Este año hemos iniciado un gran proyecto para crear un campo de formación cibernética, una plataforma para ejercicios cibernéticos para empresas de diversos sectores. Para ello, es necesario crear infraestructuras virtuales "idénticas a las naturales", de modo que repliquen la estructura interna típica de un banco, una empresa de energía, etc., y no sólo en términos del segmento corporativo de la red. . Un poco más adelante hablaremos de la banca y otras infraestructuras del ámbito cibernético, y hoy hablaremos de cómo resolvimos este problema en relación al segmento tecnológico de una empresa industrial.
Por supuesto, el tema de los ciberejercicios y campos de entrenamiento cibernéticos no surgió ayer. En Occidente hace tiempo que se ha formado un círculo de propuestas competitivas, diferentes enfoques de los ciberejercicios y simplemente mejores prácticas. La “buena forma” del servicio de seguridad de la información es practicar periódicamente su preparación para repeler los ciberataques en la práctica. Para Rusia, este es todavía un tema nuevo: sí, hay una pequeña oferta, y surgió hace varios años, pero la demanda, especialmente en los sectores industriales, apenas ha comenzado a formarse gradualmente. Creemos que esto se debe a tres razones principales; también se trata de problemas que ya se han vuelto muy evidentes.
El mundo está cambiando demasiado rápido
Hace apenas 10 años, los piratas informáticos atacaban principalmente a aquellas organizaciones de las que podían retirar dinero rápidamente. Para la industria, esta amenaza era menos relevante. Ahora vemos que la infraestructura de las organizaciones gubernamentales, las empresas energéticas e industriales también se está convirtiendo en un tema de interés para ellos. Aquí nos enfrentamos más a menudo a intentos de espionaje, robo de datos para diversos fines (inteligencia competitiva, chantaje), así como a la obtención de puntos de presencia en la infraestructura para su posterior venta a camaradas interesados. Bueno, incluso cifradores banales como WannaCry han capturado bastantes objetos similares en todo el mundo. Por lo tanto, las realidades modernas requieren que los especialistas en seguridad de la información tengan en cuenta estos riesgos y creen nuevos procesos de seguridad de la información. En particular, mejore periódicamente sus calificaciones y practique habilidades prácticas. El personal de todos los niveles de control de despacho operativo de las instalaciones industriales debe tener una comprensión clara de qué acciones tomar en caso de un ciberataque. Pero realizar ejercicios cibernéticos en su propia infraestructura es una pena, pero los riesgos claramente superan los posibles beneficios.
Falta de comprensión de las capacidades reales de los atacantes para piratear sistemas de control de procesos y sistemas IIoT
Este problema existe en todos los niveles de las organizaciones: ni siquiera todos los especialistas entienden lo que le puede pasar a su sistema, qué vectores de ataque están disponibles contra él. ¿Qué podemos decir del liderazgo?
Los expertos en seguridad suelen recurrir a la "brecha de aire", que supuestamente no permitirá que un atacante vaya más allá de la red corporativa, pero la práctica demuestra que en el 90% de las organizaciones existe una conexión entre los segmentos corporativo y tecnológico. Al mismo tiempo, los propios elementos de construcción y gestión de redes tecnológicas también suelen tener vulnerabilidades, que hemos visto, en particular, al examinar los equipos. и .
Es difícil construir un modelo de amenaza adecuado
En los últimos años se ha producido un proceso constante de creciente complejidad de la información y los sistemas automatizados, así como una transición hacia sistemas ciberfísicos que implican la integración de recursos informáticos y equipos físicos. Los sistemas se están volviendo tan complejos que es simplemente imposible predecir todas las consecuencias de los ciberataques utilizando métodos analíticos. No estamos hablando sólo de daños económicos a la organización, sino también de evaluar las consecuencias que son comprensibles para el tecnólogo y para la industria: suministro insuficiente de electricidad, por ejemplo, u otro tipo de producto, si hablamos de petróleo y gas. o petroquímicos. ¿Y cómo establecer prioridades en tal situación?
