大家好! 每个人都钟爱的门户网站在信息安全领域有很多关于认证的文章,因此,我不会声称内容具有独创性,但是我非常想分享我在工业网络安全领域获得GIAC(全球信息保证公司)认证的经验。 自从出现诸如Stuxnet , Duqu ,Shamoon,Triton之类的令人恐惧的词汇以来,为提供似乎是IT的专业服务而逐渐出现了一个市场,但是通过将配置重写为梯形图也可能使PLC过载,同时工厂也无法停止。
因此,IT&OT(信息技术和运营技术)的概念问世了。
紧接着,(很明显,不允许不合格的人员进行工作),有必要对确保过程控制系统,工业系统安全的领域的专家进行认证-事实证明,在我们的生活中,从公寓中的自动供水阀到控制系统都有很多飞机(记住一篇有关调查波音问题的出色文章)。 甚至突然发现-先进的医疗设备。
我需要认证时的一些歌词(您可以跳过): 在2000年代末在信息安全学院进行了安全研究之后,我自豪地将自己的头提升到了仪表控制绵羊的行列,担任低电流报警系统的机械师。 好像IS当时在企业中告诉我:)因此,我作为ACS专家的职业始于信息安全学士学位。 六年后,我升任SCADA系统部门主管,然后离开了一家外国软件和硬件供应商公司,担任工业控制系统安全顾问。 这就是需要成为一名经过认证的信息安全专家的地方。
GIAC是SANS组织的发展,该组织提供信息安全专家的培训和认证。 GIAC的证书在欧洲,中东和非洲,美国,亚太地区的专家和客户中享有很高的声誉。 在我们国家,后苏联地区和独联体国家,只有在我们的国家,国际和咨询机构有业务的外国公司才能要求提供这种证书。 就我个人而言,我从未遇到过国内公司提出此类认证的请求。 基本上都要求CISSP。 这是我的主观意见,如果有人在评论中分享他们的经验,将会很有趣。
SANS的发展方向大相径庭(在我看来,最近这些人的数量增加了太多),但是也有一些非常有趣的实践课程。 我特别喜欢NetWars 。 但是故事将涉及ICS410课程:ICS / SCADA Security Essentials和名为: Global Industrial Cyber Security Professional(GICSP)的证书。
在提供的所有SANS类型的工业网络安全认证中,这是最通用的。 由于第二个问题更多地涉及电网系统,在西方,电网系统受到了特别关注,并且属于单独的系统类别。 第三个(在我获得认证时)与事件响应有关。
该课程并不便宜,但是它提供了相当广泛的IT&OT知识。 对于那些决定改变领域的同志来说,这将特别有用,例如,从银行业的IT安全转向工业网络安全。 由于我已经在过程控制系统,仪器仪表和操作技术领域拥有背景知识,因此对我而言,本课程从根本上没有新内容或至关重要的内容。
该课程由50%的理论和50%的实践组成。 从实践中,最有趣的是比赛-NetWars。 在两堂课之后的两天里,所有班级的所有学生被分成小组,并执行以下任务:获得访问权限,提取必要的信息,获得网络访问权限,一系列促进哈希的任务,与Wireshark以及各种不同的好东西一起工作。
课程材料以书本形式进行汇总,您可以永久使用这些书本。 顺便说一句,它们也可以作为“开放书”格式参加考试,但是对于考试有3小时,115个问题,提供的语言是英语,因此对您无济于事。 在这3个小时中,您可以休息15分钟。 但请记住,请休息15分钟,然后在5点后返回测试-您只需给出剩下的10分钟,因为在测试程序中将不再有停止时间。 您最多可以跳过15个问题,这些问题会在最后出现。
就个人而言,我不建议以后再提很多问题,因为3点的时间确实很短,而且最后您仍然有未解决的问题出现,即失败的可能性很高。 我只留下了“三个问题”,这对我来说真的很困难,因为它们与NIST 800.82和NERC标准的知识有关。 从心理上讲,这些“待会儿”的问题最终是神经-当您的大脑疲倦时,您想上厕所,屏幕上的计时器似乎以指数方式加速。
通常,要通过测试,您需要为正确答案中的71%评分。 在通过考试之前,您将有机会练习真实考试-价格包含2个练习考试,包含115个问题,并且条件与真实考试相同。
我建议在训练后一个月参加考试,这个月要花一些时间在这些问题上进行系统的独立研究,在这些问题上您会感到不安全。 如果您选择本课程中收到的印刷材料,看起来像每个主题的摘要都很好,那么您将有目的地搜索这些书中包含的主题信息。 通过进行试用测试并将该月分为两部分,大致了解您擅长的问题以及需要解决的地方。
我想强调一下考试本身所包含的以下主要领域(不是培训课程,因为它涵盖了更广泛的主题):
- 物理安全性:与其他认证考试一样,GICSP也非常注意此问题。 有一些关于门上的物理锁的类型的问题,描述了伪造电子通行证的情况,在这些情况下,您需要通过明确识别问题的方式给出答案。 根据主题领域,存在与技术(过程)的安全性直接相关的问题-石油和天然气过程,核电站或电网。 例如,可能存在以下类型的问题:确定警报来自HMI上的蒸汽温度传感器时,情况是哪种物理安全控制? 或形式上的问题:什么情况(事件)将成为分析对象周边安全系统的监控摄像机录像的原因?
