In diesem Jahr haben wir ein großes Projekt zur Schaffung eines Cyber-Übungsgeländes gestartet – einer Plattform für Cyber-Übungen für Unternehmen verschiedener Branchen. Dazu ist es notwendig, virtuelle Infrastrukturen zu schaffen, die „identisch mit natürlichen“ sind – so dass sie die typische interne Struktur einer Bank, eines Energieunternehmens usw. nachbilden, und zwar nicht nur im Hinblick auf den Unternehmensbereich des Netzwerks . Etwas später werden wir über das Bankwesen und andere Infrastrukturen im Cyber-Bereich sprechen und heute darüber, wie wir dieses Problem in Bezug auf das Technologiesegment eines Industrieunternehmens gelöst haben.
Das Thema Cyber-Übungen und Cyber-Übungsgelände kam gestern natürlich nicht zur Sprache. Im Westen hat sich längst ein Kreis konkurrierender Vorschläge, unterschiedlicher Ansätze für Cyberübungen und einfach Best Practices gebildet. Die „gute Form“ des Informationssicherheitsdienstes besteht darin, seine Bereitschaft zur Abwehr von Cyberangriffen regelmäßig in der Praxis zu üben. Für Russland ist das noch ein neues Thema: Ja, es gibt ein kleines Angebot, und es ist schon vor einigen Jahren entstanden, aber die Nachfrage, insbesondere in den Industriesektoren, beginnt sich erst jetzt allmählich zu bilden. Wir glauben, dass es dafür drei Hauptgründe gibt – es sind auch Probleme, die bereits sehr offensichtlich sind.
Die Welt verändert sich zu schnell
Noch vor 10 Jahren griffen Hacker vor allem Organisationen an, von denen sie schnell Geld abheben konnten. Für die Industrie war diese Bedrohung weniger relevant. Nun sehen wir, dass auch die Infrastruktur von Regierungsorganisationen, Energie- und Industrieunternehmen in den Fokus ihres Interesses rückt. Hier handelt es sich häufiger um Spionageversuche, Datendiebstahl zu verschiedenen Zwecken (Wettbewerbsaufklärung, Erpressung) sowie um die Erlangung von Präsenzpunkten in der Infrastruktur zum Weiterverkauf an interessierte Kameraden. Nun, selbst banale Verschlüsselungsprogramme wie WannaCry haben auf der ganzen Welt eine ganze Reihe ähnlicher Objekte entdeckt. Daher erfordert die moderne Realität, dass Spezialisten für Informationssicherheit diese Risiken berücksichtigen und neue Informationssicherheitsprozesse erstellen. Verbessern Sie insbesondere regelmäßig Ihre Qualifikationen und üben Sie praktische Fertigkeiten ein. Das Personal auf allen Ebenen der operativen Dispositionssteuerung von Industrieanlagen muss ein klares Verständnis davon haben, welche Maßnahmen im Falle eines Cyberangriffs zu ergreifen sind. Aber Cyber-Übungen auf der eigenen Infrastruktur durchzuführen – leider überwiegen die Risiken eindeutig die möglichen Vorteile.
Mangelndes Verständnis der tatsächlichen Fähigkeiten von Angreifern, Prozessleitsysteme und IIoT-Systeme zu hacken
Dieses Problem besteht auf allen Ebenen von Organisationen: Nicht einmal alle Spezialisten verstehen, was mit ihrem System passieren kann und welche Angriffsvektoren dagegen zur Verfügung stehen. Was können wir über die Führung sagen?
Sicherheitsexperten berufen sich häufig auf die „Luftlücke“, die es einem Angreifer angeblich nicht erlaubt, über das Unternehmensnetzwerk hinaus vorzudringen. Die Praxis zeigt jedoch, dass in 90 % der Unternehmen eine Verbindung zwischen den Unternehmens- und Technologiesegmenten besteht. Gleichzeitig weisen die Elemente des Aufbaus und der Verwaltung technologischer Netzwerke häufig auch Schwachstellen auf, die uns insbesondere bei der Untersuchung der Ausrüstung aufgefallen sind и .
Es ist schwierig, ein angemessenes Bedrohungsmodell zu erstellen
In den letzten Jahren gab es einen stetigen Prozess zunehmender Komplexität von Informationen und automatisierten Systemen sowie einen Übergang zu cyber-physischen Systemen, die die Integration von Rechenressourcen und physischer Ausrüstung beinhalten. Systeme werden so komplex, dass es mit analytischen Methoden schlicht unmöglich ist, alle Folgen von Cyberangriffen vorherzusagen. Dabei geht es nicht nur um den wirtschaftlichen Schaden für die Organisation, sondern auch um die Abschätzung der Folgen, die für den Technologen und die Industrie nachvollziehbar sind – zum Beispiel eine Unterversorgung mit Strom oder einem anderen Produkttyp, wenn es um Öl und Gas geht oder Petrochemie. Und wie setzt man in einer solchen Situation Prioritäten?
