In diesem Jahr haben wir ein groĂes Projekt zur Schaffung eines Cyber-TrainingsgelĂ€ndes gestartet â einer Plattform fĂŒr Cyber-Trainings fĂŒr Unternehmen aus verschiedenen Branchen. Hierzu ist es notwendig, virtuelle Infrastrukturen zu schaffen, die âidentisch mit den natĂŒrlichenâ sind â also die typische interne Struktur einer Bank, eines Energieunternehmens usw. nachbilden, und zwar nicht nur im Hinblick auf den Unternehmensteil des Netzwerks. Etwas spĂ€ter werden wir ĂŒber das Bankwesen und andere Infrastrukturen des Cyber-Polygons sprechen und heute darĂŒber, wie wir dieses Problem in Bezug auf das technologische Segment eines Industrieunternehmens gelöst haben.
NatĂŒrlich war das Thema Cyber-Ăbungen und Cyber-TrainingsgelĂ€nde nicht erst gestern Thema. Im Westen hat sich schon seit geraumer Zeit ein Kreis konkurrierender VorschlĂ€ge, unterschiedlicher AnsĂ€tze fĂŒr Cyber-Ăbungen und auch einfach bewĂ€hrter Vorgehensweisen gebildet. Zum âguten Tonâ gehört es fĂŒr den Informationssicherheitsdienst, die Bereitschaft zur Abwehr von Cyberangriffen regelmĂ€Ăig in der Praxis zu trainieren. FĂŒr Russland ist dies noch ein neues Thema: Zwar gibt es ein kleines Angebot, das bereits vor mehreren Jahren entstanden ist, doch die Nachfrage, insbesondere in den Industriesektoren, hat sich gerade erst langsam herausgebildet. Aus unserer Sicht gibt es hierfĂŒr vor allem drei GrĂŒnde â und es handelt sich dabei auch um Probleme, die bereits deutlich erkennbar sind.
Die Welt verÀndert sich zu schnell
Noch vor 10 Jahren griffen Hacker vor allem jene Organisationen an, von denen sie schnell Geld abheben konnten. FĂŒr die Industrie war diese Bedrohung weniger relevant. Jetzt sehen wir, dass auch die Infrastruktur von Regierungsorganisationen, Energie- und Industrieunternehmen in den Fokus ihres Interesses rĂŒckt. Dabei handelt es sich hĂ€ufiger um Spionageversuche, Datendiebstahl zu unterschiedlichsten Zwecken (Wettbewerbsbeobachtung, Erpressung) sowie um die Erlangung von PrĂ€senzpunkten in der Infrastruktur zum spĂ€teren Verkauf an interessierte Mitstreiter. Nun, selbst banale VerschlĂŒsselungsprogramme wie WannaCry haben viele Ă€hnliche Objekte auf der ganzen Welt befallen. Daher erfordern die modernen RealitĂ€ten, dass Informationssicherheitsspezialisten diese Risiken berĂŒcksichtigen und neue Informationssicherheitsprozesse entwickeln. Bilden Sie sich insbesondere regelmĂ€Ăig weiter und ĂŒben Sie praktische FĂ€higkeiten. Das Personal auf allen Ebenen der Betriebskontrolle von Industrieanlagen muss genau wissen, welche MaĂnahmen im Falle eines Cyberangriffs zu ergreifen sind. Aber Cyber-Ăbungen auf der eigenen Infrastruktur durchfĂŒhren â nein danke, die Risiken ĂŒberwiegen eindeutig den möglichen Nutzen.
Mangelndes VerstÀndnis der tatsÀchlichen FÀhigkeiten von Angreifern, ICS- und IIoT-Systeme zu hacken
Dieses Problem besteht auf allen Ebenen von Organisationen: Nicht einmal alle Spezialisten verstehen, was mit ihrem System passieren kann und welche Angriffsvektoren es gibt. Was können wir ĂŒber das Management sagen?
