Итак, начнем. Курс пятидневный и существует в виде очной и онлайн-версии. Я выбирал второй вариант, так как тащиться в США (или даже Европу) ради вводного курса не очень хотел (в отличие от его продолжения, на которое я записался и скоро поеду). На прохождение онлайн-версии выделяется 2-3 месяца, что вполне достаточно для неторопливого изучения материала и по необходимости возвращения к той или иной теме.
Теоретическая часть курса состоит из 5-ти частей, каждой из которых посвящен один день:
- Введение в индустриальные решения (ICS)
- Угрозы ICS
- Защита серверов и рабочих станций ICS
- Защита сетей и устройств ICS
- Другие аспекты защиты ICS.
Лично мне понравились 1-й, 2-й и 5-й разделы, так как они действительно содержали ICS-специфику и были поэтому интересны. Правда, многие примеры были устаревшими (тот же Stuxnet), но достаточно детальными. Очень интересным был рассказ о атаках на сами устройства и их прошивки, демонстрация различных аппаратных закладок в оборудование и т.п.
Сразу надо отметить, что курс достаточно американизирован (что понятно, учитывая откуда SANS родом) и ориентирован преимущественно на отрасль энергетики (в том числе атомной). Очень мало говорится об АСУ ТП, применяемых на транспорте, трубопроводах, ЖКХ, водоснабжении, телекоммуникациях, производстве. Понятно, что основы у всех примерно одинаковые, но все-таки именно в «основах» и можно было бы дать краткое описание отличий различных отраслей с точки зрения ИБ.
Рассказ о защите серверов и рабочих станций по сути повторял какой-нибудь вводный курс по защите Linux и Windows — групповые политики, права доступа, логи, парольные политики и т.п. Не могу сказать, что это было мне интересно. Аналогичная ситуация и с разделом по безопасности сети. Похоже авторы рассматривали в качестве целевой аудитории асутпшников, а не безопасников. Иначе мне сложно объяснить, зачем в обзорном курсе рассказывать про то, что IP-является основным протоколом Интернет 🙂
Помимо теоретической части курс изобилует небольшими лабораторными работами, на которых изучались отдельные разделы курса — как снифить индустриальную сетку, как атаковать контроллер, как защитить Windows, как установить права доступа к папкам в Linux, как сегментировать индустриальную сеть и т.п. Для тех, кто участвовал онлайн, были предоставлены все инструменты — CD с виртуалкой и скриптами для проведения самостоятельных работ.
Отдельно стоит отметить тесты по окончании каждого дня (по 20 вопросов каждый день с 80%-м порогом прохождения теста). Вопросы были разноплановые. Например, вот такой, по кейсам в беспроводных сетях и возможных причинах их возникновения:
Или вот такой, по тому, как реагировать на советы коллег по цеху:
Вопросы по устройству Linux у меня вызвали основные проблемы. С Linux я давно не работаю, да и админил что-то последний раз я в мохнатых годах. Поэтому мозги с трудом вспоминали ответы на такие вопросы.
Поскольку все-таки индустриальные решения часто строятся на стандартных принципах и компонентах, то многие уже ставшие классикой темы, были перенесены и на асутпшные рельсы:
Но отдельные вопросы из тестов вызывали недоумение. Например, вот такой, про наличие сервиса видеоконференций и возможные источники проблем с ним. Я могу понять наличие такого вопроса в курсе по основам сетей, но что он делает в курсе по безопасности ICS?
Отдельно хочу остановиться на платформе для онлайн-обучения. Она оказалась достаточно интересной и удобной в использовании. По сути она демонстрировала слайды презентации с подстрочником и сопровождающим их голосом инструктора. Всегда можно было увидеть, сколько материала пройдено и сколько осталось, поставить на паузу и даже ускорить воспроизведение.
Вот вкратце и все по данному курсу. Рекомендовать или не рекомендовать данный курс не буду, потому что он мне и понравился и не понравился одновременно. Наверное, тем, кому данная тема в новинку, курс будет очень и очень полезен (хотя в России можно найти аналоги и дешевле). А вот тем, кто в тему защиты индустриальных решений погружен достаточно давно и глубоко, данный курс местами будет неинтересен. Я, записываясь на курс, шел на это осознанно. Мне нужен был общий знаменатель перед посещением нового курса SANS ICS515, глубже погружающего в вопросы защиты индустриальных систем. Но про него я еще расскажу…
Про видео — зря ты так. Общаясь с коллегами и разных организаций и не такое найдёшь 🙂
Причем, видео, даже в стандартных дизайнах ETTF рассматривается, по-моему. Надо глянуть, кстати.
Да, может я и погорячился про видео. Те же онлайн-консультанты для удаленной поддержки из центра. На морских платформах… Были у нас проекты за пределами РФ. Там видео идет как раз