Halo semuanya! Ada banyak artikel berbeda tentang sertifikasi di bidang keamanan informasi di portal semua orang yang dicintai, jadi saya tidak akan mengklaim orisinalitas dan orisinalitas konten, tetapi saya ingin berbagi pengalaman saya dalam memperoleh sertifikasi GIAC (Global Information Assurance Company) di bidang keamanan cyber industri. Sejak munculnya kata-kata menyeramkan seperti Stuxnet , Duqu , Shamoon, Triton, sebuah pasar secara bertahap muncul untuk penyediaan layanan spesialis yang tampaknya IT, tetapi juga dapat membebani PLC dengan menulis ulang konfigurasi ke tangga dan pada saat yang sama pabrik tidak dapat dihentikan.
Jadi konsep IT&OT (Teknologi Informasi & Teknologi Operasi) muncul di dunia.
Mengikuti segera, (jelas bahwa personel yang tidak memenuhi syarat tidak boleh diizinkan untuk bekerja), ada kebutuhan untuk mengesahkan spesialis di bidang memastikan keamanan sistem kontrol proses, sistem industri - yang, ternyata, dalam hidup kita ada banyak dari katup pasokan air otomatis di apartemen ke sistem kontrol pesawat terbang (ingat artikel bagus tentang menyelidiki masalah Boeing ). Dan bahkan, ketika tiba-tiba ternyata - peralatan medis yang canggih.
Sedikit lirik ketika saya sampai pada kebutuhan untuk mendapatkan sertifikasi (Anda dapat melewati): Setelah belajar dengan aman pada akhir tahun 2000-an di Fakultas Keamanan Informasi, saya dengan bangga mengangkat kepala saya ke jajaran domba pengontrol-instrumen, bekerja sebagai mekanik untuk sistem alarm yang rendah saat ini. Sepertinya IS memberitahuku di perusahaan saat itu :) Jadi karierku sebagai spesialis ACS dimulai dengan gelar sarjana dalam keamanan informasi. Enam tahun kemudian, setelah naik ke kepala departemen sistem SCADA, saya pergi bekerja sebagai konsultan tentang keamanan sistem kontrol industri di perusahaan vendor perangkat lunak dan perangkat keras asing. Di sinilah muncul kebutuhan untuk menjadi spesialis keamanan informasi bersertifikat.
GIAC adalah pengembangan dari organisasi SANS yang menyediakan pelatihan dan sertifikasi spesialis keamanan informasi. Reputasi sertifikat dari GIAC sangat tinggi di antara para spesialis dan pelanggan di pasar EMEA, AS, Asia Pasifik. Di negara kita, di ruang pasca-Soviet dan di negara-negara CIS, sertifikat semacam itu hanya dapat diminta oleh perusahaan asing yang memiliki bisnis di negara kita, lembaga konsultasi dan internasional. Secara pribadi, saya belum pernah menemukan permintaan sertifikasi seperti itu dari perusahaan domestik. Semua pada dasarnya meminta CISSP. Ini adalah pendapat subjektif saya, dan jika ada yang berbagi pengalaman mereka di komentar, itu akan menarik untuk diketahui.
SANS memiliki arah yang sangat berbeda (menurut saya, belakangan ini orang-orang telah memperluas jumlah mereka terlalu banyak), tetapi ada juga kursus praktis yang sangat menarik. Saya terutama menyukai NetWars . Tetapi ceritanya adalah tentang kursus ICS410: Esensi Keamanan ICS / SCADA dan sertifikat yang disebut: Global Industrial Cyber Security Professional (GICSP) .
Dari semua jenis sertifikasi Keamanan Cyber Industri SANS yang ditawarkan, ini adalah yang paling serbaguna. Karena yang kedua lebih berkaitan dengan sistem Power Grid, yang diberi perhatian khusus di Barat dan milik kelas sistem yang terpisah. Dan yang ketiga (pada saat jalur sertifikasi saya) terkait dengan Incident Response.
