Herkese selam! Herkesin favori portalında bilgi güvenliği alanında sertifikasyonla ilgili birçok farklı makale vardı, bu yüzden içeriğin özgünlüğünü ve benzersizliğini iddia etmeyeceğim, ancak yine de GIAC (Küresel Bilgi Güvence Şirketi) edinme deneyimimi gerçekten paylaşmak isterim. Endüstriyel siber güvenlik alanında sertifikasyon. gibi korkunç sözlerin ortaya çıkışından bu yana , , Shamoon, Triton, BT gibi görünen, ancak aynı zamanda merdivenlerdeki konfigürasyonu yeniden yazarak PLC'leri aşırı yükleyebilen ve aynı zamanda tesis durdurulamayan uzmanların hizmetlerinin sağlanmasına yönelik bir pazar oluşmaya başladı.
IT&OT (Bilgi Teknolojisi ve Operasyon Teknolojisi) kavramı bu şekilde dünyaya geldi.
Hemen ardından (vasıfsız personelin çalışmasına izin verilmemesi gerektiği açıktır), proses kontrol sistemleri ve endüstriyel sistemlerin güvenliğinin sağlanmasıyla ilgili alanda uzmanların sertifikalandırılması ihtiyacı geldi - ki bunların çok sayıda olduğu ortaya çıktı. bir apartman dairesindeki otomatik su vanasından uçak kontrol sistemine kadar hayatımızdalar (sorunların araştırılmasıyla ilgili mükemmel makaleyi hatırlayın) ). Ve hatta aniden ortaya çıktığı gibi karmaşık tıbbi ekipmanlar bile.
Sertifika alma ihtiyacına nasıl geldiğimi anlatan kısa bir söz (atlayabilirsiniz): XNUMX'li yılların sonunda Bilgi Güvenliği Fakültesi'ndeki eğitimimi başarıyla tamamladıktan sonra kafamla enstrümantasyon koyunlarının saflarına adım attım. düşük akımlı güvenlik alarm sistemlerinde tamirci olarak çalışıyor. Bilgi güvenliği bana o dönemde işletmede anlatılmıştı sanki :) Bilgi güvenliği alanında lisans diplomasına sahip bir otomatik kontrol sistemi uzmanı olarak kariyerim böyle başladı. Altı yıl sonra SCADA sistemleri bölüm başkanlığına yükseldikten sonra, yazılım ve ekipman satışı yapan yabancı bir şirkette endüstriyel kontrol sistemleri güvenlik danışmanı olarak çalışmak üzere ayrıldım. Sertifikalı bilgi güvenliği uzmanı olma ihtiyacı da tam bu noktada ortaya çıktı.
bir gelişme bilgi güvenliği uzmanlarının eğitim ve sertifikasyonunu yürüten kuruluş. GIAC sertifikasının itibarı EMEA, ABD ve Asya Pasifik pazarlarındaki uzmanlar ve müşteriler arasında oldukça yüksektir. Burada, Sovyet sonrası alanda ve BDT ülkelerinde, böyle bir sertifika yalnızca ülkelerimizde faaliyet gösteren yabancı şirketler, uluslararası kuruluşlar ve danışmanlık kuruluşları tarafından talep edilebilir. Şahsen ben yerli firmalardan böyle bir sertifika talebiyle karşılaşmadım. Herkes temelde CISSP'yi istiyor. Bu benim öznel görüşüm ve yorumlarda deneyimlerini paylaşan varsa bilmek ilginç olacaktır.
SANS'ta pek çok farklı alan var (bence son zamanlarda adamlar sayılarını çok artırdılar), ama aynı zamanda çok ilginç uygulamalı kurslar da var. Özellikle bunu beğendim . Ama hikaye kursla ilgili olacak ve şu adı taşıyan bir sertifika: .
SANS tarafından sunulan tüm Endüstriyel Siber Güvenlik sertifika türleri arasında en evrensel olanıdır. İkincisi daha çok Batı'da özel ilgi gören ve ayrı bir sistem sınıfına ait olan Güç Şebekesi sistemleriyle ilgilidir. Ve üçüncüsü (sertifikasyon yolum sırasında) Olay Müdahalesi ile ilgiliydi.
