كيف تلقى القوزاق شهادة GICSP

مرحبا بالجميع! كان هناك الكثير من المقالات المختلفة حول الشهادة في مجال أمن المعلومات على البوابة المحبوبة للجميع ، لذلك لن أدعي أصالة المحتوى وأصالته ، ولكني أود أن أشارك خبرتي في الحصول على شهادة GIAC (شركة تأمين المعلومات العالمية) في مجال الأمن السيبراني الصناعي. منذ ظهور كلمات مخيفة مثل Stuxnet و Duqu و Shamoon و Triton ، ظهر سوق تدريجيًا لتوفير خدمات متخصصة تبدو وكأنها تقنية معلومات ، ولكن يمكنه أيضًا زيادة التحميل على PLC من خلال إعادة كتابة التكوين للسلالم وفي نفس الوقت لا يمكن إيقاف المصنع.

لذلك جاء مفهوم IT&OT (تكنولوجيا المعلومات وتكنولوجيا التشغيل) في العالم.

بعد ذلك مباشرة ، (من الواضح أنه يجب عدم السماح للموظفين غير المؤهلين بالعمل) ، كانت هناك حاجة إلى اعتماد المتخصصين في مجال ضمان سلامة أنظمة التحكم في العمليات ، والأنظمة الصناعية - والتي ، كما اتضح ، في حياتنا ، هناك الكثير من صمام الإمداد التلقائي بالمياه في الشقة إلى نظام التحكم الطائرات (تذكر مقالة رائعة حول التحقيق في مشاكل بوينج ). وحتى ، كما اتضح فجأة - المعدات الطبية المتطورة.

بعض الكلمات الصغيرة عندما وصلت إلى الحاجة للحصول على شهادة (يمكنك تخطي): بعد أن درست بأمان في نهاية العقد الأول من القرن العشرين في كلية أمن المعلومات ، رفعت رأسي بفخر إلى صفوف الأغنام التي تتحكم في الأدوات ، حيث عملت كميكانيكية لأنظمة الإنذار المنخفضة الحالية. يبدو الأمر كما أخبرني IS في المؤسسة في ذلك الوقت :) لذا بدأت حياتي المهنية كأخصائي ACS بدرجة البكالوريوس في أمن المعلومات. بعد مرور ست سنوات ، بعد أن توليت منصب رئيس قسم أنظمة SCADA ، غادرت للعمل كمستشار في مجال سلامة أنظمة التحكم الصناعية في شركة أجنبية لبيع البرمجيات والأجهزة. هذا هو المكان الذي نشأت فيه الحاجة لتصبح متخصصًا في أمن المعلومات معتمدًا.

GIAC هو تطوير لمنظمة SANS التي توفر التدريب وإصدار الشهادات للمتخصصين في أمن المعلومات. تتمتع سمعة الشهادة من GIAC بدرجة كبيرة بين المتخصصين والعملاء في أسواق أوروبا والشرق الأوسط وإفريقيا والولايات المتحدة وآسيا والمحيط الهادئ. في بلدنا ، في الفضاء ما بعد الاتحاد السوفيتي وفي بلدان رابطة الدول المستقلة ، لا يمكن طلب مثل هذه الشهادة إلا من قبل الشركات الأجنبية التي لديها أعمال في بلداننا ، والوكالات الدولية والاستشارية. أنا شخصياً لم أتلق طلبًا للحصول على مثل هذه الشهادات من الشركات المحلية. كل طلب أساسا CISSP. هذا هو رأيي الشخصي ، وإذا شارك أي شخص تجربته في التعليقات ، فسيكون من المثير للاهتمام معرفة ذلك.

SANS لها اتجاهات مختلفة تمامًا (في رأيي ، لقد قام الشباب مؤخرًا بتوسيع عددهم كثيرًا) ، ولكن هناك أيضًا دورات عملية مثيرة جدًا للاهتمام. أعجبني بشكل خاص NetWars . لكن القصة ستكون عن دورة ICS410: أساسيات الأمن ICS / SCADA وشهادة تسمى: Global Industrial Cyber ​​Security Professional (GICSP) .

