Bonjour à tous! Le portail bien-aimé de tout le monde avait de nombreux articles différents sur la certification dans le domaine de la sécurité de l'information, donc je ne vais pas revendiquer l'originalité et l'originalité du contenu, mais j'aimerais beaucoup partager mon expérience dans l'obtention de la certification GIAC (Global Information Assurance Company) dans le domaine de la cybersécurité industrielle. Depuis l'avènement de mots effrayants tels que Stuxnet , Duqu , Shamoon, Triton, un marché a progressivement émergé pour la fourniture de services spécialisés qui semblent être des technologies de l'information, mais peuvent également surcharger l'automate avec la réécriture de la configuration sur des échelles et en même temps, l'usine ne peut pas être arrêtée.
Le concept IT&OT (Information Technology & Operation Technology) a donc vu le jour.
Immédiatement après (il est clair que le personnel non qualifié ne devrait pas être autorisé à travailler), il était nécessaire de certifier des spécialistes dans le domaine de la sécurité des systèmes de contrôle de processus, des systèmes industriels - qui, il se trouve, dans notre vie, il y a beaucoup de la vanne d'alimentation automatique en eau dans l'appartement au système de contrôle avions (rappelez-vous un excellent article sur les problèmes de Boeing ). Et même, comme il s'est avéré soudainement - un équipement médical sophistiqué.
Quelques petites paroles quand je suis arrivé à la nécessité d'obtenir une certification (vous pouvez sauter): Ayant étudié en toute sécurité à la fin des années 2000 à la Faculté de sécurité de l'information, j'ai fièrement élevé la tête dans les rangs du mouton de contrôle d'instruments, travaillant comme mécanicien pour les systèmes d'alarme à faible courant. Il semble que l'IS me l'a dit à l'entreprise à cette époque :) Alors ma carrière en tant que spécialiste ACS a commencé avec un baccalauréat en sécurité de l'information. Six ans plus tard, après avoir accédé à la tête du département des systèmes SCADA, j'ai quitté pour travailler en tant que consultant sur la sécurité des systèmes de contrôle industriels dans une entreprise étrangère de logiciels et de matériel informatique. C'est là que le besoin s'est fait sentir de devenir un spécialiste certifié en sécurité de l'information.
Le GIAC est un développement de l'organisation SANS qui assure la formation et la certification des spécialistes de la sécurité de l'information. La réputation du certificat du GIAC est très élevée auprès des spécialistes et des clients sur les marchés de la région EMEA, US, Asia Pacific. Dans notre pays, dans l'espace post-soviétique et dans les pays de la CEI, un tel certificat ne peut être demandé que par des sociétés étrangères ayant des activités dans nos pays, des agences internationales et des agences de conseil. Personnellement, je n'ai jamais rencontré de demande de certification de la part d'entreprises nationales. Tous demandent essentiellement CISSP. Ceci est mon opinion subjective, et si quelqu'un partage son expérience dans les commentaires, il sera intéressant de le savoir.
SANS a des directions assez différentes (à mon avis, ces derniers temps, les gars ont trop augmenté leur nombre), mais il y a aussi des cours pratiques très intéressants. J'ai particulièrement aimé NetWars . Mais l'histoire portera sur le cours ICS410: ICS / SCADA Security Essentials et un certificat appelé: Global Industrial Cyber Security Professional (GICSP) .
De tous les types SANS de certifications de cybersécurité industrielle offertes, c'est le plus polyvalent. Depuis le second se rapportent davantage aux systèmes Power Grid, qui reçoivent une attention particulière en Occident et appartiennent à une classe distincte de systèmes. Et le troisième (au moment de mon parcours de certification) concernait la réponse aux incidents.
Le cours n'est pas bon marché, mais il fournit une connaissance assez approfondie de l'IT&OT. Il sera particulièrement utile aux camarades qui ont décidé de changer de sphère, par exemple, de la sécurité informatique dans le secteur bancaire à la cybersécurité industrielle. Étant donné que j'avais déjà une formation dans le domaine des systèmes de contrôle de processus, de l'instrumentation et de la technologie d'exploitation, il n'y avait pour moi aucun élément fondamentalement nouveau ou vital dans ce cours.
Le cours comprend 50% de théorie et 50% de pratique. De la pratique, le plus intéressant a été le concours - NetWars. Pendant deux jours, après le cours principal, tous les étudiants de toutes les classes ont été divisés en équipes et ont effectué des tâches pour obtenir les droits d'accès, extraire les informations nécessaires, accéder au réseau, un tas de tâches pour promouvoir les hachages, travailler avec Wireshark et toutes sortes de goodies différents.
