Φέτος ξεκινήσαμε ένα μεγάλο έργο για τη δημιουργία ενός χώρου εκπαίδευσης στον κυβερνοχώρο - μια πλατφόρμα για ασκήσεις στον κυβερνοχώρο για εταιρείες σε διάφορους κλάδους. Για να γίνει αυτό, είναι απαραίτητο να δημιουργηθούν εικονικές υποδομές που να είναι «πανομοιότυπες με τις φυσικές» - έτσι ώστε να αντιγράφουν την τυπική εσωτερική δομή μιας τράπεζας, μιας εταιρείας ενέργειας κ.λπ., και όχι μόνο όσον αφορά το εταιρικό τμήμα του δικτύου . Λίγο αργότερα θα μιλήσουμε για τις τραπεζικές και άλλες υποδομές της γκάμας του κυβερνοχώρου και σήμερα θα μιλήσουμε για το πώς λύσαμε αυτό το πρόβλημα σε σχέση με το τεχνολογικό τμήμα μιας βιομηχανικής επιχείρησης.
Φυσικά, το θέμα των ασκήσεων στον κυβερνοχώρο και των χώρων εκπαίδευσης στον κυβερνοχώρο δεν προέκυψε χθες. Στη Δύση, έχει διαμορφωθεί εδώ και καιρό ένας κύκλος ανταγωνιστικών προτάσεων, διαφορετικών προσεγγίσεων στις ασκήσεις στον κυβερνοχώρο και απλώς βέλτιστων πρακτικών. Η «καλή μορφή» της υπηρεσίας ασφάλειας πληροφοριών είναι να εξασκεί περιοδικά την ετοιμότητά της να αποκρούει επιθέσεις στον κυβερνοχώρο στην πράξη. Για τη Ρωσία, αυτό είναι ακόμα ένα νέο θέμα: ναι, υπάρχει μικρή προσφορά, και προέκυψε πριν από αρκετά χρόνια, αλλά η ζήτηση, ειδικά στους βιομηχανικούς τομείς, άρχισε σταδιακά να διαμορφώνεται μόλις τώρα. Πιστεύουμε ότι υπάρχουν τρεις κύριοι λόγοι για αυτό - είναι επίσης προβλήματα που έχουν ήδη γίνει πολύ προφανή.
Ο κόσμος αλλάζει πολύ γρήγορα
Μόλις πριν από 10 χρόνια, οι χάκερ επιτέθηκαν κυρίως σε αυτούς τους οργανισμούς από τους οποίους μπορούσαν γρήγορα να αποσύρουν χρήματα. Για τη βιομηχανία, αυτή η απειλή ήταν λιγότερο σημαντική. Τώρα βλέπουμε ότι οι υποδομές κυβερνητικών οργανισμών, ενεργειακών και βιομηχανικών επιχειρήσεων γίνονται επίσης αντικείμενο ενδιαφέροντος. Εδώ έχουμε να κάνουμε πιο συχνά με απόπειρες κατασκοπείας, κλοπή δεδομένων για διάφορους σκοπούς (ανταγωνιστική νοημοσύνη, εκβιασμός), καθώς και απόκτηση σημείων παρουσίας στην υποδομή για περαιτέρω πώληση σε ενδιαφερόμενους συντρόφους. Λοιπόν, ακόμη και απλοί κρυπτογραφητές όπως το WannaCry έχουν πιάσει αρκετά παρόμοια αντικείμενα σε όλο τον κόσμο. Ως εκ τούτου, οι σύγχρονες πραγματικότητες απαιτούν από ειδικούς στην ασφάλεια πληροφοριών να λαμβάνουν υπόψη αυτούς τους κινδύνους και να δημιουργούν νέες διαδικασίες ασφάλειας πληροφοριών. Συγκεκριμένα, βελτιώνετε τακτικά τα προσόντα σας και εξασκείτε τις πρακτικές δεξιότητές σας. Το προσωπικό σε όλα τα επίπεδα του επιχειρησιακού ελέγχου αποστολής των βιομηχανικών εγκαταστάσεων πρέπει να έχει σαφή κατανόηση των ενεργειών που πρέπει να λάβει σε περίπτωση επίθεσης στον κυβερνοχώρο. Αλλά για να διεξάγετε ασκήσεις στον κυβερνοχώρο στη δική σας υποδομή - συγγνώμη, οι κίνδυνοι ξεπερνούν σαφώς τα πιθανά οφέλη.
