На днях я завершил обучение по курсу SANS ICS410 , посвященного основам безопасности индустриальных решений. Пока впечатления не стерлись, хочу ими поделиться. Вдруг кто-то тоже сейчас раздумывает, идти на этот курс или нет? Но сразу предупреждаю, что я делюсь собственными ощущениями и взглядом. Особенно с учетом того, что я немного погружен в тему защиты индустриальных решений и даже курс по данной теме разработал. Поэтому у меня будет предвзятая местами оценка :-)
Итак, начнем. Курс пятидневный и существует в виде очной и онлайн-версии. Я выбирал второй вариант, так как тащиться в США (или даже Европу) ради вводного курса не очень хотел (в отличие от его продолжения, на которое я записался и скоро поеду). На прохождение онлайн-версии выделяется 2-3 месяца, что вполне достаточно для неторопливого изучения материала и по необходимости возвращения к той или иной теме.
Теоретическая часть курса состоит из 5-ти частей, каждой из которых посвящен один день:
Лично мне понравились 1-й, 2-й и 5-й разделы, так как они действительно содержали ICS-специфику и были поэтому интересны. Правда, многие примеры были устаревшими (тот же Stuxnet), но достаточно детальными. Очень интересным был рассказ о атаках на сами устройства и их прошивки, демонстрация различных аппаратных закладок в оборудование и т.п.
Сразу надо отметить, что курс достаточно американизирован (что понятно, учитывая откуда SANS родом) и ориентирован преимущественно на отрасль энергетики (в том числе атомной). Очень мало говорится об АСУ ТП, применяемых на транспорте, трубопроводах, ЖКХ, водоснабжении, телекоммуникациях, производстве. Понятно, что основы у всех примерно одинаковые, но все-таки именно в "основах" и можно было бы дать краткое описание отличий различных отраслей с точки зрения ИБ.
Рассказ о защите серверов и рабочих станций по сути повторял какой-нибудь вводный курс по защите Linux и Windows - групповые политики, права доступа, логи, парольные политики и т.п. Не могу сказать, что это было мне интересно. Аналогичная ситуация и с разделом по безопасности сети. Похоже авторы рассматривали в качестве целевой аудитории асутпшников, а не безопасников. Иначе мне сложно объяснить, зачем в обзорном курсе рассказывать про то, что IP-является основным протоколом Интернет :-)
Помимо теоретической части курс изобилует небольшими лабораторными работами, на которых изучались отдельные разделы курса - как снифить индустриальную сетку, как атаковать контроллер, как защитить Windows, как установить права доступа к папкам в Linux, как сегментировать индустриальную сеть и т.п. Для тех, кто участвовал онлайн, были предоставлены все инструменты - CD с виртуалкой и скриптами для проведения самостоятельных работ.
Отдельно стоит отметить тесты по окончании каждого дня (по 20 вопросов каждый день с 80%-м порогом прохождения теста). Вопросы были разноплановые. Например, вот такой, по кейсам в беспроводных сетях и возможных причинах их возникновения:
Или вот такой, по тому, как реагировать на советы коллег по цеху:
Вопросы по устройству Linux у меня вызвали основные проблемы. С Linux я давно не работаю, да и админил что-то последний раз я в мохнатых годах. Поэтому мозги с трудом вспоминали ответы на такие вопросы.
Поскольку все-таки индустриальные решения часто строятся на стандартных принципах и компонентах, то многие уже ставшие классикой темы, были перенесены и на асутпшные рельсы:
Но отдельные вопросы из тестов вызывали недоумение. Например, вот такой, про наличие сервиса видеоконференций и возможные источники проблем с ним. Я могу понять наличие такого вопроса в курсе по основам сетей, но что он делает в курсе по безопасности ICS?
Отдельно хочу остановиться на платформе для онлайн-обучения. Она оказалась достаточно интересной и удобной в использовании. По сути она демонстрировала слайды презентации с подстрочником и сопровождающим их голосом инструктора. Всегда можно было увидеть, сколько материала пройдено и сколько осталось, поставить на паузу и даже ускорить воспроизведение.
