大家好! 大家最喜歡的入口網站上有很多關於資訊安全領域認證的不同文章,所以我不會聲稱內容的原創性和獨特性,但我仍然很想分享我獲得GIAC(全球資訊保證公司)的經驗工業網絡安全領域的認證。 自從出現了諸如此類的可怕字眼後 , ,Shamoon,Triton,一個為專家提供服務的市場開始形成,這些專家似乎是 IT,但也可以透過在梯子上重寫配置來使 PLC 過載,同時工廠無法停止。
這就是IT&OT(資訊科技與營運科技)概念的誕生。
接下來(很明顯,不合格的人員不應被允許工作)需要對與確保過程控制系統和工業系統安全相關的領域的專家進行認證 - 事實證明,其中有很多專家它們在我們的生活中,從公寓的自動供水閥到飛機的控制系統(還記得關於調查問題的優秀文章 )。 甚至,突然發現,還有複雜的醫療設備。
一段簡短的歌詞,講述我是如何需要獲得認證的(可以跳過):XNUMX年代末在資訊安全學院順利完成學業後,我一頭扎進了儀器羊的行列擔任低電流安全警報系統的機械師。 好像當時在企業裡就有人告訴我資訊安全了:) 這是我作為一名擁有資訊安全學士學位的自動化控制系統專家的職業生涯的開始。 六年後,我升任SCADA系統部門主管,轉而在一家供應軟體和設備的外國公司擔任工業控制系統的安全顧問。 這就是需要成為經過認證的資安專家的地方。
是一個發展 對資訊安全專家進行培訓和認證的組織。 GIAC 證書在 EMEA、美國和亞太市場的專家和客戶中享有很高的聲譽。 在後蘇聯地區和獨聯體國家,只有在我們國家開展業務的外國公司、國際和諮詢機構才能申請此類證書。 就我個人而言,我從未遇到過國內企業要求此類認證的情況。 大家基本上都在要求CISSP。 這是我的主觀意見,如果有人在評論中分享他們的經驗,那麼了解會很有趣。
SANS有相當多的不同領域(在我看來,最近這些傢伙擴大了太多的數量),但也有非常有趣的實踐課程。 我特別喜歡它 。 但故事將是關於課程的 和一個名為: .
在 SANS 提供的所有類型的工業網路安全認證中,這是最通用的。 因為第二個更涉及電網系統,在西方受到特別關注並且屬於一個單獨的系統類別。 第三個(在我的認證路徑時)與事件回應相關。
該課程並不便宜,但提供了相當廣泛的 IT&OT 知識。 對於那些決定改變領域的同志特別有用,例如從銀行業的IT安全轉向工業網路安全。 由於我已經具備製程控制系統、儀器儀表和操作技術領域的背景,因此本課程對我來說沒有什麼根本上的新內容或至關重要。
該課程由 50% 理論和 50% 實踐組成。 從實務來看,最有趣的比賽是NetWars。 兩天時間,主課結束後,所有班級的所有學生都分成小組,執行任務,獲取訪問權限,提取必要的信息,獲得網絡訪問權限,一堆推廣哈希的任務,使用Wireshark以及各種不同的好東西。
課程材料以書籍的形式匯總,您可以永久使用。 順便說一句,你可以參加考試,因為考試形式是開卷,但它們不會對你有太大幫助,因為考試有 3 個小時,115 個問題,而且授課語言是英語。 整個3小時內,可以休息15分鐘。 但請記住,如果休息 15 分鐘並在 5 點後返回測試,您就等於放棄了剩餘的 15 分鐘,因為您將無法再停止測試程序中的時間。 您最多可以跳過 XNUMX 個問題,這些問題將出現在最後。
個人不建議把很多問題留到後面,因為3個小時的時間確實不夠,而且到最後你還有問題沒有解決的時候,很大機率做不到及時。 我只留下了三個對我來說非常困難的問題,因為它們與 NIST 800.82 和 NERC 標準的知識相關。 從心理學上來說,這類「稍後再說」的問題最後會觸動你的神經——當你的大腦疲倦了,你想去廁所時,螢幕上的計時器似乎呈指數級加快。
一般來說,要通過測試,您需要獲得 71% 的正確答案。 在參加考試之前,您將有機會練習真實考試 - 因為價格包括 2 次練習測試,共 115 個問題,條件與真實考試類似。
我建議完成訓練後一個月參加考試,這個月對你覺得不確定的問題進行系統性的自學。 如果您拿著課程期間收到的印刷材料(這些材料看起來像是每個主題的簡短摘要)並有目的地搜索有關這些書籍中包含的主題的信息,那就太好了。 將這個月分為兩部分,進行練習測試並大致了解您擅長的領域以及需要改進的領域。
我想強調構成考試本身的以下主要領域(不是培訓課程,因為它涵蓋了更廣泛的主題):
- 物理安全:與其他認證考試一樣,這個問題在 GICSP 中得到了很多關注。 存在有關門上實體鎖類型的問題,描述了偽造電子通行證的情況,您需要給出答案才能明確識別問題。 根據主題領域(石油和天然氣製程、核電廠或電網),存在與技術(製程)安全直接相關的問題。 例如,可能存在這樣的問題:確定當HMI上的蒸汽溫度感測器發出警報時,屬於哪種類型的實體安全控制? 或是這樣的問題:什麼情況(事件)將作為分析設施週邊安全系統監控攝影機錄影的理由?