Le matériel de cours est résumé sous forme de livres que vous recevez ensuite pour votre usage perpétuel. Soit dit en passant, ils peuvent également être pris pour l'examen, comme le format Open Book, mais ils vous aideront peu là-bas, puisque l'examen a 3 heures, 115 questions, la langue de livraison est l'anglais. Pendant les 3 heures, vous pouvez faire une pause de 15 minutes. Mais gardez à l'esprit que prendre une pause de 15 minutes et revenir aux tests après 5 - vous donnez simplement les dix minutes restantes, car il n'y aura plus d'arrêt du temps dans le programme de test. Vous pouvez sauter jusqu'à 15 questions, qui apparaissent ensuite à la toute fin.
Personnellement, je ne recommande pas de laisser beaucoup de questions pour plus tard, car le temps à 3 heures est vraiment court, et quand à la fin vous avez encore des problèmes non résolus, c'est-à-dire qu'il y a une forte probabilité d'échec. Je n'ai laissé «pour plus tard» que trois questions qui étaient vraiment difficiles pour moi car elles concernaient la connaissance des normes NIST 800.82 et NERC. Psychologiquement, ces questions «pour plus tard» sont des nerfs à la toute fin - lorsque votre cerveau est fatigué, vous voulez aller aux toilettes, la minuterie à l'écran semble accélérer de façon exponentielle.
En général, pour réussir le test, vous devez obtenir 71% des bonnes réponses. Avant de passer l'examen, vous aurez l'occasion de pratiquer de vrais tests - car le prix comprend 2 tests pratiques avec 115 questions et avec les mêmes conditions que le vrai examen.
Je recommande de passer l'examen un mois après la formation, de passer ce mois-ci à des études indépendantes systématiques sur ces questions - dans lesquelles vous ne vous sentez pas en sécurité. Ce sera bien si vous prenez les documents imprimés reçus sur le cours, qui ressemblent à de brefs résumés sur chaque sujet - et vous rechercherez volontairement des informations sur les sujets qui sont contenus dans ces livres. Divisez le mois en deux parties en effectuant des tests d'essai et en obtenant une image approximative des problèmes que vous rencontrez et des points à rattraper.
Je voudrais souligner les principaux domaines suivants qui composent l'examen lui-même (pas un cours de formation, car il couvre des sujets beaucoup plus étendus):
- Sécurité physique: comme dans les autres examens de certification, le GICSP accorde une grande attention à cette question. Il y a des questions sur les types de serrures physiques sur les portes, des situations de falsification de laissez-passer électroniques sont décrites, où vous devez donner une réponse en identifiant sans ambiguïté le problème. Il existe des questions directement liées à la sécurité de la technologie (processus) selon le domaine - procédés pétroliers et gaziers, centrales nucléaires ou réseaux électriques. Par exemple, il peut y avoir une question du type: déterminer quel type de contrôle de sécurité physique est la situation lorsque l'alarme provient du capteur de température de vapeur sur l'IHM? Ou une question de forme: quelle situation (événement) servira de motif à l'analyse des enregistrements vidéo des caméras de surveillance du système de sécurité périmétrique d'un objet?
En pourcentage, je noterais que le nombre de questions sur cette section dans mon examen et dans les tests d'essai n'a pas dépassé 5%. - Une autre et l'une des catégories de questions les plus répandues sont les questions sur les systèmes de contrôle de processus, PLC, SCADA: ici, il sera nécessaire d'aborder systématiquement l'étude des matériaux sur la façon dont les systèmes de contrôle de processus sont agencés, des capteurs aux serveurs où le logiciel d'application lui-même fonctionne. Un nombre suffisant de questions seront posées sur les variétés de protocoles de transfert de données industrielles (ModBus, RTU, Profibus, HART, etc.). Il y aura des questions sur la façon dont la RTU diffère de l'automate, comment protéger les données de l'automate contre les modifications par un attaquant, dans quelles parties de la mémoire l'automate stocke les données et où la logique elle-même est stockée (un programme écrit par le programmeur du système de contrôle). Par exemple, il peut y avoir une question de ce type: pour donner une réponse, comment une attaque peut-elle être détectée entre des automates et des IHM qui fonctionnent sur le protocole ModBus?
Il y aura des questions sur les différences entre les systèmes SCADA et DCS. Un grand nombre de questions sur les règles de distinction des réseaux de systèmes de contrôle au niveau L1, L2 du niveau L3 (je décrirai plus en détail dans la section des questions sur le réseau). Les questions de situation sur ce sujet seront également très hétérogènes - elles décrivent la situation dans la salle de contrôle et vous devez sélectionner les actions qui doivent être effectuées par l'opérateur du processus ou le répartiteur.
En général, cette section est la plus spécifique et la plus étroite. Cela nécessitera une bonne connaissance de votre part:
- Systèmes de contrôle automatisés, pièces de terrain (capteurs, types de connexions d'appareils, caractéristiques physiques des capteurs, PLC, RTU);
- systèmes de protection d'urgence (ESD - système d'arrêt d'urgence) des processus et des objets (à propos, il y a une excellente série d'articles sur ce sujet de Vladimir_Sklyar sur le hub )
- une compréhension de base des processus physiques qui ont lieu, par exemple, dans le raffinage du pétrole, la production d'électricité, les pipelines, etc.