Вот вкратце и все по данному курсу. Рекомендовать или не рекомендовать данный курс не буду, потому что он мне и понравился и не понравился одновременно. Наверное, тем, кому данная тема в новинку, курс будет очень и очень полезен (хотя в России можно найти аналоги и дешевле). А вот тем, кто в тему защиты индустриальных решений погружен достаточно давно и глубоко, данный курс местами будет неинтересен. Я, записываясь на курс, шел на это осознанно. Мне нужен был общий знаменатель перед посещением нового курса SANS ICS515 , глубже погружающего в вопросы защиты индустриальных систем. Но про него я еще расскажу...
Итак, начнем. Курс пятидневный и существует в виде очной и онлайн-версии. Я выбирал второй вариант, так как тащиться в США (или даже Европу) ради вводного курса не очень хотел (в отличие от его продолжения, на которое я записался и скоро поеду). На прохождение онлайн-версии выделяется 2-3 месяца, что вполне достаточно для неторопливого изучения материала и по необходимости возвращения к той или иной теме.
Теоретическая часть курса состоит из 5-ти частей, каждой из которых посвящен один день:
- Введение в индустриальные решения (ICS)
- Угрозы ICS
- Защита серверов и рабочих станций ICS
- Защита сетей и устройств ICS
- Другие аспекты защиты ICS.
Лично мне понравились 1-й, 2-й и 5-й разделы, так как они действительно содержали ICS-специфику и были поэтому интересны. Правда, многие примеры были устаревшими (тот же Stuxnet), но достаточно детальными. Очень интересным был рассказ о атаках на сами устройства и их прошивки, демонстрация различных аппаратных закладок в оборудование и т.п.
Рассказ о защите серверов и рабочих станций по сути повторял какой-нибудь вводный курс по защите Linux и Windows - групповые политики, права доступа, логи, парольные политики и т.п. Не могу сказать, что это было мне интересно. Аналогичная ситуация и с разделом по безопасности сети. Похоже авторы рассматривали в качестве целевой аудитории асутпшников, а не безопасников. Иначе мне сложно объяснить, зачем в обзорном курсе рассказывать про то, что IP-является основным протоколом Интернет :-)
При этом очень мало было уделено внимание таким важным вопросам, как дизайн индустриальной сети, отличиям корпоративных и индустриальных МСЭ, особенностям размещения IPS/IDS в индустриальном сегменте и т.п. Сетевая часть курса мне категорически не понравилась, хотя для тех, кто не знаком с основами, она может представлять интерес.
Отчасти, авторы сами признают, что в ICS410 много пересечений с базовым курсом по ИБ (SEC401), который есть в SANS. Но тупо повторять его, как мне кажется, было лишним. В теме безопасности ICS есть немало других тем, которым можно было уделить внимание.
Отдельно стоит отметить тесты по окончании каждого дня (по 20 вопросов каждый день с 80%-м порогом прохождения теста). Вопросы были разноплановые. Например, вот такой, по кейсам в беспроводных сетях и возможных причинах их возникновения:
Или вот такой, по тому, как реагировать на советы коллег по цеху:
Вопросы по устройству Linux у меня вызвали основные проблемы. С Linux я давно не работаю, да и админил что-то последний раз я в мохнатых годах. Поэтому мозги с трудом вспоминали ответы на такие вопросы.
Поскольку все-таки индустриальные решения часто строятся на стандартных принципах и компонентах, то многие уже ставшие классикой темы, были перенесены и на асутпшные рельсы:
Но отдельные вопросы из тестов вызывали недоумение. Например, вот такой, про наличие сервиса видеоконференций и возможные источники проблем с ним. Я могу понять наличие такого вопроса в курсе по основам сетей, но что он делает в курсе по безопасности ICS?
Отдельно хочу остановиться на платформе для онлайн-обучения. Она оказалась достаточно интересной и удобной в использовании. По сути она демонстрировала слайды презентации с подстрочником и сопровождающим их голосом инструктора. Всегда можно было увидеть, сколько материала пройдено и сколько осталось, поставить на паузу и даже ускорить воспроизведение.
Помимо этого, отдельно было доступно для скачивания аудиосопровождение курса (в MP3). Вкупе с 5-тью учебниками (на каждый день курса) можно обращаться к контенту в любое время, а не только на время доступа к онлайн-системе обучения. Это полезно, как мне кажется. И достаточно редко встречается в России, где онлайн-обучение подразумевает доступ к контенту только во время выступления инструктора (записи делает мало кто и тем более не обеспечивает к ним доступа, опасаясь неконтролируемого распространения записей и потери потенциальных слушателей).
