12.10.2015

Впечатления от продвинутого курса по промышленной безопасности SANS ICS515

Почти месяц я делился впечатлениями от курса SANS ICS410 по промышленной ИБ. В конце прошлой заметки я написал, что планирую рассказать о прохождении обучения по более продвинутой программе, предусмотренной следующим курсом SANS ICS515.


Программа

Программа оказалась очень насыщенной. Она мне понравилась гораздо больше первого курса. Я уже приводил иллюстрацию уровней зрелости или уровней безопасности промшленной сети. Она как раз хорошо отражает программу курсов SANS. Первые два уровня - архитектурный  пассивный был раскрыт в ICS410. А третий и четвертый уровни как раз рассматривались на ICS515.


Иными словами, если в первой части говорилось о различных встроенных и наложенных средствах и мерах защиты, то вторая была посвящена активному вовлечению человека в процесс мониторинга промышленной сети, реагирования на инциденты, а также исследований и анализа угроз.



Почти все примеры демонстрировались на основе свободного ПО - Snort, Volatility, Redline, Wireshark, SGUIL, ELSA, Network Miner, FTK Imager, pdf-parser, pdfid и др. Коммерческое решение было одно - CyberLens от Dragos Security (то, что автором CyberLens являлся автор курса Роберт Ли, ничего не значит :-). Тема коммерческих решений вообще была не раскрыта, что мне не очень понятно. Было бы логично сравнить возможности коммерческих и бесплатных решений. По словам инструктора разницы никакой, кроме производительности, удобства, гарантии и поддержки. Хотя я с этим не соглашусь - разница в функциональности тоже есть.

Возможно дело в том, что чем выше подниматься по уровням, описанным выше, тем дороже будет обходиться защита. И увеличивать ее стоимостью коммерческих решений инструктор, видимо, не посчитал нужным. Хотя на мой взгляд автоматизация, которую предлагают коммерческие решения, может компенсировать затраты на них. Хотя, надо признать, никто не производил таких расчетов.



Пятый, последний день запомнился тем, что у нас не было никакой теории и занятий вообще. Нам озвучили два кейса, которые надо было решить, ответив на 50 вопросов в контексте проведения расследования инцидентов на промышленный объект. На все было выделено 8 часов, которые должны были показать, насколько слушателями был усвоен материал и насколько хорошо мы до этого отработали 16 лабораторных работ.

Лабораторные работы

Помимо программы очень насыщенной и интересной оказалась программа лабораторных работ, которые были совершенно разноуровневые - от умения использовать Shodan до работы с Raspberry Pi,

Набор для лабораторных работ на базе Raspberry Pi 2

от анализа сетевого трафика до анализа дампов памяти,

Анализ PDF-файла на предмет вредоносного содержания

от анализа вредоносного кода до визуализации карты промышленных устройств, от создания индикаторов компрометации до создания сигнатур для систем обнаружения вторжений.

Графический интерфейс SGUIL для Snort

Ну и конечно же платформа CybatiWorks, о которой я уже писал.

 Инструктор

Преподавал у нас Роберт Ли, человек известный в области промышленной ИБ, автор множества презентаций, а также ряда книг и курсов в SANS. До основания компании Dragos Security, он служил в ВВС США офицером по кибервойнам. Возможно с именно этим связана определенная  русофобская риторика в рамках курса. По несколько раз на дню звучали примеры об угрозе со стороны России и, немного, Китая.


Но в остальном инструктор оказался вполне себе на высоте. Он еще и оказался автором ежедневных комиксов по информационной безопасности "Little Bobby".

Один из комиксов Little Bobby

Сюрприз

Помимо пятидневного тренинга в середине организаторами был устроен сюрприз; даже два. Первый - часовой доклад на тему "5 лет после Stuxnet. Что изменилось, что нет и что нас ждет впереди?" Делал его Томас Брандстеттер, один из основателей небольшой немецкой консалтинговой фирмы, занимающейся промышленной ИБ. Не могу сказать, что доклад поразил меня - многие вещи были уже известны. Но поскольку доклад читался не только для нашей группы, но и для двух других, проходивших обучение по базовым темам промышленной ИБ, возможно он кому-то и понравился.

Вторым сюрпризом стал поход в близлежащий бар, где организаторы, оплатившие выпивку, дали возможность всем слушателям пообщаться в неформальной обстановке. Очень интересная задумка. Конечно, она имеет смысл только для длинных курсов (более 3-х дней). Такое отвлечение в середине обучения не только помогает расслабиться от насыщенной программы, но и предметно обсудить с коллегами по курсу уже усвоенный материал; обменяться мнениями. Тем более, что курс собрал публику со всей Европы (как минимум, были немцы, голландцы, норвежцы) и из разных компаний, занимающихся консалтингом, разработкой, эксплуатацией решений в сфере промышленной ИБ.

Резюме

В целом хочу отметить, что курс мне понравился. Мои опасения про сложность лабораторных работ (особенно для "бумажного" безопасника :-) не оправдались. Очень хорошее сочетание теории и практики. Что-то я точно возьму в свой курс по промышленной безопасности; он нуждается в пересмотре. В любом случае накопилось много мыслей и идей, которые я буду потихоньку выплескивать на страницы блога.

2 коммент.:

Владимир Стефанов комментирует...

Томас Брандстеттер - основатель не немецкой, а австрийской консалтинговой компании limes security

Алексей Лукацкий комментирует...

Упс... Путаю я их все время ;-)