Ĉi-jare ni komencis grandan projekton por krei cibertrejnejon - platformon por ciberekzercoj por kompanioj en diversaj industrioj. Por fari tion, necesas krei virtualajn infrastrukturojn, kiuj estas "identaj al naturaj" - por ke ili reproduktu la tipan internan strukturon de banko, energikompanio ktp., kaj ne nur laŭ la kompania segmento de la reto. . Iom poste ni parolos pri la bankado kaj aliaj infrastrukturoj de la ciber-gamo, kaj hodiaŭ ni parolos pri kiel ni solvis ĉi tiun problemon rilate al la teknologia segmento de industria entrepreno.
Kompreneble, la temo de ciberekzercoj kaj cibertrejnejoj ne aperis hieraŭ. En la Okcidento, cirklo de konkurantaj proponoj, malsamaj aliroj al ciberekzercoj, kaj simple plej bonaj praktikoj estas delonge formita. La "bona formo" de la informsekureca servo estas periode praktiki sian pretecon por rebati ciberatakojn en la praktiko. Por Rusio, tio ankoraŭ estas nova temo: jes, estas malgranda provizo, kaj ĝi estiĝis antaŭ pluraj jaroj, sed la postulo, precipe en industriaj sektoroj, komencis iom post iom formiĝi nur nun. Ni kredas, ke estas tri ĉefaj kialoj por tio - ili ankaŭ estas problemoj kiuj jam fariĝis tre evidentaj.
La mondo ŝanĝiĝas tro rapide
Antaŭ nur 10 jaroj, piratoj atakis ĉefe tiujn organizojn de kiuj ili povis rapide eltiri monon. Por industrio, ĉi tiu minaco estis malpli grava. Nun ni vidas, ke ankaŭ la infrastrukturo de registaraj organizoj, energio kaj industriaj entreprenoj fariĝas temo de ilia intereso. Ĉi tie ni pli ofte traktas provojn de spionado, ŝtelado de datumoj por diversaj celoj (konkurenciva inteligenteco, ĉantaĝo), kaj ankaŭ akirado de punktoj de ĉeesto en la infrastrukturo por plua vendo al interesitaj kamaradoj. Nu, eĉ banalaj ĉifristoj kiel WannaCry kaptis sufiĉe multajn similajn objektojn tra la mondo. Tial, modernaj realaĵoj postulas informsekurecajn specialistojn konsideri ĉi tiujn riskojn kaj krei novajn informsekurecajn procezojn. Precipe, regule plibonigu viajn kvalifikojn kaj praktiku praktikajn kapablojn. Personaro ĉe ĉiuj niveloj de operacia sendokontrolo de industriaj instalaĵoj devas havi klaran komprenon pri kiaj agoj fari en la okazaĵo de ciberatako. Sed fari ciberekzercojn sur via propra infrastrukturo - pardonu, la riskoj klare superas la eblajn avantaĝojn.
Manko de kompreno de la realaj kapabloj de atakantoj por haki procezkontrolsistemojn kaj IIoT-sistemojn
Ĉi tiu problemo ekzistas ĉe ĉiuj niveloj de organizoj: eĉ ne ĉiuj specialistoj komprenas, kio povas okazi al ilia sistemo, kiaj atakvektoroj estas disponeblaj kontraŭ ĝi. Kion ni povas diri pri la gvidado?
Fakuloj pri sekureco ofte apelacias al la "aera breĉo", kiu supozeble ne permesos al atakanto iri pli for ol la kompania reto, sed praktiko montras, ke en 90% de organizoj estas rilato inter la kompania kaj teknologia segmentoj. Samtempe, la elementoj mem de konstruado kaj administrado de teknologiaj retoj ankaŭ ofte havas vundeblecojn, kiujn ni precipe vidis dum ekzamenado de ekipaĵoj. и .
Estas malfacile konstrui taŭgan minacan modelon
En la lastaj jaroj, ekzistas konstanta procezo de kreskanta komplekseco de informoj kaj aŭtomatigitaj sistemoj, same kiel transiro al ciber-fizikaj sistemoj kiuj implikas la integriĝon de komputikresursoj kaj fizikaj ekipaĵoj. Sistemoj fariĝas tiel kompleksaj, ke estas simple neeble antaŭdiri ĉiujn konsekvencojn de ciberatakoj per analizaj metodoj. Ni parolas ne nur pri ekonomia damaĝo al la organizo, sed ankaŭ pri taksado de la konsekvencoj kompreneblaj por la teknologo kaj por la industrio - subprovizo de elektro, ekzemple, aŭ alia speco de produkto, se ni parolas pri petrolo kaj gaso. aŭ petrolkemiaĵoj. Kaj kiel starigi prioritatojn en tia situacio?
