA, u largova për të punuar si konsulent sigurie për sistemet e kontrollit industrial në një kompani të huaj që tregton softuer dhe pajisje. Këtu lindi nevoja për të qenë një specialist i certifikuar i sigurisë së informacionit.
është një zhvillim një organizatë që kryen trajnimin dhe certifikimin e specialistëve të sigurisë së informacionit. Reputacioni i certifikatës GIAC është shumë i lartë midis specialistëve dhe klientëve në tregjet e EMEA, SHBA dhe Azi-Paqësorit. Këtu, në hapësirën post-sovjetike dhe në vendet e CIS, një certifikatë e tillë mund të kërkohet vetëm nga kompani të huaja me biznes në vendet tona, agjenci ndërkombëtare dhe konsulente. Personalisht nuk kam hasur asnjëherë një kërkesë për një certifikim të tillë nga kompani vendase. Të gjithë në thelb kërkojnë CISSP. Ky është mendimi im subjektiv dhe nëse dikush ndan përvojën e tij në komente, do të jetë interesante të dihet.
Ka mjaft fusha të ndryshme në SANS (për mendimin tim, së fundmi djemtë e kanë zgjeruar shumë numrin e tyre), por ka edhe kurse praktike shumë interesante. Më pëlqeu veçanërisht . Por historia do të jetë për kursin dhe një certifikatë të quajtur: .
Nga të gjitha llojet e certifikatave Industriale të Sigurisë Kibernetike të ofruara nga SANS, kjo është më universale. Meqenëse e dyta lidhet më shumë me sistemet e rrjetit të energjisë elektrike, të cilat në Perëndim marrin vëmendje të veçantë dhe i përkasin një klase të veçantë sistemesh. Dhe e treta (në kohën e rrugës sime të certifikimit) lidhur me Përgjigjen ndaj Incidentit.
Kursi nuk është i lirë, por ofron njohuri mjaft të gjera të IT&OT. Do të jetë veçanërisht e dobishme për ata shokë që kanë vendosur të ndryshojnë fushën e tyre, për shembull nga siguria e IT në industrinë bankare në Sigurinë Kibernetike Industriale. Meqenëse unë tashmë kisha një përvojë në fushën e sistemeve të kontrollit të procesit, instrumenteve dhe teknologjisë së funksionimit, nuk kishte asgjë thelbësisht të re ose jetike për mua në këtë kurs.
Kursi përbëhet nga 50% teori dhe 50% praktikë. Nga praktika, konkursi më interesant ishte NetWars. Për dy ditë, pas kursit kryesor të orëve, të gjithë studentët e të gjitha klasave u ndanë në ekipe dhe kryen detyra për të marrë të drejtat e aksesit, nxjerrjen e informacionit të nevojshëm, aksesin në rrjet, një sërë detyrash për të promovuar hash-et, punën me Wireshark dhe të gjitha llojet e të mirave të ndryshme.
Materiali i kursit përmblidhet në formën e librave, të cilët më pas i merrni për përdorim të përhershëm. Meqë ra fjala, mund t'i merrni për provim, pasi formati është Open Book, por nuk do t'ju ndihmojnë shumë, pasi provimi ka 3 orë, 115 pyetje, dhe gjuha e dorëzimit është anglishtja. Gjatë gjithë 3 orëve, mund të bëni një pushim prej 15 minutash. Por mbani në mend se duke bërë një pushim për 15 minuta dhe duke iu kthyer testeve pas orës 5, thjesht po hiqni dorë nga dhjetë minutat e mbetura, pasi nuk do të mund të ndaloni më kohën në programin e testimit. Mund të kaloni deri në 15 pyetje, të cilat më pas do të shfaqen në fund.
Personalisht, nuk rekomandoj t'i lini shumë pyetje për më vonë, sepse 3 orë nuk janë vërtet kohë e mjaftueshme, dhe kur në fund keni pyetje që ende nuk janë zgjidhur, ka një probabilitet të lartë për të mos bërë. atë në kohë. I lashë për më vonë vetëm tre pyetje që ishin vërtet të vështira për mua, pasi kishin të bënin me njohjen e standardit NIST 800.82 dhe NERC. Psikologjikisht, pyetje të tilla "për më vonë" ju godasin nervat në fund - kur truri juaj është i lodhur, dëshironi të shkoni në tualet, kohëmatësi në ekran duket se po përshpejtohet në mënyrë eksponenciale.
Në përgjithësi, për të kaluar testin duhet të shënoni 71% përgjigje të sakta. Para se të jepni provimin, do të keni mundësi të praktikoni në teste reale – pasi në çmim përfshihen 2 teste praktike me 115 pyetje dhe me kushte të ngjashme me provimin real.
