امسال ما یک پروژه بزرگ برای ایجاد یک زمین آموزش سایبری - بستری برای تمرینات سایبری برای شرکتها در صنایع مختلف آغاز کردیم. برای انجام این کار، ایجاد زیرساختهای مجازی ضروری است که «یکسان با زیرساختهای طبیعی» باشند - به طوری که ساختار داخلی معمولی یک بانک، شرکت انرژی و غیره را تکرار کنند و نه تنها از نظر بخش شرکتی شبکه. . کمی بعد در مورد زیرساخت های بانکی و سایر زیرساخت های حوزه سایبری صحبت خواهیم کرد و امروز در مورد چگونگی حل این مشکل در رابطه با بخش فناوری یک شرکت صنعتی صحبت خواهیم کرد.
البته دیروز موضوع تمرین های سایبری و زمین های تمرین سایبری مطرح نشد. در غرب، دایرهای از پیشنهادات رقابتی، رویکردهای مختلف به تمرینهای سایبری و صرفاً بهترین شیوهها مدتهاست شکل گرفته است. "شکل خوب" سرویس امنیت اطلاعات این است که به طور دوره ای آمادگی خود را برای دفع حملات سایبری در عمل تمرین کند. برای روسیه، این هنوز یک موضوع جدید است: بله، عرضه اندکی وجود دارد و چندین سال پیش به وجود آمد، اما تقاضا، به ویژه در بخش های صنعتی، تنها در حال حاضر به تدریج شروع به شکل گیری کرده است. ما معتقدیم سه دلیل اصلی برای این وجود دارد - آنها همچنین مشکلاتی هستند که قبلاً بسیار آشکار شده اند.
دنیا خیلی سریع در حال تغییر است
فقط 10 سال پیش، هکرها عمدتا به سازمان هایی حمله کردند که می توانستند به سرعت از آنها پول برداشت کنند. برای صنعت، این تهدید کمتر مرتبط بود. اکنون می بینیم که زیرساخت های سازمان های دولتی، بنگاه های انرژی و صنعتی نیز به موضوع مورد توجه آنها تبدیل می شود. در اینجا بیشتر با تلاش برای جاسوسی، سرقت داده ها برای اهداف مختلف (هوش رقابتی، باج خواهی) و همچنین به دست آوردن نقاط حضور در زیرساخت برای فروش بیشتر به رفقای علاقه مند سروکار داریم. خب، حتی رمزگذارهای پیش پا افتاده ای مانند WannaCry نیز تعداد کمی از اشیاء مشابه را در سراسر جهان دستگیر کرده اند. بنابراین، واقعیت های مدرن مستلزم این است که متخصصان امنیت اطلاعات این خطرات را در نظر گرفته و فرآیندهای جدید امنیت اطلاعات را ایجاد کنند. به ویژه، به طور منظم مدارک خود را بهبود بخشید و مهارت های عملی خود را تمرین کنید. پرسنل در تمام سطوح کنترل اعزام عملیاتی تأسیسات صنعتی باید درک روشنی از اقداماتی که باید در صورت حمله سایبری انجام دهند، داشته باشند. اما برای انجام تمرینهای سایبری بر روی زیرساخت خود - متأسفیم، خطرات به وضوح از مزایای احتمالی آن بیشتر است.
عدم درک توانایی های واقعی مهاجمان برای هک سیستم های کنترل فرآیند و سیستم های IIoT
این مشکل در تمام سطوح سازمان ها وجود دارد: حتی همه متخصصان نمی دانند که چه اتفاقی می تواند برای سیستم آنها بیفتد، چه بردارهای حمله علیه آن در دسترس هستند. در مورد رهبری چه بگوییم؟
کارشناسان امنیتی اغلب به "شکاف هوایی" متوسل می شوند که ظاهراً به مهاجم اجازه نمی دهد از شبکه شرکتی فراتر برود، اما تمرین نشان می دهد که در 90٪ سازمان ها بین بخش های شرکت و فناوری ارتباط وجود دارد. در عین حال، خود عناصر ساخت و مدیریت شبکههای فناوری نیز اغلب دارای آسیبپذیریهایی هستند که بهویژه هنگام بررسی تجهیزات شاهد آن بودیم. и .
