Hola a todos! El querido portal de todos tenía muchos artículos diferentes sobre certificación en el campo de la seguridad de la información, por lo que no voy a reclamar originalidad y originalidad de contenido, pero me gustaría compartir mi experiencia en la obtención de la certificación GIAC (Global Information Assurance Company) en el campo de la ciberseguridad industrial. Desde el advenimiento de palabras tan aterradoras como Stuxnet , Duqu , Shamoon, Triton, ha surgido gradualmente un mercado para la prestación de servicios especializados que parecen ser TI, pero también puede sobrecargar el PLC con la reescritura de la configuración en escaleras y, al mismo tiempo, la planta no se puede detener.
Entonces, el concepto de IT&OT (Tecnología de Información y Tecnología de Operación) llegó al mundo.
Inmediatamente después (está claro que no debe permitirse que personal no calificado trabaje), era necesario certificar especialistas en el campo de garantizar la seguridad de los sistemas de control de procesos, sistemas industriales, lo que, en nuestra vida, hay mucho de la válvula automática de suministro de agua en el departamento al sistema de control aviones (recuerde un gran artículo sobre la investigación de problemas de Boeing ). E incluso, como resultó de repente, un equipo médico sofisticado.
Una pequeña letra cuando llegué a la necesidad de obtener la certificación (puede omitir): Después de haber estudiado con seguridad a fines de la década de 2000 en la Facultad de Seguridad de la Información, orgullosamente levanté la cabeza hacia las filas de las ovejas de control de instrumentos, trabajando como mecánico para sistemas de alarma de baja corriente. Parece que IS me lo dijo en la empresa en ese momento :) Así que mi carrera como especialista en ACS comenzó con una licenciatura en seguridad de la información. Seis años más tarde, después de haber asumido el cargo de jefe del departamento de sistemas SCADA, me fui a trabajar como consultor sobre la seguridad de los sistemas de control industrial en una empresa extranjera de proveedores de software y hardware. Aquí es donde surgió la necesidad de convertirse en un especialista certificado en seguridad de la información.
GIAC es un desarrollo de la organización SANS que brinda capacitación y certificación de especialistas en seguridad de la información. La reputación del certificado de GIAC es muy alta entre especialistas y clientes en los mercados de EMEA, EE. UU. Y Asia Pacífico. En nuestro país, en el espacio postsoviético y en los países de la CEI, dicho certificado solo puede ser solicitado por empresas extranjeras que tienen negocios en nuestros países, agencias internacionales y de consultoría. Personalmente, nunca me he encontrado con una solicitud de dicha certificación por parte de empresas nacionales. Todos básicamente solicitan CISSP. Esta es mi opinión subjetiva, y si alguien comparte su experiencia en los comentarios, será interesante saberlo.
SANS tiene direcciones bastante diferentes (en mi opinión, últimamente los muchachos han ampliado su número demasiado), pero también hay cursos prácticos muy interesantes. Me gustó especialmente NetWars . Pero la historia será sobre el curso ICS410: ICS / SCADA Security Essentials y un certificado llamado: Global Industrial Cyber Security Professional (GICSP) .
De todos los tipos de certificaciones de seguridad cibernética industrial que ofrece SANS, este es el más versátil. Dado que el segundo se relaciona más con los sistemas Power Grid, que reciben una atención especial en Occidente y pertenecen a una clase separada de sistemas. Y el tercero (en el momento de mi ruta de certificación) relacionado con la Respuesta a Incidentes.
El curso no es barato, pero proporciona un conocimiento bastante amplio de IT&OT. Será especialmente útil para aquellos camaradas que decidieron cambiar su esfera, por ejemplo, de la seguridad de TI en la industria bancaria a la Seguridad Cibernética Industrial. Como ya tenía experiencia en el campo de los sistemas de control de procesos, instrumentación y tecnología de operación, para mí no había fundamentalmente nuevo o vital en este curso.
El curso consta de 50% de teoría y 50% de práctica. Desde la práctica, lo más interesante fue el concurso: NetWars. Durante dos días, después del curso principal de clases, todos los estudiantes de todas las clases se dividieron en equipos y realizaron tareas para obtener derechos de acceso, extraer la información necesaria, obtener acceso a la red, un montón de tareas para promover hashes, trabajar con Wireshark y todo tipo de cosas diferentes.
