大家好! 大家最喜欢的门户网站上有很多关于信息安全领域认证的不同文章,所以我不会声称内容的原创性和独特性,但我仍然很想分享我获得GIAC(全球信息保证公司)的经验工业网络安全领域的认证。 自从出现了诸如此类的可怕词语后 , ,Shamoon,Triton,一个为专家提供服务的市场开始形成,这些专家似乎是 IT,但也可以通过在梯子上重写配置来使 PLC 过载,同时工厂无法停止。
这就是IT&OT(信息技术和运营技术)概念的诞生。
接下来(很明显,不合格的人员不应被允许工作)需要对与确保过程控制系统和工业系统安全相关的领域的专家进行认证 - 事实证明,其中有很多专家它们在我们的生活中,从公寓的自动供水阀到飞机的控制系统(还记得关于调查问题的优秀文章 )。 甚至,突然发现,还有复杂的医疗设备。
一段简短的歌词,讲述我是如何需要获得认证的(可以跳过):XNUMX年代末在信息安全学院顺利完成学业后,我一头扎进了仪器羊的行列担任低电流安全警报系统的机械师。 好像当时在企业里就有人告诉我信息安全了:) 这就是我作为一名拥有信息安全学士学位的自动化控制系统专家的职业生涯的开始。 六年后,我升任SCADA系统部门主管,转而在一家供应软件和设备的外国公司担任工业控制系统的安全顾问。 这就是需要成为一名经过认证的信息安全专家的地方。
是一个发展 对信息安全专家进行培训和认证的组织。 GIAC 证书在 EMEA、美国和亚太市场的专家和客户中享有很高的声誉。 在后苏联地区和独联体国家,只有在我们国家开展业务的外国公司、国际和咨询机构才能申请此类证书。 就我个人而言,我从未遇到过国内企业要求此类认证的情况。 大家基本上都在要求CISSP。 这是我的主观意见,如果有人在评论中分享他们的经验,那么了解会很有趣。
SANS中有相当多的不同领域(在我看来,最近这些家伙扩大了太多的数量),但也有非常有趣的实践课程。 我特别喜欢它 。 但故事将是关于课程的 和一个名为: .
在 SANS 提供的所有类型的工业网络安全认证中,这是最通用的。 因为第二个更多地涉及电网系统,在西方受到特别关注并且属于一个单独的系统类别。 第三个(在我的认证路径时)与事件响应相关。
该课程并不便宜,但提供了相当广泛的 IT&OT 知识。 对于那些决定改变领域的同志特别有用,例如从银行业的IT安全转向工业网络安全。 由于我已经具备过程控制系统、仪器仪表和操作技术领域的背景,因此本课程对我来说没有什么根本上的新内容或至关重要。
该课程由 50% 理论和 50% 实践组成。 从实践来看,最有趣的比赛是NetWars。 两天时间,主课结束后,所有班级的所有学生都分成小组,执行任务,获取访问权限,提取必要的信息,获得网络访问权限,一堆推广哈希的任务,使用Wireshark以及各种不同的好东西。
课程材料以书籍的形式汇总,您可以永久使用。 顺便说一句,你可以参加考试,因为考试形式是开卷,但它们不会对你有太大帮助,因为考试有 3 个小时,115 个问题,而且授课语言是英语。 整个3小时内,可以休息15分钟。 但请记住,如果休息 15 分钟并在 5 点后返回测试,您就等于放弃了剩余的 15 分钟,因为您将无法再停止测试程序中的时间。 您最多可以跳过 XNUMX 个问题,这些问题将出现在最后。
个人不建议把很多问题留到后面,因为3个小时的时间确实不够,而且到最后你还有问题没有解决的时候,很大概率做不到及时。 我只留下了三个对我来说非常困难的问题,因为它们与 NIST 800.82 和 NERC 标准的知识相关。 从心理上来说,这类“稍后再说”的问题最后会触动你的神经——当你的大脑疲倦了,你想去厕所时,屏幕上的计时器似乎呈指数级加快。
一般来说,要通过测试,您需要获得 71% 的正确答案。 在参加考试之前,您将有机会练习真实考试 - 因为价格包括 2 次练习测试,共 115 个问题,条件与真实考试类似。
我建议完成培训后一个月参加考试,这个月对你觉得不确定的问题进行系统的自学。 如果您拿着课程期间收到的印刷材料(这些材料看起来像是每个主题的简短摘要)并有目的地搜索有关这些书籍中包含的主题的信息,那就太好了。 将这个月分为两部分,进行练习测试并大致了解您擅长的领域以及需要改进的领域。
我想强调构成考试本身的以下主要领域(不是培训课程,因为它涵盖了更广泛的主题):
- 物理安全:与其他认证考试一样,这个问题在 GICSP 中得到了很多关注。 存在有关门上物理锁类型的问题,描述了伪造电子通行证的情况,您需要给出答案才能明确识别问题。 根据主题领域(石油和天然气工艺、核电站或电网),存在与技术(工艺)安全直接相关的问题。 例如,可能存在这样的问题:确定当HMI上的蒸汽温度传感器发出警报时,属于哪种类型的物理安全控制? 或者这样的问题:什么情况(事件)将作为分析设施周边安全系统监控摄像头视频记录的理由?