ایجاد یک مدل تهدید کافی دشوار است
در سالهای اخیر، روند دائمی افزایش پیچیدگی اطلاعات و سیستمهای خودکار، و همچنین انتقال به سیستمهای فیزیکی-سایبری که شامل یکپارچهسازی منابع محاسباتی و تجهیزات فیزیکی است، وجود داشته است. سیستم ها به قدری پیچیده می شوند که نمی توان با استفاده از روش های تحلیلی تمام عواقب حملات سایبری را پیش بینی کرد. ما نه تنها در مورد آسیب اقتصادی به سازمان صحبت می کنیم، بلکه در مورد ارزیابی عواقبی که برای فناور و صنعت قابل درک است - برای مثال کمبود برق، یا نوع دیگری از محصول، اگر در مورد نفت و گاز صحبت می کنیم، صحبت می کنیم. یا پتروشیمی و چگونه می توان در چنین شرایطی اولویت ها را تعیین کرد؟
در واقع، همه اینها، به نظر ما، پیش نیازهای ظهور مفهوم تمرینات سایبری و زمین های آموزش سایبری در روسیه شد.
نحوه عملکرد بخش تکنولوژیکی محدوده سایبری
میدان آزمایش سایبری مجموعه ای از زیرساخت های مجازی است که زیرساخت های معمولی شرکت ها در صنایع مختلف را تکرار می کند. این به شما امکان می دهد "روی گربه ها تمرین کنید" - مهارت های عملی متخصصان را بدون خطر اینکه چیزی طبق برنامه پیش نمی رود تمرین کنید و تمرین های سایبری به فعالیت های یک شرکت واقعی آسیب می زند. شرکتهای بزرگ امنیت سایبری شروع به توسعه این حوزه کردهاند، و شما میتوانید تمرینهای سایبری مشابه را در قالب بازی تماشا کنید، به عنوان مثال، در Positive Hack Days.
یک نمودار زیرساخت شبکه معمولی برای یک شرکت یا شرکت بزرگ مجموعه ای نسبتاً استاندارد از سرورها، رایانه های کاری و دستگاه های مختلف شبکه با مجموعه ای استاندارد از نرم افزارهای شرکتی و سیستم های امنیت اطلاعات است. یک میدان آزمایش سایبری در صنعت همه یکسان است، به علاوه ویژگی های جدی که به طور چشمگیری مدل مجازی را پیچیده می کند.