من بين جميع أنواع شهادات SANS للأمان الصناعي المقدمة ، تعد هذه هي الأكثر تنوعًا. منذ الثانية تتعلق أكثر أنظمة الطاقة الشبكة ، والتي تحظى باهتمام خاص في الغرب وتنتمي إلى فئة منفصلة من النظم. والثالث (في وقت مسار الشهادة الخاص بي) يتعلق ببرنامج الاستجابة للحوادث.
هذه الدورة ليست رخيصة ، ولكنها توفر معرفة واسعة جدًا بتقنية IT&OT. سيكون مفيدًا بشكل خاص لأولئك الرفاق الذين قرروا تغيير مجالهم ، على سبيل المثال ، من أمن تكنولوجيا المعلومات في الصناعة المصرفية إلى الأمن السيبراني الصناعي. منذ أن كان لدي بالفعل خلفية في مجال أنظمة التحكم في العمليات والأجهزة وتكنولوجيا التشغيل ، بالنسبة لي لم يكن هناك جديد أو أساسي بشكل أساسي في هذه الدورة.

تتكون الدورة من نظرية 50 ٪ وممارسة 50 ٪. من الممارسة ، كان الأكثر إثارة للاهتمام المسابقة - NetWars. لمدة يومين ، بعد المسار الرئيسي للفصول الدراسية ، تم تقسيم جميع الطلاب من جميع الفصول الدراسية إلى فرق وأداء مهام بشأن الحصول على حقوق الوصول ، واستخراج المعلومات اللازمة ، والوصول إلى الشبكة ، ومجموعة من المهام لتعزيز التجزئة ، والعمل مع Wireshark وجميع أنواع الأشياء الجيدة المختلفة.

يتم تلخيص المواد الدراسية في شكل كتب ، والتي تتلقى بعد ذلك لاستخدامك الدائم. بالمناسبة ، يمكن أيضًا أخذهم للامتحان ، بتنسيق Open Book ، لكنهم سوف يساعدونك قليلًا ، لأن الامتحان يحتوي على 3 ساعات ، 115 سؤالًا ، ولغة التسليم هي اللغة الإنجليزية. لمدة 3 ساعات يمكنك أن تأخذ استراحة لمدة 15 دقيقة. لكن ضع في اعتبارك أن أخذ استراحة مدتها 15 دقيقة والعودة إلى الاختبارات بعد 5 دقائق - يمكنك ببساطة إعطاء الدقائق العشر المتبقية ، حيث لن يكون هناك المزيد من الوقت في برنامج الاختبار. يمكنك تخطي ما يصل إلى 15 سؤالًا ، والتي تظهر بعد ذلك في النهاية.

أنا شخصياً لا أوصي بترك الكثير من الأسئلة في وقت لاحق ، لأن الوقت في الساعة الثالثة قصير جدًا ، وعندما لا تزال في النهاية تواجه مشكلات لم يتم حلها ، فهناك احتمال كبير بالفشل. لقد تركت "لوقت لاحق" ثلاثة أسئلة فقط كانت صعبة بالنسبة لي لأنها تتعلق بمعرفة معايير NIST 800.82 و NERC. من الناحية النفسية ، مثل هذه الأسئلة "في وقت لاحق" هي أعصاب في النهاية - عندما يكون الدماغ متعبًا ، وتريد أن تذهب إلى المرحاض ، يبدو أن المؤقت على الشاشة يتسارع بشكل كبير.

بشكل عام ، لاجتياز الاختبار تحتاج إلى تسجيل 71٪ من الإجابات الصحيحة. قبل اجتياز الامتحان ، ستتاح لك الفرصة لممارسة اختبارات حقيقية - حيث يشمل السعر اختبارين عمليين مع 115 سؤالًا وبنفس الشروط مثل الامتحان الحقيقي.

أوصي بإجراء الامتحان بعد شهر واحد من التدريب ، وقضاء هذا الشهر على دراسات مستقلة منهجية حول هذه القضايا - التي تشعر فيها بعدم الأمان. سيكون من الرائع أن تأخذ المواد المطبوعة الواردة في الدورة التدريبية ، والتي تبدو كملخصات موجزة عن كل موضوع - وسوف تبحث عن قصد عن معلومات حول الموضوعات الواردة في هذه الكتب. قسّم الشهر إلى جزأين عن طريق إجراء اختبارات تجريبية والحصول على صورة تقريبية للمشكلات التي تثيرها قوية وفي أي مكان تحتاج إلى اللحاق به.

