V letošním roce jsme zahájili velký projekt vytvoření kybernetického tréninkového hřiště – platformy pro kybernetická cvičení pro firmy v různých odvětvích. K tomu je nutné vytvořit virtuální infrastruktury, které jsou „identické s přírodními“ – tak, aby kopírovaly typickou vnitřní strukturu banky, energetické společnosti apod., a to nejen z hlediska korporátního segmentu sítě. . O něco později budeme hovořit o bankovnictví a dalších infrastrukturách kybernetického rozsahu a dnes si povíme, jak jsme tento problém vyřešili ve vztahu k technologickému segmentu průmyslového podniku.
Téma kybernetických cvičení a kybernetických cvičišť včera samozřejmě nevzniklo. Na Západě se již dlouho vytvořil okruh soutěžících návrhů, různých přístupů ke kybernetickým cvičením a prostě osvědčených postupů. „Dobrou formou“ služby informační bezpečnosti je periodické procvičování její připravenosti odrážet kybernetické útoky v praxi. Pro Rusko je to stále nové téma: ano, nabídka je malá a vznikla před několika lety, ale poptávka, zejména v průmyslových odvětvích, se začala postupně formovat až nyní. Domníváme se, že to má tři hlavní důvody – jsou to také problémy, které se již staly velmi zřejmými.
Svět se mění příliš rychle
Ještě před 10 lety hackeři útočili hlavně na ty organizace, ze kterých mohli rychle vybrat peníze. Pro průmysl byla tato hrozba méně relevantní. Nyní vidíme, že předmětem jejich zájmu se stává i infrastruktura státních organizací, energetiky a průmyslových podniků. Častěji zde řešíme pokusy o špionáž, krádeže dat pro různé účely (konkurenční zpravodajství, vydírání), ale i získávání bodů přítomnosti v infrastruktuře pro další prodej zainteresovaným soudruhům. Dokonce i banální šifrovače jako WannaCry zachytily několik podobných objektů po celém světě. Moderní realita proto vyžaduje, aby specialisté na informační bezpečnost vzali tato rizika v úvahu a vytvořili nové procesy informační bezpečnosti. Zejména si pravidelně zvyšujte kvalifikaci a procvičujte praktické dovednosti. Personál na všech úrovních operativního dispečerského řízení průmyslových zařízení musí jasně rozumět tomu, jaké kroky podniknout v případě kybernetického útoku. Ale provádět kybernetická cvičení na vlastní infrastruktuře – pardon, rizika jasně převažují nad možnými přínosy.
Nepochopení skutečných schopností útočníků hackovat systémy řízení procesů a systémy IIoT
Tento problém existuje na všech úrovních organizací: ani všichni specialisté nechápou, co se může stát s jejich systémem, jaké útočné vektory jsou proti němu dostupné. Co můžeme říci o vedení?
Bezpečnostní experti často apelují na „vzduchovou mezeru“, která údajně nedovolí útočníkovi zajít dále než do podnikové sítě, ale praxe ukazuje, že v 90 % organizací existuje propojení firemního a technologického segmentu. Přitom samotné prvky výstavby a správy technologických sítí mají také často zranitelnosti, které jsme viděli zejména při zkoumání zařízení и .
Je obtížné vytvořit adekvátní model ohrožení
V posledních letech dochází k neustálému procesu zvyšování složitosti informačních a automatizovaných systémů a také k přechodu na kyberneticko-fyzické systémy, které zahrnují integraci výpočetních zdrojů a fyzického vybavení. Systémy jsou tak složité, že je prostě nemožné předvídat všechny důsledky kybernetických útoků pomocí analytických metod. Hovoříme nejen o ekonomických škodách organizace, ale také o posuzování důsledků pochopitelných pro technologa i pro průmysl – nedostatečná dodávka např. elektřiny nebo jiného typu produktu, mluvíme-li o ropě a plynu. nebo petrochemie. A jak si v takové situaci stanovit priority?
To vše se vlastně podle nás stalo předpokladem pro vznik konceptu kybernetických cvičení a kybernetických cvičišť v Rusku.