Fakte, ĉio ĉi, laŭ nia opinio, fariĝis la antaŭkondiĉoj por la apero de la koncepto de ciberekzercoj kaj cibertrejnejoj en Rusio.
Kiel funkcias la teknologia segmento de la ciber-gamo
Ciber-testejo estas komplekso de virtualaj infrastrukturoj, kiuj reproduktas tipajn infrastrukturojn de entreprenoj en diversaj industrioj. Ĝi permesas vin "praktiki pri katoj" - praktiki la praktikajn kapablojn de specialistoj sen risko, ke io ne iros laŭplane, kaj ciberekzercoj damaĝos la agadojn de vera entrepreno. Grandaj kompanioj pri cibersekureco komencas disvolvi ĉi tiun areon, kaj vi povas spekti similajn ciberekzercojn en ludformato, ekzemple ĉe Positive Hack Days.
Tipa reto-infrastruktura diagramo por granda entrepreno aŭ korporacio estas sufiĉe norma aro de serviloj, laborkomputiloj kaj diversaj retaj aparatoj kun norma aro de kompania programaro kaj informsekurecaj sistemoj. Industria ciber-testejo estas tute sama, krom seriozaj specifaĵoj, kiuj draste malfaciligas la virtualan modelon.
Kiel ni alproksimigis la ciber-gamon al la realo
Koncipe, la aspekto de la industria parto de la cibertestejo dependas de la elektita metodo de modeligado de kompleksa ciber-fizika sistemo. Ekzistas tri ĉefaj aliroj al modeligado:
Ĉiu el ĉi tiuj aliroj havas siajn proprajn avantaĝojn kaj malavantaĝojn. En malsamaj kazoj, depende de la fina celo kaj ekzistantaj limigoj, ĉiuj tri el ĉi-supraj modeligaj metodoj povas esti uzitaj. Por formaligi la elekton de ĉi tiuj metodoj, ni kompilis la sekvan algoritmon:
La avantaĝoj kaj malavantaĝoj de malsamaj modeligaj metodoj povas esti reprezentitaj en la formo de diagramo, kie la y-akso estas la priraportado de areoj de studo (t.e., la fleksebleco de la proponita modeliga ilo), kaj la x-akso estas la precizeco. de la simulado (la grado da korespondado al la reala sistemo). Ĝi rezultas preskaŭ Gartner-kvadrato:
Tiel, la optimuma ekvilibro inter precizeco kaj fleksebleco de modeligado estas la tielnomita duonnatura modeligado (hardvaro-en-la-buklo, HIL). Ene de tiu aliro, la ciber-fizika sistemo estas parte modeligita uzante realan ekipaĵon, kaj parte uzante matematikajn modelojn. Ekzemple, elektra substacio povas esti reprezentita per realaj mikroprocesoraparatoj (stafetprotektaj terminaloj), serviloj de aŭtomatigitaj kontrolsistemoj kaj aliaj sekundaraj ekipaĵoj, kaj la fizikaj procezoj mem okazantaj en la elektra reto estas efektivigitaj uzante komputilmodelon. Bone, ni decidis pri la modela metodo. Post ĉi tio, estis necese evoluigi la arkitekturon de la ciber-gamo. Por ke ciberekzercoj estu vere utilaj, ĉiuj interligoj de vera kompleksa ciber-fizika sistemo devas esti rekreitaj kiel eble plej precize sur la testejo. Tial, en nia lando, kiel en la reala vivo, la teknologia parto de la ciber-gamo konsistas el pluraj interagaj niveloj. Mi memorigu al vi, ke tipa industria reto-infrastrukturo inkluzivas la plej malaltan nivelon, kiu inkluzivas la tiel nomatan "primaran ekipaĵon" - ĉi tio estas optika fibro, elektra reto aŭ io alia, depende de la industrio. Ĝi interŝanĝas datumojn kaj estas kontrolita de specialigitaj industriaj regiloj, kaj tiuj, siavice, de SCADA-sistemoj.
Ni komencis krei la industrian parton de la ciber-ejo el la energia segmento, kiu nun estas nia prioritato (la petrolo kaj gaso kaj kemiaj industrioj estas en niaj planoj).