أود تسليط الضوء على المجالات الرئيسية التالية التي يتكون منها الامتحان نفسه (وليس دورة تدريبية ، لأنه يشمل موضوعات أكثر شمولاً):

1. الأمان المادي: كما هو الحال في اختبارات الشهادات الأخرى ، يولي برنامج GICSP الكثير من الاهتمام لهذه المسألة. هناك أسئلة حول أنواع الأقفال المادية على الأبواب ، يتم وصف المواقف المزيفة للتزوير الإلكتروني ، حيث تحتاج إلى تقديم إجابة عن طريق تحديد المشكلة بشكل لا لبس فيه. هناك أسئلة تتعلق مباشرة بسلامة التكنولوجيا (العملية) حسب مجال الموضوع - عمليات النفط والغاز ، أو المنشآت النووية أو شبكات الطاقة. على سبيل المثال ، قد يكون هناك سؤال من النوع: تحديد نوع التحكم الأمني ​​المادي الذي يكون عليه الموقف عندما يأتي المنبه من جهاز استشعار درجة حرارة البخار في جهاز HMI؟ أو سؤال حول النموذج: ما هو الموقف (الحدث) الذي سيكون بمثابة سبب لتحليل تسجيلات الفيديو من كاميرات المراقبة لنظام الأمن المحيط لكائن ما؟
   
   من حيث النسبة المئوية ، أود أن أشير إلى أن عدد الأسئلة في هذا القسم في الامتحان وفي الاختبارات التجريبية لم يتجاوز 5 ٪.
2. هناك فئة أخرى من فئات الأسئلة الأكثر انتشارًا وهي أسئلة حول أنظمة التحكم في العمليات ، PLC ، SCADA: هنا سيكون من الضروري التعامل بشكل منهجي مع دراسة المواد حول كيفية ترتيب أنظمة التحكم في العملية ، من المستشعرات إلى الخوادم حيث يعمل برنامج التطبيق نفسه. سيتم مواجهة عدد كاف من الأسئلة حول أنواع بروتوكولات نقل البيانات الصناعية (ModBus ، RTU ، Profibus ، HART ، إلخ). ستكون هناك أسئلة حول كيفية اختلاف RTU عن PLC ، وكيفية حماية البيانات في PLC من التعديل بواسطة مهاجم ، وفي أي جزء من الذاكرة يخزن PLC البيانات ، ومكان تخزين المنطق نفسه (برنامج مكتوب بواسطة مبرمج نظام التحكم). على سبيل المثال ، قد يكون هناك سؤال من هذا النوع: لإعطاء إجابة ، كيف يمكن اكتشاف هجوم بين PLCs و HMIs التي تعمل على بروتوكول ModBus؟
   
   ستكون هناك أسئلة حول الاختلافات بين أنظمة SCADA و DCS. هناك عدد كبير من الأسئلة حول قواعد التمييز بين شبكات أنظمة التحكم في المستوى L1 و L2 من المستوى L3 (سأشرح بمزيد من التفصيل في القسم مع الأسئلة على الشبكة). ستكون الأسئلة الظرفية حول هذا الموضوع غير متجانسة للغاية - فهي تصف الموقف في غرفة التحكم وتحتاج إلى تحديد الإجراءات التي ينبغي تنفيذها من قبل مشغل العملية أو المرسل.
   
