I år påbegyndte vi et stort projekt for at skabe en cybertræningsplads – en platform for cyberøvelser for virksomheder i forskellige brancher. For at gøre dette er det nødvendigt at skabe virtuelle infrastrukturer, der er "identiske med naturlige" - så de replikerer den typiske interne struktur for en bank, energiselskab osv., og ikke kun med hensyn til virksomhedssegmentet af netværket . Lidt senere vil vi tale om banksektoren og andre infrastrukturer i cyberområdet, og i dag vil vi tale om, hvordan vi løste dette problem i forhold til det teknologiske segment af en industriel virksomhed.
Naturligvis opstod emnet cyberøvelser og cybertræningspladser ikke i går. I Vesten er der længe blevet dannet en cirkel af konkurrerende forslag, forskellige tilgange til cyberøvelser og ganske enkelt bedste praksis. Informationssikkerhedstjenestens "gode form" er periodisk at øve sig på at være klar til at afvise cyberangreb i praksis. For Rusland er dette stadig et nyt emne: ja, der er et lille udbud, og det opstod for flere år siden, men efterspørgslen, især i industrisektorer, er først gradvist begyndt at danne sig nu. Det mener vi, der er tre hovedårsager til – det er også problemer, der allerede er blevet meget tydelige.
Verden ændrer sig for hurtigt
For bare 10 år siden angreb hackere hovedsageligt de organisationer, hvorfra de hurtigt kunne hæve penge. For industrien var denne trussel mindre relevant. Nu ser vi, at infrastrukturen i statslige organisationer, energi- og industrivirksomheder også er ved at blive et genstand for deres interesse. Her har vi oftere at gøre med forsøg på spionage, datatyveri til forskellige formål (konkurrenceefterretninger, afpresning) samt indhentning af tilstedeværelsespunkter i infrastrukturen til videre salg til interesserede kammerater. Nå, selv banale krypteringer som WannaCry har fanget en del lignende objekter rundt om i verden. Derfor kræver moderne realiteter, at informationssikkerhedsspecialister tager disse risici i betragtning og skaber nye informationssikkerhedsprocesser. Især skal du regelmæssigt forbedre dine kvalifikationer og øve praktiske færdigheder. Personale på alle niveauer af operationel udsendelseskontrol af industrianlæg skal have en klar forståelse af, hvilke handlinger der skal tages i tilfælde af et cyberangreb. Men at gennemføre cyberøvelser på din egen infrastruktur – beklager, risiciene opvejer klart de mulige fordele.
Manglende forståelse af angriberes reelle evner til at hacke proceskontrolsystemer og IIoT-systemer
Dette problem eksisterer på alle niveauer af organisationer: ikke engang alle specialister forstår, hvad der kan ske med deres system, hvilke angrebsvektorer der er tilgængelige mod det. Hvad kan vi sige om ledelsen?
Sikkerhedseksperter appellerer ofte til "air gap", som angiveligt ikke vil tillade en angriber at gå længere end virksomhedens netværk, men praksis viser, at der i 90 % af organisationerne er en sammenhæng mellem virksomheds- og teknologisegmentet. Samtidig har selve elementerne i at opbygge og styre teknologiske netværk også ofte sårbarheder, som vi især så ved undersøgelse af udstyr и .
Det er svært at opbygge en tilstrækkelig trusselsmodel
I de senere år har der været en konstant proces med stigende kompleksitet af information og automatiserede systemer, samt en overgang til cyberfysiske systemer, der involverer integration af computerressourcer og fysisk udstyr. Systemer bliver så komplekse, at det simpelthen er umuligt at forudsige alle konsekvenser af cyberangreb ved hjælp af analytiske metoder. Vi taler ikke kun om økonomiske skader på organisationen, men også om at vurdere de konsekvenser, der er forståelige for teknologen og for industrien - underforsyning af f.eks. el eller en anden type produkt, hvis vi taler om olie og gas eller petrokemikalier. Og hvordan prioriterer man i sådan en situation?
Faktisk blev alt dette, efter vores mening, forudsætningerne for fremkomsten af begrebet cyberøvelser og cybertræningspladser i Rusland.
