A SANS amerikai székhelyű képzőközpont nem először kerül szóba a blogon, többször hivatkoztam már cikkeket az ICS kiberbiztonsággal foglalkozó blogjukról, most pedig az ICS biztonsággal kapcsolatos képzéseik közül a belépő szintű tanfolyamot mutatom be röviden.
A SANS nem csak ICS témakörben tart tanfolyamokat, fejlesztőknek, általános IT biztonsággal foglalkozó szakembereknek és az IT menedzsmentben dolgozóknak is számos képzésük van, a teljesen kezdőktől a haladó szintig mindenki találhat a saját tudásához mérten újat mutató tanfolyamot - ennek azonban ára van, a SANS képzései jellemzően több ezer amerikai dollárért vagy euróért érhetőek el. Földrajzilag nagyon változatos helyeken tartják a képzéseket, a nagyobb érdeklődésre számot tartó képzések közül időnként egyet-kettőt még Budapestre is elhoznak, de a specializáltabbakért (ilyenek többek között az ICS-specifikus tanfolyamok is) bizony utazni kell - jobb esetben csak Nyugat-Európába (esetleg a Közel-Keletre), de vannak bizony olyan tanfolyamok, amikért az USA-ba kell menni.
Az ICS410 egy 5 napos képzés. Mint a SANS 400-as sorozatú tanfolyamai, ez is a belépő szint az adott témakörbe (a most következő leírás a 2016 végi állapotot mutatja be, mivel a képzést folyamatosan próbálják igazítani az ICS biztonság egyre gyorsabban változó világához, az idő múlásával egyre komolyabb eltérések is lehetnek).
Első nap
Lévén belépő szintű képzés, az ICS410 azzal kezdődik, hogy az első napon, az ICS rendszerek alapjainak ismertetésével megpróbálnak minden résztvevőnek egy szilárd alapot adni. Mivel ennek a tanfolyamnak az anyagából építkezik a GICSP minősítéshez (amiről korábban már itt írtam) tartozó vizsga is, ezért az első előadás a GICSP-ről szól. A folytatásban ismertetésre kerülnek az ICS rendszerek által vezérelt folyamatok és azok az iparágak, ahol ilyen rendszereket használnak, majd a legjellemzőbb eszközökről is szó esik, amelyek a hagyományos operációs rendszerekkel szemben valamilyen valós idejű OS-t futtatnak.
Ezután a PLC-k bemutatása következik, majd egy-egy Velocio PLC-n a PLC programozásba is egy futó betekintést kapnak a tanfolyam résztvevői és ki is próbálhatják, hogy nekik ez mennyire megy.
A következő előadásban a SCADA rendszerek felügyeleti komponenseinek bemutatása történik, külön tárgyalva a DCS-ek és SCADA-k közötti különbségeket.
Ezután az HMI programozást is érinti a tanfolyam résztvevői, a korábban programozott PLC által vezérelt folyamatot lehet egy (akár interaktívvá tehető) felületen megjeleníteni - merthogy ennek a Velocio PLC-nek nincs webes felülete, csak a beépített LED-eken lehet követni a működést, ha nem készítünk hozzá HMI-t.
A következő fejezetben az IT és az ICS közötti különbségeket mutatják be, majd az ICS rendszerek fizikai biztonságát is érinti a tanfolyam.
A nap utolsó fejezetében az ICS hálózatok tervezési alapelveivel ismertetik meg a résztvevőket, ehhez a Purdue referencia architektúra modellt használják (amiről szintén írtam már korábban).
Második nap
A második nap az ICS kiberbiztonságot a támadók szempontjából vizsgálja a képzés. Az első blokkban az ICS rendszerekkel kapcsolatos adatok megszerzésének lehetőségeit mutatják be, egyaránt használva szoftveres (Nmap) és Internetes (Shodan, Google) eszközöket. A továbbiakban az általános IT biztonsági (social enginnering, adathalászat, malware-ek, stb.) és ICS specifikus (ICS malware-ek, mint a Stuxnet/Duqu/Flamer malware-család, a Havex/Dragonfly vagy a Blackenergy-család, az HMI-ok és egyéb ICS komponensek elleni) fenyegetések bemutatása után a gyakorlatban is ki lehet próbálni olyan, az IT biztonságban már mindennaposnak számító támadásokat, mint a webes alkalmazások elleni különböző támadások (password fuzzing, SQL injection, stb.).
