Ove godine smo započeli veliki projekat stvaranja cyber poligona - platforme za sajber vježbe za kompanije u različitim industrijama. Da bi se to postiglo, potrebno je stvoriti virtuelne infrastrukture koje su „identične prirodnim“ – tako da repliciraju tipičnu internu strukturu banke, energetske kompanije itd., a ne samo u smislu korporativnog segmenta mreže. . Nešto kasnije ćemo govoriti o bankarskoj i drugim infrastrukturama cyber dometa, a danas ćemo o tome kako smo riješili ovaj problem u odnosu na tehnološki segment industrijskog preduzeća.
Naravno, tema kibernetičkih vježbi i sajber poligona nije se pojavila juče. Na Zapadu je odavno formiran krug konkurentskih prijedloga, različitih pristupa sajber vježbama i jednostavno najboljih praksi. “Dobra forma” službe informacione sigurnosti je da povremeno uvježbava svoju spremnost da odbije sajber napade u praksi. Za Rusiju je ovo još uvijek nova tema: da, postoji mala ponuda, a nastala je prije nekoliko godina, ali potražnja, posebno u industrijskim sektorima, počela se postepeno formirati tek sada. Vjerujemo da postoje tri glavna razloga za to - to su i problemi koji su već postali vrlo očigledni.
Svijet se mijenja prebrzo
Prije samo 10 godina hakeri su napadali uglavnom one organizacije iz kojih su mogli brzo povući novac. Za industriju je ova prijetnja bila manje relevantna. Sada vidimo da infrastruktura državnih organizacija, energetskih i industrijskih preduzeća takođe postaje predmet njihovog interesovanja. Ovdje se češće susrećemo sa pokušajima špijunaže, krađom podataka u različite svrhe (konkurentska obavještajna služba, ucjene), kao i pribavljanjem tačaka prisutnosti u infrastrukturi za dalju prodaju zainteresovanim drugovima. Pa, čak su i banalni enkriptori poput WannaCry-a uhvatili dosta sličnih objekata širom svijeta. Stoga, moderna realnost zahtijeva od stručnjaka za informacijsku sigurnost da uzmu u obzir ove rizike i kreiraju nove procese sigurnosti informacija. Konkretno, redovno poboljšavajte svoje kvalifikacije i vježbajte praktične vještine. Osoblje na svim nivoima operativne dispečerske kontrole industrijskih objekata mora imati jasno razumijevanje o tome koje radnje poduzeti u slučaju sajber napada. Ali provoditi sajber vježbe na vlastitoj infrastrukturi - izvinite, rizici očito nadmašuju moguće koristi.
Nedostatak razumijevanja stvarnih mogućnosti napadača da hakuju sisteme kontrole procesa i IIoT sisteme
Ovaj problem postoji na svim nivoima organizacije: čak ni svi stručnjaci ne razumiju šta se može dogoditi njihovom sistemu, koji vektori napada su dostupni protiv njega. Šta možemo reći o rukovodstvu?
Stručnjaci za sigurnost se često pozivaju na “zračni jaz”, koji navodno neće dozvoliti napadaču da ode dalje od korporativne mreže, ali praksa pokazuje da u 90% organizacija postoji veza između korporativnog i tehnološkog segmenta. Istovremeno, sami elementi konstruisanja i upravljanja tehnološkim mrežama takođe često imaju ranjivosti, što smo, posebno, videli prilikom ispitivanja opreme. и .
Teško je izgraditi adekvatan model prijetnje
Posljednjih godina postoji stalan proces sve veće složenosti informacionih i automatizovanih sistema, kao i prelazak na sajber-fizičke sisteme koji podrazumevaju integraciju računarskih resursa i fizičke opreme. Sistemi postaju toliko složeni da je jednostavno nemoguće predvidjeti sve posljedice sajber napada analitičkim metodama. Ne govorimo samo o ekonomskoj šteti za organizaciju, već i o procjeni posljedica koje su razumljive za tehnologa i za industriju - nedovoljno snabdijevanje električnom energijom, na primjer, ili nekom drugom vrstom proizvoda, ako je riječ o nafti i plinu ili petrohemije. I kako postaviti prioritete u takvoj situaciji?
