Sel aastal alustasime suure projektiga küberõppeväljaku loomiseks – küberõppuste platvormi loomiseks erinevate tööstusharude ettevõtetele. Selleks on vaja luua virtuaalseid infrastruktuure, mis on "identsed looduslikega" - nii et need kordaksid panga, energiaettevõtte jne tüüpilist sisemist struktuuri, mitte ainult võrgu ettevõtte segmendi osas. . Veidi hiljem räägime pangandusest ja muudest kübervaldkonna infrastruktuuridest ning täna räägime sellest, kuidas me selle probleemi lahendasime seoses tööstusettevõtte tehnoloogilise segmendiga.
Küberõppuste ja küberharjutusväljakute teemat eile muidugi ei kerkinud. Läänes on juba ammu välja kujunenud konkureerivate ettepanekute, küberõppuste erineva lähenemise ja lihtsalt parimate praktikate ring. Infoturbeteenuse “heaks vormiks” on perioodiliselt harjutada küberrünnete tõrjumise valmisolekut praktikas. Venemaa jaoks on see veel uus teema: jah, pakkumist on väike ja see tekkis mitu aastat tagasi, kuid nõudlus, eriti tööstussektorites, on hakanud tasapisi kujunema alles nüüd. Usume, et sellel on kolm peamist põhjust – need on ka probleemid, mis on juba väga ilmseks muutunud.
Maailm muutub liiga kiiresti
Vaid 10 aastat tagasi ründasid häkkerid peamiselt neid organisatsioone, kust said kiiresti raha välja võtta. Tööstuse jaoks oli see oht vähem oluline. Nüüd näeme, et ka valitsusorganisatsioonide, energeetika- ja tööstusettevõtete infrastruktuur on muutumas nende huviobjektiks. Siin käsitleme sagedamini spionaažikatseid, andmete vargusi erinevatel eesmärkidel (konkurentsluure, väljapressimine), aga ka infrastruktuuris kohalolekupunktide hankimist edasiseks müügiks huvitatud kaaslastele. Noh, isegi sellised banaalsed krüpteerijad nagu WannaCry on püüdnud üle maailma üsna palju sarnaseid objekte. Seetõttu nõuab kaasaegne reaalsus infoturbe spetsialistidelt nende riskidega arvestamist ja uute infoturbe protsesside loomist. Eelkõige täiustage regulaarselt oma kvalifikatsiooni ja harjutage praktilisi oskusi. Tööstusrajatiste operatiivse väljasaatmise kontrolli kõikide tasandite töötajatel peab olema selge arusaam sellest, milliseid toiminguid küberrünnaku korral ette võtta. Aga oma taristul küberõppusi läbi viia – vabandust, riskid kaaluvad selgelt üles võimaliku kasu.
Arusaamatus ründajate tegelikest võimetest protsesside juhtimissüsteemide ja IIoT-süsteemide häkkimiseks
See probleem esineb organisatsioonide kõigil tasanditel: isegi mitte kõik spetsialistid ei saa aru, mis nende süsteemiga juhtuda võib, millised ründevektorid selle vastu on saadaval. Mida saame öelda juhtimise kohta?
Turvaeksperdid apelleerivad sageli "õhulõhele", mis väidetavalt ei võimalda ründajal ettevõtte võrgust kaugemale minna, kuid praktika näitab, et 90% organisatsioonidest on ettevõtte ja tehnoloogia segmendi vahel seos. Samas on tehnoloogiliste võrkude ehitamise ja haldamise elementides sageli ka haavatavusi, mida nägime eelkõige seadmeid uurides. и .
Adekvaatset ohumudelit on keeruline üles ehitada
Viimastel aastatel on toimunud pidev info ja automatiseeritud süsteemide keerukamaks muutumise protsess, samuti on toimunud üleminek küberfüüsikalistele süsteemidele, mis hõlmavad arvutusressursside ja füüsiliste seadmete integreerimist. Süsteemid muutuvad nii keeruliseks, et küberrünnakute kõiki tagajärgi on analüütiliste meetoditega lihtsalt võimatu ennustada. Me ei räägi ainult organisatsioonile tekitatavast majanduslikust kahjust, vaid ka tehnoloogile ja tööstusele arusaadavatest tagajärgedest - näiteks elektrienergia või muud tüüpi toote alapakkumisest, kui räägime naftast ja gaasist. või naftakeemia. Ja kuidas sellises olukorras prioriteete seada?
