Chào mọi người! Cổng thông tin yêu thích của mọi người có nhiều bài viết khác nhau về chứng nhận trong lĩnh vực bảo mật thông tin, vì vậy tôi sẽ không khẳng định tính độc đáo và độc đáo của nội dung, nhưng tôi vẫn thực sự muốn chia sẻ kinh nghiệm của mình khi đạt được GIAC (Công ty Đảm bảo Thông tin Toàn cầu) chứng nhận trong lĩnh vực an ninh mạng công nghiệp. Kể từ khi xuất hiện những từ ngữ khủng khiếp như , , Shamoon, Triton, thị trường cung cấp dịch vụ của các chuyên gia tưởng chừng là CNTT nhưng cũng có thể khiến PLC quá tải khi phải viết lại cấu hình trên thang, đồng thời nhà máy không thể ngừng hoạt động, bắt đầu hình thành.
Đây là cách mà khái niệm IT&OT (Công nghệ thông tin & Công nghệ vận hành) ra đời.
Ngay tiếp theo (rõ ràng là không được phép làm việc cho những nhân viên không đủ trình độ) cần phải chứng nhận các chuyên gia trong lĩnh vực liên quan đến đảm bảo an toàn cho hệ thống kiểm soát quá trình và hệ thống công nghiệp - hóa ra là có rất nhiều chúng trong cuộc sống của chúng ta, từ van cấp nước tự động trong căn hộ đến hệ thống điều khiển máy bay (hãy nhớ bài viết xuất sắc về việc điều tra các vấn đề ). Và thậm chí, đột nhiên hóa ra, thiết bị y tế phức tạp.
Một lời bài hát ngắn về việc tôi đã đạt đến nhu cầu phải đạt được chứng chỉ như thế nào (bạn có thể bỏ qua): Hoàn thành xuất sắc việc học tại Khoa An toàn Thông tin vào cuối những năm XNUMX, tôi bước vào hàng ngũ những con cừu thiết bị đo đạc bằng cái đầu của mình giữ vị trí cao, làm thợ cơ khí cho hệ thống báo động an ninh dòng điện thấp. Có vẻ như doanh nghiệp đã nói với tôi về vấn đề bảo mật thông tin vào thời điểm đó :) Đây là cách mà sự nghiệp chuyên gia hệ thống điều khiển tự động với bằng cử nhân về bảo mật thông tin của tôi bắt đầu. Sáu năm sau, khi đã lên đến chức vụ trưởng bộ phận hệ thống SCADA, tôi rời đi làm cố vấn bảo mật cho hệ thống điều khiển công nghiệp tại một công ty nước ngoài chuyên cung cấp phần mềm và thiết bị. Đây là lúc nảy sinh nhu cầu trở thành một chuyên gia bảo mật thông tin được chứng nhận.
là một sự phát triển một tổ chức tiến hành đào tạo và cấp chứng chỉ cho các chuyên gia bảo mật thông tin. Danh tiếng của chứng chỉ GIAC rất cao đối với các chuyên gia và khách hàng tại các thị trường EMEA, Hoa Kỳ và Châu Á Thái Bình Dương. Ở đây, trong không gian hậu Xô Viết và ở các nước CIS, chứng chỉ như vậy chỉ có thể được yêu cầu bởi các công ty nước ngoài hoạt động kinh doanh ở nước ta, các cơ quan tư vấn và quốc tế. Cá nhân tôi chưa bao giờ gặp phải yêu cầu chứng nhận như vậy từ các công ty trong nước. Về cơ bản mọi người đều yêu cầu CISSP. Đây là ý kiến chủ quan của tôi và nếu có ai chia sẻ kinh nghiệm của họ trong phần bình luận thì sẽ rất thú vị khi biết.
SANS có khá nhiều lĩnh vực khác nhau (theo mình thấy dạo gần đây các bạn mở rộng số lượng quá nhiều), nhưng cũng có những khóa học thực hành rất thú vị. Tôi đặc biệt thích nó . Nhưng câu chuyện sẽ là về khóa học và một chứng chỉ có tên: .
Trong số tất cả các loại chứng chỉ An ninh mạng công nghiệp do SANS cung cấp, đây là loại chứng nhận phổ biến nhất. Vì phần thứ hai liên quan nhiều hơn đến các hệ thống Lưới điện, ở phương Tây nhận được sự quan tâm đặc biệt và thuộc về một loại hệ thống riêng biệt. Và điều thứ ba (tại thời điểm lấy chứng chỉ của tôi) liên quan đến Ứng phó sự cố.