چگونه محدوده سایبری را به واقعیت نزدیک کردیم
از نظر مفهومی، ظاهر بخش صنعتی سایت آزمایش سایبری به روش انتخاب شده برای مدلسازی یک سیستم پیچیده سایبری-فیزیکی بستگی دارد. سه رویکرد اصلی برای مدل سازی وجود دارد:
هر یک از این رویکردها مزایا و معایب خاص خود را دارند. در موارد مختلف بسته به هدف نهایی و محدودیت های موجود می توان از هر سه روش مدل سازی فوق استفاده کرد. به منظور رسمی کردن انتخاب این روش ها، الگوریتم زیر را گردآوری کرده ایم:
مزایا و معایب روشهای مختلف مدلسازی را میتوان در قالب یک نمودار نشان داد، که در آن محور y پوشش مناطق مورد مطالعه (یعنی انعطافپذیری ابزار مدلسازی پیشنهادی) و محور x دقت است. از شبیه سازی (درجه مطابقت با سیستم واقعی). تقریباً یک مربع گارتنر به نظر می رسد:
بنابراین، تعادل بهینه بین دقت و انعطافپذیری مدلسازی، مدلسازی نیمه طبیعی (سختافزار در حلقه، HIL) است. در این رویکرد، سیستم فیزیکی سایبری تا حدی با استفاده از تجهیزات واقعی و تا حدی با استفاده از مدلهای ریاضی مدلسازی میشود. به عنوان مثال، یک پست الکتریکی را می توان با دستگاه های ریزپردازنده واقعی (پایانه های حفاظت رله)، سرورهای سیستم های کنترل خودکار و سایر تجهیزات ثانویه نشان داد و فرآیندهای فیزیکی که در شبکه الکتریکی اتفاق می افتد با استفاده از یک مدل کامپیوتری پیاده سازی می شوند. خوب، ما در مورد روش مدل سازی تصمیم گرفته ایم. پس از این، توسعه معماری محدوده سایبری ضروری بود. برای اینکه تمرینهای سایبری واقعاً مفید باشند، تمام اتصالات یک سیستم فیزیکی-سایبری پیچیده واقعی باید تا حد امکان دقیق در سایت آزمایشی بازسازی شوند. بنابراین، در کشور ما، مانند زندگی واقعی، بخش تکنولوژیکی محدوده سایبری از چندین سطح تعاملی تشکیل شده است. اجازه دهید یادآوری کنم که یک زیرساخت شبکه صنعتی معمولی شامل پایین ترین سطح است که شامل به اصطلاح "تجهیزات اولیه" است - این فیبر نوری، یک شبکه الکتریکی یا چیز دیگری است، بسته به صنعت. این داده ها را مبادله می کند و توسط کنترل کننده های صنعتی تخصصی و آنها نیز به نوبه خود توسط سیستم های SCADA کنترل می شود.
ما شروع به ایجاد بخش صنعتی سایت سایبری از بخش انرژی کردیم که اکنون اولویت ماست (صنایع نفت و گاز و شیمیایی در برنامه های ما هستند).
بدیهی است که سطح تجهیزات اولیه را نمی توان از طریق مدل سازی در مقیاس کامل با استفاده از اشیاء واقعی تحقق بخشید. بنابراین، در مرحله اول، یک مدل ریاضی از تاسیسات برق و بخش مجاور سیستم قدرت ایجاد کردیم. این مدل شامل کلیه تجهیزات برق پست ها – خطوط برق، ترانسفورماتور و ... می باشد و در بسته نرم افزاری ویژه RSCAD اجرا می شود. مدل ایجاد شده به این روش را می توان توسط یک مجتمع محاسباتی بلادرنگ پردازش کرد - ویژگی اصلی آن این است که زمان پردازش در سیستم واقعی و زمان فرآیند در مدل کاملاً یکسان هستند - یعنی اگر یک اتصال کوتاه در یک واقعی باشد. شبکه دو ثانیه طول می کشد، دقیقاً برای همان زمان در RSCAD شبیه سازی می شود. ما یک بخش "زنده" از سیستم برق را دریافت می کنیم که مطابق با تمام قوانین فیزیک عمل می کند و حتی به تأثیرات خارجی پاسخ می دهد (به عنوان مثال، فعال سازی ترمینال های حفاظت رله و اتوماسیون، خاموش کردن سوئیچ ها و غیره). تعامل با دستگاههای خارجی با استفاده از رابطهای ارتباطی سفارشیسازی تخصصی به دست آمد و به مدل ریاضی اجازه میداد تا با سطح کنترلکنندهها و سطح سیستمهای خودکار تعامل داشته باشد.