Kurs ucuz değildir ancak BT&OT konusunda oldukça kapsamlı bilgi sağlar. Örneğin bankacılık sektöründeki BT güvenliğinden Endüstriyel Siber Güvenliğe kadar alanlarını değiştirmeye karar veren yoldaşlar için özellikle faydalı olacaktır. Proses kontrol sistemleri, enstrümantasyon ve operasyon teknolojisi alanında zaten bir geçmişim olduğundan, bu kursta benim için temelde yeni veya hayati önem taşıyan hiçbir şey yoktu.
Dersin %50'si teori, %50'si pratikten oluşmaktadır. Pratikte en ilginç yarışma NetWars'dı. İki gün boyunca, derslerin ana dersinden sonra, tüm sınıfların tüm öğrencileri takımlara ayrıldı ve erişim haklarını elde etmek, gerekli bilgileri çıkarmak, ağa erişim sağlamak, karmaları teşvik etmek için bir dizi görev, Wireshark ile çalışmak için görevler gerçekleştirdiler. ve her türden farklı güzellikler.
Kurs materyali, daha sonra sürekli kullanımınız için alacağınız kitaplar biçiminde özetlenir. Bu arada format Açık Kitap olduğu için sınava girebilirsiniz ama sınav 3 saat, 115 soru olduğundan ve dağıtım dili İngilizce olduğundan size pek bir faydası olmayacaktır. 3 saatin tamamı boyunca 15 dakika ara verebilirsiniz. Ancak unutmayın ki 15 dakika ara verip 5 dakika sonra tekrar testlere dönerseniz, kalan 15 dakikadan vazgeçmiş olursunuz, çünkü artık test programında zamanı durduramazsınız. En sonunda görünecek olan en fazla XNUMX soruyu atlayabilirsiniz.
Kişisel olarak çok fazla soruyu sonraya bırakmanızı önermiyorum çünkü 3 saat gerçekten yeterli bir süre değil ve sonunda çözülmemiş sorularınız olduğunda yapamama ihtimaliniz yüksek. zamanla. NIST 800.82 ve NERC standardı bilgisiyle ilgili olduğundan benim için gerçekten zor olan sadece üç soruyu sonraya bıraktım. Psikolojik olarak bu tür "sonraki" sorular en sonunda sinirlerinize dokunuyor - beyniniz yorulduğunda, tuvalete gitmek istediğinizde ekrandaki zamanlayıcı katlanarak hızlanıyor gibi görünüyor.
Genel olarak testi geçmek için %71 oranında doğru yanıt almanız gerekir. Sınava girmeden önce, gerçek sınavlarla pratik yapma fırsatına sahip olacaksınız - fiyata 2 soruluk 115 deneme testi dahildir ve koşullar gerçek sınava benzerdir.
Eğitimi tamamladıktan bir ay sonra sınava girmenizi, bu ayı emin olamadığınız konularda sistematik kişisel çalışma yaparak geçirmenizi öneririm. Kurs sırasında aldığınız, her konu hakkında kısa özetler gibi görünen basılı materyalleri alıp bu kitaplarda yer alan konular hakkında bilinçli olarak bilgi ararsanız iyi olur. Ayı iki kısma ayırın, pratik testleri yapın ve hangi alanlarda güçlü olduğunuzu ve nereleri geliştirmeniz gerektiğini kabaca görün.
Sınavın kendisini oluşturan aşağıdaki ana alanları vurgulamak istiyorum (çok daha kapsamlı konuları kapsadığı için eğitim kursu değil):
- Fiziksel Güvenlik: Diğer sertifika sınavlarında olduğu gibi GICSP'de de bu konuya büyük önem verilmektedir. Kapılardaki fiziksel kilit türleri hakkında sorular var, elektronik geçişlerde sahtecilikle ilgili durumlar anlatılıyor, burada sorunu açık bir şekilde tanımlamak için bir cevap vermeniz gerekiyor. Konu alanına (petrol ve gaz süreçleri, nükleer santraller veya elektrik şebekeleri) bağlı olarak doğrudan teknolojinin (sürecin) güvenliğiyle ilgili sorular vardır. Örneğin şöyle bir soru olabilir: HMI üzerindeki buhar sıcaklık sensöründen Alarm geldiğinde durumun ne tür bir fiziksel güvenlik kontrolü olduğunu belirleyin? Veya şuna benzer bir soru: Tesisin çevre güvenlik sisteminin güvenlik kameralarından gelen video kayıtlarının analiz edilmesine hangi durum (olay) neden olacaktır?
