Hej alla! Allas favoritportal hade många olika artiklar om certifiering inom området informationssäkerhet, så jag tänker inte hävda att innehållet är original och unikt, men jag skulle ändå verkligen vilja dela med mig av min erfarenhet av att skaffa GIAC (Global Information Assurance Company) certifiering inom området industriell cybersäkerhet. Sedan uppkomsten av sådana fruktansvärda ord som , , Shamoon, Triton, en marknad för tillhandahållande av tjänster från specialister som verkar vara IT, men som också kan överbelasta PLC:er med att skriva om konfigurationen på stegar, och samtidigt som anläggningen inte kan stoppas, började bildas.
Så kom konceptet IT&OT (Information Technology & Operation Technology) till världen.
Omedelbart därefter (det är uppenbart att okvalificerad personal inte bör tillåtas arbeta) kom behovet av att certifiera specialister inom området för att säkerställa säkerheten för processtyrningssystem och industriella system - av vilka det visar sig att det finns många dem i våra liv, från en automatisk vattentillförselventil i en lägenhet till ett styrsystem flygplan (kom ihåg den utmärkta artikeln om att undersöka problem ). Och till och med, som det plötsligt visade sig, komplex medicinsk utrustning.
En kort sångtext om hur jag kom fram till behovet av att få certifiering (du kan hoppa över det): Efter att ha avslutat mina studier vid fakulteten för informationssäkerhet i slutet av XNUMX-talet, klev jag in i instrumenteringsfårets led med mitt huvud höll högt, arbetar som mekaniker för svagströms larmsystem. Det verkar som om informationssäkerheten berättades för mig på företaget vid den tiden :) Så började min karriär som specialist på automatiserade styrsystem med en kandidatexamen i informationssäkerhet. Sex år senare, efter att ha blivit chef för SCADA-systemavdelningen, lämnade jag för att arbeta som säkerhetskonsult för industriella kontrollsystem i ett utländskt företag som säljer mjukvara och utrustning. Det var här behovet av att vara certifierad informationssäkerhetsspecialist uppstod.
är en utveckling en organisation som bedriver utbildning och certifiering av informationssäkerhetsspecialister. GIAC-certifikatets rykte är mycket högt bland specialister och kunder på marknaderna i EMEA, USA och Asien och Stillahavsområdet. Här, i det postsovjetiska rymden och i OSS-länderna, kan ett sådant certifikat endast begäras av utländska företag med verksamhet i våra länder, internationella och konsultbyråer. Personligen har jag aldrig stött på en begäran om sådan certifiering från inhemska företag. Alla frågar i princip efter CISSP. Detta är min subjektiva åsikt och om någon delar sin erfarenhet i kommentarerna så ska det vara intressant att veta.
Det finns en hel del olika områden inom SANS (enligt mig har killarna nyligen utökat sitt antal för mycket), men det finns också mycket intressanta praktiska kurser. Jag gillade det särskilt . Men historien kommer att handla om kursen och ett certifikat som heter: .
Av alla typer av industriella cybersäkerhetscertifieringar som erbjuds av SANS är detta den mest universella. Eftersom den andra relaterar mer till Power Grid-system, som i väst får särskild uppmärksamhet och tillhör en separat klass av system. Och den tredje (vid tiden för min certifieringsväg) relaterade till Incident Response.
Kursen är inte billig, men den ger ganska omfattande kunskaper om IT&OT. Det kommer att vara särskilt användbart för de kamrater som har bestämt sig för att byta område, till exempel från IT-säkerhet i bankbranschen till Industrial Cyber Security. Eftersom jag redan hade en bakgrund inom området processtyrningssystem, instrumentering och driftteknik fanns det inget fundamentalt nytt eller livsviktigt för mig i denna kurs.
Kursen består av 50% teori och 50% praktik. Från praktiken var den mest intressanta tävlingen NetWars. Under två dagar, efter huvudkursen, delades alla elever i alla klasser upp i team och utförde uppgifter för att få åtkomsträttigheter, extrahera nödvändig information, få tillgång till nätverket, en massa uppgifter för att främja hash, arbeta med Wireshark och alla möjliga olika godsaker.
Kursmaterialet sammanfattas i form av böcker som du sedan får för ditt eviga bruk. Förresten, du kan ta dem för provet, eftersom formatet är Open Book, men de kommer inte att hjälpa dig mycket, eftersom provet har 3 timmar, 115 frågor och språket för leverans är engelska. Under hela 3 timmar kan du ta en paus på 15 minuter. Men kom ihåg att genom att ta en paus i 15 minuter och återgå till testerna efter 5, så ger du helt enkelt upp de återstående tio minuterna, eftersom du inte längre kommer att kunna stoppa tiden i testprogrammet. Du kan hoppa över upp till 15 frågor, som sedan dyker upp i slutet.
