Olá pessoal! O amado portal de todos tinha muitos artigos diferentes sobre certificação no campo da segurança da informação, então não vou reivindicar originalidade e originalidade do conteúdo, mas gostaria muito de compartilhar minha experiência na obtenção da certificação GIAC (Global Information Assurance Company) no campo da segurança cibernética industrial. Desde o advento de palavras assustadoras como Stuxnet , Duqu , Shamoon, Triton, um mercado emergiu gradualmente para a prestação de serviços especializados que parecem ser de TI, mas também pode sobrecarregar o PLC com a reescrita da configuração em escadas e, ao mesmo tempo, a planta não pode ser parada.
Então, o conceito de TI&OT (Tecnologia da Informação e Tecnologia de Operação) veio ao mundo.
Em seguida, (é claro que não é permitido o pessoal não qualificado trabalhar), havia a necessidade de certificar especialistas no campo para garantir a segurança dos sistemas de controle de processos, sistemas industriais - que, na nossa vida, há muito desde a válvula automática de abastecimento de água no apartamento até o sistema de controle aviões (lembre-se de um ótimo artigo sobre a investigação de problemas da Boeing ). E até, como se viu de repente - equipamentos médicos sofisticados.
Algumas letras, quando cheguei à necessidade de obter a certificação (você pode pular): Tendo estudado com segurança no final dos anos 2000 na Faculdade de Segurança da Informação, orgulhosamente levantei minha cabeça para as fileiras das ovelhas de controle de instrumentos, trabalhando como mecânico para sistemas de alarme de baixa corrente. Parece que o IS me disse na empresa na época :) Então, minha carreira como especialista em ACS começou com um diploma de bacharel em segurança da informação. Seis anos depois, assumindo o cargo de chefe do departamento de sistemas SCADA, saí para trabalhar como consultor em segurança de sistemas de controle industrial em uma empresa estrangeira de fornecedores de software e hardware. Foi aí que surgiu a necessidade de se tornar um especialista certificado em segurança da informação.
O GIAC é um desenvolvimento da organização SANS que fornece treinamento e certificação de especialistas em segurança da informação. A reputação do certificado do GIAC é muito alta entre especialistas e clientes nos mercados da EMEA, EUA e Ásia-Pacífico. Em nosso país, no espaço pós-soviético e nos países da CEI, esse certificado só pode ser solicitado por empresas estrangeiras que tenham negócios em nossos países, agências internacionais e de consultoria. Pessoalmente, nunca me deparei com um pedido de tal certificação de empresas nacionais. Todos basicamente solicitam o CISSP. Esta é a minha opinião subjetiva e, se alguém compartilhar sua experiência nos comentários, será interessante saber.
O SANS tem direções bastante diferentes (na minha opinião, ultimamente os caras expandiram muito seu número), mas também existem cursos práticos muito interessantes. Gostei especialmente do NetWars . Mas a história será sobre o curso ICS410: ICS / SCADA Security Essentials e um certificado chamado: Global Industrial Cyber Security Professional (GICSP) .
De todos os tipos de certificações SANS oferecidos pela Industrial Cyber Security, essa é a mais versátil. Uma vez que o segundo se refere mais aos sistemas Power Grid, que recebem atenção especial no Ocidente e pertencem a uma classe separada de sistemas. E o terceiro (no momento do meu caminho de certificação) relacionado à resposta a incidentes.
O curso não é barato, mas fornece um conhecimento bastante extenso de TI e TI. Será especialmente útil para os camaradas que decidiram mudar de esfera, por exemplo, da segurança de TI no setor bancário para a segurança cibernética industrial. Como eu já tinha experiência na área de sistemas de controle de processos, instrumentação e tecnologia de operação, para mim não havia fundamentalmente novo ou vital neste curso.
O curso consiste em 50% de teoria e 50% de prática. Da prática, o mais interessante foi o concurso - NetWars. Por dois dias, após o curso principal das aulas, todos os alunos de todas as turmas foram divididos em equipes e realizaram tarefas para obter direitos de acesso, extrair as informações necessárias, obter acesso à rede, várias tarefas para promover hashes, trabalhar com o Wireshark e todo tipo de guloseimas diferentes.