Έλλειψη κατανόησης των πραγματικών δυνατοτήτων των εισβολέων να χακάρουν συστήματα ελέγχου διεργασιών και συστήματα IIoT
Αυτό το πρόβλημα υπάρχει σε όλα τα επίπεδα οργανισμών: ούτε καν όλοι οι ειδικοί κατανοούν τι μπορεί να συμβεί στο σύστημά τους, ποιοι φορείς επίθεσης είναι διαθέσιμοι εναντίον του. Τι να πούμε για την ηγεσία;
Οι ειδικοί ασφαλείας συχνά επικαλούνται το «κενό αέρα», το οποίο φέρεται ότι δεν θα επιτρέψει σε έναν εισβολέα να προχωρήσει περισσότερο από το εταιρικό δίκτυο, αλλά η πρακτική δείχνει ότι στο 90% των οργανισμών υπάρχει σύνδεση μεταξύ του εταιρικού και του τεχνολογικού τμήματος. Ταυτόχρονα, τα ίδια τα στοιχεία της κατασκευής και διαχείρισης τεχνολογικών δικτύων έχουν επίσης συχνά τρωτά σημεία, τα οποία είδαμε ιδιαίτερα κατά την εξέταση του εξοπλισμού и .
Είναι δύσκολο να οικοδομήσουμε ένα κατάλληλο μοντέλο απειλής
Τα τελευταία χρόνια, υπάρχει μια συνεχής διαδικασία αυξανόμενης πολυπλοκότητας των πληροφοριών και των αυτοματοποιημένων συστημάτων, καθώς και μια μετάβαση σε κυβερνοφυσικά συστήματα που περιλαμβάνουν την ενοποίηση υπολογιστικών πόρων και φυσικού εξοπλισμού. Τα συστήματα γίνονται τόσο πολύπλοκα που είναι απλά αδύνατο να προβλεφθούν όλες οι συνέπειες των επιθέσεων στον κυβερνοχώρο χρησιμοποιώντας αναλυτικές μεθόδους. Μιλάμε όχι μόνο για οικονομική ζημιά στον οργανισμό, αλλά και για εκτίμηση των συνεπειών που είναι κατανοητές για τον τεχνολόγο και για τη βιομηχανία - υποπαροχή ηλεκτρικής ενέργειας, για παράδειγμα, ή άλλου τύπου προϊόντος, εάν μιλάμε για πετρέλαιο και φυσικό αέριο ή πετροχημικά. Και πώς να θέσετε προτεραιότητες σε μια τέτοια κατάσταση;
Στην πραγματικότητα, όλα αυτά, κατά τη γνώμη μας, έγιναν οι προϋποθέσεις για την εμφάνιση της έννοιας των ασκήσεων στον κυβερνοχώρο και των χώρων εκπαίδευσης στον κυβερνοχώρο στη Ρωσία.
Πώς λειτουργεί το τεχνολογικό τμήμα της γκάμας του κυβερνοχώρου
Ένα πεδίο δοκιμών στον κυβερνοχώρο είναι ένα σύμπλεγμα εικονικών υποδομών που αναπαράγουν τυπικές υποδομές επιχειρήσεων σε διάφορους κλάδους. Σας επιτρέπει να "εξασκηθείτε στις γάτες" - να εξασκήσετε τις πρακτικές δεξιότητες των ειδικών χωρίς τον κίνδυνο ότι κάτι δεν θα πάει σύμφωνα με το σχέδιο και οι ασκήσεις στον κυβερνοχώρο θα βλάψουν τις δραστηριότητες μιας πραγματικής επιχείρησης. Μεγάλες εταιρείες κυβερνοασφάλειας αρχίζουν να αναπτύσσουν αυτόν τον τομέα και μπορείτε να παρακολουθήσετε παρόμοιες ασκήσεις στον κυβερνοχώρο σε μορφή παιχνιδιού, για παράδειγμα, στο Positive Hack Days.
