Hammaga salom! Har bir insonning sevimli portalida axborot xavfsizligi sohasidagi sertifikatlash bo'yicha juda ko'p turli xil maqolalar bor edi, shuning uchun men kontentning o'ziga xosligi va o'ziga xosligini da'vo qilmoqchi emasman, lekin men hali ham GIAC (Global Information Assurance Company) ni olish tajribam bilan o'rtoqlashmoqchiman. sanoat kiberxavfsizlik sohasida sertifikatlash. kabi dahshatli so'zlar paydo bo'lganidan beri , , Shamoon, Triton, IT bo'lib ko'rinadigan, lekin zinapoyalarga konfiguratsiyani qayta yozish bilan PLC-larni ortiqcha yuklashi mumkin bo'lgan va shu bilan birga zavodni to'xtatib bo'lmaydigan mutaxassislar xizmatlarini ko'rsatish bozori shakllana boshladi.
IT&OT (Information Technology & Operation Technology) tushunchasi dunyoga shunday paydo bo'ldi.
Darhol (malakali bo'lmagan xodimlarning ishlashiga yo'l qo'yilmasligi aniq) jarayonni boshqarish tizimlari va sanoat tizimlarining xavfsizligini ta'minlash bilan bog'liq sohadagi mutaxassislarni sertifikatlash zarurati paydo bo'ldi - ma'lum bo'lishicha, ulardan ko'plari bor. Ular bizning hayotimizda, kvartiradagi avtomatik suv ta'minoti klapanidan samolyotlarni boshqarish tizimigacha (muammolarni tekshirish haqidagi ajoyib maqolani eslang. ). Va hatto, to'satdan ma'lum bo'lishicha, murakkab tibbiy uskunalar.
Sertifikat olish zaruriyatiga qanday kelganim haqida qisqacha lirika (siz uni o'tkazib yuborishingiz mumkin): XNUMX-yillarning oxirida Axborot xavfsizligi fakultetida o'qishni muvaffaqiyatli tugatib, men o'zimning asbobim va boshqaruv tizimlari safiga qadam qo'ydim. boshini baland ko'tarib, past oqimdagi xavfsizlik signalizatsiya tizimlarida mexanik bo'lib ishlagan. Axborot xavfsizligi haqida o'sha paytda menga korxonada aytilganga o'xshaydi :) Axborot xavfsizligi bo'yicha bakalavr darajasiga ega avtomatlashtirilgan boshqaruv tizimi mutaxassisi sifatidagi faoliyatim shunday boshlangan. Olti yil o'tgach, SCADA tizimlari bo'limi boshlig'i darajasiga ko'tarilib, men dasturiy ta'minot va uskunalarni sotuvchi xorijiy kompaniyada sanoat nazorati tizimlari bo'yicha xavfsizlik bo'yicha maslahatchi sifatida ishlashni tark etdim. Bu erda axborot xavfsizligi bo'yicha sertifikatlangan mutaxassis bo'lish zarurati paydo bo'ldi.
rivojlanish hisoblanadi axborot xavfsizligi bo'yicha mutaxassislarni tayyorlash va attestatsiyadan o'tkazuvchi tashkilot. GIAC sertifikatining obro'si EMEA, AQSh va Osiyo Tinch okeani bozorlaridagi mutaxassislar va mijozlar orasida juda yuqori. Bu erda, postsovet hududida va MDH mamlakatlarida bunday sertifikatni faqat bizning mamlakatlarda biznesga ega bo'lgan xorijiy kompaniyalar, xalqaro va konsalting agentliklari so'rashi mumkin. Shaxsan men hech qachon mahalliy kompaniyalardan bunday sertifikatlash so'roviga duch kelmaganman. Hamma asosan CISSP ni so'raydi. Bu mening sub'ektiv fikrim va agar kimdir o'z tajribasini sharhlarda baham ko'rsa, bilish qiziq bo'ladi.
SANS-da juda ko'p turli xil yo'nalishlar mavjud (mening fikrimcha, yaqinda yigitlar ularning sonini juda ko'paytirdilar), ammo juda qiziqarli amaliy kurslar ham mavjud. Menga ayniqsa yoqdi . Ammo hikoya kurs haqida bo'ladi va sertifikat deb ataladi: .
SANS tomonidan taqdim etilgan sanoat kiberxavfsizlik sertifikatlarining barcha turlaridan bu eng universal hisoblanadi. Ikkinchisi ko'proq G'arbda alohida e'tiborga ega bo'lgan va alohida tizimlar sinfiga tegishli bo'lgan Power Grid tizimlariga tegishli. Uchinchisi (mening sertifikatlash yo'limda) hodisaga javob berish bilan bog'liq.