Kursus ini tidak murah, tetapi menyediakan pengetahuan yang cukup luas tentang IT&OT. Ini akan sangat berguna bagi kawan-kawan yang memutuskan untuk mengubah lingkup mereka, misalnya, dari keamanan TI di industri perbankan menjadi Industrial Cyber Security. Karena saya sudah memiliki latar belakang di bidang sistem kontrol proses, instrumentasi dan Teknologi Operasi, bagi saya tidak ada yang secara fundamental baru atau vital dalam kursus ini.
Kursus ini terdiri dari 50% teori dan 50% praktik. Dari latihan, yang paling menarik adalah kontes - NetWars. Selama dua hari, setelah kursus utama kelas, semua siswa dari semua kelas dibagi menjadi beberapa tim dan melakukan tugas untuk mendapatkan hak akses, mengekstraksi informasi yang diperlukan, mendapatkan akses ke jaringan, banyak tugas untuk mempromosikan hash, bekerja dengan Wireshark dan segala macam barang yang berbeda.
Materi kursus dirangkum dalam bentuk buku, yang kemudian Anda terima untuk digunakan selamanya. By the way, mereka juga dapat diambil untuk ujian, sebagai format Open Book, tetapi mereka akan membantu Anda sedikit di sana, karena ujian memiliki 3 jam, 115 pertanyaan, bahasa pengiriman adalah bahasa Inggris. Selama 3 jam, Anda dapat beristirahat selama 15 menit. Tetapi perlu diingat bahwa istirahat 15 menit dan kembali ke tes setelah 5 - Anda hanya memberikan sepuluh menit tersisa, karena tidak akan ada lagi menghentikan waktu dalam program pengujian. Anda dapat melewatkan hingga 15 pertanyaan, yang kemudian muncul di bagian paling akhir.
Secara pribadi, saya tidak menyarankan meninggalkan banyak pertanyaan untuk nanti, karena waktu jam 3 sangat singkat, dan ketika pada akhirnya Anda masih memiliki masalah yang belum terselesaikan, yaitu, ada kemungkinan kegagalan yang tinggi. Saya meninggalkan "untuk nanti" hanya tiga pertanyaan yang benar-benar sulit bagi saya karena mereka terkait dengan pengetahuan tentang standar NIST 800.82 dan NERC. Secara psikologis, pertanyaan-pertanyaan semacam itu "untuk nanti" adalah saraf di bagian paling akhir - ketika otak Anda lelah, Anda ingin pergi ke toilet, timer di layar sepertinya berakselerasi secara eksponensial.
Secara umum, untuk lulus tes Anda harus mencetak 71% dari jawaban yang benar. Sebelum lulus ujian, Anda akan memiliki kesempatan untuk berlatih tes nyata - karena harganya termasuk 2 tes latihan dengan 115 pertanyaan dan dengan kondisi yang sama dengan ujian nyata.
Saya sarankan mengikuti ujian satu bulan setelah pelatihan, menghabiskan bulan ini untuk studi independen sistematis tentang masalah-masalah itu - di mana Anda merasa tidak aman. Akan lebih baik jika Anda mengambil materi cetak yang diterima di kursus, yang terlihat seperti abstrak singkat tentang setiap topik - dan Anda akan dengan sengaja mencari informasi tentang topik-topik yang terkandung dalam buku-buku ini. Bagi bulan menjadi dua bagian dengan melakukan uji coba dan mendapatkan gambaran tentang masalah apa yang Anda kuatkan dan di mana Anda perlu mengejar ketinggalan.