Yüzde olarak bakıldığında sınavımda ve uygulama testlerinde bu bölümdeki soru sayısının %5'i geçmediğini belirtmek isterim.
- Diğer ve en yaygın soru kategorilerinden biri proses kontrol sistemleri, PLC, SCADA ile ilgili sorulardır: burada sensörlerden uygulama yazılımının kendisinin bulunduğu sunuculara kadar proses kontrol sistemlerinin nasıl yapılandırıldığına ilişkin materyallerin incelenmesine sistematik olarak yaklaşmak gerekecektir. koşar. Endüstriyel veri aktarım protokollerinin türleri (ModBus, RTU, Profibus, HART vb.) hakkında yeterli sayıda soru bulunacaktır. RTU'nun PLC'den ne kadar farklı olduğu, PLC'deki verilerin bir saldırgan tarafından değiştirilmeye karşı nasıl korunacağı, PLC'nin verileri hangi bellek alanlarında sakladığı ve mantığın nerede saklandığı (bir süreç kontrol sistemi programcısı tarafından yazılan bir program) hakkında sorular olacaktır. ). Örneğin şöyle bir soru gelebilir: ModBus protokolünü kullanarak çalışan bir PLC ile HMI arasındaki saldırıyı nasıl tespit edersiniz sorusuna cevap verir misiniz?
SCADA ve DCS sistemleri arasındaki farklara dair sorular olacak. L1, L2 düzeyindeki otomatik süreç kontrol ağlarını L3 düzeyinden ayırma kurallarına ilişkin çok sayıda soru (ağla ilgili soruların olduğu bölümde daha ayrıntılı olarak anlatacağım). Bu konuyla ilgili durumsal sorular da çok çeşitli olacaktır - kontrol odasındaki durumu açıklarlar ve süreç operatörü veya sevk görevlisi tarafından gerçekleştirilmesi gereken eylemleri seçmeniz gerekir.
Genel olarak bu bölüm en spesifik ve dar profillidir. İyi bilgiye sahip olmanızı gerektirir:
— otomatik kontrol sistemi, saha kısmı (sensörler, cihaz bağlantı türleri, sensörlerin fiziksel özellikleri, PLC, RTU);
— süreçlerin ve nesnelerin acil durum kapatma sistemleri (ESD – acil durum kapatma sistemi) (bu arada, Habré'de bu konuyla ilgili mükemmel bir dizi makale var. )
— örneğin petrol rafine etme, elektrik üretimi, boru hatları vb.'de meydana gelen fiziksel süreçlere ilişkin temel bir anlayış;
— DCS ve SCADA sistemlerinin mimarisinin anlaşılması;
Sınavın 25 sorusunun tamamında bu tür soruların %115'e kadar çıkabileceğini belirtmek isterim. - Ağ teknolojileri ve ağ güvenliği: Bu konudaki soru sayısının sınavda ilk sırada geldiğini düşünüyorum. Muhtemelen kesinlikle her şey olacak - OSI modeli, şu veya bu protokolün hangi seviyelerde çalıştığı, ağ bölümlendirmeyle ilgili birçok soru, ağ saldırılarıyla ilgili durumsal sorular, saldırı türünü belirleme önerisiyle birlikte bağlantı günlükleri örnekleri, anahtar yapılandırma örnekleri Savunmasız bir konfigürasyonun belirlenmesine yönelik bir teklif, ağ protokollerinin güvenlik açıklarına ilişkin sorular, endüstriyel iletişim protokollerinin ağ bağlantılarının özelliklerine ilişkin sorular. İnsanlar özellikle ModBus hakkında çok şey soruyor. Aynı ModBus'un ağ paketlerinin yapısı, türüne ve cihaz tarafından desteklenen sürümlere bağlıdır. Kablosuz ağlara (ZigBee, Wireless HART) yapılan saldırılara ve tüm 802.1x ailesinin ağ güvenliğiyle ilgili sorulara çok dikkat ediliyor. Belirli sunucuların proses kontrol sistemi ağına yerleştirilmesine ilişkin kurallar hakkında sorular olacaktır (burada IEC-62443 standardını okumanız ve proses kontrol sistemleri ağlarının referans modellerinin ilkelerini anlamanız gerekir). Purdue modeliyle ilgili sorular olacak.