Jak funguje technologický segment kybernetického sortimentu
Kybernetické testovací pole je komplex virtuálních infrastruktur, které replikují typické infrastruktury podniků v různých odvětvích. Umožňuje „cvičit na kočkách“ - procvičovat praktické dovednosti specialistů bez rizika, že něco nepůjde podle plánu a kybernetická cvičení poškodí činnost skutečného podniku. Velké společnosti zabývající se kybernetickou bezpečností začínají tuto oblast rozvíjet a podobná kybernetická cvičení můžete v herním formátu sledovat například na Positive Hack Days.
Typický diagram síťové infrastruktury pro velký podnik nebo korporaci je poměrně standardní sada serverů, pracovních počítačů a různých síťových zařízení se standardní sadou podnikového softwaru a systémů zabezpečení informací. Odvětvové kybernetické testovací pole je stejné, plus vážná specifika, která dramaticky komplikují virtuální model.
Jak jsme přiblížili kybernetický rozsah realitě
Koncepčně vzhled průmyslové části kybernetického testovacího místa závisí na zvolené metodě modelování složitého kyberneticko-fyzikálního systému. Existují tři hlavní přístupy k modelování:
Každý z těchto přístupů má své výhody a nevýhody. V různých případech, v závislosti na konečném cíli a existujících omezeních, lze použít všechny tři výše uvedené metody modelování. Abychom formalizovali výběr těchto metod, sestavili jsme následující algoritmus:
Výhody a nevýhody různých metod modelování lze znázornit ve formě diagramu, kde osa y je pokrytí oblastí studia (tj. flexibilita navrhovaného modelovacího nástroje) a osa x je přesnost simulace (míra shody s reálným systémem). Ukazuje se téměř čtverec Gartner:
Optimální rovnováhou mezi přesností a flexibilitou modelování je tedy tzv. polopřirozené modelování (hardware-in-the-loop, HIL). V rámci tohoto přístupu je kyberneticko-fyzikální systém částečně modelován pomocí reálného zařízení a částečně pomocí matematických modelů. Například elektrická rozvodna může být reprezentována reálnými mikroprocesorovými zařízeními (terminálové ochrany relé), servery automatizovaných řídicích systémů a dalšími sekundárními zařízeními a samotné fyzikální procesy probíhající v elektrické síti jsou realizovány pomocí počítačového modelu. Dobře, rozhodli jsme se pro metodu modelování. Poté bylo nutné vyvinout architekturu kybernetické řady. Aby byla kybernetická cvičení skutečně užitečná, musí být na testovacím místě co nejpřesněji znovu vytvořena všechna propojení skutečného složitého kyberneticko-fyzikálního systému. Technologická část kybernetického sortimentu se proto u nás, stejně jako v reálném životě, skládá z několika vzájemně se ovlivňujících úrovní. Dovolte mi připomenout, že typická infrastruktura průmyslové sítě zahrnuje nejnižší úroveň, která zahrnuje tzv. „primární zařízení“ - to je optické vlákno, elektrická síť nebo něco jiného, v závislosti na odvětví. Vyměňuje si data a je řízen specializovanými průmyslovými regulátory a ty zase SCADA systémy.
Průmyslovou část kybernetického areálu jsme začali vytvářet ze segmentu energetiky, který je nyní naší prioritou (v plánu je ropný a plynárenský a chemický průmysl).
Je zřejmé, že úroveň primárního vybavení nelze realizovat modelováním v plném měřítku s využitím reálných objektů. Proto jsme v první fázi vypracovali matematický model energetického zařízení a přilehlé části energetické soustavy. Tento model zahrnuje veškeré silové vybavení rozvoden - elektrické vedení, transformátory atd. a je realizován ve speciálním softwarovém balíku RSCAD. Takto vytvořený model může být zpracován výpočetním komplexem v reálném čase - jeho hlavní vlastností je, že procesní čas v reálném systému a procesní čas v modelu jsou naprosto totožné - tedy pokud dojde ke zkratu v reálném trvá dvě sekundy, bude simulována přesně stejnou dobu v RSCAD). Získáme „živou“ část elektrického systému, fungující podle všech fyzikálních zákonů a dokonce reagující na vnější vlivy (například aktivace reléových ochran a automatizačních svorek, vypínání spínačů atd.). Interakce s externími zařízeními byla dosažena pomocí specializovaných přizpůsobitelných komunikačních rozhraní, která umožňují interakci matematického modelu s úrovní řídicích jednotek a úrovní automatizovaných systémů.