以百分比表示,我要注意的是,我的考试和试题中此部分的问题数量不超过5%。 - 另一个也是最广泛使用的问题类别是关于过程控制系统(PLC,SCADA)的问题:在这里,有必要系统地研究关于过程控制系统如何布置的材料的研究,从传感器到应用软件本身可以工作的服务器。 关于各种工业数据传输协议(ModBus,RTU,Profibus,HART等),将遇到足够多的问题。 将存在以下问题:RTU与PLC有何不同;如何保护PLC中的数据免遭攻击者修改; PLC在存储器的哪些部分存储数据;逻辑本身在何处存储(由控制系统程序员编写的程序)。 例如,可能存在这种类型的问题:要给出答案,如何在运行ModBus协议的PLC和HMI之间检测到攻击?
关于SCADA系统和DCS之间的差异将存在疑问。 有关将L1,L2级别与L3级别的控制系统网络区分开的规则的大量问题(我将在本节中详细讨论网络问题)。 关于此主题的情境问题也将非常复杂-它们描述了控制室中的情况,您需要选择流程操作员或调度员应执行的操作。
通常,本节是最具体且最狭义的部分。 这将需要您丰富的知识:
-自动化控制系统,现场部件(传感器,设备连接类型,传感器的物理特征,PLC,RTU);
-过程和对象的紧急保护系统(ESD-紧急关闭系统)(顺便说一句, 中心上的Vladimir_Sklyar提供了一系列有关此主题的出色文章)
-对发生的物理过程的基本了解,例如在炼油,发电,管道等中。
-了解DCS和SCADA系统的体系结构;
我会指出,在考试的所有115个问题中,最多都会遇到25%的此类问题。 - 网络技术和网络安全:我认为本主题中的问题数量排在考试的首位。 绝对会有一切-OSI模型,特定协议在什么级别上起作用,有关网络分段的许多问题,有关网络攻击的情境问题,带有确定攻击类型的提议的连接日志示例,带有确定易受害配置的提议的交换机配置示例,有关漏洞的问题网络协议,有关工业通信协议的网络连接细节的问题。 特别是很多人问有关ModBus的问题。 相同ModBus的网络数据包的结构,取决于其类型和设备支持的版本。 人们对无线网络的攻击给予了很多关注-ZigBee,Wireless HART,只是有关整个802.1x系列网络安全性的问题。 对于将这些服务器或那些服务器放置在控制系统网络中的规则会有疑问(在这里您需要阅读IEC-62443标准并了解控制系统网络参考模型的原理)。 会有关于普渡模型的疑问。
- 一类问题,仅与电力传输系统和其信息安全系统的功能有关。 在美国,这种过程控制系统称为“电网”,并具有不同的作用。 为此,甚至发布了单独的标准(NIST 800.82),该标准规范了为此行业创建信息安全系统的方法。 在我们国家中,大多数情况下,该部门仅限于ASKUE系统(如果有人遇到了更严格的方法来控制电力分配和输送系统,请纠正我)。 因此,在考试中,您将遇到与电网有关的非常具体的问题。 在大多数情况下,这些都是针对电厂普遍使用的特定情况的用例,但也可能会询问专门用于电网的设备。 对于此类系统,将有一些问题解决NIST部分的知识。
- 与标准知识有关的问题:NIST 800-82,NERC,IEC62443。 我认为这里没有特别的评论-您需要浏览标准的各个部分,其中哪一部分负责其中的内容和建议。 有一些特定的问题,例如,询问检查系统功能的频率,更新过程的频率等。 作为此类问题的百分比,最多可能会出现问题总数的15%。 但是那真是幸运。 例如,在两次试用测试中,我只遇到了几个类似的问题。 但是在考试中,确实有很多。
- 好吧,最后一类问题是各种用例和情境问题。
通常,除了CTF NetWars之外,培训本身对我来说,在获取潜在新知识方面不是很有帮助。 而是获得了一些主题的更详细的信息,尤其是在用于传输技术信息的无线电网络的组织和保护领域,以及有关该主题的外国标准的结构上更为精简的材料。 因此,对于在过程控制系统/仪器或工业网络方面具有足够知识和经验的工程师和专家,您可以考虑节省培训费用(节省下来的费用),做好准备并立即通过认证考试,这是700美元。 万一失败,您将不得不再次付款。 有很多认证中心将带您参加考试,主要是提前提交申请。 通常,我建议立即设置考试日期,因为否则您将不断地推迟考试时间,用其他重要但不是很重要的事情代替准备过程。 并且有一个特定的截止日期,您会自我激励。