Tatsächlich wurde all dies unserer Meinung nach zur Voraussetzung für die Entstehung des Konzepts von Cyber-Übungen und Cyber-Übungsplätzen in Russland.
Wie das technologische Segment des Cyber-Bereichs funktioniert
Ein Cyber-Testgelände ist ein Komplex virtueller Infrastrukturen, die typische Infrastrukturen von Unternehmen verschiedener Branchen nachbilden. Es ermöglicht Ihnen, „auf Katzen zu üben“ – die praktischen Fähigkeiten von Spezialisten zu üben, ohne das Risiko einzugehen, dass etwas nicht nach Plan läuft und Cyber-Übungen die Aktivitäten eines echten Unternehmens beeinträchtigen. Große Cybersicherheitsunternehmen beginnen, diesen Bereich zu entwickeln, und ähnliche Cyberübungen können Sie beispielsweise bei den Positive Hack Days im Spielformat ansehen.
Ein typisches Netzwerkinfrastrukturdiagramm für ein großes Unternehmen oder einen Konzern besteht aus einem ziemlich standardmäßigen Satz von Servern, Arbeitscomputern und verschiedenen Netzwerkgeräten mit einem Standardsatz von Unternehmenssoftware und Informationssicherheitssystemen. Ein branchenweites Cyber-Testgelände ist das Gleiche, plus gravierende Besonderheiten, die das virtuelle Modell dramatisch verkomplizieren.
Wie wir den Cyber-Bereich näher an die Realität gebracht haben
Konzeptionell hängt das Erscheinungsbild des industriellen Teils des Cyber-Testgeländes von der gewählten Methode zur Modellierung eines komplexen cyber-physischen Systems ab. Es gibt drei Hauptansätze zur Modellierung:
Jeder dieser Ansätze hat seine eigenen Vor- und Nachteile. In verschiedenen Fällen können je nach Endziel und bestehenden Einschränkungen alle drei oben genannten Modellierungsmethoden verwendet werden. Um die Wahl dieser Methoden zu formalisieren, haben wir den folgenden Algorithmus zusammengestellt:
Die Vor- und Nachteile verschiedener Modellierungsmethoden können in Form eines Diagramms dargestellt werden, wobei die y-Achse die Abdeckung der Untersuchungsbereiche (d. h. die Flexibilität des vorgeschlagenen Modellierungstools) und die x-Achse die Genauigkeit darstellt der Simulation (der Grad der Übereinstimmung mit dem realen System). Es stellt sich fast ein Gartner-Quadrat heraus:
Das optimale Gleichgewicht zwischen Genauigkeit und Flexibilität der Modellierung ist daher die sogenannte semi-natürliche Modellierung (Hardware-in-the-Loop, HIL). Bei diesem Ansatz wird das cyber-physische System teilweise mit realen Geräten und teilweise mit mathematischen Modellen modelliert. Beispielsweise kann ein Umspannwerk durch echte Mikroprozessorgeräte (Relaisschutzterminals), Server automatisierter Steuerungssysteme und andere Sekundärgeräte dargestellt werden und die im Stromnetz ablaufenden physikalischen Prozesse selbst werden mithilfe eines Computermodells implementiert. Okay, wir haben uns für die Modellierungsmethode entschieden. Danach galt es, die Architektur des Cyber-Bereichs zu entwickeln. Damit Cyber-Übungen wirklich nützlich sind, müssen alle Zusammenhänge eines realen komplexen cyber-physikalischen Systems möglichst genau auf dem Testgelände nachgebildet werden. Daher besteht in unserem Land, wie im wirklichen Leben, der technologische Teil des Cyber-Bereichs aus mehreren interagierenden Ebenen. Ich möchte Sie daran erinnern, dass eine typische industrielle Netzwerkinfrastruktur die unterste Ebene umfasst, zu der die sogenannte „Primärausrüstung“ gehört – das ist je nach Branche Glasfaser, ein Stromnetz oder etwas anderes. Es tauscht Daten aus und wird von spezialisierten Industriesteuerungen und diese wiederum von SCADA-Systemen gesteuert.
Wir haben mit der Erstellung des industriellen Teils der Cyber-Site aus dem Energiesegment begonnen, das jetzt unsere Priorität ist (die Öl- und Gasindustrie sowie die Chemieindustrie sind in unseren Plänen).