Zapravo, sve je to, po našem mišljenju, postalo preduvjet za nastanak koncepta sajber vježbi i sajber poligona u Rusiji.
Kako funkcioniše tehnološki segment cyber asortimana
Sajber poligon za testiranje je kompleks virtuelnih infrastruktura koje repliciraju tipične infrastrukture preduzeća u različitim industrijama. Omogućuje vam da "vježbate na mačkama" - da vježbate praktične vještine stručnjaka bez rizika da nešto neće ići po planu, a sajber vježbe će oštetiti aktivnosti pravog poduzeća. Velike kompanije za sajber sigurnost počinju razvijati ovu oblast, a slične sajber vježbe možete gledati u formatu igre, na primjer, na Positive Hack Days.
Tipičan dijagram mrežne infrastrukture za veliko preduzeće ili korporaciju je prilično standardni skup servera, radnih računara i raznih mrežnih uređaja sa standardnim skupom korporativnog softvera i sistema za bezbednost informacija. Industrijski sajber testni poligon je isti, plus ozbiljne specifičnosti koje dramatično komplikuju virtuelni model.
Kako smo sajber domet približili stvarnosti
Konceptualno, izgled industrijskog dijela sajber poligona ovisi o odabranoj metodi modeliranja složenog sajber-fizičkog sistema. Postoje tri glavna pristupa modeliranju:
Svaki od ovih pristupa ima svoje prednosti i nedostatke. U različitim slučajevima, ovisno o konačnom cilju i postojećim ograničenjima, mogu se koristiti sve tri gore navedene metode modeliranja. Kako bismo formalizirali izbor ovih metoda, sastavili smo sljedeći algoritam:
Prednosti i nedostaci različitih metoda modeliranja mogu se predstaviti u obliku dijagrama, gdje je y-osa pokrivenost područja proučavanja (tj. fleksibilnost predloženog alata za modeliranje), a x-osa je tačnost simulacije (stepen korespondencije sa realnim sistemom). Ispada gotovo Gartnerov kvadrat:
Dakle, optimalna ravnoteža između tačnosti i fleksibilnosti modeliranja je takozvano polu-prirodno modeliranje (hardware-in-the-loop, HIL). U okviru ovog pristupa, sajber-fizički sistem se dijelom modelira korištenjem realne opreme, a dijelom pomoću matematičkih modela. Na primjer, električnu podstanicu mogu predstavljati stvarni mikroprocesorski uređaji (relejni zaštitni terminali), serveri automatiziranih upravljačkih sistema i druga sekundarna oprema, a sami fizički procesi koji se odvijaju u električnoj mreži implementirani su korištenjem kompjuterskog modela. U redu, odlučili smo se za metodu modeliranja. Nakon toga, bilo je potrebno razviti arhitekturu sajber opsega. Da bi sajber vježbe bile istinski korisne, sve međusobne veze stvarnog složenog cyber-fizičkog sistema moraju se što preciznije kreirati na poligonu. Stoga se kod nas, kao iu stvarnom životu, tehnološki dio sajber dometa sastoji od nekoliko nivoa koji međusobno djeluju. Podsjetim da tipična industrijska mrežna infrastruktura uključuje najniži nivo, koji uključuje takozvanu „primarnu opremu“ - ovo je optičko vlakno, električna mreža ili nešto drugo, ovisno o industriji. Razmjenjuje podatke i njime upravljaju specijalizovani industrijski kontroleri, a oni pak SCADA sistemi.
Industrijski dio sajber stranice počeli smo kreirati iz energetskog segmenta, što nam je sada prioritet (u planu su nam naftna i plinska i kemijska industrija).
