Kamusta kayong lahat! Ang paboritong portal ng bawat isa ay may maraming iba't ibang mga artikulo sa sertipikasyon sa larangan ng seguridad ng impormasyon, kaya hindi ko aangkinin ang pagka-orihinal at pagiging natatangi ng nilalaman, ngunit gusto ko pa rin talagang ibahagi ang aking karanasan sa pagkuha ng GIAC (Global Information Assurance Company) sertipikasyon sa larangan ng pang-industriyang cybersecurity. Dahil ang hitsura ng mga kakila-kilabot na mga salita bilang , , Shamoon, Triton, isang merkado para sa pagbibigay ng mga serbisyo ng mga espesyalista na tila IT, ngunit maaari ding mag-overload ng mga PLC sa muling pagsusulat ng pagsasaayos sa mga hagdan, at sa parehong oras ang planta ay hindi mapigilan, ay nagsimulang mabuo.
Ito ay kung paano dumating sa mundo ang konsepto ng IT&OT (Information Technology & Operation Technology).
Kaagad na susunod (malinaw na ang mga hindi kwalipikadong tauhan ay hindi dapat pahintulutang magtrabaho) ay dumating ang pangangailangan upang patunayan ang mga espesyalista sa larangan na may kaugnayan sa pagtiyak sa kaligtasan ng mga sistema ng kontrol sa proseso at mga sistemang pang-industriya - kung saan, lumalabas, mayroong maraming ang mga ito sa ating buhay, mula sa isang awtomatikong balbula ng supply ng tubig sa isang apartment hanggang sa isang sistema ng kontrol ng mga eroplano (tandaan ang mahusay na artikulo tungkol sa pagsisiyasat ng mga problema ). At kahit na, tulad ng biglang naging, kumplikadong kagamitang medikal.
Isang maikling liriko tungkol sa kung paano ako dumating sa pangangailangang makakuha ng sertipikasyon (maaari mong laktawan ito): Sa matagumpay na pagkumpleto ng aking pag-aaral sa Faculty of Information Security sa pagtatapos ng XNUMXs, pumasok ako sa hanay ng instrumentation sheep gamit ang aking ulo mataas, nagtatrabaho bilang mekaniko para sa mababang kasalukuyang mga sistema ng alarma sa seguridad. Mukhang sinabi sa akin ang seguridad ng impormasyon sa enterprise noong panahong iyon :) Ganito nagsimula ang aking karera bilang isang automated control system specialist na may bachelor's degree sa information security. Pagkalipas ng anim na taon, nang tumaas ako sa ranggo ng pinuno ng departamento ng mga sistema ng SCADA, umalis ako upang magtrabaho bilang isang consultant ng seguridad para sa mga sistema ng kontrol sa industriya sa isang dayuhang kumpanya na nagtitinda ng software at kagamitan. Dito lumitaw ang pangangailangan na maging isang sertipikadong espesyalista sa seguridad ng impormasyon.
ay isang pag-unlad isang organisasyon na nagsasagawa ng pagsasanay at sertipikasyon ng mga espesyalista sa seguridad ng impormasyon. Napakataas ng reputasyon ng GIAC certificate sa mga espesyalista at customer sa mga merkado ng EMEA, US, at Asia Pacific. Dito, sa post-Soviet space at sa mga bansa ng CIS, ang naturang sertipiko ay maaari lamang hilingin ng mga dayuhang kumpanya na may negosyo sa ating mga bansa, internasyonal at mga ahensya ng pagkonsulta. Sa personal, hindi pa ako nakatagpo ng kahilingan para sa naturang sertipikasyon mula sa mga domestic na kumpanya. Ang lahat ay karaniwang humihingi ng CISSP. Ito ang aking subjective na opinyon at kung sinuman ang nagbabahagi ng kanilang karanasan sa mga komento, ito ay magiging kawili-wiling malaman.
Mayroong ilang iba't ibang mga lugar sa SANS (sa palagay ko, kamakailan lamang ay pinalawak ng mga lalaki ang kanilang bilang), ngunit mayroon ding mga kagiliw-giliw na praktikal na kurso. Nagustuhan ko lalo . Ngunit ang kwento ay tungkol sa kurso at isang sertipiko na tinatawag na: .
Sa lahat ng uri ng Industrial Cyber ββββSecurity certification na inaalok ng SANS, ito ang pinaka-unibersal. Dahil ang pangalawa ay higit na nauugnay sa mga sistema ng Power Grid, na sa Kanluran ay tumatanggap ng espesyal na atensyon at nabibilang sa isang hiwalay na klase ng mga sistema. At ang pangatlo (sa oras ng aking landas sa sertipikasyon) na nauugnay sa Pagtugon sa Insidente.