Khóa học không hề rẻ nhưng nó cung cấp kiến thức khá sâu rộng về IT&OT. Nó sẽ đặc biệt hữu ích cho những đồng chí đã quyết định thay đổi lĩnh vực của mình, chẳng hạn như từ bảo mật CNTT trong ngành ngân hàng sang An ninh mạng công nghiệp. Vì tôi đã có nền tảng về lĩnh vực hệ thống điều khiển quá trình, thiết bị đo đạc và công nghệ vận hành nên về cơ bản không có gì mới hoặc cực kỳ quan trọng đối với tôi trong khóa học này.
Khóa học bao gồm 50% lý thuyết và 50% thực hành. Từ thực tế, cuộc thi thú vị nhất là NetWars. Trong hai ngày, sau khóa học chính, tất cả học sinh của tất cả các lớp được chia thành các nhóm và thực hiện các nhiệm vụ để có được quyền truy cập, trích xuất thông tin cần thiết, truy cập vào mạng, một loạt nhiệm vụ để quảng bá băm, làm việc với Wireshark và tất cả các loại quà tặng khác nhau.
Tài liệu khóa học được tóm tắt dưới dạng sách mà sau đó bạn nhận được để sử dụng vĩnh viễn. Nhân tiện, bạn có thể mang chúng đi thi vì định dạng là Sách mở, nhưng chúng sẽ không giúp ích gì nhiều cho bạn vì bài kiểm tra có 3 giờ, 115 câu hỏi và ngôn ngữ giảng dạy là tiếng Anh. Trong suốt 3 giờ, bạn có thể nghỉ 15 phút. Nhưng hãy nhớ rằng bằng cách nghỉ giải lao trong 15 phút và quay lại làm bài sau 5 phút, bạn chỉ đơn giản là bỏ mười phút còn lại vì bạn sẽ không thể dừng thời gian trong chương trình kiểm tra nữa. Bạn có thể bỏ qua tối đa 15 câu hỏi, những câu hỏi này sẽ xuất hiện ở cuối.
Cá nhân tôi không khuyên bạn nên để nhiều câu hỏi sau, vì 3 tiếng thực sự là không đủ thời gian và khi cuối cùng bạn có câu hỏi chưa giải quyết được thì khả năng cao là bạn không làm được. nó kịp thời. Tôi chỉ để lại ba câu hỏi sau mà thực sự khó đối với tôi vì chúng liên quan đến kiến thức về tiêu chuẩn NIST 800.82 và NERC. Về mặt tâm lý, những câu hỏi “để sau” như vậy khiến bạn căng thẳng vào phút cuối - khi đầu óc mệt mỏi, bạn muốn đi vệ sinh, đồng hồ đếm giờ trên màn hình dường như tăng tốc theo cấp số nhân.
Nói chung, để vượt qua bài kiểm tra, bạn cần đạt được 71% câu trả lời đúng. Trước khi thi, bạn sẽ có cơ hội luyện tập trên các bài thi thật - vì giá bao gồm 2 bài thi thử gồm 115 câu hỏi và với điều kiện tương tự như bài thi thật.
Tôi khuyên bạn nên tham gia kỳ thi một tháng sau khi hoàn thành khóa đào tạo, dành tháng này để tự học một cách có hệ thống về những vấn đề mà bạn cảm thấy không chắc chắn. Sẽ thật tuyệt nếu bạn lấy các tài liệu in nhận được trong suốt khóa học, trông giống như những bản tóm tắt ngắn về từng chủ đề - và tìm kiếm thông tin có mục đích về các chủ đề có trong những cuốn sách này. Chia tháng thành hai phần, làm các bài kiểm tra thực hành và có được bức tranh sơ bộ về lĩnh vực bạn mạnh và lĩnh vực nào bạn cần cải thiện.
Tôi muốn nêu bật các lĩnh vực chính tạo nên kỳ thi sau đây (không phải khóa đào tạo vì nó bao gồm nhiều chủ đề sâu rộng hơn):
- Bảo mật vật lý: Giống như các kỳ thi chứng chỉ khác, vấn đề này được GICSP chú ý rất nhiều. Có những câu hỏi về các loại khóa vật lý trên cửa, các tình huống giả mạo thẻ điện tử được mô tả, trong đó bạn cần đưa ra câu trả lời để xác định rõ ràng vấn đề. Có những câu hỏi liên quan trực tiếp đến sự an toàn của công nghệ (quy trình), tùy thuộc vào lĩnh vực chủ đề - quy trình dầu khí, nhà máy điện hạt nhân hoặc lưới điện. Ví dụ: có thể có câu hỏi như: Xác định loại kiểm soát an ninh vật lý nào trong tình huống có Cảnh báo đến từ cảm biến nhiệt độ hơi nước trên HMI? Hoặc một câu hỏi như: Tình huống (sự kiện) nào sẽ là lý do để phân tích các đoạn video ghi lại từ camera giám sát của hệ thống an ninh chu vi của cơ sở?