Hvordan det teknologiske segment af cybersortimentet fungerer
En cybertestplads er et kompleks af virtuelle infrastrukturer, der replikerer typiske infrastrukturer for virksomheder i forskellige brancher. Det giver dig mulighed for at "øve på katte" - at øve de praktiske færdigheder hos specialister uden risiko for, at noget ikke vil gå efter planen, og cyberøvelser vil skade aktiviteterne i en rigtig virksomhed. Store cybersikkerhedsvirksomheder begynder at udvikle dette område, og du kan se lignende cyberøvelser i et spilformat, for eksempel på Positive Hack Days.
Et typisk netværksinfrastrukturdiagram for en stor virksomhed eller virksomhed er et ret standardsæt af servere, arbejdscomputere og forskellige netværksenheder med et standardsæt af firmasoftware og informationssikkerhedssystemer. En industri-cyber-testplads er alle de samme, plus seriøse detaljer, der dramatisk komplicerer den virtuelle model.
Hvordan vi bragte cybersortimentet tættere på virkeligheden
Konceptuelt afhænger udseendet af den industrielle del af cyberteststedet af den valgte metode til modellering af et komplekst cyberfysisk system. Der er tre hovedtilgange til modellering:
Hver af disse tilgange har sine egne fordele og ulemper. I forskellige tilfælde, afhængigt af det endelige mål og eksisterende begrænsninger, kan alle tre af ovenstående modelleringsmetoder anvendes. For at formalisere valget af disse metoder har vi udarbejdet følgende algoritme:
Fordele og ulemper ved forskellige modelleringsmetoder kan repræsenteres i form af et diagram, hvor y-aksen er dækningen af undersøgelsesområder (dvs. fleksibiliteten af det foreslåede modelleringsværktøj), og x-aksen er nøjagtigheden af simuleringen (graden af korrespondance til det virkelige system). Det viser sig næsten en Gartner-plads:
Den optimale balance mellem nøjagtighed og fleksibilitet ved modellering er således den såkaldte semi-naturlige modellering (hardware-in-the-loop, HIL). Inden for denne tilgang er det cyber-fysiske system dels modelleret ved hjælp af virkeligt udstyr, og dels ved hjælp af matematiske modeller. For eksempel kan en elektrisk understation repræsenteres af rigtige mikroprocessorenheder (relæbeskyttelsesterminaler), servere til automatiserede kontrolsystemer og andet sekundært udstyr, og de fysiske processer, der selv forekommer i det elektriske netværk, implementeres ved hjælp af en computermodel. Okay, vi har besluttet os for modelleringsmetoden. Herefter var det nødvendigt at udvikle arkitekturen i cybersortimentet. For at cyberøvelser virkelig skal være nyttige, skal alle sammenkoblinger af et rigtigt komplekst cyber-fysisk system genskabes så nøjagtigt som muligt på teststedet. Derfor, i vores land, som i det virkelige liv, består den teknologiske del af cybersortimentet af flere interagerende niveauer. Lad mig minde dig om, at en typisk industriel netværksinfrastruktur inkluderer det laveste niveau, som inkluderer det såkaldte "primære udstyr" - det er optisk fiber, et elektrisk netværk eller noget andet, afhængigt af branchen. Den udveksler data og styres af specialiserede industrielle controllere, og dem igen af SCADA-systemer.
Vi begyndte at skabe den industrielle del af cybersiden fra energisegmentet, som nu er vores prioritet (olie- og gas- og kemisk industri er med i vores planer).