Ang kurso ay hindi mura, ngunit nagbibigay ito ng lubos na malawak na kaalaman sa IT&OT. Ito ay magiging kapaki-pakinabang lalo na para sa mga kasama na nagpasya na baguhin ang kanilang larangan, halimbawa mula sa seguridad ng IT sa industriya ng pagbabangko tungo sa Industrial Cyber ββββSecurity. Dahil mayroon na akong background sa larangan ng process control systems, instrumentation at operation technology, walang panimula o napakahalagang bagay para sa akin sa kursong ito.
Ang kurso ay binubuo ng 50% teorya at 50% na pagsasanay. Mula sa pagsasanay, ang pinakakawili-wiling paligsahan ay ang NetWars. Sa loob ng dalawang araw, pagkatapos ng pangunahing kurso ng mga klase, ang lahat ng mga mag-aaral sa lahat ng mga klase ay nahahati sa mga koponan at nagsagawa ng mga gawain upang makakuha ng mga karapatan sa pag-access, kunin ang kinakailangang impormasyon, makakuha ng access sa network, isang grupo ng mga gawain upang i-promote ang mga hash, makipagtulungan sa Wireshark at lahat ng uri ng iba't ibang goodies.
Ang materyal ng kurso ay ibinubuod sa anyo ng mga aklat, na pagkatapos ay matatanggap mo para sa iyong pangmatagalang paggamit. Sa pamamagitan ng paraan, maaari mong kunin ang mga ito para sa pagsusulit, dahil ang format ay Open Book, ngunit hindi sila makakatulong sa iyo nang malaki, dahil ang pagsusulit ay may 3 oras, 115 mga katanungan, at ang wika ng paghahatid ay Ingles. Sa buong 3 oras, maaari kang magpahinga ng 15 minuto. Ngunit tandaan na sa pamamagitan ng pahinga sa loob ng 15 minuto at pagbabalik sa mga pagsusulit pagkatapos ng 5, ibibigay mo na lang ang natitirang sampung minuto, dahil hindi mo na mapipigilan ang oras sa programa ng pagsubok. Maaari mong laktawan ang hanggang 15 tanong, na lalabas sa pinakadulo.
Sa personal, hindi ko inirerekumenda na mag-iwan ng maraming mga katanungan para sa ibang pagkakataon, dahil ang 3 oras ay talagang hindi sapat na oras, at kapag sa huli ay mayroon kang mga katanungan na hindi pa nalutas, malaki ang posibilidad na hindi magawa. ito sa oras. Tatlong tanong lang ang iniwan ko mamaya na talagang mahirap para sa akin, dahil nauugnay ang mga ito sa kaalaman sa pamantayan ng NIST 800.82 at NERC. Sa sikolohikal, ang mga tanong na "para mamaya" ay tumama sa iyong mga nerbiyos sa pinakadulo - kapag ang iyong utak ay pagod, gusto mong pumunta sa banyo, ang timer sa screen ay tila bumibilis nang husto.
Sa pangkalahatan, para makapasa sa pagsusulit kailangan mong makakuha ng 71% na tamang sagot. Bago kumuha ng pagsusulit, magkakaroon ka ng pagkakataong magsanay sa mga tunay na pagsusulit - dahil ang presyo ay may kasamang 2 pagsusulit sa pagsasanay ng 115 na katanungan at may mga kundisyon na katulad ng tunay na pagsusulit.
Inirerekomenda ko ang pagkuha ng pagsusulit sa isang buwan pagkatapos makumpleto ang pagsasanay, paggastos ngayong buwan sa sistematikong pag-aaral sa sarili sa mga isyung iyon kung saan hindi ka sigurado. Mas maganda kung kukunin mo ang mga naka-print na materyales na natanggap sa panahon ng kurso, na mukhang maiikling abstract sa bawat paksa - at sadyang maghanap ng impormasyon sa mga paksang nakapaloob sa mga aklat na ito. Hatiin ang buwan sa dalawang bahagi, pagkuha ng mga pagsusulit sa pagsasanay at pagkuha ng isang magaspang na larawan ng kung anong mga lugar ka malakas sa at kung saan kailangan mong pagbutihin.
Gusto kong i-highlight ang mga sumusunod na pangunahing bahagi na bumubuo sa pagsusulit mismo (hindi ang kurso sa pagsasanay, dahil sumasaklaw ito sa mas malawak na mga paksa):
- Pisikal na Seguridad: Tulad ng ibang mga pagsusulit sa sertipikasyon, ang isyung ito ay binibigyan ng maraming pansin sa GICSP. May mga tanong tungkol sa mga uri ng pisikal na mga kandado sa mga pinto, ang mga sitwasyon na may palsipikadong mga electronic pass ay inilarawan, kung saan kailangan mong magbigay ng sagot upang hindi malabo na makilala ang problema. May mga tanong na direktang nauugnay sa kaligtasan ng teknolohiya (proseso), depende sa paksa - mga proseso ng langis at gas, nuclear power plant o power grids. Halimbawa, maaaring may tanong tulad ng: Tukuyin kung anong uri ng pisikal na kontrol sa seguridad ang sitwasyon kapag ang isang Alarm ay nagmumula sa sensor ng temperatura ng singaw sa HMI? O isang tanong tulad ng: Anong sitwasyon (kaganapan) ang magsisilbing dahilan para pag-aralan ang mga video recording mula sa mga surveillance camera ng perimeter security system ng pasilidad?