Kurs arzon emas, lekin u IT va OT bo'yicha juda keng bilimlarni beradi. Bu, ayniqsa, o'z sohasini o'zgartirishga qaror qilgan o'rtoqlar uchun foydali bo'ladi, masalan, bank sohasidagi IT xavfsizligidan Industrial Cyber ββββSecurity. Men jarayonni boshqarish tizimlari, asbobsozlik va ekspluatatsiya texnologiyasi sohasida ma'lumotga ega bo'lganim sababli, bu kursda men uchun tubdan yangi yoki hayotiy muhim narsa yo'q edi.
Kurs 50% nazariya va 50% amaliyotdan iborat. Amaliyotdan eng qiziqarli tanlov NetWars edi. Ikki kun davomida asosiy darsdan so'ng barcha sinf o'quvchilari jamoalarga bo'linib, kirish huquqlarini olish, kerakli ma'lumotlarni olish, tarmoqqa kirish, xeshlarni targ'ib qilish, Wireshark bilan ishlash bo'yicha vazifalarni bajarishdi. va har xil shirinliklar.
Kurs materiallari kitoblar ko'rinishida umumlashtirilgan bo'lib, siz ularni doimiy foydalanish uchun olasiz. Aytgancha, siz ularni imtihonga topshirishingiz mumkin, chunki format Open Book, lekin ular sizga ko'p yordam bermaydi, chunki imtihon 3 soat, 115 savol va etkazib berish tili ingliz tilida. Butun 3 soat davomida siz 15 daqiqalik tanaffus qilishingiz mumkin. Ammo shuni yodda tutingki, 15 daqiqa tanaffus qilib, 5 daqiqadan so'ng testlarga qaytsangiz, qolgan o'n daqiqadan shunchaki voz kechasiz, chunki test dasturida vaqtni endi to'xtata olmaysiz. Siz 15 tagacha savolni o'tkazib yuborishingiz mumkin, ular keyin eng oxirida paydo bo'ladi.
Shaxsan men ko'p savollarni keyinroq qoldirishni tavsiya etmayman, chunki 3 soat haqiqatan ham etarli vaqt emas va oxirida hali hal etilmagan savollaringiz bo'lsa, qila olmaslik ehtimoli yuqori. o'z vaqtida. Keyinchalik men uchun juda qiyin bo'lgan uchta savolni qoldirdim, chunki ular NIST 800.82 va NERC standartini bilish bilan bog'liq edi. Psixologik nuqtai nazardan, "keyinchalik" kabi savollar sizning asabingizga eng oxirida ta'sir qiladi - miya charchaganida, siz hojatxonaga borishni xohlaysiz, ekrandagi taymer eksponent ravishda tezlashayotganga o'xshaydi.
Umuman olganda, testdan o'tish uchun 71% to'g'ri javob to'plash kerak. Imtihon topshirishdan oldin siz haqiqiy testlarda mashq qilish imkoniyatiga ega bo'lasiz - chunki narxga 2 ta savoldan iborat va haqiqiy imtihonga o'xshash shartlar bilan 115 ta amaliy test kiradi.
Men mashg'ulotni tugatgandan so'ng bir oy o'tgach imtihon topshirishni maslahat beraman, bu oyni o'zingizni ishonchingiz komil bo'lmagan masalalar bo'yicha tizimli mustaqil o'rganishga sarflang. Kurs davomida olingan, har bir mavzu bo'yicha qisqacha konspektga o'xshash bosma materiallarni olib, ushbu kitoblardagi mavzular bo'yicha ma'lumotni maqsadli ravishda qidirsangiz yaxshi bo'lardi. Oyni ikki qismga bo'ling, amaliyot sinovlarini o'tkazing va qaysi sohalarda kuchli ekanligingiz va qayerda yaxshilashingiz kerakligi haqida taxminiy tasavvurga ega bo'ling.
Men imtihonning o'zini tashkil etadigan quyidagi asosiy yo'nalishlarni ta'kidlamoqchiman (o'quv kursi emas, chunki u yanada kengroq mavzularni qamrab oladi):
- Jismoniy xavfsizlik: Boshqa sertifikatlash imtihonlari singari, GICSPda bu masalaga katta e'tibor beriladi. Eshiklardagi jismoniy qulflarning turlari haqida savollar mavjud, elektron o'tishlarni soxtalashtirish holatlari tasvirlangan, bu erda muammoni aniq aniqlash uchun javob berish kerak. To'g'ridan-to'g'ri texnologiya (jarayon) xavfsizligi bilan bog'liq bo'lgan savollar mavjud bo'lib, ular mavzu sohasiga qarab - neft va gaz jarayonlari, atom elektr stantsiyalari yoki elektr tarmoqlari. Masalan, quyidagi savol tug'ilishi mumkin: HMI dagi bug 'harorati sensoridan Signal kelganda vaziyat qanday jismoniy xavfsizlik nazorati ekanligini aniqlang? Yoki savol: Qaysi vaziyat (hodisa) ob'ekt perimetri xavfsizlik tizimining kuzatuv kameralaridan olingan video yozuvlarni tahlil qilish uchun sabab bo'ladi?