Saya ingin menyoroti bidang utama berikut yang terdiri dari ujian itu sendiri (bukan kursus pelatihan, karena mencakup topik yang jauh lebih luas):
- Keamanan fisik: seperti dalam ujian sertifikasi lainnya, GICSP membayar banyak perhatian pada masalah ini. Ada pertanyaan tentang jenis kunci fisik di pintu, situasi dengan pemalsuan lintasan elektronik dijelaskan, di mana Anda perlu memberikan jawaban dengan identifikasi masalah yang jelas. Ada pertanyaan yang berkaitan langsung dengan keamanan teknologi (proses) tergantung pada area subjek - proses minyak dan gas, pembangkit nuklir atau jaringan listrik. Misalnya, mungkin ada pertanyaan tentang jenis: Tentukan jenis kontrol keamanan fisik apa situasi ketika Alarm berasal dari sensor suhu uap pada HMI? Atau pertanyaan tentang bentuk: Situasi (peristiwa) apa yang akan berfungsi sebagai alasan untuk menganalisis rekaman video dari kamera pengintai sistem keamanan perimeter suatu objek?
Dalam istilah persentase, saya akan mencatat bahwa jumlah pertanyaan pada bagian ini dalam ujian saya dan dalam uji coba tidak melebihi 5%. - Lain dan salah satu kategori pertanyaan yang paling luas adalah pertanyaan tentang sistem kontrol proses, PLC, SCADA: di sini akan diperlukan untuk secara sistematis mendekati studi bahan tentang bagaimana sistem kontrol proses diatur, dari sensor ke server tempat perangkat lunak aplikasi itu sendiri bekerja. Sejumlah pertanyaan akan dijumpai pada varietas protokol transfer data industri (ModBus, RTU, Profibus, HART, dll.). Akan ada pertanyaan tentang bagaimana RTU berbeda dari PLC, bagaimana melindungi data dalam PLC dari modifikasi oleh penyerang, di mana bagian memori menyimpan data PLC, dan di mana logika itu sendiri disimpan (sebuah program yang ditulis oleh programmer sistem kontrol). Misalnya, mungkin ada pertanyaan jenis ini: Untuk memberikan jawaban, bagaimana serangan terdeteksi antara PLC dan HMI yang beroperasi pada protokol ModBus?
Akan ada pertanyaan tentang perbedaan antara sistem SCADA dan DCS. Sejumlah besar pertanyaan tentang aturan untuk membedakan jaringan sistem kontrol di tingkat L1, L2 dari tingkat L3 (saya akan menjelaskan secara lebih rinci di bagian ini dengan pertanyaan di jaringan). Pertanyaan situasional pada topik ini juga akan sangat heterogen - mereka menggambarkan situasi di ruang kontrol dan Anda perlu memilih tindakan yang harus dilakukan oleh operator proses atau operator.
Secara umum, bagian ini adalah yang paling spesifik dan profil sempit. Ini akan membutuhkan pengetahuan yang baik dari Anda:
- Sistem kontrol otomatis, bagian medan (sensor, jenis koneksi perangkat, fitur fisik sensor, PLC, RTU);
- sistem perlindungan darurat (ESD - sistem penutupan darurat) proses dan objek (omong-omong, ada serangkaian artikel yang sangat baik tentang topik ini dari Vladimir_Sklyar pada hub )
- pemahaman dasar tentang proses fisik yang terjadi, misalnya, dalam pemurnian minyak, pembangkit listrik, saluran pipa, dll.
- Pemahaman tentang arsitektur sistem DCS dan SCADA;
Saya ingin mencatat bahwa hingga 25% pertanyaan jenis ini dapat ditemui di seluruh 115 pertanyaan ujian. - Teknologi jaringan dan keamanan jaringan: Saya pikir jumlah pertanyaan dalam topik ini adalah yang pertama dalam ujian. Mungkin akan ada segalanya - model OSI, pada tingkat apa protokol bekerja, banyak pertanyaan tentang segmentasi jaringan, pertanyaan situasional tentang serangan jaringan, contoh log koneksi dengan proposal untuk menentukan jenis serangan, contoh konfigurasi switch dengan proposal untuk menentukan konfigurasi yang rentan, pertanyaan tentang kerentanan protokol jaringan, pertanyaan tentang spesifikasi koneksi jaringan dari protokol komunikasi industri. Terutama banyak orang bertanya tentang ModBus. Struktur paket jaringan dari ModBus yang sama, tergantung pada jenisnya dan versi yang didukung oleh perangkat. Banyak perhatian diberikan pada serangan pada jaringan nirkabel - ZigBee, Wireless HART, hanya pertanyaan tentang keamanan jaringan seluruh keluarga 802.1x. Akan ada pertanyaan tentang aturan untuk menempatkan ini atau server tersebut di jaringan sistem kontrol (di sini Anda perlu membaca standar IEC-62443 dan memahami prinsip-prinsip model referensi jaringan sistem kontrol). Akan ada pertanyaan tentang model Purdue.