Sicherheitsexperten sprechen oft von einer âLuftlĂŒckeâ, die einem Eindringling angeblich nicht erlaubt, ĂŒber das Unternehmensnetzwerk hinauszugehen. Die Praxis zeigt jedoch, dass in 90 % der Organisationen eine Verbindung zwischen dem Unternehmens- und dem Technologiesegment besteht. Gleichzeitig weisen die Elemente des Aufbaus und der Verwaltung technologischer Netzwerke oft Schwachstellen auf, die wir insbesondere bei der Untersuchung der AusrĂŒstung festgestellt haben Đž .
Es ist schwierig, ein angemessenes Bedrohungsmodell zu erstellen
In den letzten Jahren kam es zu einem stetigen Anstieg der KomplexitĂ€t von Informations- und Automatisierungssystemen sowie zu einem Ăbergang zu cyber-physischen Systemen, die die Integration von Computerressourcen und physischer AusrĂŒstung beinhalten. Die KomplexitĂ€t der Systeme nimmt zu, sodass es schlicht unmöglich ist, alle Folgen von Cyberangriffen mit analytischen Methoden vorherzusagen. Dabei geht es nicht nur um den wirtschaftlichen Schaden fĂŒr das Unternehmen, sondern auch um die Bewertung der fĂŒr den Techniker und die Branche nachvollziehbaren Folgen â beispielsweise EngpĂ€sse bei der Stromversorgung oder bei anderen Produkten, wenn es um Ăl und Gas oder Petrochemie geht. Und wie setzt man in einer solchen Situation PrioritĂ€ten?
TatsĂ€chlich war all dies unserer Meinung nach die Voraussetzung fĂŒr die Entstehung des Konzepts von Cyber-Ăbungen und Cyber-TrainingsgelĂ€nden in Russland.
Wie das technologische Segment des Cyber-Polygons organisiert ist
Ein Cyber-Polygon ist ein Komplex virtueller Infrastrukturen, die typische Infrastrukturen von Unternehmen verschiedener Branchen nachbilden. Es ermöglicht Ihnen, âan Katzen zu ĂŒbenâ â die praktischen FĂ€higkeiten von Spezialisten zu trainieren, ohne dass das Risiko besteht, dass etwas nicht nach Plan lĂ€uft und Cyber-Ăbungen die AktivitĂ€ten eines realen Unternehmens beeintrĂ€chtigen. GroĂe Unternehmen fĂŒr Informationssicherheit beginnen, diese Richtung einzuschlagen, und Sie können sich Ă€hnliche Cyber-Ăbungen in einem Spielformat beispielsweise bei den Positive Hack Days ansehen.
Ein typisches Netzwerkinfrastrukturschema fĂŒr ein hypothetisches GroĂunternehmen oder einen Konzern besteht aus einem ziemlich standardmĂ€Ăigen Satz von Servern, Arbeitscomputern und verschiedenen NetzwerkgerĂ€ten mit einem typischen Satz von Unternehmenssoftware und Informationssicherheitssystemen. Ein industrielles Cyber-TestgelĂ€nde ist alles das Gleiche, nur dass es noch schwerwiegende Besonderheiten gibt, die das virtuelle Modell erheblich verkomplizieren.