Foiz nisbatida shuni ta'kidlaymanki, mening imtihonimda va amaliy testlarda ushbu bo'lim bo'yicha savollar soni 5% dan oshmagan.
- Savollarning yana bir va eng keng tarqalgan toifalaridan biri bu jarayonlarni boshqarish tizimlari, PLC, SCADA bo'yicha savollar: bu erda jarayonlarni boshqarish tizimlari qanday tuzilganligi haqidagi materiallarni o'rganishga tizimli ravishda yondashish kerak bo'ladi, sensorlardan tortib amaliy dasturiy ta'minotning o'zi joylashgan serverlargacha. yuguradi. Sanoat ma'lumotlarini uzatish protokollarining turlari (ModBus, RTU, Profibus, HART va boshqalar) bo'yicha etarli miqdordagi savollar topiladi. RTU PLC dan qanday farq qilishi, PLCdagi ma'lumotlarni tajovuzkor tomonidan o'zgartirishdan qanday himoya qilish kerakligi, PLC ma'lumotlarni qaysi xotira sohalarida saqlashi va mantiqning o'zi qaerda (jarayonni boshqarish tizimi dasturchisi tomonidan yozilgan dastur) haqida savollar bo'ladi. ). Misol uchun, bunday turdagi savol bo'lishi mumkin: ModBus protokoli yordamida ishlaydigan PLC va HMI o'rtasidagi hujumni qanday aniqlash mumkinligi haqida javob bering?
SCADA va DCS tizimlari o'rtasidagi farqlar haqida savollar bo'ladi. L1, L2 darajadagi avtomatlashtirilgan jarayonlarni boshqarish tarmoqlarini L3 darajasidan ajratish qoidalari bo'yicha ko'p sonli savollar (men tarmoqdagi savollar bo'limida batafsilroq tasvirlab beraman). Ushbu mavzu bo'yicha situatsion savollar ham juda xilma-xil bo'ladi - ular boshqaruv xonasidagi vaziyatni tasvirlaydi va siz jarayon operatori yoki dispetcher tomonidan bajarilishi kerak bo'lgan harakatlarni tanlashingiz kerak.
Umuman olganda, ushbu bo'lim eng aniq va tor profildir. Yaxshi bilimga ega bo'lishni talab qiladi:
β avtomatlashtirilgan boshqaruv tizimi, maydon qismi (datchiklar, qurilmalar ulanish turlari, sensorlarning fizik xususiyatlari, PLC, RTU);
- jarayonlar va ob'ektlarni favqulodda o'chirish tizimlari (ESD - favqulodda o'chirish tizimi) (Aytgancha, HabrΓ©-da ushbu mavzu bo'yicha ajoyib maqolalar seriyasi mavjud. )
β masalan, neftni qayta ishlash, elektr energiyasi ishlab chiqarish, quvurlar va boshqalarda sodir boβladigan fizik jarayonlar haqida asosiy tushuncha;
β DCS va SCADA tizimlari arxitekturasini tushunish;
Shuni ta'kidlashni istardimki, ushbu turdagi savollar imtihonning barcha 25 savolida 115% gacha bo'lishi mumkin. - Tarmoq texnologiyalari va tarmoq xavfsizligi: Menimcha, ushbu mavzu bo'yicha savollar soni imtihonda birinchi o'rinda turadi. Ehtimol, mutlaqo hamma narsa bo'ladi - OSI modeli, u yoki bu protokol qaysi darajalarda ishlaydi, tarmoq segmentatsiyasi bo'yicha ko'plab savollar, tarmoq hujumlari bo'yicha vaziyatli savollar, hujum turini aniqlash taklifi bilan ulanish jurnallari misollari, kalit konfiguratsiyasi misollari zaif konfiguratsiyani aniqlash taklifi bilan, tarmoq protokollarining zaifliklari bo'yicha savollar, sanoat aloqa protokollarining tarmoq ulanishlarining o'ziga xos xususiyatlari bo'yicha savollar. Odamlar, ayniqsa, ModBus haqida ko'p so'rashadi. Xuddi shu ModBus tarmoq paketlarining tuzilishi, uning turiga va qurilma tomonidan qo'llab-quvvatlanadigan versiyalarga bog'liq. Simsiz tarmoqlarga hujumlarga katta e'tibor beriladi - ZigBee, Wireless HART va oddiygina butun 802.1x oilasining tarmoq xavfsizligi haqida savollar. Jarayonni boshqarish tizimi tarmog'ida ma'lum serverlarni joylashtirish qoidalari haqida savollar paydo bo'ladi (bu erda siz IEC-62443 standartini o'qib chiqishingiz va jarayonlarni boshqarish tizimlari tarmoqlarining mos yozuvlar modellari tamoyillarini tushunishingiz kerak). Purdue modeli haqida savollar bo'ladi.