Personligen rekommenderar jag inte att lämna många frågor till senare, eftersom 3 timmar verkligen inte räcker till, och när du i slutet har frågor som ännu inte är lösta är det stor sannolikhet att du inte kan göra det i tid. Jag lämnade till senare bara tre frågor som var riktigt svåra för mig, eftersom de relaterade till kunskap om NIST 800.82 och NERC-standarden. Psykologiskt slår sådana frågor "för senare" dina nerver i slutet - när din hjärna är trött, du vill gå på toaletten, verkar timern på skärmen accelerera exponentiellt.
I allmänhet, för att klara provet måste du få 71 % korrekta svar. Innan du gör tentamen får du möjlighet att öva på riktiga prov - då priset inkluderar 2 övningsprov på 115 frågor och med villkor som liknar den riktiga tentan.
Jag rekommenderar att du tar provet en månad efter avslutad utbildning, att du lägger den här månaden på systematiska självstudier i de frågor där du känner dig osäker. Det skulle vara trevligt om du tar det tryckta materialet som erhållits under kursen, som ser ut som korta sammandrag om varje ämne – och målmedvetet söker information om ämnena i dessa böcker. Dela upp månaden i två delar, ta övningsprov och få en grov bild av vilka områden du är stark inom och var du behöver förbättra dig.
Jag skulle vilja lyfta fram följande huvudområden som utgör själva provet (inte utbildningskursen, eftersom den täcker mycket mer omfattande ämnen):
- Fysisk säkerhet: Liksom andra certifieringsprov ägnas denna fråga mycket uppmärksamhet i GICSP. Det finns frågor om typerna av fysiska lås på dörrar, situationer med förfalskning av elektroniska pass beskrivs, där du måste ge ett svar för att entydigt identifiera problemet. Det finns frågor som är direkt relaterade till säkerheten i tekniken (processen), beroende på ämnesområde - olje- och gasprocesser, kärnkraftverk eller kraftnät. Till exempel kan det finnas en fråga som: Bestäm vilken typ av fysisk säkerhetskontroll är situationen när ett larm kommer från ångtemperatursensorn på HMI? Eller en fråga som: Vilken situation (händelse) kommer att fungera som anledning att analysera videoinspelningar från övervakningskameror av anläggningens perimetersäkerhetssystem?
Procentuellt sett skulle jag notera att antalet frågor på detta avsnitt i min tentamen och i praktiken inte översteg 5 %.
- En annan och en av de mest utbredda kategorierna av frågor är frågor om processkontrollsystem, PLC, SCADA: här kommer det att vara nödvändigt att systematiskt närma sig studien av material om hur processkontrollsystem är uppbyggda, från sensorer till servrar där själva applikationsmjukvaran springer. Ett tillräckligt antal frågor kommer att finnas om typerna av industriella dataöverföringsprotokoll (ModBus, RTU, Profibus, HART, etc.). Det kommer att finnas frågor om hur RTU skiljer sig från PLC, hur man skyddar data i PLC:n från modifiering av en angripare, i vilka minnesområden PLC:n lagrar data och var själva logiken lagras (ett program skrivet av en programmerare för processkontrollsystem). ). Det kan till exempel vara en fråga av den här typen: Ge ett svar på hur du kan upptäcka en attack mellan en PLC och en HMI som fungerar med ModBus-protokollet?
Det kommer att finnas frågor om skillnaderna mellan SCADA- och DCS-system. Ett stort antal frågor om reglerna för att separera automatiserade processtyrningsnätverk på L1, L2-nivå från L3-nivå (jag kommer att beskriva mer detaljerat i avsnittet med frågor om nätverket). Situationsfrågor om detta ämne kommer också att vara mycket olika - de beskriver situationen i kontrollrummet och du måste välja åtgärder som måste utföras av processoperatören eller avsändaren.
I allmänhet är denna sektion den mest specifika och smala profilen. Kräver att du har goda kunskaper:
— Automatiskt styrsystem, fältdel (sensorer, typer av anordningsanslutningar, fysiska egenskaper hos sensorer, PLC, RTU).