- compréhension de l'architecture des systèmes DCS et SCADA;
Je voudrais noter que jusqu'à 25% des questions de ce type peuvent être rencontrées tout au long des 115 questions de l'examen. - Technologies de réseau et sécurité du réseau: Je pense que le nombre de questions dans ce sujet vient en premier dans l'examen. Il y aura probablement absolument tout - le modèle OSI, à quels niveaux un protocole particulier fonctionne, beaucoup de questions sur la segmentation du réseau, des questions situationnelles sur les attaques réseau, des exemples de journaux de connexion avec une proposition pour déterminer le type d'attaque, des exemples de configurations de commutateurs avec une proposition pour déterminer une configuration vulnérable, des questions sur les vulnérabilités protocoles réseau, questions sur les spécificités des connexions réseau des protocoles de communication industriels. En particulier, beaucoup de gens posent des questions sur ModBus. La structure des paquets réseau du même ModBus, selon son type et les versions prises en charge par l'appareil. Une grande attention est accordée aux attaques sur les réseaux sans fil - ZigBee, Wireless HART, juste des questions sur la sécurité du réseau de toute la famille 802.1x. Il y aura des questions sur les règles de placement de ces serveurs dans le réseau du système de contrôle (ici, vous devez lire la norme CEI-62443 et comprendre les principes des modèles de référence des réseaux du système de contrôle). Il y aura des questions sur le modèle Purdue.
- Une catégorie de questions qui se rapporte exclusivement aux caractéristiques fonctionnelles du fonctionnement des systèmes de transmission d'énergie électrique et des systèmes de sécurité de l'information pour eux. Aux États-Unis, cette catégorie de systèmes de contrôle de processus s'appelle Power Grid et a un rôle distinct à jouer. Pour cela, des normes distinctes (NIST 800.82) sont même publiées qui régissent l'approche de création de systèmes de sécurité de l'information pour ce secteur. Dans nos pays, pour la plupart, ce secteur est limité aux systèmes ASKUE (corrigez-moi si quelqu'un a rencontré une approche plus sérieuse pour contrôler les systèmes de distribution et de livraison de l'électricité). Ainsi, dans l'examen, vous rencontrerez des questions assez spécifiques liées au Power Grid. Pour la plupart, il s'agissait de cas d'utilisation pour une situation spécifique prévalant à la centrale électrique, mais il peut également y avoir des demandes de renseignements sur les appareils utilisés spécifiquement dans Power Grid. Il y aura des questions concernant la connaissance des sections NIST pour cette catégorie de systèmes.
- Questions liées à la connaissance des normes: NIST 800-82, NERC, IEC62443. Je pense ici sans commentaires particuliers - vous devez naviguer dans les sections des normes, laquelle est responsable de quoi et quelles recommandations elle contient. Il y a des questions spécifiques, par exemple, la fréquence de vérification de la fonctionnalité du système, la fréquence de mise à jour de la procédure, etc. En pourcentage de ces questions, jusqu'à 15% du nombre total de questions peuvent se poser. Mais alors quelle chance. Par exemple, dans deux tests d'essai, je suis tombé sur quelques questions similaires. Mais à l'examen, il y en avait vraiment beaucoup.
- Eh bien, la dernière catégorie de questions est constituée de toutes sortes de cas d'utilisation et de questions situationnelles.
En général, la formation elle-même, à l'exception peut-être de CTF NetWars, n'était pas très informative pour moi en termes d'acquisition de connaissances potentiellement nouvelles. Au contraire, des détails plus approfondis sur certains sujets ont été obtenus, en particulier dans le domaine de l'organisation et de la protection des réseaux radio utilisés pour transmettre des informations technologiques, ainsi que des documents plus rationalisés sur la structure des normes étrangères consacrées à ce sujet. Par conséquent, pour les ingénieurs et les spécialistes qui ont suffisamment de connaissances et d'expérience avec les systèmes de contrôle de processus / instrumentation ou les réseaux industriels - vous pouvez penser à économiser sur la formation (et il est logique d'enregistrer), préparez-vous et allez immédiatement passer l'examen de certification, qui est d'ailleurs 700USD. En cas d'échec, vous devrez payer à nouveau. Il existe de nombreux centres de certification qui vous amèneront à l'examen, l'essentiel est de soumettre une demande à l'avance. En général, je recommande de fixer immédiatement la date de l'examen, car sinon vous le retarderez constamment, en remplaçant le processus de préparation par d'autres choses vitales et peu importantes. Et ayant une date limite précise, vous serez motivé.