Всім привіт! На всім улюбленому порталі було багато різних статей з сертифікації в області ІБ, тому претендувати на оригінальність і неповторність контенту не збираюся, але все ж таки дуже хотів би поділитися своїм досвідом отримання GIAC (Global Information Assurance Company) сертифікації в галузі промислової кібербезпеки. З часів появи таких страшних слів як , , Shamoon, Triton, поступово став формуватися ринок надання послуг фахівців, які начебто IT, але ще можуть і ПЛК перевантажити з переписом конфігурації на ladders і при цьому завод не зупинити.
Так у світ прийшло поняття IT&OT (Information Technology & Operation Technology).
Слідом відразу, (зрозуміло, що не можна допускати до роботи некваліфіковані кадри) прийшла необхідність сертифікувати фахівців в галузі, що відноситься до забезпечення безпеки АСУТП, промислових систем – яких, виявляється в нашому житті, стало дуже багато від автоматичного клапана подачі води в квартирі до системи управління літаками (згадаймо чудову статтю про розслідування проблем ). І навіть як раптово виявилося — складного медичного обладнання.
Невелика лірика як я прийшов до необхідності отримувати сертифікацію (можна пропустити): Благополучно відучившись наприкінці нульових на факультеті захисту інформації, я з гордо піднятою головою зробив крок до лав КІП-івців, працюючи слюсарем по слаботочних системах охоронної сигналізації. Начебто ІБ сказали мені на підприємстві в той час:) Так почалася моя кар'єра АСУ-тпшника з дипломом бакалавра з ІБ. Через шість років, дослужившись до начальника відділу SCADA систем, я пішов працювати консультантом з безпеки промислових систем управління в іноземну компанію-вендора софту та обладнання. Ось тут якраз і виникла необхідність бути сертифікованим фахівцем ІБ.
є розробкою організації, яка займається проведенням тренінгів та сертифікацією фахівців з інформаційної безпеки. Репутація сертифікату від GIAC дуже висока серед спеціалістів та замовників на ринках EMEA, US, Asia Pacific. У нас, на посаду радянського простору та в країнах СНД, такий сертифікат можуть вимагати лише закордонні компанії, які мають бізнес у наших країнах, міжнародні та консалтингові агенції. Особисто я ніколи не стикався із запитом на наявність подібної сертифікації від вітчизняних компаній. Усі переважно запитують CISSP. Це моя суб'єктивна думка і якщо хтось поділиться своїм досвідом у коментах – буде цікаво дізнатися.
У SANS досить різних напрямів (на мій погляд, останнім часом хлопці надто вже розширили їхню кількість), але є й дуже цікаві практичні курси. Особливо сподобався . Але розповідь піде про курс та сертифікат під назвою: .
З усіх пропонованих SANS видів Industrial Cyber Security сертифікацій, ця є найуніверсальнішою. Оскільки друга відносяться переважно до Power Grid систем, яким на заході приділяється окрема увага і вони відносяться до відокремленого класу систем. А третя (на момент мого шляху сертифікації) належала до Incident Response.
Курс коштує не дешево, але дає досить великі знання з IT&OT. Особливо буде корисним тим камрадам, які вирішили змінити свою сферу, наприклад з ІТ security в банківській галузі на Industrial Cyber Security. Оскільки я вже мав бекграунд в області АСУТП, КВП та Operation Technology, то для мене принципово нового або життєво важливого в цьому курсі не було.
Курс складається з 50% теорії та 50% практики. З практики найцікавішим був контест – NetWars. Протягом двох днів, після основного курсу занять, всі студенти всіх класів розбивалися на команди і виконували завдання з отримання прав доступу, отримання потрібної інформації, отримання доступу до мережі, купою завдань з розкручування хешів, робота з Wireshark і різні плюшки.
Матеріал курсу має короткий виклад у вигляді книг, які потім ви отримуєте у своє безстрокове користування. До речі їх можна взяти на іспит, оскільки формат Open Book, але вони мало чим вам там допоможуть, оскільки на іспит відведено 3 години, 115 питань, мова здачі – англійська. За всі три години можна взяти перерву на 3 хвилин. Але врахуйте, що беручи перерву на 15 хвилин і повертаючись до тестів через 15 - ви просто віддаєте десять хвилин, що залишилися, так як більше зупинити час у програмі тестування не вийде. Можна пропустити до 5 питань, які потім з'являться наприкінці.
