Hallo allerseits! In jedem beliebten Portal gab es viele verschiedene Artikel zur Zertifizierung im Bereich der Informationssicherheit. Daher werde ich keine Originalität und Originalität des Inhalts beanspruchen, aber ich möchte gerne meine Erfahrungen mit der Erlangung der GIAC-Zertifizierung (Global Information Assurance Company) im Bereich der industriellen Cybersicherheit teilen. Seit dem Aufkommen von so beängstigenden Worten wie Stuxnet , Duqu , Shamoon, Triton hat sich allmählich ein Markt für die Bereitstellung von spezialisierten Diensten herausgebildet, die anscheinend IT sind, aber auch die SPS mit dem Umschreiben der Konfiguration auf Leitern überlasten können, und gleichzeitig kann die Anlage nicht gestoppt werden.
So kam das Konzept von IT & OT (Information Technology & Operation Technology) auf die Welt.
Unmittelbar danach (es ist klar, dass nicht qualifiziertes Personal nicht arbeiten darf) bestand die Notwendigkeit, Spezialisten auf dem Gebiet der Gewährleistung der Sicherheit von Prozessleitsystemen und Industriesystemen zu zertifizieren - was sich in unserem Leben, wie sich herausstellt, in vielen Bereichen vom automatischen Wasserversorgungsventil in der Wohnung bis zum Steuersystem befindet Flugzeuge (erinnern Sie sich an einen großartigen Artikel über die Untersuchung von Boeing- Problemen). Und sogar, wie sich plötzlich herausstellte - hoch entwickelte medizinische Geräte.
Ein kleiner Text, als ich zu der Notwendigkeit kam, eine Zertifizierung zu erhalten (Sie können überspringen): Nachdem ich Ende der 2000er Jahre an der Fakultät für Informationssicherheit sicher studiert hatte, hob ich stolz meinen Kopf zu den Schafen der Instrumentensteuerung und arbeitete als Mechaniker für Niedrigstrom-Alarmsysteme. Es scheint, als hätte mir IS damals im Unternehmen davon erzählt :) Meine Karriere als ACS-Spezialist begann also mit einem Bachelor-Abschluss in Informationssicherheit. Sechs Jahre später, nachdem ich zum Leiter der SCADA-Systemabteilung aufgestiegen war, arbeitete ich als Berater für die Sicherheit industrieller Steuerungssysteme in einem ausländischen Software- und Hardwareanbieter. Hier entstand die Notwendigkeit, zertifizierter Spezialist für Informationssicherheit zu werden.
GIAC ist eine Weiterentwicklung der SANS- Organisation, die Schulungen und Zertifizierungen für Informationssicherheitsspezialisten anbietet. Das Ansehen des Zertifikats von GIAC ist bei Spezialisten und Kunden in den Märkten von EMEA, USA und Asien-Pazifik sehr hoch. In unserem Land, im postsowjetischen Raum und in den GUS-Ländern kann ein solches Zertifikat nur von ausländischen Unternehmen angefordert werden, die in unseren Ländern tätig sind, von internationalen Agenturen und von Beratungsagenturen. Persönlich bin ich noch nie auf eine Anfrage nach einer solchen Zertifizierung von inländischen Unternehmen gestoßen. Alle fordern grundsätzlich CISSP an. Dies ist meine subjektive Meinung, und wenn jemand seine Erfahrungen in den Kommentaren teilt, wird es interessant sein zu wissen.
SANS hat ganz andere Richtungen (meiner Meinung nach haben die Jungs in letzter Zeit ihre Anzahl zu stark erhöht), aber es gibt auch sehr interessante praktische Kurse. NetWars hat mir besonders gut gefallen. Die Geschichte handelt jedoch vom ICS410- Kurs : ICS / SCADA Security Essentials und einem Zertifikat mit dem Namen: Global Industrial Cyber Security Professional (GICSP) .
Von allen angebotenen SANS-Arten von Industrial Cyber Security-Zertifizierungen ist dies die vielseitigste. Da sich die zweiten eher auf Stromnetzsysteme beziehen, die im Westen besondere Aufmerksamkeit erhalten und zu einer eigenen Systemklasse gehören. Und der dritte (zum Zeitpunkt meines Zertifizierungspfads) bezog sich auf Incident Response.