Estas evidente ke la nivelo de primara ekipaĵo ne povas esti realigita per plenskala modeligado uzante realajn objektojn. Tial, ĉe la unua etapo, ni evoluigis matematikan modelon de la potenca instalaĵo kaj la apuda sekcio de la potenca sistemo. Ĉi tiu modelo inkluzivas ĉiujn potencajn ekipaĵojn de substacioj - kurentkonduktilojn, transformilojn, ktp., kaj estas efektivigita en speciala programaro RSCAD. La modelo kreita tiamaniere povas esti prilaborita per realtempa komputika komplekso - ĝia ĉefa trajto estas ke la proceztempo en la reala sistemo kaj la proceztempo en la modelo estas absolute identaj - tio estas, se fuŝkontakto en reala reto daŭras du sekundojn, ĝi estos simulita ekzakte la sama tempo en RSCAD). Ni ricevas "vivan" sekcion de la elektra elektra sistemo, funkcianta laŭ ĉiuj leĝoj de fiziko kaj eĉ respondante al eksteraj influoj (ekzemple, aktivigo de relajsa protekto kaj aŭtomatigaj terminaloj, ekfunkciigo de ŝaltiloj ktp.). Interagado kun eksteraj aparatoj estis atingita uzante specialecajn agordeblajn komunikajn interfacojn, permesante al la matematika modelo interagi kun la nivelo de regiloj kaj la nivelo de aŭtomatigitaj sistemoj.
Sed la niveloj de regiloj kaj aŭtomatigitaj kontrolsistemoj de potenca instalaĵo povas esti kreitaj uzante verajn industriajn ekipaĵojn (kvankam, se necese, ni ankaŭ povas uzi virtualajn modelojn). Sur ĉi tiuj du niveloj ekzistas, respektive, regiloj kaj aŭtomatigaj ekipaĵoj (relajsoprotekto, PMU, USPD, mezuriloj) kaj aŭtomatigitaj kontrolsistemoj (SCADA, OIK, AIISKUE). Plenskala modelado povas signife pliigi la realismon de la modelo kaj, sekve, la ciberekzercoj mem, ĉar teamoj interagos kun reala industria ekipaĵo, kiu havas siajn proprajn karakterizaĵojn, cimojn kaj vundeblecojn.
En la tria etapo, ni efektivigis la interagadon de la matematikaj kaj fizikaj partoj de la modelo uzante specialigitajn aparataron kaj programaron interfacojn kaj signalajn amplifilojn.
Kiel rezulto, la infrastrukturo aspektas kiel ĉi tio:
Ĉiuj provaj ekipaĵoj interagas unu kun la alia same kiel en reala ciber-fizika sistemo. Pli specife, dum konstruado de ĉi tiu modelo ni uzis la sekvajn ekipaĵojn kaj komputilojn:
- Komputado de kompleksaj RTDS por efektivigi kalkulojn en "reala tempo";
- Aŭtomatigita laborstacio (AWS) de funkciigisto kun instalita programaro por modeligado de la teknologia procezo kaj primara ekipaĵo de elektraj substacioj;
- Kabinetoj kun komunika ekipaĵo, relajsa protekto kaj aŭtomatigaj terminaloj, kaj aŭtomatigita proceza kontrola ekipaĵo;
- Amplifilkabinetoj desegnitaj por plifortigi analogajn signalojn de la cifereca-al-analoga konvertilo-tabulo de la RTDS-simulilo. Ĉiu amplifilkabineto enhavas malsaman aron de plifortigblokoj uzitaj por generi fluon kaj tensiajn enirsignalojn por la relajsaj protektoterminaloj studataj. Enirsignaloj estas plifortigitaj al la nivelo postulata por normala funkciado de la relajsaj protektoterminaloj.
Ĉi tio ne estas la sola ebla solvo, sed, laŭ nia opinio, ĝi estas optimuma por fari ciberekzercojn, ĉar ĝi reflektas la realan arkitekturon de la granda plimulto de modernaj substacioj, kaj samtempe ĝi povas esti personecigita por rekrei kiel. kiel eble plej precize iujn trajtojn de aparta objekto.
En konkludo
La ciber-gamo estas grandega projekto, kaj estas ankoraŭ multe da laboro antaŭen. Unuflanke, ni studas la sperton de niaj okcidentaj kolegoj, aliflanke, ni devas fari multon surbaze de nia sperto labori specife kun rusaj industriaj entreprenoj, ĉar ne nur malsamaj industrioj, sed ankaŭ malsamaj landoj havas specifaĵojn. Ĉi tio estas kaj kompleksa kaj interesa temo.
Tamen ni estas konvinkitaj, ke ni en Rusio atingis tion, kion oni kutime nomas "nivelo de matureco", kiam industrio ankaŭ komprenas la bezonon de ciberekzercoj. Ĉi tio signifas, ke baldaŭ la industrio havos siajn proprajn plej bonajn praktikojn, kaj ni espereble plifortigos nian nivelon de sekureco.
aŭtoroj
Oleg Arkhangelsky, ĉefa analizisto kaj metodisto de la projekto Industria Cyber Test Site.
Dmitry Syutov, ĉefinĝeniero de la projekto Industria Cyber Test Site;
Andrey Kuznetsov, estro de la projekto "Industria Cyber Test Site", vicestro de la Ciber-Sekureco-Laboratorio de Aŭtomatigitaj Procezaj Kontrolaj Sistemoj por Produktado
fonto: www.habr.com