En realidad, todo esto, en nuestra opinión, se convirtió en los requisitos previos para el surgimiento del concepto de ciberejercicios y campos de entrenamiento cibernéticos en Rusia.
Cómo funciona el segmento tecnológico de la gama cibernética
Un campo de pruebas cibernéticas es un complejo de infraestructuras virtuales que replican infraestructuras típicas de empresas de diversas industrias. Le permite "practicar con gatos": practicar las habilidades prácticas de los especialistas sin el riesgo de que algo no salga según lo planeado y los ciberejercicios dañen las actividades de una empresa real. Las grandes empresas de ciberseguridad están empezando a desarrollar este ámbito y se pueden ver ejercicios cibernéticos similares en formato de juego, por ejemplo, en los Positive Hack Days.
Un diagrama de infraestructura de red típico para una gran empresa o corporación es un conjunto bastante estándar de servidores, computadoras de trabajo y varios dispositivos de red con un conjunto estándar de software corporativo y sistemas de seguridad de la información. Un campo de pruebas cibernéticas de la industria es lo mismo, además de detalles serios que complican dramáticamente el modelo virtual.
Cómo acercamos la gama cibernética a la realidad
Conceptualmente, la apariencia de la parte industrial del sitio de pruebas cibernéticas depende del método elegido para modelar un sistema ciberfísico complejo. Hay tres enfoques principales para el modelado:
Cada uno de estos enfoques tiene sus propias ventajas y desventajas. En diferentes casos, según el objetivo final y las limitaciones existentes, se pueden utilizar los tres métodos de modelado anteriores. Para formalizar la elección de estos métodos, hemos compilado el siguiente algoritmo:
Los pros y los contras de los diferentes métodos de modelado se pueden representar en forma de diagrama, donde el eje y es la cobertura de áreas de estudio (es decir, la flexibilidad de la herramienta de modelado propuesta) y el eje x es la precisión. de la simulación (el grado de correspondencia con el sistema real). Resulta casi un cuadrado de Gartner:
Por tanto, el equilibrio óptimo entre precisión y flexibilidad del modelado es el llamado modelado seminatural (hardware-in-the-loop, HIL). Dentro de este enfoque, el sistema ciberfísico se modela en parte utilizando equipos reales y en parte mediante modelos matemáticos. Por ejemplo, una subestación eléctrica puede representarse mediante dispositivos de microprocesador reales (terminales de protección de relés), servidores de sistemas de control automatizados y otros equipos secundarios, y los procesos físicos que ocurren en la red eléctrica se pueden implementar utilizando un modelo de computadora. Bien, hemos decidido el método de modelado. Después de esto, fue necesario desarrollar la arquitectura de la gama Cyber. Para que los ciberejercicios sean realmente útiles, todas las interconexiones de un sistema ciberfísico complejo real deben recrearse con la mayor precisión posible en el sitio de prueba. Por tanto, en nuestro país, como en la vida real, la parte tecnológica del espectro cibernético consta de varios niveles que interactúan. Permítanme recordarles que una infraestructura de red industrial típica incluye el nivel más bajo, que incluye el llamado "equipo primario": fibra óptica, una red eléctrica u otra cosa, según la industria. Intercambia datos y es controlado por controladores industriales especializados y éstos, a su vez, por sistemas SCADA.
Comenzamos a crear la parte industrial del cibersitio a partir del segmento energético, que ahora es nuestra prioridad (las industrias química y de petróleo y gas están en nuestros planes).