El material del curso se resume en forma de libros, que luego recibe para su uso perpetuo. Por cierto, también se pueden tomar para el examen, como el formato de libro abierto, pero le ayudarán poco allí, ya que el examen tiene 3 horas, 115 preguntas, el idioma de entrega es el inglés. Durante las 3 horas, puede tomar un descanso durante 15 minutos. Pero tenga en cuenta que tomar un descanso de 15 minutos y volver a las pruebas después de las 5, simplemente le da los diez minutos restantes, ya que no habrá más interrupciones en el programa de pruebas. Puede omitir hasta 15 preguntas, que luego aparecen al final.
Personalmente, no recomiendo dejar muchas preguntas para más tarde, porque el tiempo a las 3 en punto es muy corto, y cuando al final aún surgen problemas sin resolver, es decir, hay una alta probabilidad de falla. Dejé “para después” solo tres preguntas que fueron realmente difíciles para mí porque estaban relacionadas con el conocimiento de los estándares NIST 800.82 y NERC. Psicológicamente, tales preguntas "para más adelante" son nervios al final: cuando su cerebro está cansado, desea ir al baño, el temporizador en la pantalla parece acelerarse exponencialmente.
En general, para aprobar el examen debes obtener el 71% de las respuestas correctas. Antes de aprobar el examen, tendrá la oportunidad de practicar exámenes reales, ya que el precio incluye 2 exámenes de práctica con 115 preguntas y con las mismas condiciones que el examen real.
Recomiendo tomar el examen un mes después de la capacitación, pasar este mes en estudios independientes sistemáticos sobre esos temas, en los que te sientes inseguro. Será bueno que tome los materiales impresos recibidos en el curso, que parecen breves resúmenes sobre cada tema, y buscará intencionalmente información sobre los temas que figuran en estos libros. Divida el mes en dos partes realizando pruebas de prueba y obteniendo una imagen aproximada de los problemas en los que es fuerte y dónde necesita ponerse al día.
Me gustaría destacar las siguientes áreas principales en las que consiste el examen en sí (no es un curso de capacitación, ya que cubre temas mucho más extensos):
- Seguridad física: como en otros exámenes de certificación, GICSP presta mucha atención a este problema. Hay preguntas sobre los tipos de cerraduras físicas en las puertas, se describen situaciones con falsificación de pases electrónicos, donde debe dar una respuesta mediante la identificación inequívoca del problema. Hay preguntas directamente relacionadas con la seguridad de la tecnología (proceso) dependiendo del área temática: procesos de petróleo y gas, plantas nucleares o redes eléctricas. Por ejemplo, puede haber una pregunta del tipo: ¿Determinar qué tipo de control de seguridad física es la situación cuando la alarma proviene del sensor de temperatura de vapor en la HMI? O una pregunta de la forma: ¿Qué situación (evento) servirá como razón para analizar las grabaciones de video de las cámaras de vigilancia del sistema de seguridad perimetral de un objeto?
En términos porcentuales, me gustaría señalar que el número de preguntas en esta sección en mi examen y en las pruebas de prueba no superó el 5%. - Otra y una de las categorías de preguntas más extendidas son las preguntas sobre los sistemas de control de procesos, PLC, SCADA: aquí será necesario abordar sistemáticamente el estudio de los materiales sobre cómo se organizan los sistemas de control de procesos, desde los sensores hasta los servidores donde funciona el software de la aplicación. Se encontrará un número suficiente de preguntas sobre variedades de protocolos de transferencia de datos industriales (ModBus, RTU, Profibus, HART, etc.). Habrá preguntas sobre cómo la RTU difiere del PLC, cómo proteger los datos en el PLC de la modificación por parte de un atacante, en qué partes de la memoria el PLC almacena los datos y dónde se almacena la lógica misma (un programa escrito por el programador del sistema de control). Por ejemplo, puede haber una pregunta de este tipo: para dar una respuesta, ¿cómo se puede detectar un ataque entre PLC y HMI que operan en el protocolo ModBus?
Habrá preguntas sobre las diferencias entre los sistemas SCADA y DCS. Un gran número de preguntas sobre las reglas para distinguir las redes de sistemas de control en el nivel L1, L2 del nivel L3 (describiré con más detalle en la sección con preguntas sobre la red). Las preguntas situacionales sobre este tema también serán muy heterogéneas: describen la situación en la sala de control y debe seleccionar las acciones que debe realizar el operador del proceso o el despachador.
En general, esta sección es la más específica y de perfil estrecho. Requerirá un buen conocimiento de usted:
- Sistemas de control automatizados, partes de campo (sensores, tipos de conexiones de dispositivos, características físicas de sensores, PLC, RTU);
- sistemas de protección de emergencia (ESD - sistema de apagado de emergencia) de procesos y objetos (por cierto, hay una excelente serie de artículos sobre este tema de Vladimir_Sklyar en el centro )
- una comprensión básica de los procesos físicos que tienen lugar, por ejemplo, en refinación de petróleo, generación de electricidad, tuberías, etc.