O material do curso é resumido na forma de livros, que você recebe para seu uso perpétuo. A propósito, eles também podem ser feitos para o exame, como o formato Open Book, mas ajudarão você pouco lá, já que o exame tem 3 horas, 115 perguntas, o idioma de entrega é o inglês. Durante todas as 3 horas, você pode fazer uma pausa por 15 minutos. Mas lembre-se de que, fazendo uma pausa de 15 minutos e retornando aos testes após 5 - você simplesmente dá os dez minutos restantes, pois não haverá mais interrupção do tempo no programa de testes. Você pode pular até 15 perguntas, que aparecem no final.
Pessoalmente, não recomendo deixar muitas perguntas para mais tarde, porque o tempo às três horas é muito curto e, quando no final, você ainda tem problemas não resolvidos, ou seja, há uma alta probabilidade de falha. Deixei “para mais tarde” apenas três perguntas que eram realmente difíceis para mim porque estavam relacionadas ao conhecimento dos padrões NIST 800.82 e NERC. Psicologicamente, essas perguntas "para depois" são nervosas no final - quando seu cérebro está cansado, você quer ir ao banheiro, o temporizador na tela parece acelerar exponencialmente.
Em geral, para passar no teste, você precisa marcar 71% das respostas corretas. Antes de passar no exame, você terá a oportunidade de praticar testes reais - já que o preço inclui 2 testes práticos com 115 perguntas e com as mesmas condições do exame real.
Eu recomendo fazer o exame um mês após o treinamento, gastando este mês em estudos independentes sistemáticos sobre essas questões - nas quais você se sente inseguro. Seria bom se você pegar os materiais impressos recebidos no curso, que parecem breves resumos sobre cada tópico - e você buscará propositadamente informações sobre os tópicos contidos nesses livros. Divida o mês em duas partes, realizando testes de avaliação e obtendo uma imagem aproximada de quais problemas você tem e onde precisa acompanhar.
Gostaria de destacar as seguintes áreas principais nas quais o próprio exame consiste (não um curso de treinamento, pois abrange tópicos muito mais extensos):
- Segurança física: como em outros exames de certificação, o GICSP presta muita atenção a esse problema. Existem perguntas sobre os tipos de travas físicas nas portas, são descritas situações com falsificação de passes eletrônicos, nas quais é necessário responder pela identificação inequívoca do problema. Existem questões diretamente relacionadas à segurança da tecnologia (processo), dependendo da área em questão - processos de petróleo e gás, usinas nucleares ou redes de energia. Por exemplo, pode haver uma pergunta do tipo: Determine que tipo de controle de segurança física é a situação em que o Alarme vem do sensor de temperatura do vapor na HMI? Ou uma pergunta do formulário: Que situação (evento) servirá como motivo para analisar gravações de vídeo de câmeras de vigilância do sistema de segurança de perímetro de um objeto?
Em termos percentuais, eu observaria que o número de perguntas nesta seção no meu exame e nos testes de avaliação não excedeu 5%. - Outra e uma das categorias de perguntas mais difundidas são perguntas sobre sistemas de controle de processos, PLC, SCADA: aqui será necessário abordar sistematicamente o estudo de materiais sobre como os sistemas de controle de processos são organizados, desde sensores a servidores onde o próprio software aplicativo funciona. Um número suficiente de perguntas será encontrado sobre variedades de protocolos de transferência de dados industriais (ModBus, RTU, Profibus, HART, etc.). Haverá perguntas sobre como a RTU difere do PLC, como proteger os dados no PLC da modificação por um invasor, em quais partes da memória o PLC armazena os dados e onde a própria lógica é armazenada (um programa escrito pelo programador do sistema de controle). Por exemplo, pode haver uma pergunta desse tipo: Para dar uma resposta, como um ataque pode ser detectado entre CLPs e IHMs que operam no protocolo ModBus?
Haverá perguntas sobre as diferenças entre os sistemas SCADA e o DCS. Um grande número de perguntas sobre as regras para distinguir redes de sistemas de controle nos níveis L1, L2 e L3 (descreverei mais detalhadamente na seção com perguntas sobre a rede). As perguntas situacionais sobre esse tópico também serão muito heterogêneas - elas descrevem a situação na sala de controle e você precisa selecionar as ações que devem ser executadas pelo operador do processo ou despachante.
Em geral, esta seção é o perfil mais específico e restrito. Isso exigirá um bom conhecimento de você:
- Sistemas de controle automatizados, peças de campo (sensores, tipos de conexões de dispositivos, características físicas de sensores, CLP, RTU);
- sistemas de proteção de emergência (ESD - sistema de desligamento de emergência) de processos e objetos (a propósito, há uma excelente série de artigos sobre esse tópico de Vladimir_Sklyar no hub )
- uma compreensão básica dos processos físicos que ocorrem, por exemplo, em refino de petróleo, geração de eletricidade, oleodutos, etc.