Es obvio que el nivel de equipamiento primario no se puede lograr mediante modelado a escala real utilizando objetos reales. Por lo tanto, en la primera etapa, desarrollamos un modelo matemático de la instalación eléctrica y la sección adyacente del sistema eléctrico. Este modelo incluye todos los equipos eléctricos de las subestaciones: líneas eléctricas, transformadores, etc., y se ejecuta en un paquete de software RSCAD especial. El modelo creado de esta manera puede procesarse mediante un complejo informático en tiempo real; su característica principal es que el tiempo de proceso en el sistema real y el tiempo de proceso en el modelo son absolutamente idénticos, es decir, si se produce un cortocircuito en un sistema real. la red dura dos segundos, se simulará exactamente durante el mismo tiempo en RSCAD). Obtenemos una sección "viva" del sistema de energía eléctrica, que funciona de acuerdo con todas las leyes de la física e incluso responde a influencias externas (por ejemplo, activación de relés de protección y terminales de automatización, disparo de interruptores, etc.). La interacción con dispositivos externos se logró mediante interfaces de comunicación personalizables especializadas, lo que permitió que el modelo matemático interactuara con el nivel de controladores y el nivel de sistemas automatizados.
Pero los niveles de controladores y sistemas de control automatizados de una instalación eléctrica se pueden crear utilizando equipos industriales reales (aunque, si es necesario, también podemos utilizar modelos virtuales). En estos dos niveles se ubican controladores y equipos de automatización (protección y automatización de relés, PMU, USPD, medidores) y sistemas de control automatizados (SCADA, OIK, AIISKUE), respectivamente. El modelado a escala real puede aumentar significativamente el realismo del modelo y, en consecuencia, de los propios ejercicios cibernéticos, ya que los equipos interactuarán con equipos industriales reales, que tienen sus propias características, errores y vulnerabilidades.
En la tercera etapa, implementamos la interacción de las partes matemáticas y físicas del modelo utilizando interfaces de hardware y software especializados y amplificadores de señal.
Como resultado, la infraestructura se parece a esto:
Todos los equipos del sitio de prueba interactúan entre sí de la misma manera que en un sistema ciberfísico real. Más concretamente, a la hora de construir este modelo utilizamos los siguientes equipos y herramientas informáticas:
- Computación RTDS compleja para realizar cálculos en “tiempo real”;
- Estación de trabajo automatizada (AWS) de un operador con software instalado para modelar el proceso tecnológico y equipos primarios de subestaciones eléctricas;
- Gabinetes con equipos de comunicación, terminales de automatización y protección de relés y equipos de control automatizado de procesos;
- Gabinetes amplificadores diseñados para amplificar señales analógicas provenientes de la placa convertidora digital a analógica del simulador RTDS. Cada gabinete amplificador contiene un conjunto diferente de bloques de amplificación utilizados para generar señales de entrada de corriente y voltaje para los terminales de protección de relés bajo estudio. Las señales de entrada se amplifican al nivel requerido para el funcionamiento normal de los terminales de protección del relé.
Esta no es la única solución posible, pero, en nuestra opinión, es óptima para realizar ciberejercicios, ya que refleja la arquitectura real de la gran mayoría de las subestaciones modernas y, al mismo tiempo, se puede personalizar para recrear lo más posible. con la mayor precisión posible algunas características de un objeto en particular.
en conclusión
La gama cibernética es un proyecto enorme y todavía queda mucho trabajo por delante. Por un lado, estudiamos la experiencia de nuestros colegas occidentales, por otro lado, tenemos que hacer mucho en base a nuestra experiencia de trabajo específicamente con empresas industriales rusas, ya que no sólo las diferentes industrias, sino también los diferentes países tienen características específicas. Este es un tema complejo e interesante.
Sin embargo, estamos convencidos de que en Rusia hemos alcanzado lo que comúnmente se llama un “nivel de madurez” en el que la industria también comprende la necesidad de realizar ejercicios cibernéticos. Esto significa que pronto la industria tendrá sus propias mejores prácticas y, con suerte, fortaleceremos nuestro nivel de seguridad.
Autores
Oleg Arkhangelsky, analista y metodólogo líder del proyecto Industrial Cyber Test Site.
Dmitry Syutov, ingeniero jefe del proyecto Industrial Cyber Test Site;
Andrey Kuznetsov, jefe del proyecto “Sitio de prueba cibernética industrial”, jefe adjunto del Laboratorio de seguridad cibernética de sistemas automatizados de control de procesos para la producción
Fuente: habr.com