Wie wir das Cyber-Polygon der RealitÀt nÀher gebracht haben
Das konzeptionelle Erscheinungsbild des industriellen Teils des Cyber-TestgelÀndes hÀngt von der gewÀhlten Methode zur Modellierung eines komplexen cyber-physischen Systems ab. Es gibt drei HauptansÀtze zur Modellierung:
Jeder dieser AnsÀtze hat seine eigenen Vor- und Nachteile. In verschiedenen FÀllen können, abhÀngig vom Endziel und den bestehenden EinschrÀnkungen, alle drei der oben genannten Modellierungsmethoden verwendet werden. Um die Auswahl dieser Methoden zu formalisieren, haben wir den folgenden Algorithmus zusammengestellt:
Die Vor- und Nachteile verschiedener Modellierungsmethoden können in Form eines Diagramms dargestellt werden, wobei die Ordinate die Abdeckung der Forschungsbereiche (d. h. die FlexibilitĂ€t des vorgeschlagenen Modellierungstools) und die Abszisse die Genauigkeit der Modellierung (der Grad der Ăbereinstimmung mit dem realen System) darstellt. Es stellt sich heraus, dass es sich fast um ein Gartner-Quadrat handelt:
Die optimale Lösung hinsichtlich des VerhĂ€ltnisses von Genauigkeit und FlexibilitĂ€t der Modellierung ist daher die sogenannte semi-natĂŒrliche Modellierung (Hardware-in-the-Loop, HIL). Bei diesem Ansatz wird das cyber-physische System teilweise mithilfe realer GerĂ€te und teilweise mithilfe mathematischer Modelle modelliert. Beispielsweise kann ein Umspannwerk durch reale MikroprozessorgerĂ€te (Relaisschutzklemmen), Server automatisierter Steuerungssysteme und andere SekundĂ€rgerĂ€te dargestellt werden, und die im Stromnetz selbst ablaufenden physikalischen Prozesse werden mithilfe eines Computermodells implementiert. Okay, wir haben uns fĂŒr die Modellierungsmethode entschieden. AnschlieĂend galt es, die Architektur des Cyber-TestgelĂ€ndes zu entwickeln. Damit Cyber-Ăbungen wirklich nĂŒtzlich sind, mĂŒssen alle ZusammenhĂ€nge eines realen, komplexen cyber-physischen Systems auf dem ĂbungsgelĂ€nde so genau wie möglich nachgebildet werden. Daher besteht der technologische Teil des Cyber-TestgelĂ€ndes, genau wie im echten Leben, aus mehreren interagierenden Ebenen. Ich möchte Sie daran erinnern, dass die typische Infrastruktur industrieller Netzwerke die unterste Ebene umfasst, die die sogenannte âPrimĂ€rausrĂŒstungâ umfasst â das sind Glasfaserkabel, ein Stromnetz oder etwas anderes â je nach Branche. Es tauscht Daten aus und wird von spezialisierten Industriesteuerungen gesteuert, die wiederum von SCADA-Systemen gesteuert werden.
Wir haben mit dem Aufbau des industriellen Teils des Cyberpolgons mit dem Energiesegment begonnen, das fĂŒr uns mittlerweile PrioritĂ€t hat (unsere PlĂ€ne umfassen die Ăl- und Gas- sowie die chemische Industrie).
Es ist offensichtlich, dass das Niveau der PrimĂ€rausstattung nicht durch natĂŒrliche Modellierung mit realen Objekten realisiert werden kann. Daher haben wir im ersten Schritt ein mathematisches Modell der Energieanlage und des angrenzenden Abschnitts des Energiesystems entwickelt. Dieses Modell umfasst die gesamte StromversorgungsausrĂŒstung von Umspannwerken â Stromleitungen, Transformatoren usw. â und ist in einem speziellen Softwarepaket RSCAD implementiert. Das auf diese Weise erstellte Modell kann von einem Echtzeit-Rechenkomplex verarbeitet werden â sein Hauptmerkmal besteht darin, dass die Prozesszeit im realen System und die Prozesszeit im Modell absolut identisch sind (d. h. wenn ein Kurzschluss in einem realen Netzwerk zwei Sekunden dauert, wird er in RSCAD fĂŒr genau die gleiche Zeit modelliert). Wir erhalten einen âaktivenâ Abschnitt des elektrischen Energiesystems, der gemÀà allen Gesetzen der Physik funktioniert und sogar auf Ă€uĂere EinflĂŒsse reagiert (z. B. das Auslösen von Relaisschutz- und Automatisierungsklemmen, das Trennen von Schaltern usw.). Die Interaktion mit externen GerĂ€ten wurde ĂŒber spezielle, anpassbare Kommunikationsschnittstellen erreicht, sodass das mathematische Modell mit der Controller-Ebene und der Ebene der automatisierten Systeme interagieren konnte.