- Faqat elektr energiyasini uzatish tizimlari va ular uchun axborot xavfsizligi tizimlarining ishlashining funktsional xususiyatlariga taalluqli masalalar toifasi. AQShda texnologik jarayonlarni boshqarishning avtomatlashtirilgan tizimlarining ushbu toifasi Power Grid deb ataladi va alohida rolga ega. Shu maqsadda, hatto ushbu sektor uchun axborot xavfsizligi tizimlarini yaratishga yondashuvni tartibga soluvchi alohida standartlar (NIST 800.82) chiqariladi. Mamlakatlarimizda, asosan, bu sektor ASKUE tizimlari bilan cheklangan (agar kimdir elektr energiyasini taqsimlash va etkazib berish tizimlarini kuzatishda jiddiyroq yondashuvni ko'rgan bo'lsa, meni to'g'rilang). Shunday qilib, imtihonda siz elektr tarmog'iga oid juda aniq savollarni topasiz. Ko'pincha, bular Elektr stansiyasida ishlab chiqilgan muayyan vaziyat uchun foydalanish holatlari edi, lekin elektr tarmog'ida maxsus ishlatiladigan qurilmalarda ham so'rovlar bo'lishi mumkin. Ushbu toifadagi tizimlar uchun NIST bo'limlari haqidagi bilimlarga oid savollar bo'ladi.
- Standartlarni bilish bilan bog'liq savollar: NIST 800-82, NERC, IEC62443. Menimcha, bu erda hech qanday maxsus izohlarsiz - siz standartlarning bo'limlari bo'ylab harakat qilishingiz kerak, ular nima va qanday tavsiyalarni o'z ichiga oladi. Muayyan savollar mavjud, masalan, tizimning funksionalligini tekshirish chastotasi, protsedurani yangilash chastotasi va boshqalar. Bunday savollarning foizi sifatida umumiy savollarning 15% gacha bo'lgan savollarga duch kelishi mumkin. Lekin bu bog'liq. Masalan, ikkita amaliy testda men bir nechta shunga o'xshash savollarga duch keldim. Ammo imtihon paytida ular juda ko'p edi.
- Xo'sh, savollarning oxirgi toifasi barcha turdagi foydalanish holatlari va vaziyatli savollardir.
Umuman olganda, treningning o'zi, CTF NetWars-dan tashqari, potentsial yangi bilimlarni olish nuqtai nazaridan men uchun unchalik ma'lumotli emas edi. Aksincha, ba'zi mavzular bo'yicha chuqurroq ma'lumotlar, ayniqsa texnologik ma'lumotlarni uzatish uchun foydalaniladigan radiotarmoqlarni tashkil etish va himoya qilish sohasida, shuningdek, ushbu mavzuga bag'ishlangan xorijiy standartlarning tuzilishi bo'yicha ko'proq tashkillashtirilgan materiallar qo'lga kiritildi. Shu sababli, jarayonni boshqarish tizimlari/asbob tizimlari yoki sanoat tarmoqlari bilan ishlashda etarli bilim va tajribaga ega bo'lgan muhandislar va mutaxassislar uchun siz o'qitishni tejash (va tejash mantiqiy) haqida o'ylashingiz mumkin, o'zingizni tayyorlang va to'g'ridan-to'g'ri sertifikatlash imtihoniga kiring. Aytgancha, 700USDga teng. Muvaffaqiyatsiz bo'lsa, siz yana to'lashingiz kerak bo'ladi. Sizni imtihonga qabul qiladigan ko'plab sertifikatlashtirish markazlari mavjud, asosiysi oldindan ariza topshirishdir. Umuman olganda, men imtihon sanasini darhol belgilashni maslahat beraman, chunki aks holda siz uni doimiy ravishda kechiktirasiz, tayyorgarlik jarayonini boshqa hayotiy va unchalik muhim bo'lmagan narsalar bilan almashtirasiz. Va ma'lum bir muddatga ega bo'lish sizni o'zingizni rag'batlantiradi.
Manba: www.habr.com