اما سطوح کنترلکنندهها و سیستمهای کنترل خودکار یک مرکز برق را میتوان با استفاده از تجهیزات صنعتی واقعی ایجاد کرد (البته در صورت لزوم میتوان از مدلهای مجازی نیز استفاده کرد). در این دو سطح به ترتیب کنترلکنندهها و تجهیزات اتوماسیون (حفاظت رله، PMU، USPD، متر) و سیستمهای کنترل خودکار (SCADA، OIK، AIISKUE) وجود دارد. مدل سازی در مقیاس کامل می تواند به طور قابل توجهی واقع گرایی مدل و بر این اساس خود تمرین های سایبری را افزایش دهد، زیرا تیم ها با تجهیزات صنعتی واقعی که دارای ویژگی ها، اشکالات و آسیب پذیری های خاص خود هستند، تعامل خواهند داشت.
در مرحله سوم، تعامل بخشهای ریاضی و فیزیکی مدل را با استفاده از رابطهای سختافزاری و نرمافزاری تخصصی و تقویتکنندههای سیگنال پیادهسازی کردیم.
در نتیجه، زیرساخت چیزی شبیه به این است:
همه تجهیزات سایت آزمایشی به همان روشی که در یک سیستم فیزیکی سایبری واقعی با یکدیگر تعامل دارند. به طور خاص، هنگام ساخت این مدل از تجهیزات و ابزار محاسباتی زیر استفاده کردیم:
- محاسبه RTDS پیچیده برای انجام محاسبات در "زمان واقعی"؛
- ایستگاه کاری خودکار (AWS) یک اپراتور با نرم افزار نصب شده برای مدل سازی فرآیند تکنولوژیکی و تجهیزات اولیه پست های برق.
- کابینت با تجهیزات ارتباطی، ترمینال های حفاظت رله و اتوماسیون، و تجهیزات کنترل فرآیند خودکار؛
- کابینت های تقویت کننده برای تقویت سیگنال های آنالوگ از برد مبدل دیجیتال به آنالوگ شبیه ساز RTDS طراحی شده اند. هر کابینت تقویت کننده شامل مجموعه متفاوتی از بلوک های تقویت کننده است که برای تولید سیگنال های ورودی جریان و ولتاژ برای پایانه های حفاظت رله مورد مطالعه استفاده می شود. سیگنال های ورودی تا سطح مورد نیاز برای عملکرد عادی پایانه های حفاظت رله تقویت می شوند.
این تنها راه حل ممکن نیست، اما، به نظر ما، برای انجام تمرینات سایبری بهینه است، زیرا معماری واقعی اکثریت قریب به اتفاق پست های مدرن را منعکس می کند، و در عین حال می توان آن را به گونه ای سفارشی کرد که بازآفرینی شود. برخی از ویژگی های یک شی خاص تا حد امکان دقیق است.
در نتیجه
محدوده سایبری پروژه بزرگی است و هنوز کار زیادی در پیش است. ما از یک طرف تجربیات همکاران غربی خود را مطالعه می کنیم، از طرف دیگر باید بر اساس تجربه کار به طور خاص با شرکت های صنعتی روسیه کارهای زیادی انجام دهیم، زیرا نه تنها صنایع مختلف، بلکه کشورهای مختلف نیز دارای ویژگی هایی هستند. این موضوع هم پیچیده و هم جالب است.
با این وجود، ما متقاعد شدهایم که ما در روسیه به چیزی رسیدهایم که معمولاً «سطح بلوغ» نامیده میشود، زمانی که صنعت نیز نیاز به تمرینهای سایبری را درک میکند. این بدان معنی است که به زودی صنعت بهترین شیوه های خود را خواهد داشت و امیدواریم سطح امنیت خود را تقویت کنیم.
نویسنده
اولگ آرخانگلسکی، تحلیلگر و روش شناس برجسته پروژه سایت تست سایبری صنعتی.
دیمیتری سیوتوف، مهندس ارشد پروژه سایت تست سایبری صنعتی؛
آندری کوزنتسوف، رئیس پروژه "سایت تست سایبری صنعتی"، معاون آزمایشگاه امنیت سایبری سیستم های کنترل فرآیند خودکار برای تولید
منبع: www.habr.com