Unë rekomandoj që të merrni provimin një muaj pas përfundimit të trajnimit, duke e kaluar këtë muaj në vetë-studim sistematik për ato çështje në të cilat ndiheni të pasigurt. Do të ishte mirë nëse merrni materialet e shtypura të marra gjatë kursit, të cilat duken si abstrakte të shkurtra për secilën temë - dhe të kërkoni me qëllim informacion mbi temat që përmbajnë këta libra. Ndani muajin në dy pjesë, duke kryer teste praktike dhe duke marrë një pasqyrë të përafërt se në cilat fusha jeni të fortë dhe ku duhet të përmirësoheni.
Do të doja të theksoja fushat kryesore të mëposhtme që përbëjnë vetë provimin (jo kursin e trajnimit, pasi mbulon tema shumë më të gjera):
- Siguria fizike: Ashtu si provimet e tjera të certifikimit, kësaj çështjeje i kushtohet shumë vëmendje në GICSP. Ka pyetje në lidhje me llojet e bravave fizike në dyer, përshkruhen situata me falsifikim të kalimeve elektronike, ku duhet të jepni një përgjigje për të identifikuar pa mëdyshje problemin. Ka pyetje që lidhen drejtpërdrejt me sigurinë e teknologjisë (procesit), në varësi të fushës së temës - proceset e naftës dhe gazit, termocentralet bërthamore ose rrjetet e energjisë. Për shembull, mund të ketë një pyetje si: Përcaktoni se çfarë lloji i kontrollit të sigurisë fizike është situata kur një alarm vjen nga sensori i temperaturës së avullit në HMI? Apo një pyetje si: Cila situatë (ngjarje) do të shërbejë si arsye për të analizuar regjistrimet video nga kamerat e vëzhgimit të sistemit të sigurisë rrethuese të objektit?
Në përqindje, do të vëreja se numri i pyetjeve në këtë seksion në provimin tim dhe në testet praktike nuk e kalonte 5%.
- Një tjetër dhe një nga kategoritë më të përhapura të pyetjeve janë pyetjet mbi sistemet e kontrollit të procesit, PLC, SCADA: këtu do të jetë e nevojshme t'i qasemi sistematikisht studimit të materialeve se si janë strukturuar sistemet e kontrollit të procesit, nga sensorët tek serverët ku vetë programi i aplikacionit. vrapon. Një numër i mjaftueshëm pyetjesh do të gjenden mbi llojet e protokolleve industriale të transferimit të të dhënave (ModBus, RTU, Profibus, HART, etj.). Do të ketë pyetje se si ndryshon RTU nga PLC, si të mbrohen të dhënat në PLC nga modifikimi nga një sulmues, në cilat zona memorie PLC ruan të dhënat dhe ku ruhet vetë logjika (një program i shkruar nga një programues i sistemit të kontrollit të procesit ). Për shembull, mund të ketë një pyetje të këtij lloji: Jepni një përgjigje se si mund të zbuloni një sulm midis një PLC dhe një HMI që funksionojnë duke përdorur protokollin ModBus?
Do të ketë pyetje në lidhje me ndryshimet midis sistemeve SCADA dhe DCS. Një numër i madh pyetjesh mbi rregullat për ndarjen e rrjeteve të automatizuara të kontrollit të procesit në nivelin L1, L2 nga niveli L3 (do të përshkruaj më në detaje në seksionin me pyetje në rrjet). Pyetjet e situatës për këtë temë do të jenë gjithashtu shumë të ndryshme - ato përshkruajnë situatën në dhomën e kontrollit dhe ju duhet të zgjidhni veprimet që duhet të kryhen nga operatori i procesit ose dispeçeri.
Në përgjithësi, ky seksion është më specifik dhe me profil të ngushtë. Kërkon që ju të keni njohuri të mira:
— sistemi i automatizuar i kontrollit, pjesa e terrenit (sensorët, llojet e lidhjeve të pajisjes, veçoritë fizike të sensorëve, PLC, RTU);
— Sistemet e mbylljes emergjente (ESD – sistemi i mbylljes emergjente) të proceseve dhe objekteve (nga rruga, ekziston një seri e shkëlqyer artikujsh mbi këtë temë në Habré nga )
— një kuptim bazë i proceseve fizike që ndodhin, për shembull, në rafinimin e naftës, prodhimin e energjisë elektrike, tubacionet, etj.;
— të kuptuarit e arkitekturës së sistemeve DCS dhe SCADA;
Dua të vërej se pyetjet e këtij lloji mund të ndodhin deri në 25% në të gjitha 115 pyetjet e provimit. - Teknologjitë e rrjetit dhe siguria e rrjetit: Mendoj se numri i pyetjeve në këtë temë është i pari në provim. Ndoshta do të ketë absolutisht gjithçka - modeli OSI, në cilat nivele funksionon ky apo ai protokoll, shumë pyetje mbi segmentimin e rrjetit, pyetje të situatës mbi sulmet në rrjet, shembuj të regjistrave të lidhjes me një propozim për të përcaktuar llojin e sulmit, shembuj të konfigurimeve të ndërprerës me një propozim për të përcaktuar një konfigurim të cenueshëm, pyetje mbi dobësitë e protokolleve të rrjetit, pyetje mbi specifikat e lidhjeve në rrjet të protokolleve të komunikimit industrial. Njerëzit veçanërisht pyesin shumë për ModBus. Struktura e paketave të rrjetit të të njëjtit ModBus, në varësi të llojit të tij dhe versioneve të mbështetura nga pajisja. Shumë vëmendje i kushtohet sulmeve në rrjetet me valë - ZigBee, Wireless HART dhe thjesht pyetjeve në lidhje me sigurinë e rrjetit të të gjithë familjes 802.1x. Do të ketë pyetje në lidhje me rregullat për vendosjen e serverëve të caktuar në rrjetin e sistemit të kontrollit të procesit (këtu duhet të lexoni standardin IEC-62443 dhe të kuptoni parimet e modeleve të referencës së rrjeteve të sistemeve të kontrollit të procesit). Do të ketë pyetje në lidhje me modelin Purdue.