Về mặt tỷ lệ phần trăm, tôi xin lưu ý rằng số lượng câu hỏi ở phần này trong bài kiểm tra của tôi và trong các bài kiểm tra thực hành không vượt quá 5%.
- Một loại câu hỏi khác và là một trong những loại câu hỏi phổ biến nhất là câu hỏi về hệ thống điều khiển quá trình, PLC, SCADA: ở đây cần tiếp cận một cách có hệ thống việc nghiên cứu các tài liệu về cách cấu trúc hệ thống điều khiển quá trình, từ cảm biến đến máy chủ, nơi chính phần mềm ứng dụng chạy. Sẽ có đủ số lượng câu hỏi về các loại giao thức truyền dữ liệu công nghiệp (ModBus, RTU, Profibus, HART, v.v.). Sẽ có các câu hỏi về RTU khác với PLC như thế nào, cách bảo vệ dữ liệu trong PLC khỏi bị kẻ tấn công sửa đổi, PLC lưu trữ dữ liệu ở vùng bộ nhớ nào và nơi lưu trữ logic (chương trình được viết bởi lập trình viên hệ thống điều khiển quá trình). ). Ví dụ: có thể có một câu hỏi thuộc loại này: Đưa ra câu trả lời về cách bạn có thể phát hiện cuộc tấn công giữa PLC và HMI hoạt động bằng giao thức ModBus?
Sẽ có câu hỏi về sự khác biệt giữa hệ thống SCADA và DCS. Một số lượng lớn câu hỏi về quy tắc phân tách mạng điều khiển quá trình tự động ở cấp độ L1, L2 với cấp độ L3 (mình sẽ mô tả chi tiết hơn ở phần câu hỏi về mạng). Các câu hỏi tình huống về chủ đề này cũng sẽ rất đa dạng - chúng mô tả tình huống trong phòng điều khiển và bạn cần chọn các hành động phải được thực hiện bởi người vận hành quy trình hoặc người điều phối.
Nói chung, phần này là hồ sơ cụ thể và hẹp nhất. Yêu cầu bạn phải có kiến thức tốt:
— hệ thống điều khiển tự động, bộ phận hiện trường (cảm biến, loại kết nối thiết bị, tính năng vật lý của cảm biến, PLC, RTU);
— hệ thống tắt khẩn cấp (ESD – hệ thống tắt khẩn cấp) của các quy trình và đối tượng (nhân tiện, có một loạt bài viết xuất sắc về chủ đề này trên Habré từ )
- hiểu biết cơ bản về các quá trình vật lý xảy ra, ví dụ, trong lọc dầu, sản xuất điện, đường ống, v.v...;
— hiểu biết về kiến trúc của hệ thống DCS và SCADA;
Tôi xin lưu ý rằng những câu hỏi kiểu này có thể xảy ra tới 25% trong tất cả 115 câu hỏi của bài thi. - Công nghệ mạng và an ninh mạng: Tôi cho rằng số lượng câu hỏi ở chủ đề này được đặt lên hàng đầu trong kỳ thi. Có lẽ sẽ hoàn toàn có tất cả mọi thứ - mô hình OSI, giao thức này hoặc giao thức kia hoạt động ở cấp độ nào, nhiều câu hỏi về phân đoạn mạng, câu hỏi tình huống về các cuộc tấn công mạng, ví dụ về nhật ký kết nối với đề xuất xác định loại tấn công, ví dụ về cấu hình chuyển mạch với đề xuất xác định cấu hình dễ bị tổn thương, các câu hỏi về các giao thức mạng có lỗ hổng, các câu hỏi về chi tiết cụ thể về kết nối mạng của các giao thức truyền thông công nghiệp. Mọi người đặc biệt hỏi rất nhiều về ModBus. Cấu trúc các gói mạng của cùng một ModBus, tùy thuộc vào loại và phiên bản được thiết bị hỗ trợ. Người ta chú ý nhiều đến các cuộc tấn công vào mạng không dây - ZigBee, Wireless HART và đơn giản là các câu hỏi về bảo mật mạng của toàn bộ dòng 802.1x. Sẽ có câu hỏi về các quy tắc đặt một số máy chủ nhất định trong mạng hệ thống điều khiển quá trình (ở đây bạn cần đọc tiêu chuẩn IEC-62443 và hiểu nguyên tắc mô hình tham chiếu của mạng hệ thống điều khiển quá trình). Sẽ có những câu hỏi về mô hình Purdue.