- Yalnızca elektrik iletim sistemlerinin ve bunlara yönelik bilgi güvenliği sistemlerinin işletiminin işlevsel özellikleriyle ilgili bir sorun kategorisi. ABD'de bu otomatik proses kontrol sistemleri kategorisine Power Grid adı verilir ve ayrı bir rol atanır. Bu amaçla, bu sektöre yönelik bilgi güvenliği sistemleri oluşturma yaklaşımını düzenleyen ayrı standartlar (NIST 800.82) bile yayınlanmıştır. Bizim ülkelerimizde bu sektör çoğunlukla ASKUE sistemleriyle sınırlıdır (elektrik dağıtım ve dağıtım sistemlerinin izlenmesi konusunda daha ciddi bir yaklaşım gören varsa beni düzeltin). Yani sınavda Güç Şebekesi ile ilgili oldukça spesifik sorular bulacaksınız. Çoğunlukla bunlar, Enerji Santralinde geliştirilen belirli bir duruma yönelik kullanım senaryolarıydı, ancak özellikle Güç Şebekesinde kullanılan cihazlara ilişkin araştırmalar da olabilir. Bu sistem kategorisi için NIST bölümlerinin bilgisine yönelik sorular olacaktır.
- Standart bilgisine ilişkin sorular: NIST 800-82, NERC, IEC62443. Burada herhangi bir özel yorum yapmadan, içerdiği önerilerden sorumlu olan standartların bölümlerinde gezinmeniz gerektiğini düşünüyorum. Örneğin sistemin işlevselliğini kontrol etme sıklığını, prosedürü güncelleme sıklığını vb. soran belirli sorular vardır. Bu tür soruların yüzdesi olarak toplam soru sayısının %15'ine kadar karşılaşılabilmektedir. Ama duruma bağlı. Örneğin, iki pratik testinde yalnızca birkaç benzer soruyla karşılaştım. Ama sınav sırasında gerçekten çok sayıda vardı.
- Son soru kategorisi her türlü kullanım senaryosu ve durumsal sorulardır.
Genel olarak, CTF NetWars hariç, eğitimin kendisi benim için potansiyel olarak yeni bilgiler edinme açısından pek bilgilendirici değildi. Bunun yerine, özellikle teknolojik bilgileri iletmek için kullanılan radyo ağlarının organizasyonu ve korunması alanında bazı konuların daha derin ayrıntılarının yanı sıra bu konuya ayrılmış yabancı standartların yapısı hakkında daha organize materyaller elde edildi. Bu nedenle, proses kontrol sistemleri/enstrümantasyon sistemleri veya Endüstriyel Ağlar ile çalışma konusunda yeterli bilgi ve deneyime sahip mühendisler ve uzmanlar için, eğitimden tasarruf etmeyi düşünebilir (ve tasarruf mantıklıdır), kendinizi hazırlayabilir ve doğrudan sertifika sınavına girebilirsiniz; Bu arada 700 USD değerinde. Başarısızlık durumunda tekrar ödeme yapmanız gerekecektir. Sizi sınava kabul edecek çok sayıda sertifika merkezi var; asıl önemli olan önceden başvuruda bulunmaktır. Genel olarak sınav tarihini hemen belirlemenizi öneririm, çünkü aksi takdirde hazırlık sürecini diğer hayati ve pek de önemli olmayan konularla değiştirerek sürekli olarak geciktirirsiniz. Ve belirli bir son teslim tarihine sahip olmak sizi kendi kendine motive edecektir.
Kaynak: habr.com