   بشكل عام ، هذا القسم هو الأكثر تحديدًا وضيقًا. سوف يتطلب معرفة جيدة منك:
   - أنظمة التحكم الآلي ، أجزاء المجال (أجهزة الاستشعار ، أنواع توصيلات الأجهزة ، الخصائص الفيزيائية لأجهزة الاستشعار ، PLC ، RTU) ؛
   - أنظمة حماية الطوارئ (ESD - نظام إيقاف الطوارئ) من العمليات والأشياء (بالمناسبة ، هناك سلسلة ممتازة من المقالات حول هذا الموضوع من Vladimir_Sklyar على المحور )
   - فهم أساسي للعمليات المادية التي تحدث ، على سبيل المثال ، في تكرير النفط ، وتوليد الكهرباء ، وخطوط الأنابيب ، إلخ.
   - فهم بنية أنظمة DCS و SCADA ؛
   أود أن أشير إلى أن ما يصل إلى 25 ٪ من الأسئلة من هذا النوع يمكن مواجهتها في جميع الأسئلة البالغ عددها 115 في الامتحان.
3. تقنيات الشبكات وأمن الشبكات: أعتقد أن عدد الأسئلة في هذا الموضوع يأتي أولاً في الامتحان. من المحتمل أن يكون هناك كل شيء على الإطلاق - نموذج OSI ، على أي مستويات يعمل بروتوكول معين ، والكثير من الأسئلة حول تجزئة الشبكة ، والأسئلة الظرفية حول هجمات الشبكة ، وأمثلة على سجلات الاتصال مع اقتراح لتحديد نوع الهجوم ، وأمثلة لتكوينات المحول مع اقتراح لتحديد تكوين عرضة للإصابة به ، وأسئلة حول نقاط الضعف بروتوكولات الشبكة ، أسئلة حول تفاصيل اتصالات شبكة بروتوكولات الاتصالات الصناعية. لا سيما الكثير من الناس يسألون عن ModBus. هيكل حزم الشبكة لنفس ModBus ، حسب نوعه والإصدارات التي يدعمها الجهاز. يتم إيلاء الكثير من الاهتمام للهجمات على الشبكات اللاسلكية - ZigBee ، Wireless HART ، مجرد أسئلة حول أمان الشبكة لعائلة 802.1x بأكملها. ستكون هناك أسئلة حول قواعد وضع هذه أو تلك الخوادم في شبكة نظام التحكم (هنا تحتاج إلى قراءة معيار IEC-62443 وفهم مبادئ النماذج المرجعية لشبكات نظام التحكم). سيكون هناك أسئلة حول نموذج بوردو.
4. فئة من القضايا التي تتعلق حصرياً بالسمات الوظيفية لتشغيل أنظمة نقل الطاقة الكهربائية وأنظمة أمن المعلومات الخاصة بهم. في الولايات المتحدة الأمريكية ، تُسمى هذه الفئة من أنظمة التحكم في العمليات Power Grid ولها دور منفصل تلعبه. لذلك ، يتم إصدار معايير منفصلة (NIST 800.82) تنظم طريقة إنشاء أنظمة أمان المعلومات لهذا القطاع. في بلداننا ، في الغالب ، يقتصر هذا القطاع على أنظمة ASKUE (صحح لي إذا واجه شخص ما مقاربة أكثر جدية للتحكم في أنظمة توزيع وتوزيع الكهرباء). لذلك ، في الامتحان سوف تواجه أسئلة محددة تتعلق بشبكة الطاقة. بالنسبة للجزء الأكبر ، كانت هذه حالات استخدام لحالة معينة سائدة في Power Plant ، ولكن قد يكون هناك أيضًا استفسارات حول الأجهزة التي يتم استخدامها على وجه التحديد في Power Grid. ستكون هناك أسئلة تتناول معرفة أقسام NIST لهذه الفئة من الأنظمة.
5. الأسئلة المتعلقة بمعرفة المعايير: NIST 800-82 ، NERC ، IEC62443. أعتقد هنا بدون تعليقات خاصة - أنت بحاجة إلى التنقل في أقسام المعايير ، وهي المسؤولة عن ماذا وما هي التوصيات التي تحتوي عليها. هناك أسئلة محددة ، على سبيل المثال ، طرح وتيرة التحقق من وظائف النظام ، وتيرة تحديث الإجراء ، وما إلى ذلك. كنسبة مئوية من هذه الأسئلة ، قد يحدث ما يصل إلى 15 ٪ من إجمالي عدد الأسئلة. ولكن بعد ذلك كيف الحظ. على سبيل المثال ، في اختبارين تجريبيين ، صادفت بضعة أسئلة مماثلة. لكن في الامتحان ، كان هناك الكثير منهم.
6. حسنًا ، الفئة الأخيرة من الأسئلة هي جميع أنواع حالات الاستخدام والأسئلة الظرفية.

بشكل عام ، لم يكن التدريب نفسه ، مع استثناء محتمل لـ CTF NetWars ، مفيدًا للغاية بالنسبة لي فيما يتعلق باكتساب معرفة جديدة محتملة. بدلاً من ذلك ، تم الحصول على تفاصيل أعمق لبعض الموضوعات ، لا سيما في مجال تنظيم وحماية شبكات الراديو المستخدمة لنقل المعلومات التكنولوجية ، فضلاً عن مواد أكثر بساطة عن هيكل المعايير الأجنبية المكرسة لهذا الموضوع. لذلك ، بالنسبة للمهندسين والمتخصصين الذين لديهم معرفة وخبرة كافية مع أنظمة / التحكم في العمليات أو الشبكات الصناعية - يمكنك أن تفكر في توفير التدريب (ومن المنطقي أن توفر) ، تعد نفسك وتذهب على الفور لاجتياز امتحان الشهادة ، والذي بالمناسبة 700USD. في حالة الفشل ، يجب عليك الدفع مرة أخرى. هناك الكثير من مراكز الشهادات التي ستأخذك إلى الامتحان ، الشيء الرئيسي هو تقديم طلب مقدمًا. بشكل عام ، أوصي بضبط تاريخ الامتحان على الفور ، وإلا فسوف تؤخره باستمرار ، لتحل محل عملية الإعداد بأشياء حيوية أخرى وليست مهمة للغاية. وبعد تحديد موعد نهائي ، ستكون لديك دوافع ذاتية.