Aurten proiektu handi bat hasi dugu ziber-prestakuntza gune bat sortzeko, hainbat industriatako enpresentzako ziber ariketak egiteko plataforma. Horretarako, beharrezkoa da "naturalen berdinak" diren azpiegitura birtualak sortzea, banku baten, energia-enpresa eta abarren barne-egitura tipikoa errepikatu dezaten, eta ez sarearen segmentu korporatiboari dagokionez soilik. . Pixka bat geroago ziber-esparruko banku eta bestelako azpiegiturei buruz hitz egingo dugu, eta gaur, industria-enpresa baten segmentu teknologikoari dagokionez arazo hori nola konpondu genuen azalduko dugu.
Jakina, ziber-ariketen eta ziber-entrenamendu-esparruen gaia ez zen atzo sortu. Mendebaldean, proposamen lehiakorrak, ziber-ariketetarako planteamendu desberdinak eta praktika onen zirkulu bat osatu da aspalditik. Informazioaren segurtasun-zerbitzuaren "forma ona" da aldian-aldian ziber-erasoak uxatzeko prest egotea praktikan. Errusiarentzat gai berria da oraindik: bai, eskaintza txikia dago, eta duela zenbait urte sortu zen, baina eskaria, industria sektoreetan batez ere, pixkanaka-pixkanaka osatzen hasi da orain. Hiru arrazoi nagusi daudela uste dugu, dagoeneko oso agerikoak diren arazoak ere badira.
Mundua azkarregi aldatzen ari da
Duela 10 urte besterik ez, hackerrek dirua azkar atera zezaketen erakundeei eraso zieten batez ere. Industriarentzat, mehatxu hori ez zen hain garrantzitsua. Orain ikusten dugu gobernu-erakundeen, energiaren eta industria-enpresen azpiegiturak ere haien intereseko gai bihurtzen ari direla. Hemen espioitza saiakerak, hainbat helburutarako datuen lapurretak (lehiako adimenak, xantaiak) eta azpiegituretan presentzia puntuak lortzeaz gain, interesa duten burkideei gehiago saltzeko. Beno, WannaCry bezalako enkriptazio hutsalek ere antzeko objektu dezente harrapatu dituzte munduan zehar. Hori dela eta, errealitate modernoek informazioaren segurtasuneko espezialistek arrisku horiek kontuan hartu behar dituzte eta informazioaren segurtasun prozesu berriak sortzea. Bereziki, hobetu aldian-aldian zure kualifikazioak eta trebetasun praktikoak landu. Industria-instalazioetako bidalketa operatiboen kontroleko maila guztietako langileek argi izan behar dute zer ekintza egin behar diren zibereraso bat gertatuz gero. Baina ziber-ariketak zure azpiegituran egiteko - barkatu, arriskuek argi eta garbi gainditzen dituzte posible diren onurak.
Erasotzaileek prozesuak kontrolatzeko sistemak eta IIoT sistemak hackeatzeko dituzten gaitasun errealak ulertzea
Arazo hau erakundeen maila guztietan dago: espezialista guztiek ere ez dute ulertzen zer gerta daitekeen euren sistemarekin, zein eraso-bektore dauden haren aurka. Zer esan dezakegu lidergoaz?
Segurtasun adituek "aire hutsuneari" jotzen diote sarritan, ustez erasotzaile bati sare korporatibotik haratago joango ez dena, baina praktikak erakusten du erakundeen % 90ean lotura bat dagoela korporazioen eta teknologiaren segmentuen artean. Aldi berean, sare teknologikoak eraikitzeko eta kudeatzeko elementuek ere sarritan ahultasunak dituzte, eta, bereziki, ekipoak aztertzean ikusi genituen. ΠΈ .
Zaila da mehatxu eredu egoki bat eraikitzea
Azken urteotan, informazio eta sistema automatizatuen konplexutasuna areagotzeko prozesu etengabea izan da, baita informatika baliabideak eta ekipamendu fisikoak integratzea dakarren sistema ziberfisikoetarako trantsizioa ere. Sistemak hain konplexuak bihurtzen ari dira, non, besterik gabe, ezinezkoa da ziber-erasoen ondorio guztiak aurreikustea metodo analitikoak erabiliz. Erakundearen kalte ekonomikoaz ez ezik, teknologoarentzat eta industriarentzat ulergarriak diren ondorioak ebaluatzeaz ere ari gara -elektrizitatearen hornidura eskasa, adibidez, edo beste produktu mota bat, petrolio eta gasaz ari bagara. edo petrokimikoak. Eta nola ezarri lehentasunak halako egoera batean?