— nödavstängningssystem (ESD – nödavstängningssystem) av processer och objekt (förresten, det finns en utmärkt serie artiklar om detta ämne på Habré från )
— En grundläggande förståelse för de fysiska processer som förekommer, till exempel vid oljeraffinering, elproduktion, rörledningar etc.
— Förståelse för arkitekturen för DCS- och SCADA-system.
Jag skulle notera att frågor av den här typen kan förekomma upp till 25 % genom alla 115 frågor i provet. - Nätverksteknik och nätverkssäkerhet: Jag tror att antalet frågor i detta ämne kommer först i provet. Det kommer förmodligen att finnas absolut allt - OSI-modellen, på vilka nivåer det här eller det protokollet fungerar, många frågor om nätverkssegmentering, situationsfrågor om nätverksattacker, exempel på anslutningsloggar med ett förslag för att bestämma typen av attack, exempel på switchkonfigurationer med ett förslag om att fastställa en sårbar konfiguration, frågor om sårbarheter i nätverksprotokoll, frågor om specifikationerna för nätverksanslutningar för industriella kommunikationsprotokoll. Människor frågar särskilt mycket om ModBus. Strukturen för nätverkspaket av samma ModBus, beroende på dess typ och versioner som stöds av enheten. Mycket uppmärksamhet ägnas åt attacker mot trådlösa nätverk - ZigBee, Wireless HART, bara frågor om nätverkssäkerhet för hela 802.1x-familjen. Det kommer att finnas frågor om reglerna för att placera vissa servrar i nätverket för processkontrollsystem (här måste du läsa IEC-62443-standarden och förstå principerna för referensmodeller för nätverk av processkontrollsystem). Det kommer att finnas frågor om Purdue-modellen.
- En kategori av frågor som uteslutande relaterar till de funktionella egenskaperna hos driften av elöverföringssystem och informationssäkerhetssystem för dem. I USA kallas denna kategori av automatiserade processtyrsystem för Power Grid och tilldelas en separat roll. För detta ändamål utfärdas till och med separata standarder (NIST 800.82) som reglerar tillvägagångssättet för att skapa informationssäkerhetssystem för denna sektor. I våra länder är denna sektor för det mesta begränsad till ASKUE-system (rätta mig om någon har sett ett mer seriöst tillvägagångssätt för att övervaka eldistribution och leveranssystem). Så i provet hittar du ganska specifika frågor relaterade till Power Grid. För det mesta var det användningsfall för en specifik situation som utvecklats vid kraftverket, men det kan också finnas undersökningar av enheter som används specifikt i kraftnätet. Det kommer att finnas frågor om kunskap om NIST-sektioner för denna kategori av system.
- Frågor relaterade till kunskap om standarder: NIST 800-82, NERC, IEC62443. Jag tror här utan några speciella kommentarer - du måste navigera i avsnitten av standarderna, som är ansvarig för vad och vilka rekommendationer den innehåller. Det finns specifika frågor, till exempel att fråga frekvensen för att kontrollera systemets funktionalitet, frekvensen av uppdatering av proceduren, etc. Som en procentandel av sådana frågor kan upp till 15 % av det totala antalet frågor påträffas. Men det beror på. Till exempel, på två övningsprov stötte jag bara på ett par liknande frågor. Men det var verkligen många under provet.
- Tja, den sista kategorin av frågor är alla typer av användningsfall och situationsfrågor.
Generellt sett var själva utbildningen, med eventuellt undantag för CTF NetWars, inte särskilt informativ för mig när det gäller att skaffa mig potentiellt ny kunskap. Snarare förvärvades djupare detaljer om vissa ämnen, särskilt inom området för organisation och skydd av radionätverk som används för att överföra teknisk information, såväl som mer organiserat material om strukturen för utländska standarder som ägnas åt detta ämne. Därför, för ingenjörer och specialister som har tillräckliga kunskaper och erfarenhet av att arbeta med processtyrningssystem/instrumenteringssystem eller Industrial Networks, kan du tänka på att spara på utbildning (och att spara är vettigt), förbereda dig och gå direkt till certifieringsprovet, vilket , förresten, är värt 700USD. Vid misslyckande måste du betala igen. Det finns gott om certifieringscenter som tar emot dig för provet, det viktigaste är att ansöka i förväg. Generellt rekommenderar jag att du ställer in examensdatumet omedelbart, eftersom du annars ständigt försenar det och ersätter förberedelseprocessen med andra viktiga och inte helt viktiga frågor. Och att ha ett specifikt deadlinedatum kommer att göra dig självmotiverad.
Källa: will.com