- comprensión de la arquitectura de los sistemas DCS y SCADA;
Me gustaría señalar que hasta el 25% de las preguntas de este tipo se pueden encontrar en las 115 preguntas del examen. - Tecnologías de red y seguridad de red: creo que la cantidad de preguntas en este tema es lo primero en el examen. Probablemente habrá absolutamente todo: el modelo OSI, en qué niveles funciona un protocolo en particular, muchas preguntas sobre segmentación de red, preguntas situacionales sobre ataques de red, ejemplos de registros de conexión con una propuesta para determinar el tipo de ataque, ejemplos de configuraciones de conmutadores con una propuesta para determinar una configuración vulnerable, preguntas sobre vulnerabilidades protocolos de red, preguntas sobre los detalles de las conexiones de red de protocolos de comunicación industrial. Especialmente mucha gente pregunta por ModBus. La estructura de los paquetes de red del mismo ModBus, según su tipo y las versiones admitidas por el dispositivo. Se presta mucha atención a los ataques en redes inalámbricas: ZigBee, Wireless HART, solo preguntas sobre la seguridad de la red de toda la familia 802.1x. Habrá preguntas sobre las reglas para colocar estos o esos servidores en la red del sistema de control (aquí debe leer el estándar IEC-62443 y comprender los principios de los modelos de referencia de las redes del sistema de control). Habrá preguntas sobre el modelo Purdue.
- Una categoría de problemas que se relaciona exclusivamente con las características funcionales de la operación de los sistemas de transmisión de energía eléctrica y los sistemas de seguridad de la información para ellos. En los Estados Unidos, esta categoría de sistemas de control de procesos se denomina Power Grid y tiene un papel aparte que desempeñar. Para esto, incluso se emiten estándares separados (NIST 800.82) que regulan el enfoque para crear sistemas de seguridad de la información para este sector. En nuestros países, en su mayor parte, este sector se limita a los sistemas ASKUE (corríjame si alguien ha cumplido un enfoque más serio para controlar los sistemas de distribución y distribución de electricidad). Por lo tanto, en el examen encontrará preguntas bastante específicas relacionadas con Power Grid. En su mayor parte, estos fueron casos de uso para una situación específica que prevalece en Power Plant, pero también puede haber consultas sobre dispositivos que se usan específicamente en Power Grid. Habrá preguntas sobre el conocimiento de las secciones NIST para esta categoría de sistemas.
- Preguntas relacionadas con el conocimiento de las normas: NIST 800-82, NERC, IEC62443. Creo que aquí sin comentarios especiales: debe navegar en las secciones de los estándares, cuál es responsable de qué y qué recomendaciones contiene. Hay preguntas específicas, por ejemplo, preguntar la frecuencia de verificar la funcionalidad del sistema, la frecuencia de actualizar el procedimiento, etc. Como porcentaje de tales preguntas, puede ocurrir hasta el 15% del número total de preguntas. Pero entonces qué suerte. Por ejemplo, en dos pruebas de prueba, me encontré con solo un par de preguntas similares. Pero en el examen, realmente había muchos de ellos.
- Bueno, la última categoría de preguntas es todo tipo de casos de uso y preguntas situacionales.
En general, la capacitación en sí misma, con la posible excepción de CTF NetWars, no fue muy informativa para mí en términos de adquirir conocimientos potencialmente nuevos. Más bien, se adquirieron detalles más profundos de algunos temas, especialmente en el campo de la organización y protección de las redes de radio utilizadas para transmitir información tecnológica, así como material más racionalizado sobre la estructura de las normas extranjeras dedicadas a este tema. Por lo tanto, para ingenieros y especialistas que tienen suficiente conocimiento y experiencia con sistemas / instrumentación de control de procesos o Redes Industriales, puede pensar en ahorrar en capacitación (y tiene sentido ahorrar), prepárese e inmediatamente apruebe el examen de certificación, que por cierto es 700USD. En caso de falla, deberá pagar nuevamente. Hay muchos centros de certificación que lo llevarán al examen, lo principal es presentar una solicitud por adelantado. En general, recomiendo establecer de inmediato la fecha del examen, porque de lo contrario lo retrasarás constantemente, reemplazando el proceso de preparación con otras cosas vitales y no muy importantes. Y teniendo una fecha límite específica, estarás motivado.