Očigledno je da se nivo primarne opremljenosti ne može ostvariti modeliranjem u punoj mjeri korištenjem stvarnih objekata. Stoga smo u prvoj fazi razvili matematički model elektroenergetskog objekta i susjednog dijela elektroenergetskog sistema. Ovaj model uključuje svu elektroenergetsku opremu trafostanica - dalekovode, transformatore itd., a izveden je u posebnom softverskom paketu RSCAD. Model kreiran na ovaj način može se obraditi računskim kompleksom u realnom vremenu – njegova glavna karakteristika je da su procesno vrijeme u realnom sistemu i vrijeme procesa u modelu apsolutno identično – odnosno ako dođe do kratkog spoja u stvarnom sistemu. mreža traje dvije sekunde, biće simulirana za potpuno isto vrijeme u RSCAD-u). Dobijamo "živu" dionicu elektroenergetskog sistema, koja funkcionira po svim zakonima fizike, pa čak i reagira na vanjske utjecaje (na primjer, aktiviranje terminala relejne zaštite i automatike, okidanje prekidača itd.). Interakcija sa eksternim uređajima ostvarena je korišćenjem specijalizovanih prilagodljivih komunikacionih interfejsa, omogućavajući matematičkom modelu interakciju sa nivoom kontrolera i nivoom automatizovanih sistema.
Ali nivoi kontrolera i automatizovani upravljački sistemi elektroenergetskog objekta mogu se kreirati pomoću prave industrijske opreme (iako, ako je potrebno, možemo koristiti i virtuelne modele). Na ova dva nivoa nalaze se, redom, kontroleri i oprema za automatizaciju (relejna zaštita, PMU, USPD, brojila) i automatizovani sistemi upravljanja (SCADA, OIK, AIISKUE). Modeliranje u punoj veličini može značajno povećati realističnost modela i, shodno tome, samih sajber vježbi, budući da će timovi komunicirati sa stvarnom industrijskom opremom, koja ima svoje karakteristike, greške i ranjivosti.
U trećoj fazi implementirali smo interakciju matematičkog i fizičkog dijela modela korištenjem specijalizovanih hardverskih i softverskih interfejsa i pojačavača signala.
Kao rezultat, infrastruktura izgleda otprilike ovako:
Sva oprema poligona interaguje jedna sa drugom na isti način kao u stvarnom sajber-fizičkom sistemu. Tačnije, prilikom izrade ovog modela koristili smo sljedeću opremu i računske alate:
- Računarski složeni RTDS za izvođenje proračuna u “realnom vremenu”;
- Automatska radna stanica (AWS) operatera sa instaliranim softverom za modeliranje tehnološkog procesa i primarne opreme elektro trafostanica;
- Ormari s komunikacijskom opremom, terminalima za relejnu zaštitu i automatizaciju, te opremom za automatizirano upravljanje procesima;
- Ormari za pojačalo dizajnirani za pojačavanje analognih signala sa ploče digitalno-analognog pretvarača RTDS simulatora. Svaki ormar za pojačalo sadrži različit skup blokova za pojačavanje koji se koriste za generiranje strujnih i naponskih ulaznih signala za terminale relejne zaštite koji se proučavaju. Ulazni signali se pojačavaju do nivoa potrebnog za normalan rad terminala relejne zaštite.
Ovo nije jedino moguće rješenje, ali je, po našem mišljenju, optimalno za izvođenje cyber vježbi, budući da odražava stvarnu arhitekturu velike većine modernih trafostanica, a istovremeno se može prilagoditi tako da se rekreira kao što je moguće preciznije neke karakteristike određenog objekta.
U zaključku
Sajber domet je ogroman projekat, a pred nama je još mnogo posla. S jedne strane, proučavamo iskustva naših zapadnih kolega, s druge strane, moramo mnogo da uradimo na osnovu našeg iskustva rada konkretno sa ruskim industrijskim preduzećima, jer ne samo različite industrije, već i različite zemlje imaju specifičnosti. Ovo je i složena i zanimljiva tema.
Ipak, uvjereni smo da smo mi u Rusiji dostigli ono što se obično naziva „nivo zrelosti“ kada i industrija razumije potrebu za sajber vježbama. To znači da će industrija uskoro imati svoje najbolje prakse, a nadamo se da ćemo ojačati naš nivo sigurnosti.
Autori
Oleg Arkhangelsky, vodeći analitičar i metodolog projekta Industrial Cyber Test Site.
Dmitry Syutov, glavni inženjer projekta Industrial Cyber Test Site;
Andrej Kuznjecov, rukovodilac projekta „Industrijska sajber testna lokacija“, zamenik šefa Laboratorije za kibernetičku bezbednost automatizovanih sistema upravljanja procesima za proizvodnju
izvor: www.habr.com