Der Kurs ist nicht billig, bietet aber ziemlich umfangreiche Kenntnisse in IT & OT. Dies ist besonders nützlich für Genossen, die beschlossen haben, ihren Bereich beispielsweise von IT-Sicherheit in der Bankenbranche auf industrielle Cybersicherheit umzustellen. Da ich bereits einen Hintergrund in den Bereichen Prozessleitsysteme, Instrumentierung und Operationstechnik hatte, gab es für mich in diesem Kurs keine grundlegend neuen oder wichtigen Informationen.
Der Kurs besteht zu 50% aus Theorie und zu 50% aus Praxis. Aus der Praxis war der Wettbewerb am interessantesten - NetWars. Nach dem Hauptkurs wurden zwei Tage lang alle Schüler aller Klassen in Teams aufgeteilt und führten Aufgaben aus, um Zugriffsrechte zu erhalten, die erforderlichen Informationen zu extrahieren, Zugang zum Netzwerk zu erhalten, eine Reihe von Aufgaben zur Förderung von Hashes, die Arbeit mit Wireshark und alle möglichen Extras.
Das Kursmaterial wird in Form von Büchern zusammengefasst, die Sie dann für Ihren fortwährenden Gebrauch erhalten. Übrigens können sie auch als Open Book-Format für die Prüfung genommen werden, aber sie helfen Ihnen dort wenig, da die Prüfung 3 Stunden und 115 Fragen umfasst und die Liefersprache Englisch ist. Für alle 3 Stunden können Sie eine Pause von 15 Minuten machen. Denken Sie jedoch daran, dass Sie eine Pause von 15 Minuten einlegen und nach 5 Minuten zu den Tests zurückkehren - Sie geben einfach die verbleibenden zehn Minuten an, da die Zeit im Testprogramm nicht mehr angehalten wird. Sie können bis zu 15 Fragen überspringen, die dann ganz am Ende erscheinen.
Persönlich empfehle ich nicht, viele Fragen für später zu hinterlassen, da die Zeit um 3 Uhr sehr kurz ist und wenn am Ende immer noch ungelöste Probleme auftauchen, das heißt, es besteht eine hohe Wahrscheinlichkeit eines Ausfalls. Ich habe "für später" nur drei Fragen hinterlassen, die für mich wirklich schwierig waren, weil sie sich auf die Kenntnis der NIST 800.82- und NERC-Standards bezogen. Psychologisch gesehen sind solche Fragen „für später“ ganz am Ende Nerven - wenn Ihr Gehirn müde ist, Sie auf die Toilette gehen möchten, scheint sich der Timer auf dem Bildschirm exponentiell zu beschleunigen.
Um den Test zu bestehen, müssen Sie im Allgemeinen 71% der richtigen Antworten erhalten. Vor dem Bestehen der Prüfung haben Sie die Möglichkeit, echte Tests zu üben - der Preis beinhaltet 2 Übungstests mit 115 Fragen und unter den gleichen Bedingungen wie die echte Prüfung.
Ich empfehle, die Prüfung einen Monat nach dem Training abzulegen und diesen Monat für systematische unabhängige Studien zu den Themen zu verwenden, bei denen Sie sich unsicher fühlen. Es ist schön, wenn Sie die im Kurs erhaltenen Drucksachen nehmen, die wie kurze Zusammenfassungen zu jedem Thema aussehen - und gezielt nach Informationen zu den Themen suchen, die in diesen Büchern enthalten sind. Teilen Sie den Monat in zwei Teile auf, indem Sie Probetests durchführen und sich ein ungefähres Bild davon machen, in welchen Fragen Sie stark sind und wo Sie aufholen müssen.