Tegelikult sai see kõik meie arvates eelduseks küberõppuste ja küberharjutusväljakute kontseptsiooni tekkimisele Venemaal.
Kuidas kübervahemiku tehnoloogiline segment töötab
Kübertestimispolster on virtuaalsete infrastruktuuride kompleks, mis kordab erinevate tööstusharude ettevõtete tüüpilisi infrastruktuure. See võimaldab teil “kasside peal harjutada” - harjutada spetsialistide praktilisi oskusi ilma riskita, et midagi ei lähe plaanipäraselt ja küberharjutused kahjustavad reaalse ettevõtte tegevust. Suured küberjulgeolekufirmad hakkavad seda valdkonda arendama ning sarnaseid küberharjutusi mänguformaadis saab vaadata näiteks Positive Hack Days'il.
Tüüpiline suurettevõtte või korporatsiooni võrguinfrastruktuuri skeem on üsna tavaline serverite, tööarvutite ja erinevate võrguseadmete komplekt koos ettevõtte tarkvara ja infoturbesüsteemide standardkomplektiga. Tööstusharu kübertestipolügoonid on kõik ühesugused, pluss tõsised eripärad, mis muudavad virtuaalse mudeli dramaatiliselt keeruliseks.
Kuidas me tõime küberulatuse tegelikkusele lähemale
Kontseptuaalselt sõltub küberkatseplatsi tööstusliku osa väljanägemine valitud meetodist keeruka küberfüüsikalise süsteemi modelleerimiseks. Modelleerimiseks on kolm peamist lähenemisviisi:
Igal neist lähenemisviisidest on oma eelised ja puudused. Erinevatel juhtudel, sõltuvalt lõppeesmärgist ja olemasolevatest piirangutest, saab kasutada kõiki kolme ülaltoodud modelleerimismeetodit. Nende meetodite valiku vormistamiseks oleme koostanud järgmise algoritmi:
Erinevate modelleerimismeetodite plusse ja miinuseid saab esitada diagrammina, kus y-telg on uuritavate valdkondade katvus (st pakutud modelleerimisvahendi paindlikkus) ja x-telg on täpsus. simulatsiooni (vastavusaste tegelikule süsteemile). Selgub, et see on peaaegu Gartneri ruut:
Seega on optimaalne tasakaal modelleerimise täpsuse ja paindlikkuse vahel nn pool-looduslik modelleerimine (hardware-in-the-loop, HIL). Selle lähenemisviisi raames modelleeritakse küberfüüsikalist süsteemi osaliselt reaalsete seadmete abil ja osaliselt matemaatilisi mudeleid. Näiteks elektrialajaama saab kujutada reaalsete mikroprotsessorseadmete (releekaitseterminalide), automatiseeritud juhtimissüsteemide serverite ja muude sekundaarseadmetega ning elektrivõrgus toimuvad füüsilised protsessid ise on realiseeritud arvutimudeli abil. Olgu, oleme otsustanud modelleerimismeetodi kasuks. Pärast seda oli vaja välja töötada kübervahemiku arhitektuur. Selleks, et küberharjutused oleksid tõeliselt kasulikud, tuleb katseplatsil võimalikult täpselt uuesti luua tõelise keeruka küberfüüsikalise süsteemi kõik seosed. Seetõttu koosneb kübervahemiku tehnoloogiline osa ka meie riigis, nagu ka päriselus, mitmest koostoimivast tasemest. Tuletan meelde, et tüüpiline tööstusvõrgu infrastruktuur sisaldab kõige madalamat taset, mis hõlmab nn "primaarseadmeid" - see on kiudoptiline, elektrivõrk või midagi muud, olenevalt tööstusest. See vahetab andmeid ja seda juhivad spetsiaalsed tööstuslikud kontrollerid ning need omakorda SCADA-süsteemide abil.
Küberplatsi tööstusliku osa loomist alustasime energiasegmendist, mis on praegu meie prioriteet (plaanides on nafta- ja gaasitööstus ning keemiatööstus).