從百分比來看,我會注意到,在我的考試和練習測驗中,這部分的問題數量不超過 5%。
- 另一個最廣泛的問題類別之一是有關製程控制系統、PLC、SCADA 的問題:這裡有必要係統地研究有關製程控制系統如何建構的材料,從感測器到應用軟體本身的伺服器運作。 有關工業資料傳輸協定類型(ModBus、RTU、Profibus、HART 等)的問題數量充足。 會有這樣的問題:RTU與PLC有何不同,如何保護PLC中的資料不會被攻擊者修改,PLC儲存資料在哪些記憶體區域,以及邏輯本身儲存在哪裡(過程控制系統程式設計師編寫的程式) ) 。 例如,可能存在此類問題:回答如何偵測使用 ModBus 協定操作的 PLC 和 HMI 之間的攻擊?
人們會問 SCADA 和 DCS 系統之間的差異。 關於將 L1、L2 層級的自動化過程控制網路與 L3 層級分開的規則的大量問題(我將在網路的問題部分中更詳細地描述)。 關於此主題的情境問題也將非常多樣化 - 它們描述控制室中的情況,並且您需要選擇必須由流程操作員或調度員執行的操作。
一般來說,這一部分是最具體和最狹窄的部分。 要求你具備良好的知識:
— 自動化控制系統、現場部分(感測器、設備連接類型、感測器物理特性、PLC、RTU);
— 流程和物件的緊急關閉系統(ESD – 緊急關閉系統)(順便說一下,Habré 上有一系列關於此主題的優秀文章) )
——對發生的物理過程的基本了解,例如煉油、發電、管道等;
——了解DCS和SCADA系統的架構;
我要指出的是,在考試的所有 25 個問題中,這類問題的出現率高達 115%。 - 網路科技與網路安全:我認為這個題目的題量在考試中是排在第一位的。 可能絕對有一切 - OSI 模型、這個或那個協議在什麼級別上運行、有關網絡分段的許多問題、有關網絡攻擊的情境問題、連接日誌示例以及確定攻擊類型的建議、交換機配置示例提出確定易受攻擊的配置的建議、有關漏洞網路協定的問題、有關工業通訊協定網路連接細節的問題。 人們尤其詢問很多有關 ModBus 的問題。 同一ModBus的網路封包的結構,取決於其類型和設備支援的版本。 人們非常關注對無線網路的攻擊 - ZigBee、無線 HART,以及整個 802.1x 系列的網路安全問題。 會有關於在過程控制系統網路中放置某些伺服器的規則的問題(這裡需要閱讀IEC-62443標準並了解過程控制系統網路參考模型的原理)。 人們會對普渡大學的模式提出疑問。
- 專門與輸電系統及其資訊安全系統運作的功能特徵相關的一類問題。 在美國,此類自動化製程控制系統稱為電網,並被指派一個單獨的角色。 為此,甚至發布了單獨的標準 (NIST 800.82),規範為該部門創建資訊安全系統的方法。 在我們國家,大多數情況下,該部門僅限於 ASKUE 系統(如果有人見過更嚴格的監控電力分配和傳輸系統的方法,請糾正我)。 因此,在考試中您會發現與電網相關的非常具體的問題。 大多數情況下,這些都是針對發電廠特定情況的用例,但也可能對專門用於電網的設備進行調查。 將會有涉及此類系統的 NIST 部分知識的問題。
- 與標準知識相關的問題:NIST 800-82、NERC、IEC62443。 我認為這裡沒有任何特別的評論 - 您需要瀏覽標準的各個部分,這些部分負責它包含的內容和建議。 有一些具體的問題,例如詢問檢查系統功能的頻率、更新程式的頻率等。 作為此類問題的百分比,最多可以遇到問題總數的 15%。 但這取決於情況。 例如,在兩次練習測驗中,我只遇到了幾個類似的問題。 但考試的時候確實有很多。
- 好吧,最後一類問題是各種用例和情境問題。
總的來說,除了 CTF NetWars 之外,培訓本身在獲得潛在新知識方面對我來說並沒有提供太多資訊。 相反,我們獲得了一些主題的更深入的細節,特別是在用於傳輸技術信息的無線電網絡的組織和保護領域,以及關於專門針對該主題的外國標準結構的更有條理的材料。 因此,對於在製程控制系統/儀表系統或工業網路方面擁有足夠知識和經驗的工程師和專家來說,您可以考慮節省培訓費用(並且節省是有意義的),做好準備並直接參加認證考試,這順便說一句,價值 700 美元。 如果失敗,您將需要重新付費。 有很多認證中心可以接受您參加考試;最主要的是提前申請。 一般來說,我建議立即設定考試日期,因為否則你會不斷地推遲考試,用其他重要但不完全重要的事情取代準備過程。 設定一個具體的截止日期會讓你自我激勵。
來源: www.habr.com