Die Steuerungsebenen und automatisierten Kontrollsysteme des Kraftwerks können jedoch mithilfe realer Industrieanlagen erstellt werden (bei Bedarf können wir jedoch auch virtuelle Modelle verwenden). Auf diesen beiden Ebenen gibt es jeweils Steuerungen und AutomatisierungsgerĂ€te (RPA, PMU, USPD, ZĂ€hler) und automatisierte Steuerungssysteme (SCADA, OIC, AISKUE). Durch die Modellierung im OriginalmaĂstab lĂ€sst sich der Realismus des Modells und dementsprechend auch der Cyber-Ăbungen selbst deutlich steigern, da die Teams mit echter IndustrieausrĂŒstung interagieren, die ihre eigenen Eigenschaften, Fehler und Schwachstellen aufweist.
In der dritten Phase haben wir die Interaktion der mathematischen und physikalischen Teile des Modells mithilfe spezieller Hardware- und Softwareschnittstellen und SignalverstÀrker implementiert.
Die Infrastruktur sieht im Ergebnis etwa so aus:
Alle GerĂ€te auf dem TestgelĂ€nde interagieren auf die gleiche Weise miteinander wie in einem realen cyber-physischen System. Genauer gesagt haben wir beim Erstellen dieses Modells die folgende AusrĂŒstung und Rechenressourcen verwendet:
- RTDS-Rechenkomplex zur DurchfĂŒhrung von Berechnungen in Echtzeit;
- Automatisierter Arbeitsplatz (AWS) des Bedieners mit installierter Software zur Modellierung des technologischen Prozesses und der PrimĂ€rausrĂŒstung von Umspannwerken;
- SchrĂ€nke mit KommunikationsgerĂ€ten, Relaisschutz- und Automatisierungsklemmen sowie GerĂ€ten fĂŒr automatisierte Prozessleitsysteme;
- VerstĂ€rkergehĂ€use zur VerstĂ€rkung analoger Signale von der Digital-Analog-Wandlerkarte des RTDS-Simulators. Jeder VerstĂ€rkerschrank enthĂ€lt einen anderen Satz von VerstĂ€rkerblöcken, die zum Erzeugen von Eingangsstrom- und Spannungssignalen fĂŒr die untersuchten Relaisschutz- und AutomatisierungsanschlĂŒsse verwendet werden. Eingangssignale werden auf den Pegel verstĂ€rkt, der fĂŒr den normalen Betrieb der Relaisschutz- und AutomatisierungsanschlĂŒsse erforderlich ist.
Dies ist zwar nicht die einzig mögliche Lösung, aber unserer Meinung nach ist sie optimal fĂŒr die DurchfĂŒhrung von Cyber-Ăbungen geeignet, da sie die tatsĂ€chliche Architektur der ĂŒberwiegenden Mehrheit moderner Umspannwerke widerspiegelt und gleichzeitig angepasst werden kann, um einige Merkmale einer bestimmten Anlage möglichst genau nachzubilden.
AbschlieĂend
Cyberpolygon ist ein riesiges Projekt und es liegt noch viel Arbeit vor uns. Einerseits studieren wir die Erfahrungen unserer westlichen Kollegen, andererseits mĂŒssen wir viel aus unseren Erfahrungen aus der Zusammenarbeit speziell mit russischen Industrieunternehmen herausholen, da es nicht nur in verschiedenen Branchen, sondern auch in verschiedenen LĂ€ndern Besonderheiten gibt. Dies ist ein komplexes und interessantes Thema.
Dennoch sind wir davon ĂŒberzeugt, dass wir in Russland einen sogenannten âReifegradâ erreicht haben, bei dem sogar die Industrie die Notwendigkeit von Cyber-Ăbungen versteht. Dies bedeutet, dass die Branche bald ĂŒber ihre eigenen Best Practices verfĂŒgen wird und wir, so hoffe ich, unser Sicherheitsniveau verbessern werden.
Autoren
Oleg Arkhangelsky, fĂŒhrender Analyst und Methodiker des Industrial Cyber ââââPolygon-Projekts.
Dmitry Syutov, Chefingenieur des Industrial Cyber ââââPolygon-Projekts;
Andrey Kuznetsov, Leiter des Industrial Cyber ââââPolygon-Projekts, stellvertretender Leiter des Cybersicherheitslabors des automatisierten Prozessleitsystems fĂŒr die Produktion
Source: habr.com