Es ist offensichtlich, dass das Niveau der Primärausrüstung nicht durch eine vollständige Modellierung unter Verwendung realer Objekte erreicht werden kann. Daher haben wir im ersten Schritt ein mathematisches Modell des Kraftwerks und des angrenzenden Abschnitts des Energiesystems entwickelt. Dieses Modell umfasst die gesamte Energieausrüstung von Umspannwerken – Stromleitungen, Transformatoren usw. und wird in einem speziellen RSCAD-Softwarepaket ausgeführt. Das so erstellte Modell kann von einem Echtzeit-Rechenkomplex verarbeitet werden – sein Hauptmerkmal ist, dass die Prozesszeit im realen System und die Prozesszeit im Modell absolut identisch sind – also auch bei einem Kurzschluss in einem realen System (Wenn ein Netzwerk zwei Sekunden dauert, wird es in RSCAD genauso lange simuliert.) Wir erhalten einen „lebenden“ Abschnitt des Stromnetzes, der nach allen Gesetzen der Physik funktioniert und sogar auf äußere Einflüsse reagiert (z. B. Aktivierung von Relaisschutz- und Automatisierungsklemmen, Auslösen von Schaltern usw.). Die Interaktion mit externen Geräten wurde über spezielle anpassbare Kommunikationsschnittstellen erreicht, die es dem mathematischen Modell ermöglichten, mit der Ebene der Steuerungen und der Ebene automatisierter Systeme zu interagieren.
Aber die Ebenen von Steuerungen und automatisierten Steuerungssystemen einer Energieanlage können mit realen Industrieanlagen erstellt werden (bei Bedarf können wir jedoch auch virtuelle Modelle verwenden). Auf diesen beiden Ebenen befinden sich jeweils Steuerungen und Automatisierungsgeräte (Relaisschutz, PMU, USPD, Messgeräte) und automatisierte Steuerungssysteme (SCADA, OIK, AIISKUE). Eine Modellierung im Originalmaßstab kann den Realismus des Modells und damit auch der Cyber-Übungen selbst deutlich erhöhen, da die Teams mit echten Industrieanlagen interagieren, die ihre eigenen Eigenschaften, Fehler und Schwachstellen aufweisen.
Im dritten Schritt implementierten wir das Zusammenspiel der mathematischen und physikalischen Teile des Modells mithilfe spezieller Hardware- und Softwareschnittstellen und Signalverstärker.
Im Ergebnis sieht die Infrastruktur etwa so aus:
Alle Geräte am Teststandort interagieren auf die gleiche Weise miteinander wie in einem echten cyber-physischen System. Genauer gesagt haben wir beim Bau dieses Modells die folgenden Geräte und Computerwerkzeuge verwendet:
- Berechnung komplexer RTDS zur Durchführung von Berechnungen in „Echtzeit“;
- Automatisierter Arbeitsplatz (AWS) eines Betreibers mit installierter Software zur Modellierung des technologischen Prozesses und der Primärausrüstung von Umspannwerken;
- Schränke mit Kommunikationsausrüstung, Relaisschutz- und Automatisierungsterminals sowie automatisierter Prozesssteuerungsausrüstung;
- Verstärkerschränke zur Verstärkung analoger Signale von der Digital-Analog-Wandlerplatine des RTDS-Simulators. Jeder Verstärkerschrank enthält einen anderen Satz Verstärkerblöcke, die zur Erzeugung von Strom- und Spannungseingangssignalen für die untersuchten Relaisschutzklemmen verwendet werden. Eingangssignale werden auf den Pegel verstärkt, der für den normalen Betrieb der Relaisschutzklemmen erforderlich ist.
Dies ist nicht die einzig mögliche Lösung, aber unserer Meinung nach optimal für die Durchführung von Cyber-Übungen, da sie die reale Architektur der überwiegenden Mehrheit moderner Umspannwerke widerspiegelt und gleichzeitig so angepasst werden kann, dass sie wiederhergestellt werden kann einige Merkmale eines bestimmten Objekts so genau wie möglich darzustellen.
Abschließend
Der Cyber-Bereich ist ein riesiges Projekt, und es liegt noch viel Arbeit vor uns. Einerseits studieren wir die Erfahrungen unserer westlichen Kollegen, andererseits müssen wir viel auf der Grundlage unserer Erfahrungen in der konkreten Zusammenarbeit mit russischen Industrieunternehmen tun, da nicht nur verschiedene Branchen, sondern auch verschiedene Länder Besonderheiten haben. Dies ist ein komplexes und interessantes Thema.
Dennoch sind wir davon überzeugt, dass wir in Russland einen sogenannten „Reifegrad“ erreicht haben, bei dem auch die Industrie die Notwendigkeit von Cyber-Übungen versteht. Das bedeutet, dass die Branche bald über eigene Best Practices verfügen wird und wir hoffentlich unser Sicherheitsniveau stärken werden.
Autoren
Oleg Arkhangelsky, führender Analyst und Methodiker des Industrial Cyber Test Site-Projekts.
Dmitry Syutov, Chefingenieur des Industrial Cyber Test Site-Projekts;
Andrey Kuznetsov, Leiter des Projekts „Industrial Cyber Test Site“, stellvertretender Leiter des Cyber Security Laboratory of Automated Process Control Systems for Production
Source: habr.com