- Một loại vấn đề chỉ liên quan đến các tính năng chức năng của hoạt động của hệ thống truyền tải điện và hệ thống bảo mật thông tin đối với chúng. Tại Hoa Kỳ, loại hệ thống điều khiển quá trình tự động này được gọi là Power Grid và được giao một vai trò riêng. Với mục đích này, các tiêu chuẩn riêng biệt thậm chí còn được ban hành (NIST 800.82) quy định cách tiếp cận tạo hệ thống bảo mật thông tin cho lĩnh vực này. Ở các quốc gia của chúng tôi, phần lớn, lĩnh vực này chỉ giới hạn ở các hệ thống ASKUE (hãy sửa cho tôi nếu có ai thấy cách tiếp cận nghiêm túc hơn để giám sát hệ thống phân phối và phân phối điện). Vì vậy, trong bài thi các bạn sẽ gặp những câu hỏi khá cụ thể liên quan đến Power Grid. Phần lớn, đây là những trường hợp sử dụng cho một tình huống cụ thể được phát triển tại Nhà máy điện, nhưng cũng có thể có những khảo sát về các thiết bị được sử dụng riêng trong Lưới điện. Sẽ có các câu hỏi đề cập đến kiến thức về các phần NIST dành cho loại hệ thống này.
- Các câu hỏi liên quan đến kiến thức về tiêu chuẩn: NIST 800-82, NERC, IEC62443. Tôi nghĩ ở đây không có bất kỳ nhận xét đặc biệt nào - bạn cần điều hướng các phần của tiêu chuẩn chịu trách nhiệm về nội dung và khuyến nghị trong đó. Có những câu hỏi cụ thể, chẳng hạn như hỏi tần suất kiểm tra chức năng của hệ thống, tần suất cập nhật quy trình, v.v. Tính theo tỷ lệ phần trăm các câu hỏi như vậy, có thể gặp tới 15% tổng số câu hỏi. Nhưng nó phụ thuộc. Ví dụ, trong hai bài kiểm tra thực hành, tôi chỉ gặp một vài câu hỏi tương tự nhau. Nhưng thực sự có rất nhiều người trong số họ trong kỳ thi.
- Chà, loại câu hỏi cuối cùng là tất cả các loại câu hỏi về trường hợp sử dụng và tình huống.
Nhìn chung, bản thân khóa đào tạo, ngoại trừ CTF NetWars, không mang lại nhiều thông tin cho tôi về mặt thu thập kiến thức tiềm năng mới. Thay vào đó, chúng tôi đã thu được những chi tiết sâu hơn về một số chủ đề, đặc biệt là trong lĩnh vực tổ chức và bảo vệ mạng vô tuyến dùng để truyền thông tin công nghệ, cũng như tài liệu có tổ chức hơn về cấu trúc của các tiêu chuẩn nước ngoài dành cho chủ đề này. Do đó, đối với các kỹ sư và chuyên gia có đủ kiến thức và kinh nghiệm làm việc với các hệ thống/thiết bị đo lường điều khiển quá trình hoặc Mạng công nghiệp, bạn có thể nghĩ đến việc tiết kiệm chi phí đào tạo (và tiết kiệm là hợp lý), chuẩn bị tinh thần và đi thẳng vào kỳ thi lấy chứng chỉ, điều này Nhân tiện, nó trị giá 700USD. Trong trường hợp thất bại, bạn sẽ phải trả tiền lại. Có rất nhiều trung tâm cấp chứng chỉ sẽ chấp nhận bạn tham gia kỳ thi; điều quan trọng nhất là phải đăng ký trước. Nói chung, tôi khuyên bạn nên ấn định ngày thi ngay, vì nếu không bạn sẽ liên tục trì hoãn nó, thay thế quá trình chuẩn bị bằng những vấn đề quan trọng và không hoàn toàn quan trọng khác. Và việc có một thời hạn cụ thể sẽ khiến bạn có động lực hơn.
Nguồn: www.habr.com