Ezután az ICS rendszerek szerveri elleni támadási lehetőségek áttekintése következik, majd az ICS rendszerek hálózati kommunikációja elleni támadások bemutatásával folytatják. Ennek a blokknak a végén ismét egy labor keretében lehet próbát tenni a Modbus kommunikáció módosításával, a nap végén pedig az ICS eszközök firmware-jeinek módosításával is megismerkednek a tanfolyam résztvevői.
Harmadik nap
A tanfolyam harmadik napja az ICS rendszerek munkaállomásain és szerverein használt operációs rendszereket mutatja be részletesebben. Ennek során a Windows-, Linux-, Unix-alapú operációs rendszerek ugyanúgy terítékre kerülnek, mint a mainframe rendszerek. Szóba kerülnek az egyes operációs rendszerek központi menedzsmentjének lehetőségei, a hardening során alkalmazható megoldások, az automatizáláshoz használható scirpt-nyelvek bemutatása mellett Windows Powershell gyakorlat és a Bastille Linux-szal történő ismerkedés is része ennek a napnak. Ezek mellett szó esik a tűzfalakról, a naplózásról és a különböző ICS adatbázisokról is.
Negyedik nap
A negyedik nap az ICS rendszerek hálózatairól szól, az Ethernet hálózatok és a TCP/IP protokoll bemutatása után a tanfolyam rátér a TCP/IP-alapú ICS-specifikus protokollok bemutatására - ehhez egy Modbus/TCP capture fájl szolgál alapul a gyakorlat során.
Ezután a Purdue-modellben az első napon már bemutatott zónák közötti forgalomellenőrzéshez használható eszközök (tűzfalak, egyirányú átjárók vagy más néven adat diódák) rövid ismertetése következik, majd az előadás áttér a honeypot-ok ICS rendszerekben történő alkalmazására.
A következő nagyobb blokk az ICS rendszerek esetén használt különböző vezeték nélküli kommunikációs protokollok (műholdas, Bluetooth, WiFi, stb.) és a hozzájuk kapcsolódó védelmi megoldások bemutatására koncentrál, ehhez a témához megint tartozik egy hálózati csomagok elemzésére épülő gyakorlat.
A nap utolsó részében az ICS rendszerek leginkább speciális eszközeivel (terepi/üzemi berendezések) és a hálózati titkosítás alapjaival ismertetik meg a tanfolyam hallgatóit.
Ötödik nap
A tanfolyam utolsó napja az ICS kiberbiztonság irányításával foglalkozik és ennek megfelelően az adatok osztályozásának ismertetésével kezdődik (ez egyébként egy érdekes része a tanfolyamnak, mert ahogy az első nap az IT és ICS közötti különbségek között elhangzott, az IT főleg az adatokra, az ICS pedig a folyamatokra koncentrál és a tanfolyam tematikája a folyamatok osztályozásáról nem beszél), majd a mélységi védelem kialakításának fontosságát hangsúlyozzák.
Ezután a biztonsági szabályok, majd a üzletmenet-folytonosság tervezése, valamint a kockázatértékelés és az auditálás részleteit ismerteti a képzés.
A meglehetősen hosszú elméleti blokk után az első gyakorlat a támadási fa-elemzését gyakoroltatja a tanfolyam résztvevőivel, majd ezután a jelszavak és a különböző kiberbiztonsági incidensek kezelésének lehetőségeit ismertetik. Az incidenskezelés a témája a következő gyakorlati foglalkozásnak is. A képzés a legfontosabb amerikai és európai ICS kiberbiztonsággal foglalkozó szervezetek és információforrások ismertetésével zárul.