Ένα τυπικό διάγραμμα υποδομής δικτύου για μια μεγάλη επιχείρηση ή εταιρεία είναι ένα αρκετά τυπικό σύνολο διακομιστών, υπολογιστών εργασίας και διαφόρων συσκευών δικτύου με ένα τυπικό σύνολο εταιρικού λογισμικού και συστημάτων ασφάλειας πληροφοριών. Ένα βιομηχανικό πεδίο δοκιμών στον κυβερνοχώρο είναι το ίδιο, καθώς και σοβαρές λεπτομέρειες που περιπλέκουν δραματικά το εικονικό μοντέλο.
Πώς φέραμε το εύρος του κυβερνοχώρου πιο κοντά στην πραγματικότητα
Εννοιολογικά, η εμφάνιση του βιομηχανικού τμήματος του χώρου δοκιμών στον κυβερνοχώρο εξαρτάται από την επιλεγμένη μέθοδο μοντελοποίησης ενός πολύπλοκου κυβερνοφυσικού συστήματος. Υπάρχουν τρεις κύριες προσεγγίσεις για τη μοντελοποίηση:
Κάθε μία από αυτές τις προσεγγίσεις έχει τα δικά της πλεονεκτήματα και μειονεκτήματα. Σε διαφορετικές περιπτώσεις, ανάλογα με τον τελικό στόχο και τους υπάρχοντες περιορισμούς, μπορούν να χρησιμοποιηθούν και οι τρεις παραπάνω μέθοδοι μοντελοποίησης. Για να επισημοποιήσουμε την επιλογή αυτών των μεθόδων, έχουμε συντάξει τον ακόλουθο αλγόριθμο:
Τα πλεονεκτήματα και τα μειονεκτήματα των διαφορετικών μεθόδων μοντελοποίησης μπορούν να αναπαρασταθούν με τη μορφή ενός διαγράμματος, όπου ο άξονας y είναι η κάλυψη των περιοχών μελέτης (δηλαδή η ευελιξία του προτεινόμενου εργαλείου μοντελοποίησης) και ο άξονας x είναι η ακρίβεια της προσομοίωσης (ο βαθμός αντιστοιχίας με το πραγματικό σύστημα). Αποδεικνύεται σχεδόν ένα τετράγωνο Gartner:
Έτσι, η βέλτιστη ισορροπία μεταξύ ακρίβειας και ευελιξίας της μοντελοποίησης είναι η λεγόμενη ημι-φυσική μοντελοποίηση (hardware-in-the-loop, HIL). Στο πλαίσιο αυτής της προσέγγισης, το κυβερνοφυσικό σύστημα μοντελοποιείται εν μέρει χρησιμοποιώντας πραγματικό εξοπλισμό και εν μέρει χρησιμοποιώντας μαθηματικά μοντέλα. Για παράδειγμα, ένας ηλεκτρικός υποσταθμός μπορεί να αναπαρασταθεί από πραγματικές συσκευές μικροεπεξεργαστή (τερματικά προστασίας ρελέ), διακομιστές αυτοματοποιημένων συστημάτων ελέγχου και άλλο δευτερεύον εξοπλισμό και οι ίδιες οι φυσικές διεργασίες που συμβαίνουν στο ηλεκτρικό δίκτυο υλοποιούνται χρησιμοποιώντας ένα μοντέλο υπολογιστή. Εντάξει, αποφασίσαμε για τη μέθοδο μοντελοποίησης. Μετά από αυτό, ήταν απαραίτητο να αναπτυχθεί η αρχιτεκτονική της εμβέλειας του κυβερνοχώρου. Για να είναι πραγματικά χρήσιμες οι ασκήσεις στον κυβερνοχώρο, όλες οι διασυνδέσεις ενός πραγματικού πολύπλοκου κυβερνοφυσικού συστήματος πρέπει να αναδημιουργηθούν όσο το δυνατόν ακριβέστερα στον χώρο δοκιμών. Επομένως, στη χώρα μας, όπως και στην πραγματική ζωή, το τεχνολογικό μέρος της γκάμας του κυβερνοχώρου αποτελείται από πολλά αλληλεπιδρώντα επίπεδα. Επιτρέψτε μου να σας υπενθυμίσω ότι μια τυπική υποδομή βιομηχανικού δικτύου περιλαμβάνει το χαμηλότερο επίπεδο, το οποίο περιλαμβάνει τον λεγόμενο «κύριο εξοπλισμό» - πρόκειται για οπτική ίνα, ηλεκτρικό δίκτυο ή κάτι άλλο, ανάλογα με τον κλάδο. Ανταλλάσσει δεδομένα και ελέγχεται από εξειδικευμένους βιομηχανικούς ελεγκτές και αυτούς με τη σειρά τους από συστήματα SCADA.