Особисто я не рекомендую залишати на потім багато питань, тому що часу о 3 годині справді мало, а коли наприкінці в тебе вилазять ще не вирішені питання – то є велика ймовірність не встигнути. Я залишив «на потім» лише три питання, які були для мене справді важкими, оскільки належали до знання стандарту NIST 800.82 та NERC. Психологічно такі питання «на потім» б'ють по нервах наприкінці — коли твій мозок втомився, ти хочеш у туалет, таймер на екрані начебто пришвидшується у геометричній прогресії.
Загалом, щоб пройти тестування, потрібно набрати 71% правильних відповідей. До складання іспиту у вас буде можливість потренуватися на реальних тестах – так як у вартість входить 2 тренувальні тести з 115 питань та з умовами, аналогічними до реального іспиту.
Я рекомендую складати іспит через місяць після проходження тренінгу, витративши цей місяць на систематичні самостійні заняття з тих питань – у яких ви відчуваєте невпевненість. Буде непогано, якщо ви візьмете отримані на курсі друковані матеріали, які виглядають як короткі тези з кожної з тем – і цілеспрямовано шукатимете інформацію щодо топіків, які містяться в цих книгах. Розбийте місяць на дві частини, виконуючи пробні тести та отримуючи приблизну картину того – у яких питаннях ви сильні, а де потрібно підтягнутися.
Я хотів би виділити такі основні напрями, з яких складається безпосередньо сам іспит (не навчальний курс, оскільки він покриває набагато більші теми):
- Фізична безпека: як і в інших сертифікаційних іспитах, цьому питанню у GICSP приділяється досить багато уваги. Зустрічаються питання щодо різновидів фізичних замків на дверях, описуються ситуації з підробкою електронних перепусток, де потрібно дати відповідь на однозначну ідентифікацію проблеми. Постають питання безпосередньо які стосуються безпеки технології (процесу) залежно від предметної області – нефгазові процеси, атомні станції чи електромережі. Наприклад може бути питання виду: Визначити яким типом контролю фізичної безпеки, чи є ситуація коли приходить Аларм від сенсора температури пари на HMI? Або питання виду: Яка ситуація (подія) спричинить аналіз відеозаписів з камер спостереження системи периметральної безпеки об'єкта?
У відсотковому співвідношенні я б зазначив, що кількість питань з цього розділу у мене на іспиті і в пробних тестах не перевищувала 5%.
- Іншою та однією з наймасовіших категорій питань є питання щодо АСУТП, PLC, SCADA: тут буде необхідно систематизовано підійти до вивчення матеріалів про те, як влаштовані системи управління технологічними процесами, починаючи від датчиків і закінчуючи серверами, де працює саме прикладне ПЗ. Достатня кількість питань зустрінеться з різновидів промислових протоколів передачі даних (ModBus, RTU, Profibus, HART та ін.). Будуть питання про те, чим відрізняється RTU від PLC, як захистити дані в PLC від модифікації зловмисником, у яких ділянках пам'яті PLC зберігає дані, а де зберігається сама логіка (програма написана програмістом АСУТП). Наприклад, може бути питання такого типу: Дати відповідь як можна зробити виявлення атаки між PLC і HMI які працюють за протоколом ModBus?
Зустрічаються питання щодо відмінностей систем SCADA від DCS. Велика кількість питань щодо правил розмежування мереж АСУТП на рівні L1, L2 від рівня L3 (детальніше опишу в розділі з питаннями по мережі). Ситуативні питання щодо даного топіка будуть також найрізноманітнішими – описують ситуацію в диспетчерській та потрібно вибрати дії, які мають бути виконані оператором процесу чи диспетчером.