从百分比来看,我会注意到,在我的考试和练习测试中,这部分的问题数量不超过 5%。
- 另一个最广泛的问题类别之一是有关过程控制系统、PLC、SCADA 的问题:这里有必要系统地研究有关过程控制系统如何构造的材料,从传感器到应用软件本身的服务器运行。 有关工业数据传输协议类型(ModBus、RTU、Profibus、HART 等)的问题数量充足。 会出现这样的问题:RTU与PLC有何不同,如何保护PLC中的数据不被攻击者修改,PLC存储数据在哪些内存区域,逻辑本身存储在哪里(过程控制系统程序员编写的程序) )。 例如,可能存在此类问题:回答如何检测使用 ModBus 协议操作的 PLC 和 HMI 之间的攻击?
人们会问 SCADA 和 DCS 系统之间的差异。 关于将 L1、L2 级别的自动化过程控制网络与 L3 级别分离的规则的大量问题(我将在有关网络的问题部分中更详细地描述)。 关于此主题的情景问题也将非常多样化 - 它们描述控制室中的情况,并且您需要选择必须由过程操作员或调度员执行的操作。
一般来说,这一部分是最具体和最狭窄的部分。 要求你具备良好的知识:
— 自动化控制系统、现场部分(传感器、设备连接类型、传感器物理特性、PLC、RTU);
— 流程和对象的紧急关闭系统(ESD – 紧急关闭系统)(顺便说一下,Habré 上有一系列关于此主题的优秀文章) )
——对发生的物理过程的基本了解,例如炼油、发电、管道等;
——了解DCS和SCADA系统的架构;
我要指出的是,在考试的所有 25 个问题中,此类问题的出现率高达 115%。 - 网络技术和网络安全:我认为这个题目的题量在考试中是排在第一位的。 可能绝对有一切 - OSI 模型、这个或那个协议在什么级别上运行、有关网络分段的许多问题、有关网络攻击的情境问题、连接日志示例以及确定攻击类型的建议、交换机配置示例提出确定易受攻击的配置的建议、有关漏洞网络协议的问题、有关工业通信协议网络连接细节的问题。 人们尤其询问很多有关 ModBus 的问题。 同一ModBus的网络数据包的结构,取决于其类型和设备支持的版本。 人们非常关注对无线网络的攻击 - ZigBee、无线 HART,以及整个 802.1x 系列的网络安全问题。 会有关于在过程控制系统网络中放置某些服务器的规则的问题(这里需要阅读IEC-62443标准并了解过程控制系统网络参考模型的原理)。 人们会对普渡大学的模式提出疑问。
- 专门与输电系统及其信息安全系统运行的功能特征相关的一类问题。 在美国,此类自动化过程控制系统称为电网,并被分配一个单独的角色。 为此,甚至发布了单独的标准 (NIST 800.82),规范为该部门创建信息安全系统的方法。 在我们国家,大多数情况下,该部门仅限于 ASKUE 系统(如果有人见过更严格的监控电力分配和输送系统的方法,请纠正我)。 因此,在考试中您会发现与电网相关的非常具体的问题。 大多数情况下,这些都是针对发电厂特定情况的用例,但也可能对专门用于电网的设备进行调查。 将会有涉及此类系统的 NIST 部分知识的问题。
- 与标准知识相关的问题:NIST 800-82、NERC、IEC62443。 我认为这里没有任何特别的评论 - 您需要浏览标准的各个部分,这些部分负责它包含的内容和建议。 有一些具体的问题,例如询问检查系统功能的频率、更新程序的频率等。 作为此类问题的百分比,最多可以遇到问题总数的 15%。 但这取决于情况。 例如,在两次练习测试中,我只遇到了几个类似的问题。 但考试的时候确实有很多。
- 好吧,最后一类问题是各种用例和情境问题。
总的来说,除了 CTF NetWars 之外,培训本身在获取潜在新知识方面对我来说并没有提供太多信息。 相反,我们获得了一些主题的更深入的细节,特别是在用于传输技术信息的无线电网络的组织和保护领域,以及关于专门针对该主题的外国标准结构的更有条理的材料。 因此,对于在过程控制系统/仪表系统或工业网络方面拥有足够知识和经验的工程师和专家来说,您可以考虑节省培训费用(并且节省是有意义的),做好准备并直接参加认证考试,这顺便说一句,价值 700 美元。 如果失败,您将需要重新付费。 有很多认证中心可以接受您参加考试;最主要的是提前申请。 一般来说,我建议立即设定考试日期,因为否则你会不断地推迟考试,用其他重要但不完全重要的事情取代准备过程。 设定一个具体的截止日期会让你自我激励。
来源: habr.com