Ich möchte die folgenden Hauptbereiche hervorheben, aus denen die Prüfung selbst besteht (kein Schulungskurs, da sie viel umfangreichere Themen abdeckt):
- Physische Sicherheit: Wie bei anderen Zertifizierungsprüfungen widmet GICSP diesem Problem große Aufmerksamkeit. Es gibt Fragen zu den Arten von physischen Schlössern an den Türen, es werden Situationen mit Fälschung elektronischer Ausweise beschrieben, in denen Sie eine Antwort geben müssen, indem Sie das Problem eindeutig identifizieren. Je nach Themenbereich gibt es Fragen, die in direktem Zusammenhang mit der Sicherheit der Technologie (des Prozesses) stehen - Öl- und Gasprozesse, Kernkraftwerke oder Stromnetze. Zum Beispiel kann es eine Frage des Typs geben: Bestimmen Sie, welche Art von physischer Sicherheitskontrolle die Situation ist, wenn der Alarm vom Dampftemperatursensor am HMI kommt? Oder eine Frage der Form: Welche Situation (Ereignis) dient als Grund für die Analyse von Videoaufzeichnungen von Überwachungskameras des Perimeter-Sicherheitssystems eines Objekts?
In Prozent ausgedrückt würde ich feststellen, dass die Anzahl der Fragen zu diesem Abschnitt in meiner Prüfung und in Testversuchen 5% nicht überstieg. - Eine weitere und eine der am weitesten verbreiteten Kategorien von Fragen sind Fragen zu Prozessleitsystemen, SPS, SCADA: Hier muss systematisch auf die Untersuchung von Materialien zur Anordnung von Prozessleitsystemen eingegangen werden, von Sensoren bis zu Servern, auf denen die Anwendungssoftware selbst funktioniert. Es wird eine ausreichende Anzahl von Fragen zu verschiedenen industriellen Datenübertragungsprotokollen (ModBus, RTU, Profibus, HART usw.) gestellt. Es werden Fragen dazu gestellt, wie sich die RTU von der SPS unterscheidet, wie die Daten in der SPS vor Änderungen durch einen Angreifer geschützt werden können, in welchen Teilen des Speichers die SPS Daten speichert und wo die Logik selbst gespeichert ist (ein vom Programmierer des Steuerungssystems geschriebenes Programm). Beispielsweise kann eine Frage dieses Typs vorliegen: Um eine Antwort zu geben, wie kann ein Angriff zwischen SPSen und HMIs erkannt werden, die mit dem ModBus-Protokoll arbeiten?
Es wird Fragen zu den Unterschieden zwischen SCADA-Systemen und DCS geben. Eine große Anzahl von Fragen zu den Regeln zur Unterscheidung von Steuerungssystemnetzen auf der Ebene L1, L2 von der Ebene L3 (ich werde im Abschnitt mit Fragen zum Netzwerk ausführlicher beschreiben). Situationsfragen zu diesem Thema sind ebenfalls sehr heterogen - sie beschreiben die Situation im Kontrollraum und Sie müssen die Aktionen auswählen, die vom Prozessbetreiber oder Dispatcher ausgeführt werden sollen.
Im Allgemeinen ist dieser Abschnitt der spezifischste und engste. Es erfordert gute Kenntnisse von Ihnen:
- Automatisierte Steuerungssysteme, Feldteile (Sensoren, Arten von Geräteanschlüssen, physikalische Merkmale von Sensoren, SPS, RTU);
- Notfallschutzsysteme (ESD - Emergency Shutdown System) von Prozessen und Objekten (übrigens gibt es eine hervorragende Artikelserie zu diesem Thema von Vladimir_Sklyar am Hub ).
- ein grundlegendes Verständnis der physikalischen Prozesse, die beispielsweise bei der Ölraffination, der Stromerzeugung, bei Pipelines usw. stattfinden.
- Verständnis der Architektur von DCS- und SCADA-Systemen;
Ich möchte darauf hinweisen, dass bis zu 25% der Fragen dieser Art in allen 115 Fragen der Prüfung auftreten können. - Netzwerktechnologien und Netzwerksicherheit: Ich denke, dass die Anzahl der Fragen in diesem Thema bei der Prüfung an erster Stelle steht. Es wird wahrscheinlich absolut alles geben - das OSI-Modell, auf welchen Ebenen ein bestimmtes Protokoll funktioniert, viele Fragen zur Netzwerksegmentierung, Situationsfragen zu Netzwerkangriffen, Beispiele für Verbindungsprotokolle mit einem Vorschlag zur Bestimmung der Art des Angriffs, Beispiele für Switch-Konfigurationen mit einem Vorschlag zur Ermittlung einer anfälligen Konfiguration, Fragen zu Schwachstellen Netzwerkprotokolle, Fragen zu den Besonderheiten von Netzwerkverbindungen industrieller Kommunikationsprotokolle. Besonders viele Leute fragen nach ModBus. Die Struktur von Netzwerkpaketen desselben ModBus hängt von seinem Typ und den vom Gerät unterstützten Versionen ab. Angriffe auf drahtlose Netzwerke werden besonders berücksichtigt - ZigBee, Wireless HART, nur Fragen zur Netzwerksicherheit der gesamten 802.1x-Familie. Es werden Fragen zu den Regeln für die Platzierung dieser oder jener Server im Steuerungssystemnetzwerk gestellt (hier müssen Sie die Norm IEC-62443 lesen und die Prinzipien von Referenzmodellen für Steuerungssystemnetzwerke verstehen). Es wird Fragen zum Purdue-Modell geben.