Ξεκινήσαμε τη δημιουργία του βιομηχανικού τμήματος του ιστότοπου στον κυβερνοχώρο από το ενεργειακό τμήμα, το οποίο είναι πλέον προτεραιότητά μας (οι βιομηχανίες πετρελαίου και φυσικού αερίου και χημικών είναι στα σχέδιά μας).
Είναι προφανές ότι το επίπεδο του πρωτογενούς εξοπλισμού δεν μπορεί να πραγματοποιηθεί μέσω μοντελοποίησης πλήρους κλίμακας χρησιμοποιώντας πραγματικά αντικείμενα. Ως εκ τούτου, στο πρώτο στάδιο, αναπτύξαμε ένα μαθηματικό μοντέλο της εγκατάστασης ηλεκτρικής ενέργειας και του παρακείμενου τμήματος του συστήματος ηλεκτρικής ενέργειας. Το μοντέλο αυτό περιλαμβάνει όλο τον ηλεκτρικό εξοπλισμό των υποσταθμών - ηλεκτρικές γραμμές, μετασχηματιστές κ.λπ., και εκτελείται σε ειδικό πακέτο λογισμικού RSCAD. Το μοντέλο που δημιουργείται με αυτόν τον τρόπο μπορεί να υποβληθεί σε επεξεργασία από ένα σύμπλεγμα υπολογιστών σε πραγματικό χρόνο - το κύριο χαρακτηριστικό του είναι ότι ο χρόνος διεργασίας στο πραγματικό σύστημα και ο χρόνος διεργασίας στο μοντέλο είναι απολύτως πανομοιότυποι - δηλαδή εάν βραχυκύκλωμα σε πραγματικό το δίκτυο διαρκεί δύο δευτερόλεπτα, θα προσομοιωθεί ακριβώς για το ίδιο χρονικό διάστημα σε RSCAD). Λαμβάνουμε ένα "ζωντανό" τμήμα του συστήματος ηλεκτρικής ενέργειας, που λειτουργεί σύμφωνα με όλους τους νόμους της φυσικής και ανταποκρίνεται ακόμη και σε εξωτερικές επιρροές (για παράδειγμα, ενεργοποίηση ακροδεκτών προστασίας ρελέ και αυτοματισμού, ενεργοποίηση διακοπτών κ.λπ.). Η αλληλεπίδραση με εξωτερικές συσκευές επιτεύχθηκε χρησιμοποιώντας εξειδικευμένες προσαρμόσιμες διεπαφές επικοινωνίας, επιτρέποντας στο μαθηματικό μοντέλο να αλληλεπιδρά με το επίπεδο των ελεγκτών και το επίπεδο των αυτοματοποιημένων συστημάτων.
Αλλά τα επίπεδα των ελεγκτών και των αυτοματοποιημένων συστημάτων ελέγχου μιας εγκατάστασης ηλεκτρικής ενέργειας μπορούν να δημιουργηθούν χρησιμοποιώντας πραγματικό βιομηχανικό εξοπλισμό (αν και, εάν είναι απαραίτητο, μπορούμε να χρησιμοποιήσουμε και εικονικά μοντέλα). Σε αυτά τα δύο επίπεδα υπάρχουν, αντίστοιχα, ελεγκτές και εξοπλισμός αυτοματισμού (προστασία ρελέ, PMU, USPD, μετρητές) και αυτοματοποιημένα συστήματα ελέγχου (SCADA, OIK, AIISKUE). Η μοντελοποίηση πλήρους κλίμακας μπορεί να αυξήσει σημαντικά τον ρεαλισμό του μοντέλου και, κατά συνέπεια, τις ίδιες τις ασκήσεις στον κυβερνοχώρο, καθώς οι ομάδες θα αλληλεπιδρούν με πραγματικό βιομηχανικό εξοπλισμό, ο οποίος έχει τα δικά του χαρακτηριστικά, σφάλματα και τρωτά σημεία.
Στο τρίτο στάδιο, υλοποιήσαμε την αλληλεπίδραση των μαθηματικών και φυσικών μερών του μοντέλου χρησιμοποιώντας εξειδικευμένες διεπαφές υλικού και λογισμικού και ενισχυτές σήματος.