Загалом даний розділ є специфічним і вузькопрофільним. Вимагає від вас добрих знань:
- АСУП, польової частини (датчики, типи підключення пристроїв, фізичні особливості датчиків, PLC, RTU);
- систем протиаварійного захисту (ESD – emergency shutdown system) процесів та об'єктів (до речі на хабрі є відмінний цикл статей на цю тему від )
— базового розуміння фізичних процесів, які протікають наприклад у нафтопереробці, виробленні електроенергії, трубопроводах тощо;
- розуміння пристрою архітектур DCS та SCADA систем;
Я б зазначив, що питань даного типу може зустрітися до 25% протягом усіх 115 питань іспиту. - Мережеві технології та мережна безпека: Я думаю що кількість питань даного топіка стоїть на першому місці в іспиті. Буде напевно абсолютно все – OSI модель, на яких рівнях працює той чи інший протокол, безліч питань щодо сегментації мережі, ситуативні питання щодо мережевих атак, приклади логів з'єднання з пропозицією визначити тип атаки, приклади конфігурацій комутатора з пропозицією визначити вразливу конфігурацію, питання уразливостей мережевих протоколів, питання щодо специфіки мережевих з'єднань промислових протоколів зв'язку. Особливо багато запитують про ModBus. Структура мережевих пакетів того ж ModBus залежить від його різновиду та версій, що підтримуються пристроєм. Велика увага приділяється атакам на бездротові мережі - ZigBee, Wireless HART, просто питання мережевої безпеки всього сімейства 802.1х. Будуть питання щодо правил розміщення тих чи інших серверів у мережі АСУТП (тут потрібно прочитати стандарт IEC-62443 та зрозуміти принципи еталонних моделей мереж АСУТП). Зустрічаються питання щодо Purdue моделі.
- Категорія питань, що відноситься виключно до функціональних особливостей роботи систем передачі електроенергії та систем інформаційної безпеки для них. У, дана категорія систем АСУТП, називається Power Grid і їй відводиться окрема роль. Для цього навіть випускаються окремі стандарти (NIST 800.82), що регламентують підхід до створення систем інформаційної безпеки для даного сектора. У наших країнах здебільшого даний сектор обмежується системами АСКУЕ (поправте мене, якщо хтось зустрічав більш серйозний підхід за контролем систем розподілу та доставки електроенергії). Так ось, в іспиті ви зустрінете досить специфічні питання, що стосуються Power Grid. Здебільшого це були use-cases для певної ситуації, що склалася на Power Plant, але так само можуть бути питання по пристроях, які застосовуються саме в Power Grid. Будуть питання, що адресують знання розділів NIST для даної категорії систем.
- Питання стосовно знання стандартів: NIST 800-82, NERC, IEC62443. Думаю тут без особливих коментарів – потрібно орієнтуватися в розділах стандартів, який відповідає і які рекомендації містить. Зустрічаються конкретні питання, наприклад запитують періодичність перевірки функціональності системи, періодичність оновлення процедури тощо. У відсотковому співвідношенні таких питань може трапитися до 15% від загальної кількості питань. Але тут як пощастить. Наприклад, на двох пробних тестах мені зустрілося всього пару подібних питань. Але натомість на іспиті їх справді було багато.
- Ну і остання категорія питань це різного роду use-cases та ситуативні питання.
В цілому, сам тренінг, за винятком, напевно, CTF NetWars був для мене не дуже інформативним у плані придбання потенційно нових знань. Швидше було придбано більш глибокі деталі деяких тем, особливо у сфері організації та захисту радіомереж, що застосовуються передачі технологічної інформації, а як і більш упорядкований матеріал у структурі зарубіжних стандартів, присвячених цій темі. Тому для інженерів і фахівців, які мають достатні знання та досвід роботи з АСУТП/КІП або Industrial Networks – можна задуматися про те, щоб заощадити на тренінгу (а заощаджувати має сенс), самостійно підготуватися та піти відразу складати сертифікаційний іспит, який доречно стоїть 700USD. У разі фейлу заплатити доведеться ще раз. Сертифікаційних центрів, які візьмуть вас на іспит достатньо, головне заздалегідь подати заявку. Взагалі я рекомендую відразу поставити дату іспиту, оскільки в іншому випадку ви постійно відтягуватимете її, замінюючи процес підготовки іншими життєво і не зовсім важливими справами. А маючи конкретну дату дедлайну, ви будете self-motivated.
Джерело: habr.com