- Një kategori çështjesh që lidhet ekskluzivisht me veçoritë funksionale të funksionimit të sistemeve të transmetimit të energjisë elektrike dhe sistemeve të sigurisë së informacionit për to. Në SHBA, kjo kategori e sistemeve të automatizuara të kontrollit të procesit quhet Power Grid dhe i është caktuar një rol më vete. Për këtë qëllim, madje janë nxjerrë standarde të veçanta (NIST 800.82) që rregullojnë qasjen për krijimin e sistemeve të sigurisë së informacionit për këtë sektor. Në vendet tona, në pjesën më të madhe, ky sektor është i kufizuar në sistemet ASKUE (më korrigjoni nëse dikush ka parë një qasje më serioze për monitorimin e sistemeve të shpërndarjes dhe shpërndarjes së energjisë elektrike). Pra, në provim do të gjeni pyetje mjaft specifike në lidhje me Power Grid. Në pjesën më të madhe, këto ishin raste të përdorimit për një situatë specifike që u zhvillua në Termocentral, por mund të ketë edhe sondazhe për pajisjet që përdoren posaçërisht në Rrjetin e Energjisë. Do të ketë pyetje që adresojnë njohuritë e seksioneve NIST për këtë kategori sistemesh.
- Pyetje që lidhen me njohjen e standardeve: NIST 800-82, NERC, IEC62443. Unë mendoj se këtu pa ndonjë koment të veçantë - ju duhet të lundroni në seksionet e standardeve, e cila është përgjegjëse për çfarë dhe çfarë rekomandimesh përmban. Ka pyetje specifike, për shembull, pyetja e shpeshtësisë së kontrollit të funksionalitetit të sistemit, shpeshtësia e përditësimit të procedurës, etj. Si përqindje e pyetjeve të tilla mund të ndeshen deri në 15% të numrit të përgjithshëm të pyetjeve. Por varet. Për shembull, në dy teste praktike hasa vetëm në disa pyetje të ngjashme. Por në të vërtetë kishte shumë prej tyre gjatë provimit.
- Epo, kategoria e fundit e pyetjeve janë të gjitha llojet e rasteve të përdorimit dhe pyetjeve të situatës.
Në përgjithësi, vetë trajnimi, me përjashtim të mundshëm të CTF NetWars, nuk ishte shumë informues për mua për sa i përket përvetësimit të njohurive potencialisht të reja. Përkundrazi, u morën detaje më të thella të disa temave, veçanërisht në fushën e organizimit dhe mbrojtjes së rrjeteve radio që përdoren për transmetimin e informacionit teknologjik, si dhe materiale më të organizuara mbi strukturën e standardeve të huaja kushtuar kësaj teme. Prandaj, për inxhinierët dhe specialistët që kanë njohuri dhe përvojë të mjaftueshme duke punuar me sistemet e kontrollit të procesit/sistemet e instrumenteve ose Rrjetet Industriale, mund të mendoni për kursimin në trajnim (dhe kursimi ka kuptim), përgatiteni veten dhe shkoni direkt për të marrë provimin e certifikimit, i cili , meqë ra fjala, vlen 700 USD. Në rast dështimi, do të duhet të paguani përsëri. Ka shumë qendra certifikimi që do t'ju pranojnë për provim; gjëja kryesore është të aplikoni paraprakisht. Në përgjithësi, ju rekomandoj të vendosni menjëherë datën e provimit, sepse përndryshe do ta vononi vazhdimisht, duke zëvendësuar procesin e përgatitjes me çështje të tjera jetike dhe jo plotësisht të rëndësishme. Dhe të kesh një datë të caktuar afati do t'ju bëjë të vetë-motivoheni.
Burimi: www.habr.com