Ως αποτέλεσμα, η υποδομή μοιάζει κάπως έτσι:
Όλος ο εξοπλισμός του χώρου δοκιμών αλληλεπιδρά μεταξύ τους με τον ίδιο τρόπο όπως σε ένα πραγματικό κυβερνοφυσικό σύστημα. Πιο συγκεκριμένα, κατά την κατασκευή αυτού του μοντέλου χρησιμοποιήσαμε τον ακόλουθο εξοπλισμό και υπολογιστικά εργαλεία:
- Υπολογισμός σύνθετου RTDS για τη διενέργεια υπολογισμών σε «πραγματικό χρόνο».
- Αυτοματοποιημένος σταθμός εργασίας (AWS) χειριστή με εγκατεστημένο λογισμικό για τη μοντελοποίηση της τεχνολογικής διαδικασίας και του πρωτογενούς εξοπλισμού ηλεκτρικών υποσταθμών.
- Ερμάρια με εξοπλισμό επικοινωνίας, τερματικά προστασίας ρελέ και αυτοματισμού και αυτοματοποιημένο εξοπλισμό ελέγχου διεργασιών.
- Ερμάρια ενισχυτών που έχουν σχεδιαστεί για να ενισχύουν αναλογικά σήματα από την πλακέτα μετατροπέα ψηφιακού σε αναλογικό του προσομοιωτή RTDS. Κάθε ερμάριο ενισχυτή περιέχει ένα διαφορετικό σύνολο μπλοκ ενίσχυσης που χρησιμοποιούνται για τη δημιουργία σημάτων εισόδου ρεύματος και τάσης για τους ακροδέκτες προστασίας ρελέ υπό μελέτη. Τα σήματα εισόδου ενισχύονται στο επίπεδο που απαιτείται για την κανονική λειτουργία των ακροδεκτών προστασίας ρελέ.
Αυτή δεν είναι η μόνη δυνατή λύση, αλλά, κατά τη γνώμη μας, είναι η βέλτιστη για τη διεξαγωγή ασκήσεων στον κυβερνοχώρο, καθώς αντικατοπτρίζει την πραγματική αρχιτεκτονική της συντριπτικής πλειοψηφίας των σύγχρονων υποσταθμών και ταυτόχρονα μπορεί να προσαρμοστεί έτσι ώστε να αναδημιουργηθεί ως όσο το δυνατόν ακριβέστερα ορισμένα χαρακτηριστικά ενός συγκεκριμένου αντικειμένου.
Εν κατακλείδι
Το εύρος του κυβερνοχώρου είναι ένα τεράστιο έργο και υπάρχει ακόμη πολλή δουλειά μπροστά. Αφενός, μελετάμε την εμπειρία των δυτικών συναδέλφων μας, αφετέρου, πρέπει να κάνουμε πολλά με βάση την εμπειρία μας από τη συνεργασία μας ειδικά με ρωσικές βιομηχανικές επιχειρήσεις, καθώς όχι μόνο διαφορετικές βιομηχανίες, αλλά και διαφορετικές χώρες έχουν ιδιαιτερότητες. Αυτό είναι τόσο περίπλοκο όσο και ενδιαφέρον θέμα.
Ωστόσο, είμαστε πεπεισμένοι ότι στη Ρωσία έχουμε φτάσει σε αυτό που συνήθως αποκαλείται «επίπεδο ωριμότητας», όταν η βιομηχανία κατανοεί επίσης την ανάγκη για ασκήσεις στον κυβερνοχώρο. Αυτό σημαίνει ότι σύντομα ο κλάδος θα έχει τις δικές του βέλτιστες πρακτικές και ελπίζουμε να ενισχύσουμε το επίπεδο ασφάλειας μας.
Συγγραφείς
Oleg Arkhangelsky, κορυφαίος αναλυτής και μεθοδολόγος του έργου Industrial Cyber Test Site.
Dmitry Syutov, επικεφαλής μηχανικός του έργου Industrial Cyber Test Site.
Andrey Kuznetsov, επικεφαλής του έργου "Industrial Cyber Test Site", αναπληρωτής επικεφαλής του Εργαστηρίου Κυβερνοασφάλειας Αυτοματοποιημένων Συστημάτων Ελέγχου Διαδικασιών για την Παραγωγή
Πηγή: www.habr.com