On ilmne, et esmase varustuse taset ei saa realiseerida täismahus modelleerimisega, kasutades reaalseid objekte. Seetõttu töötasime esimeses etapis välja elektrijaama ja sellega külgneva elektrisüsteemi osa matemaatilise mudeli. See mudel sisaldab kõiki alajaamade toiteseadmeid - elektriliine, trafosid jne ning see on teostatud spetsiaalses RSCAD-tarkvarapaketis. Sel viisil loodud mudelit saab töödelda reaalajas arvutuskompleks - selle peamine omadus on see, et protsessi aeg reaalsüsteemis ja protsessi aeg mudelis on absoluutselt identsed - see tähendab, kui reaalsüsteemis tekib lühis. võrk kestab kaks sekundit, simuleeritakse seda RSCAD-is täpselt sama kaua). Saame elektrisüsteemi "aktiivne" sektsioon, mis toimib vastavalt kõigile füüsikaseadustele ja reageerib isegi välismõjudele (näiteks releekaitse- ja automaatikaklemmide aktiveerimine, lülitite väljalülitumine jne). Koostoime välisseadmetega saavutati spetsiaalsete kohandatavate sideliideste abil, mis võimaldas matemaatilisel mudelil suhelda kontrollerite taseme ja automatiseeritud süsteemide tasemega.
Kuid elektrijaama kontrollerite ja automatiseeritud juhtimissüsteemide tasemeid saab luua reaalsete tööstusseadmete abil (kuigi vajadusel saame kasutada ka virtuaalseid mudeleid). Neil kahel tasemel on vastavalt kontrollerid ja automaatikaseadmed (releekaitse, PMU, USPD, arvestid) ja automatiseeritud juhtimissüsteemid (SCADA, OIK, AIISKUE). Täismõõtmeline modelleerimine võib märkimisväärselt suurendada mudeli realistlikkust ja vastavalt ka küberharjutusi ennast, kuna meeskonnad suhtlevad tõeliste tööstusseadmetega, millel on oma omadused, vead ja haavatavused.
Kolmandas etapis rakendasime mudeli matemaatiliste ja füüsiliste osade interaktsiooni spetsiaalsete riist- ja tarkvaraliideste ning signaalivõimendite abil.
Selle tulemusena näeb infrastruktuur välja umbes selline:
Kõik katsepaiga seadmed suhtlevad üksteisega samamoodi nagu päris küberfüüsilises süsteemis. Täpsemalt kasutasime selle mudeli ehitamisel järgmisi seadmeid ja arvutustööriistu:
- Arvutuskompleks RTDS reaalajas arvutuste tegemiseks;
- Operaatori automatiseeritud tööjaam (AWS), millel on installitud tarkvara elektrialajaamade tehnoloogilise protsessi ja primaarseadmete modelleerimiseks;
- Sideseadmete, releekaitse- ja automaatikaterminalidega ning automatiseeritud protsessijuhtimisseadmetega kapid;
- Võimendikapid, mis on ette nähtud RTDS-simulaatori digitaal-analoogmuunduri plaadi analoogsignaalide võimendamiseks. Iga võimendikapp sisaldab erinevat komplekti võimendusplokke, mida kasutatakse uuritavate releekaitseklemmide jaoks voolu ja pinge sisendsignaalide genereerimiseks. Sisendsignaale võimendatakse tasemeni, mis on vajalik releekaitseklemmide normaalseks tööks.
See pole ainuvõimalik lahendus, kuid meie arvates on see küberõppuste läbiviimiseks optimaalne, kuna peegeldab enamiku kaasaegsete alajaamade tegelikku arhitektuuri ja samas saab seda kohandada nii, et see taasluuaks võimalikult täpselt teatud objekti tunnuseid.
Kokkuvõttes
Küberulatus on tohutu projekt ja palju tööd on veel ees. Ühelt poolt uurime oma lääne kolleegide kogemusi, teisalt peame palju ära tegema just Venemaa tööstusettevõtetega töötamise kogemuse põhjal, kuna spetsiifika on mitte ainult erinevatel tööstusharudel, vaid ka erinevatel riikidel. See on ühtaegu keeruline ja huvitav teema.
Sellegipoolest oleme veendunud, et oleme Venemaal saavutanud nn küpsuse taseme, mil ka tööstus mõistab küberõppuste vajalikkust. See tähendab, et peagi on tööstuses oma parimad tavad ja loodetavasti tugevdame oma turvataset.
Autorid
Oleg Arkhangelsky, Industrial Cyber Test Site projekti juhtiv analüütik ja metoodik.
Dmitri Syutov, tööstusliku küberkatseala projekti peainsener;
Andrei Kuznetsov, projekti "Industrial Cyber Test Site" juht, tootmise automatiseeritud protsessijuhtimissüsteemide küberturvalisuse labori juhataja asetäitja
Allikas: www.habr.com