Úrovně regulátorů a automatizovaných řídicích systémů energetického zařízení však lze vytvořit pomocí skutečného průmyslového zařízení (i když v případě potřeby můžeme použít i virtuální modely). Na těchto dvou úrovních jsou umístěny regulátory a automatizační zařízení (ochrana relé a automatizace, PMU, USPD, měřiče) a automatizované řídicí systémy (SCADA, OIK, AIISKUE). Modelování v plném měřítku může výrazně zvýšit realističnost modelu a v důsledku toho i samotná kybernetická cvičení, protože týmy budou interagovat se skutečným průmyslovým zařízením, které má své vlastní vlastnosti, chyby a zranitelnosti.
Ve třetí fázi jsme implementovali interakci matematické a fyzikální části modelu pomocí specializovaných hardwarových a softwarových rozhraní a zesilovačů signálu.
Ve výsledku vypadá infrastruktura nějak takto:
Všechna zařízení testovacího místa spolu vzájemně interagují stejným způsobem jako ve skutečném kyberneticko-fyzikálním systému. Přesněji řečeno, při sestavování tohoto modelu jsme použili následující vybavení a výpočetní nástroje:
- Výpočetní komplexní RTDS pro provádění výpočtů v „reálném čase“;
- Automatizované pracoviště (AWS) operátora s instalovaným softwarem pro modelování technologického procesu a primárního vybavení elektrických stanic;
- Skříně s komunikačním zařízením, reléovými ochrannými a automatizačními terminály a zařízením pro automatizované řízení procesů;
- Skříně zesilovačů navržené pro zesilování analogových signálů z desky digitálně-analogového převodníku simulátoru RTDS. Každá skříň zesilovače obsahuje odlišnou sadu zesilovacích bloků používaných ke generování proudových a napěťových vstupních signálů pro studované svorky ochrany relé. Vstupní signály jsou zesíleny na úroveň potřebnou pro normální činnost svorek ochrany relé.
Není to jediné možné řešení, ale podle našeho názoru je pro provádění kybernetických cvičení optimální, protože odráží skutečnou architekturu naprosté většiny moderních rozvoden a zároveň je lze přizpůsobit tak, aby se znovu vytvořily jako co nejpřesněji některé vlastnosti konkrétního objektu.
Konečně,
Kybernetický rozsah je obrovský projekt a před námi je ještě spousta práce. Na jedné straně studujeme zkušenosti našich západních kolegů, na druhé straně musíme hodně dělat na základě našich zkušeností ze spolupráce konkrétně s ruskými průmyslovými podniky, protože nejen různá průmyslová odvětví, ale také různé země mají specifika. Toto je složité a zároveň zajímavé téma.
Přesto jsme přesvědčeni, že jsme v Rusku dosáhli toho, čemu se běžně říká „úroveň vyspělosti“, kdy průmysl také chápe potřebu kybernetických cvičení. To znamená, že toto odvětví bude mít brzy své vlastní osvědčené postupy a my doufejme posílíme naši úroveň zabezpečení.
Autoři
Oleg Arkhangelsky, přední analytik a metodik projektu Industrial Cyber Test Site.
Dmitrij Syutov, hlavní inženýr projektu Industrial Cyber Test Site;
Andrey Kuznetsov, vedoucí projektu „Industrial Cyber Test Site“, zástupce vedoucího laboratoře Cyber Security Laboratory of Automated Process Control Systems for Production
Zdroj: www.habr.com