Egia esan, hori guztia, gure ustez, Errusian ziber ariketak eta ziber prestakuntza-zelaiak agertzeko ezinbesteko baldintza bihurtu zen.
Nola funtzionatzen duen ziber-eremuaren segmentu teknologikoak
Ziber-probak egiteko eremua hainbat industriatako enpresen azpiegitura tipikoak errepikatzen dituen azpiegitura birtualen konplexua da. "Katuen gainean praktikatzeko" aukera ematen dizu - espezialisten trebetasun praktikoak lantzeko, zerbait planaren arabera ez joateko arriskurik gabe, eta ziber-ariketek benetako enpresa baten jarduerak kaltetuko dituzte. Zibersegurtasuneko enpresa handiak arlo hau garatzen hasiak dira, eta antzeko ziber-ariketak ikusi ahal izango dituzu joko formatuan, adibidez, Positive Hack Days-en.
Enpresa edo korporazio handi baten sare-azpiegituren diagrama tipiko bat zerbitzari, lan-ordenagailu eta sareko hainbat gailu multzo nahiko estandarra da, korporazio-software eta informazio-segurtasun sistema estandar batekin. Industria ziber-probak egiteko eremua berdina da, eta eredu birtuala izugarri zailtzen duten zehaztapen serioak.
Nola hurbildu genuen ziber-esparrua errealitatera
Kontzeptuki, ziber-proba gunearen atal industrialaren itxura sistema ziber-fisiko konplexu bat modelatzeko aukeratutako metodoaren araberakoa da. Modelatzeko hiru ikuspegi nagusi daude:
Planteamendu horietako bakoitzak bere abantailak eta desabantailak ditu. Kasu ezberdinetan, azken helburuaren eta dauden mugen arabera, aipatutako hiru modelizazio metodoak erabil daitezke. Metodo horien aukeraketa formalizatzeko, algoritmo hau osatu dugu:
Modelizazio-metodo ezberdinen alde onak eta txarrak diagrama baten moduan irudika daitezke, non y-ardatza azterketa-eremuen estaldura den (hau da, proposatutako modelizazio-tresnaren malgutasuna) eta x-ardatza zehaztasuna den. simulazioaren (sistema errealarekiko korrespondentzia-maila). Ia Gartner plaza bat ateratzen da:
Beraz, modelizazioaren zehaztasunaren eta malgutasunaren arteko oreka optimoa modelizazio erdi-naturala deritzona da (hardware-in-the-loop, HIL). Ikuspegi honen barruan, sistema ziber-fisikoa, neurri batean, ekipamendu errealak erabiliz modelatzen da, eta neurri batean eredu matematikoak erabiliz. Esate baterako, azpiestazio elektriko bat benetako mikroprozesadore-gailuekin (errele babesteko terminalak), kontrol-sistema automatikoen zerbitzariak eta bigarren mailako beste ekipamendu batzuekin irudika daiteke, eta sare elektrikoan gertatzen diren prozesu fisikoak beraiek ordenagailu-eredu baten bidez gauzatzen dira. Ados, modelatzeko metodoa erabaki dugu. Horren ostean, beharrezkoa izan zen ziber barrutiaren arkitektura garatzea. Ziber-ariketak benetan erabilgarriak izan daitezen, benetako sistema ziber-fisiko konplexu baten interkonexio guztiak ahalik eta zehatzen birsortu behar dira proba-gunean. Hori dela eta, gure herrian, bizitza errealean bezala, ziber-eremuaren atal teknologikoa elkarreraginean dauden hainbat mailak osatzen dute. Gogorarazten dizut industria-sare-azpiegitura tipiko batek maila baxuena barne hartzen duela, eta horrek "ekipamendu primarioa" deritzona barne hartzen du; hau da, zuntz optikoa, sare elektrikoa edo beste zerbait, industriaren arabera. Datuak trukatzen ditu eta kontrolagailu industrial espezializatuek kontrolatzen dute, eta horiek, aldi berean, SCADA sistemek.
Zibergunearen industria-zatia sortzen hasi ginen energia-segmentutik, gaur egun gure lehentasuna dena (petrolioa eta gasa eta industria kimikoa gure planetan daude).