- Eine Kategorie von Themen, die sich ausschließlich auf die Funktionsmerkmale des Betriebs von Stromübertragungssystemen und Informationssicherheitssystemen für diese bezieht. In den USA wird diese Kategorie von Prozessleitsystemen als Power Grid bezeichnet und spielt eine separate Rolle. Hierzu werden sogar separate Standards (NIST 800.82) herausgegeben, die den Ansatz zur Schaffung von Informationssicherheitssystemen für diesen Sektor regeln. In unseren Ländern ist dieser Sektor größtenteils auf ASKUE-Systeme beschränkt (korrigieren Sie mich, wenn jemand einen ernsthafteren Ansatz zur Kontrolle der Verteilungs- und Liefersysteme von Elektrizität gefunden hat). In der Prüfung werden Sie also auf ganz bestimmte Fragen im Zusammenhang mit dem Stromnetz stoßen. Dies waren größtenteils Anwendungsfälle für eine bestimmte Situation im Kraftwerk, es können jedoch auch Anfragen zu Geräten gestellt werden, die speziell in Power Grid verwendet werden. Es wird Fragen zum Wissen über NIST-Abschnitte für diese Systemkategorie geben.
- Fragen zur Kenntnis von Normen: NIST 800-82, NERC, IEC62443. Ich denke hier ohne besondere Kommentare - Sie müssen in den Abschnitten der Standards navigieren, welche für was verantwortlich sind und welche Empfehlungen sie enthalten. Es gibt spezielle Fragen, z. B. die Häufigkeit der Überprüfung der Funktionalität des Systems, die Häufigkeit der Aktualisierung des Verfahrens usw. In Prozent dieser Fragen können bis zu 15% der Gesamtzahl der Fragen auftreten. Aber wie viel Glück dann. In zwei Testversuchen bin ich beispielsweise auf ein paar ähnliche Fragen gestoßen. Aber bei der Prüfung gab es wirklich viele von ihnen.
- Nun, die letzte Kategorie von Fragen sind alle Arten von Anwendungsfällen und Situationsfragen.
Im Allgemeinen war die Schulung selbst, mit der möglichen Ausnahme von CTF NetWars, für mich nicht sehr informativ, um potenziell neues Wissen zu erwerben. Vielmehr wurden tiefere Details zu einigen Themen eingeholt, insbesondere im Bereich der Organisation und des Schutzes von Funknetzen, die zur Übertragung technologischer Informationen verwendet werden, sowie optimierteres Material zur Struktur ausländischer Standards, die diesem Thema gewidmet sind. Für Ingenieure und Spezialisten, die über ausreichende Kenntnisse und Erfahrungen mit Prozessleitsystemen / -instrumenten oder industriellen Netzwerken verfügen, können Sie daher überlegen, wie Sie Schulungen sparen können (und es ist sinnvoll zu sparen), sich darauf vorbereiten und sofort die Zertifizierungsprüfung bestehen, die übrigens besteht 700 USD. Im Falle eines Fehlers müssen Sie erneut bezahlen. Es gibt viele Zertifizierungszentren, die Sie zur Prüfung bringen. Hauptsache, Sie müssen im Voraus einen Antrag stellen. Im Allgemeinen empfehle ich, das Datum der Prüfung sofort festzulegen, da Sie es sonst ständig verzögern und den Vorbereitungsprozess durch andere wichtige und nicht sehr wichtige Dinge ersetzen. Und wenn Sie einen bestimmten Stichtag haben, sind Sie selbst motiviert.