- Kategori masalah yang berhubungan secara eksklusif dengan fitur fungsional pengoperasian sistem transmisi tenaga listrik dan sistem keamanan informasi untuk mereka. Di AS, kategori sistem kontrol proses ini disebut Power Grid dan memiliki peran terpisah. Untuk ini, standar terpisah (NIST 800.82) bahkan dikeluarkan yang mengatur pendekatan untuk menciptakan sistem keamanan informasi untuk sektor ini. Di negara kita, sebagian besar, sektor ini terbatas pada sistem ASKUE (koreksi saya jika seseorang telah bertemu dengan pendekatan yang lebih serius untuk mengendalikan sistem distribusi dan pengiriman listrik). Jadi, dalam ujian Anda akan menemukan pertanyaan yang sangat spesifik terkait dengan Power Grid. Untuk sebagian besar, ini adalah kasus penggunaan untuk situasi tertentu yang berlaku di Pembangkit Listrik, tetapi mungkin juga ada pertanyaan tentang perangkat yang digunakan khusus di Power Grid. Akan ada pertanyaan yang membahas pengetahuan bagian NIST untuk kategori sistem ini.
- Pertanyaan yang terkait dengan pengetahuan standar: NIST 800-82, NERC, IEC62443. Saya pikir di sini tanpa komentar khusus - Anda perlu menavigasi di bagian standar, mana yang bertanggung jawab untuk apa dan rekomendasi apa yang dikandungnya. Ada pertanyaan spesifik, misalnya, menanyakan frekuensi mengecek fungsionalitas sistem, frekuensi memperbarui prosedur, dll. Sebagai persentase dari pertanyaan seperti itu, hingga 15% dari total jumlah pertanyaan dapat terjadi. Tapi betapa beruntungnya itu. Sebagai contoh, dalam dua uji coba, saya menemukan beberapa pertanyaan serupa. Tetapi pada ujian, benar-benar ada banyak dari mereka.
- Nah, kategori pertanyaan terakhir adalah semua jenis kasus penggunaan dan pertanyaan situasional.
Secara umum, pelatihan itu sendiri, dengan kemungkinan pengecualian CTF NetWars, tidak terlalu informatif bagi saya dalam hal memperoleh pengetahuan yang berpotensi baru. Sebaliknya, rincian yang lebih dalam dari beberapa topik diperoleh, terutama di bidang organisasi dan perlindungan jaringan radio yang digunakan untuk mengirimkan informasi teknologi, serta materi yang lebih ramping tentang struktur standar asing yang dikhususkan untuk topik ini. Oleh karena itu, untuk insinyur dan spesialis yang memiliki pengetahuan dan pengalaman yang cukup dengan sistem / instrumentasi kontrol proses atau Jaringan Industri - Anda dapat berpikir tentang penghematan pelatihan (dan masuk akal untuk menyelamatkan), siapkan diri Anda dan segera lulus ujian sertifikasi, yang omong-omong 700USD Jika gagal, Anda harus membayar lagi. Ada banyak pusat sertifikasi yang akan membawa Anda ke ujian, yang terpenting adalah menyerahkan aplikasi terlebih dahulu. Secara umum, saya sarankan segera mengatur tanggal ujian, karena kalau tidak Anda akan terus-menerus menunda, mengganti proses persiapan dengan hal-hal penting dan tidak terlalu penting lainnya. Dan memiliki tanggal tenggat waktu tertentu, Anda akan termotivasi diri.