Det er indlysende, at niveauet af primært udstyr ikke kan realiseres gennem fuldskala modellering ved brug af rigtige objekter. Derfor udviklede vi i første fase en matematisk model af elanlægget og den tilstødende del af elsystemet. Denne model inkluderer alt strømudstyr fra transformerstationer - kraftledninger, transformere osv., og udføres i en speciel RSCAD-softwarepakke. Den model, der er skabt på denne måde, kan behandles af et real-time computing kompleks - dens hovedtræk er, at procestiden i det virkelige system og procestiden i modellen er absolut identiske - det vil sige, hvis en kortslutning i en reel netværk varer to sekunder, vil det blive simuleret i nøjagtig samme tid i RSCAD). Vi får en "live" del af det elektriske strømsystem, der fungerer i overensstemmelse med alle fysikkens love og reagerer endda på ydre påvirkninger (for eksempel aktivering af relæbeskyttelse og automatiseringsterminaler, udløsning af kontakter osv.). Interaktion med eksterne enheder blev opnået ved hjælp af specialiserede brugerdefinerbare kommunikationsgrænseflader, hvilket gør det muligt for den matematiske model at interagere med niveauet af controllere og niveauet af automatiserede systemer.
Men niveauerne af controllere og automatiserede kontrolsystemer i et strømanlæg kan skabes ved hjælp af ægte industrielt udstyr (selvom vi om nødvendigt også kan bruge virtuelle modeller). På disse to niveauer er der henholdsvis controllere og automationsudstyr (relæbeskyttelse, PMU, USPD, målere) og automatiserede styresystemer (SCADA, OIK, AIISKUE). Fuldskala modellering kan markant øge modellens realisme og dermed selve cyberøvelserne, da hold vil interagere med ægte industrielt udstyr, som har sine egne karakteristika, fejl og sårbarheder.
På tredje trin implementerede vi interaktionen mellem de matematiske og fysiske dele af modellen ved hjælp af specialiserede hardware- og softwaregrænseflader og signalforstærkere.
Som et resultat ser infrastrukturen nogenlunde sådan ud:
Alt teststedsudstyr interagerer med hinanden på samme måde som i et rigtigt cyberfysisk system. Mere specifikt, da vi byggede denne model, brugte vi følgende udstyr og computerværktøjer:
- Beregning af kompleks RTDS til udførelse af beregninger i "realtid";
- Automatiseret arbejdsstation (AWS) for en operatør med installeret software til modellering af den teknologiske proces og primært udstyr i elektriske understationer;
- Skabe med kommunikationsudstyr, relæbeskyttelse og automatiseringsterminaler og automatiseret proceskontroludstyr;
- Forstærkerskabe designet til at forstærke analoge signaler fra digital-til-analog-konverterkortet på RTDS-simulatoren. Hvert forstærkerskab indeholder et andet sæt forstærkningsblokke, der bruges til at generere strøm- og spændingsindgangssignaler til relæbeskyttelsesklemmerne, der undersøges. Indgangssignaler forstærkes til det niveau, der kræves for normal drift af relæbeskyttelsesklemmerne.
Dette er ikke den eneste mulige løsning, men efter vores mening er den optimal til at gennemføre cyberøvelser, da den afspejler den reelle arkitektur i langt de fleste moderne understationer, og samtidig kan den tilpasses til at genskabe som nøjagtigt som muligt nogle træk ved et bestemt objekt.
Afslutningsvis
Cybersortimentet er et kæmpe projekt, og der er stadig meget arbejde forude. På den ene side studerer vi vores vestlige kollegers erfaringer, på den anden side skal vi gøre en masse baseret på vores erfaring med at arbejde specifikt med russiske industrivirksomheder, da ikke kun forskellige industrier, men også forskellige lande har særlige forhold. Dette er både et komplekst og interessant emne.
Ikke desto mindre er vi overbeviste om, at vi i Rusland har nået det, der almindeligvis kaldes et "modenhedsniveau", når industrien også forstår behovet for cyberøvelser. Det betyder, at branchen snart vil have sin egen bedste praksis, og vi vil forhåbentlig styrke vores sikkerhedsniveau.
Forfattere
Oleg Arkhangelsky, førende analytiker og metodolog for Industrial Cyber Test Site-projektet.
Dmitry Syutov, chefingeniør for Industrial Cyber Test Site-projektet;
Andrey Kuznetsov, leder af projektet "Industrial Cyber Test Site", stedfortrædende leder af Cyber Security Laboratory of Automated Process Control Systems for Production
Kilde: www.habr.com