Sa mga tuntunin ng porsyento, mapapansin ko na ang bilang ng mga tanong sa seksyong ito sa aking pagsusulit at sa mga pagsusulit sa pagsasanay ay hindi lalampas sa 5%.
- Ang isa pa at isa sa pinakalaganap na mga kategorya ng mga tanong ay ang mga tanong sa mga sistema ng kontrol sa proseso, PLC, SCADA: dito kinakailangan na sistematikong lapitan ang pag-aaral ng mga materyales kung paano nakabalangkas ang mga sistema ng kontrol sa proseso, mula sa mga sensor hanggang sa mga server kung saan ang application software mismo tumatakbo. Ang isang sapat na bilang ng mga tanong ay makikita sa mga uri ng pang-industriya na mga protocol ng paglilipat ng data (ModBus, RTU, Profibus, HART, atbp.). Magkakaroon ng mga katanungan tungkol sa kung paano naiiba ang RTU sa PLC, kung paano protektahan ang data sa PLC mula sa pagbabago ng isang umaatake, kung saan ang mga memory area ay iniimbak ng PLC ng data, at kung saan ang logic mismo ay nakaimbak (isang program na isinulat ng isang process control system programmer. ). Halimbawa, maaaring may ganitong uri ng tanong: Magbigay ng sagot sa kung paano mo matutukoy ang pag-atake sa pagitan ng isang PLC at isang HMI na gumagana gamit ang protocol ng ModBus?
Magkakaroon ng mga tanong tungkol sa mga pagkakaiba sa pagitan ng SCADA at DCS system. Ang isang malaking bilang ng mga katanungan sa mga patakaran para sa paghihiwalay ng mga awtomatikong network ng kontrol sa proseso sa antas ng L1, L2 mula sa antas ng L3 (Ilalarawan ko nang mas detalyado sa seksyon na may mga tanong sa network). Ang mga sitwasyong tanong sa paksang ito ay magiging lubhang magkakaibang - inilalarawan nila ang sitwasyon sa control room at kailangan mong pumili ng mga aksyon na dapat gawin ng operator ng proseso o dispatcher.
Sa pangkalahatan, ang seksyong ito ang pinakaespesipiko at makitid na profile. Nangangailangan kang magkaroon ng mahusay na kaalaman:
β awtomatikong sistema ng kontrol, bahagi ng field (mga sensor, mga uri ng koneksyon ng device, mga pisikal na tampok ng mga sensor, PLC, RTU);
β emergency shutdown system (ESD β emergency shutdown system) ng mga proseso at bagay (nga pala, mayroong isang mahusay na serye ng mga artikulo sa paksang ito sa HabrΓ© mula sa )
β isang pangunahing pag-unawa sa mga pisikal na proseso na nagaganap, halimbawa, sa pagdadalisay ng langis, pagbuo ng kuryente, mga pipeline, atbp.;
β pag-unawa sa arkitektura ng mga sistema ng DCS at SCADA;
Mapapansin kong ang ganitong uri ng mga tanong ay maaaring mangyari hanggang sa 25% sa lahat ng 115 na tanong ng pagsusulit. - Mga teknolohiya sa network at seguridad sa network: Sa tingin ko, ang bilang ng mga tanong sa paksang ito ay mauuna sa pagsusulit. Malamang na magkakaroon ng ganap na lahat - ang modelo ng OSI, sa kung anong mga antas ito o ang protocol na iyon ay nagpapatakbo, maraming mga katanungan sa segmentation ng network, mga sitwasyong tanong sa mga pag-atake sa network, mga halimbawa ng mga log ng koneksyon na may panukala upang matukoy ang uri ng pag-atake, mga halimbawa ng mga configuration ng switch na may panukala upang matukoy ang isang masusugatan na pagsasaayos, mga tanong sa mga kahinaan sa mga protocol ng network, mga katanungan sa mga detalye ng mga koneksyon sa network ng mga protocol ng komunikasyong pang-industriya. Lalo na maraming nagtatanong ang mga tao tungkol sa ModBus. Ang istraktura ng mga network packet ng parehong ModBus, depende sa uri nito at mga bersyon na sinusuportahan ng device. Maraming atensyon ang binabayaran sa mga pag-atake sa mga wireless network - ZigBee, Wireless HART, at simpleng mga tanong tungkol sa network security ng buong 802.1x na pamilya. Magkakaroon ng mga katanungan tungkol sa mga patakaran para sa paglalagay ng ilang mga server sa network ng sistema ng kontrol ng proseso (dito kailangan mong basahin ang pamantayan ng IEC-62443 at maunawaan ang mga prinsipyo ng mga modelo ng sanggunian ng mga network ng mga sistema ng kontrol sa proseso). Magkakaroon ng mga tanong tungkol sa modelo ng Purdue.