- entendimento da arquitetura dos sistemas DCS e SCADA;
Eu observaria que até 25% das perguntas desse tipo podem ser encontradas nas 115 perguntas do exame. - Tecnologias de rede e segurança de rede: acho que o número de perguntas neste tópico vem em primeiro lugar no exame. Provavelmente haverá absolutamente tudo - o modelo OSI, em que níveis um protocolo específico funciona, muitas perguntas sobre segmentação de rede, perguntas situacionais sobre ataques à rede, exemplos de logs de conexão com uma proposta para determinar o tipo de ataque, exemplos de configurações de switch com uma proposta para determinar uma configuração vulnerável, perguntas sobre vulnerabilidades protocolos de rede, perguntas sobre as especificidades das conexões de rede dos protocolos de comunicação industrial. Especialmente muitas pessoas perguntam sobre o ModBus. A estrutura dos pacotes de rede do mesmo ModBus, dependendo do tipo e das versões suportadas pelo dispositivo. É dada muita atenção aos ataques em redes sem fio - ZigBee, Wireless HART, apenas perguntas sobre a segurança da rede de toda a família 802.1x. Haverá perguntas sobre as regras para colocar esses servidores na rede do sistema de controle (aqui você precisa ler a norma IEC-62443 e entender os princípios dos modelos de referência das redes de sistemas de controle). Haverá perguntas sobre o modelo Purdue.
- Uma categoria de problemas relacionados exclusivamente aos recursos funcionais da operação de sistemas de transmissão de energia elétrica e sistemas de segurança da informação para eles. Nos EUA, essa categoria de sistemas de controle de processo é chamada Power Grid e tem um papel separado a desempenhar. Para isso, são emitidos padrões separados (NIST 800.82) que regulam a abordagem para a criação de sistemas de segurança da informação para esse setor. Em nossos países, na maioria das vezes, esse setor é limitado aos sistemas ASKUE (corrija-me se alguém tiver encontrado uma abordagem mais séria para controlar os sistemas de distribuição e fornecimento de eletricidade). Portanto, no exame, você encontrará perguntas bastante específicas relacionadas à Power Grid. Na maioria das vezes, esses eram casos de uso para uma situação específica prevalecente na Usina Hidrelétrica, mas também pode haver pesquisas sobre dispositivos usados especificamente no Power Grid. Haverá perguntas abordando o conhecimento das seções do NIST para esta categoria de sistemas.
- Perguntas relacionadas ao conhecimento de padrões: NIST 800-82, NERC, IEC62443. Eu acho que aqui sem comentários especiais - você precisa navegar nas seções dos padrões, qual deles é responsável por quais e quais recomendações ele contém. Há perguntas específicas, por exemplo, perguntando a frequência da verificação da funcionalidade do sistema, a frequência da atualização do procedimento, etc. Como porcentagem dessas perguntas, pode ocorrer até 15% do número total de perguntas. Mas então que sorte. Por exemplo, em dois testes de avaliação, me deparei com apenas algumas perguntas semelhantes. Mas no exame, realmente havia muitos deles.
- Bem, a última categoria de perguntas são todos os tipos de casos de uso e questões situacionais.
Em geral, o treinamento em si, com a possível exceção do CTF NetWars, não foi muito informativo para mim em termos de aquisição de conhecimento potencialmente novo. Em vez disso, foram adquiridos detalhes mais profundos de alguns tópicos, especialmente no campo da organização e proteção de redes de rádio usadas para transmitir informações tecnológicas, além de material mais simplificado sobre a estrutura de padrões estrangeiros dedicados a esse tópico. Portanto, para engenheiros e especialistas que possuem conhecimento e experiência suficientes em sistemas / instrumentação de controle de processos ou Redes Industriais - você pode pensar em economizar no treinamento (e faz sentido economizar), prepare-se e vá imediatamente para passar no exame de certificação, que, a propósito, é 700USD. Em caso de falha, você terá que pagar novamente. Existem muitos centros de certificação que o levarão ao exame, o principal é enviar uma inscrição com antecedência. Em geral, recomendo definir imediatamente a data do exame, pois, caso contrário, você o atrasará constantemente, substituindo o processo de preparação por outras coisas vitais e não muito importantes. E com uma data-limite específica, você será motivado.