Bistakoa da lehen mailako ekipamenduaren maila ezin dela gauzatu eskala osoko modelizazioaren bidez benetako objektuak erabiliz. Hori dela eta, lehen fasean, energia-instalazioaren eta sistema elektrikoaren ondoko atalaren eredu matematiko bat garatu genuen. Eredu honek azpiestazioetako potentzia-ekipo guztiak barne hartzen ditu - linea elektrikoak, transformadoreak, etab., eta RSCAD software pakete berezi batean exekutatzen da. Horrela sortutako eredua denbora errealeko konputazio-konplexu batek prozesatu dezake -bere ezaugarri nagusia da sistema errealeko prozesu-denbora eta ereduko prozesu-denbora guztiz berdinak direla-, hau da, zirkuitu labur bat erreal batean. sareak bi segundo irauten ditu, RSCADen denbora berdinean simulatuko da). Energia elektrikoaren sistemaren atal "bizia" lortzen dugu, fisikaren lege guztien arabera funtzionatzen duena eta baita kanpoko eraginei erantzuten diena (adibidez, erreleen babesa eta automatizazio terminalak aktibatzea, etengailuak aktibatzea, etab.). Kanpoko gailuekiko interakzioa komunikazio-interfaze pertsonalizatu espezializatuak erabiliz lortu da, eredu matematikoari kontroladoreen eta sistema automatizatuen mailarekin elkarreragiteko aukera emanez.
Baina elektrizitate-instalazio baten kontrolagailuen eta kontrol automatizatuko sistemaren mailak benetako ekipamendu industrialak erabiliz sor daitezke (nahiz eta, behar izanez gero, eredu birtualak ere erabil ditzakegun). Bi maila hauetan, hurrenez hurren, kontrolagailuak eta automatizazio-ekipoak (errele babesa, PMU, USPD, kontagailuak) eta kontrol automatizatuko sistemak (SCADA, OIK, AIISKUE) daude. Eskala osoko modelizazioak ereduaren errealismoa nabarmen handitu dezake eta, horren arabera, ziber-ariketak beraiek, taldeek bere ezaugarri, akats eta ahultasun propioak dituen ekipamendu industrial errealarekin elkarreragituko baitute.
Hirugarren etapan, ereduaren zati matematiko eta fisikoen elkarrekintza inplementatu genuen hardware eta software interfaze espezializatuak eta seinale-anplifikadoreak erabiliz.
Ondorioz, azpiegiturak honelako itxura du:
Proba guneko ekipamendu guztiak elkarreragin egiten dute benetako sistema ziber-fisiko batean bezala. Zehazkiago, eredu hau eraikitzerakoan honako ekipo eta tresna informatiko hauek erabili ditugu:
- Kalkuluak "denbora errealean" egiteko RTDS konplexuak kalkulatzea;
- Azpiestazio elektrikoen prozesu teknologikoa eta lehen ekipamenduak modelatzeko software instalatuta duen operadore baten lan-estazio automatizatua (AWS);
- Komunikazio-ekipoak, erreleen babesa eta automatizazio-terminalak eta prozesu automatizatuak kontrolatzeko ekipoak dituzten armairuak;
- RTDS simulagailuaren digital-analogiko bihurgailuaren plakako seinale analogikoak anplifikatzeko diseinatutako anplifikadore-armairuak. Anplifikadore bakoitzak aztergai dauden errele babesteko terminaletarako korronte eta tentsioko sarrerako seinaleak sortzeko erabiltzen diren anplifikazio-bloke multzo ezberdin bat dauka. Sarrerako seinaleak anplifikatu egiten dira erreleen babes-termineen funtzionamendu normalerako behar den mailaraino.
Hau ez da irtenbide posible bakarra, baina, gure ustez, ziber-ariketak egiteko aproposa da, azpiestazio moderno gehienen benetako arkitektura islatzen baitu, eta, aldi berean, pertsonalizatu daitekeen moduan birsortzeko. ahalik eta zehatzen objektu jakin baten ezaugarri batzuk.
Ondorioz
Zibersorta proiektu itzela da, eta oraindik lan asko dago aurretik. Alde batetik, gure mendebaldeko lankideen esperientzia aztertzen dugu, bestetik, asko egin behar dugu Errusiako industria-enpresekin bereziki lan egiteko esperientzian oinarrituta, industria ezberdinek ez ezik, herrialde ezberdinek ere berezitasunak baitituzte. Gai konplexua eta interesgarria da.
Hala ere, ziur gaude Errusian normalean "heldutasun-maila" deitzen den horretara iritsi garela, industriak ziber-ariketen beharra ere ulertzen duenean. Horrek esan nahi du laster industriak bere jardunbide onenak izango dituela, eta espero dugu gure segurtasun maila indartuko dugula.
Authors
Oleg Arkhangelsky, Industrial Cyber ββββTest Site proiektuko analista eta metodologo nagusia.
Dmitry Syutov, Industrial Cyber ββββTest Site proiektuko ingeniari nagusia;
Andrey Kuznetsov, "Industrial Cyber ββββTest Site" proiektuaren burua, Produkziorako Prozesuen Kontrol Sistema Automatizatuen Ziber Segurtasun Laborategiko buruordea
Iturria: www.habr.com