- Isang kategorya ng mga isyu na eksklusibong nauugnay sa mga functional na tampok ng pagpapatakbo ng mga sistema ng paghahatid ng kuryente at mga sistema ng seguridad ng impormasyon para sa kanila. Sa USA, ang kategoryang ito ng mga automated na sistema ng kontrol sa proseso ay tinatawag na Power Grid at itinalaga ang isang hiwalay na tungkulin. Para sa layuning ito, ang mga hiwalay na pamantayan ay inilabas pa nga (NIST 800.82) na kumokontrol sa diskarte sa paglikha ng mga sistema ng seguridad ng impormasyon para sa sektor na ito. Sa ating mga bansa, sa karamihan, ang sektor na ito ay limitado sa mga sistema ng ASKUE (iwasto ko kung may nakakita ng mas seryosong diskarte sa pagsubaybay sa mga sistema ng pamamahagi at paghahatid ng kuryente). Kaya, sa pagsusulit ay makakahanap ka ng mga partikular na tanong na may kaugnayan sa Power Grid. Para sa karamihan, ito ay mga use-case para sa isang partikular na sitwasyon na nabuo sa Power Plant, ngunit maaaring mayroon ding mga survey sa mga device na partikular na ginagamit sa Power Grid. Magkakaroon ng mga tanong na tumutugon sa kaalaman sa mga seksyon ng NIST para sa kategoryang ito ng mga system.
- Mga tanong na nauugnay sa kaalaman sa mga pamantayan: NIST 800-82, NERC, IEC62443. Sa tingin ko dito nang walang anumang mga espesyal na komento - kailangan mong mag-navigate sa mga seksyon ng mga pamantayan, na responsable para sa kung ano at kung anong mga rekomendasyon ang nilalaman nito. Mayroong mga tiyak na katanungan, halimbawa, pagtatanong sa dalas ng pagsuri sa pag-andar ng system, ang dalas ng pag-update ng pamamaraan, atbp. Bilang isang porsyento ng mga naturang tanong, hanggang 15% ng kabuuang bilang ng mga tanong ang maaaring makaharap. Pero depende. Halimbawa, sa dalawang pagsusulit sa pagsasanay nakita ko lamang ang ilang mga katulad na tanong. Pero marami talaga sila nung exam.
- Well, ang huling kategorya ng mga tanong ay ang lahat ng uri ng use-case at situational na tanong.
Sa pangkalahatan, ang pagsasanay mismo, maliban sa CTF NetWars, ay hindi masyadong nagbibigay-kaalaman para sa akin sa mga tuntunin ng pagkuha ng potensyal na bagong kaalaman. Sa halip, mas malalim na mga detalye ng ilang mga paksa ang nakuha, lalo na sa larangan ng organisasyon at proteksyon ng mga network ng radyo na ginagamit upang magpadala ng teknolohikal na impormasyon, pati na rin ang mas organisadong materyal sa istruktura ng mga dayuhang pamantayan na nakatuon sa paksang ito. Samakatuwid, para sa mga inhinyero at espesyalista na may sapat na kaalaman at karanasan sa pagtatrabaho sa mga process control system/instrumentation system o Industrial Networks, maaari mong isipin ang tungkol sa pagtitipid sa pagsasanay (at ang pag-iipon ay may katuturan), ihanda ang iyong sarili at dumiretso para kumuha ng pagsusulit sa sertipikasyon, na , sa pamamagitan ng paraan, ay nagkakahalaga ng 700USD. Kung sakaling mabigo, kailangan mong magbayad muli. Maraming mga sentro ng sertipikasyon na tatanggap sa iyo para sa pagsusulit; ang pangunahing bagay ay mag-apply nang maaga. Sa pangkalahatan, inirerekumenda ko na itakda kaagad ang petsa ng pagsusulit, dahil kung hindi ay patuloy mong maaantala ito, na papalitan ang proseso ng paghahanda ng iba pang mahalaga at hindi ganap na mahahalagang bagay. At ang pagkakaroon ng isang tiyak na petsa ng deadline ay magpapasigla sa iyong sarili.
Pinagmulan: www.habr.com