Tänä vuonna aloitimme suuren projektin kyberharjoituskentän luomiseksi – alustan kyberharjoitteluille eri alojen yrityksille. Tätä varten on tarpeen luoda virtuaalisia infrastruktuureja, jotka ovat "identtisiä luonnollisten" - jotta ne jäljittelevät pankin, energiayhtiön jne. tyypillistä sisäistä rakennetta, eivät vain verkon yrityssegmentin kannalta. . Hieman myöhemmin puhumme kyberalueen pankki- ja muista infrastruktuureista, ja tänään puhumme siitä, kuinka ratkaisimme tämän ongelman suhteessa teollisuusyrityksen teknologiseen segmenttiin.
Tietenkään eilen kyberharjoituksista ja kyberharjoittelukentistä aihetta ei noussut esille. Lännessä on jo pitkään muodostunut kierre kilpailevia ehdotuksia, erilaisia lähestymistapoja kyberharjoituksiin ja yksinkertaisesti parhaita käytäntöjä. Tietoturvapalvelun ”hyvä muoto” on harjoitella määräajoin valmiutta torjua kyberhyökkäyksiä käytännössä. Venäjälle tämä on vielä uusi aihe: kyllä, tarjontaa on vähän, ja se syntyi useita vuosia sitten, mutta kysyntä erityisesti teollisuuden aloilla on alkanut vähitellen muodostua vasta nyt. Uskomme, että tähän on kolme pääsyytä - ne ovat myös ongelmia, jotka ovat jo tulleet hyvin ilmeisiksi.
Maailma muuttuu liian nopeasti
Vain 10 vuotta sitten hakkerit hyökkäsivät pääasiassa niihin organisaatioihin, joista he pystyivät nopeasti nostamaan rahaa. Teollisuuden kannalta tämä uhka oli vähemmän tärkeä. Nyt näemme, että myös valtion organisaatioiden, energia- ja teollisuusyritysten infrastruktuuri on tulossa heidän kiinnostuksensa kohteeksi. Täällä käsittelemme useammin vakoiluyrityksiä, tietovarkauksia eri tarkoituksiin (kilpaileva tiedustelu, kiristys) sekä läsnäolopisteiden hankkimista infrastruktuurissa myöhempää myyntiä varten kiinnostuneille tovereille. No, jopa banaalit salaajat, kuten WannaCry, ovat saaneet kiinni useita samanlaisia kohteita ympäri maailmaa. Siksi nykyaikaiset todellisuudet edellyttävät tietoturvaasiantuntijoilta näiden riskien ottamista huomioon ja uusien tietoturvaprosessien luomista. Erityisesti paranna pätevyyttäsi säännöllisesti ja harjoittele käytännön taitojasi. Teollisuuslaitosten operatiivisen lähetysvalvonnan kaikilla tasoilla henkilökunnalla on oltava selkeä käsitys siitä, mihin toimiin tulee ryhtyä kyberhyökkäyksen sattuessa. Mutta suorittaa kyberharjoituksia omalla infrastruktuurilla - anteeksi, riskit ovat selvästi suuremmat kuin mahdolliset hyödyt.
Ymmärryksen puute hyökkääjien todellisista valmiuksista hakkeroida prosessinhallintajärjestelmiä ja IIoT-järjestelmiä
Tämä ongelma esiintyy kaikilla organisaatiotasoilla: edes kaikki asiantuntijat eivät ymmärrä, mitä heidän järjestelmälleen voi tapahtua, mitä hyökkäysvektoreita sitä vastaan on saatavilla. Mitä voimme sanoa johtajuudesta?
Tietoturva-asiantuntijat vetoavat usein "ilmarakoon", jonka mukaan hyökkääjä ei voi mennä yritysverkkoa pidemmälle, mutta käytäntö osoittaa, että 90 prosentissa organisaatioista on yhteys yritys- ja teknologiasegmenttien välillä. Samaan aikaan teknisten verkkojen rakentamisen ja hallinnan elementeissä on usein myös haavoittuvuuksia, joita havaitsimme erityisesti laitteita tutkiessamme. и .
Riittävän uhkamallin rakentaminen on vaikeaa
Viime vuosina on tapahtunut jatkuva prosessi, jossa tieto ja automatisoidut järjestelmät ovat monimutkaistuneet, samoin kuin siirtyminen kyberfyysisiin järjestelmiin, joihin liittyy laskentaresurssien ja fyysisten laitteiden integrointi. Järjestelmistä on tulossa niin monimutkaisia, että on yksinkertaisesti mahdotonta ennustaa kaikkia kyberhyökkäysten seurauksia analyyttisin menetelmin. Emme puhu vain taloudellisista vahingoista organisaatiolle, vaan myös teknikon ja teollisuuden kannalta ymmärrettävien seurausten arvioimisesta - esimerkiksi sähkön tai muun tuotteen alitarjonnasta, jos puhumme öljystä ja kaasusta. tai petrokemian tuotteita. Ja miten asettaa prioriteetit tällaisessa tilanteessa?
Itse asiassa tästä kaikesta tuli mielestämme edellytys kyberharjoitusten ja kyberharjoitusalueiden käsitteen syntymiselle Venäjällä.
Kuinka kybervalikoiman teknologinen segmentti toimii
Kybertestauskenttä on virtuaalisten infrastruktuurien kokonaisuus, joka jäljittelee eri toimialojen yritysten tyypillisiä infrastruktuureja. Sen avulla voit "harjoitella kissoilla" - harjoitella asiantuntijoiden käytännön taitoja ilman riskiä, että jokin ei mene suunnitelmien mukaan ja kyberharjoitukset vahingoittavat todellisen yrityksen toimintaa. Suuret kyberturvayritykset alkavat kehittää tätä aluetta, ja vastaavia kyberharjoituksia voi seurata pelimuodossa esimerkiksi Positive Hack Days -tapahtumassa.
Tyypillinen verkkoinfrastruktuurikaavio suuryritykselle tai -yritykselle on melko tavanomainen joukko palvelimia, työtietokoneita ja erilaisia verkkolaitteita, joissa on vakiosarja yrityksen ohjelmistoja ja tietoturvajärjestelmiä. Alan kybertestauskenttä on sama, ja lisäksi vakavat yksityiskohdat vaikeuttavat virtuaalimallia dramaattisesti.
Kuinka toimme kyberalueen lähemmäs todellisuutta
Käsitteellisesti kybertestipaikan teollisen osan ulkonäkö riippuu valitusta menetelmästä monimutkaisen kyberfyysisen järjestelmän mallintamiseen. Mallinnuksessa on kolme päätapaa:
Jokaisella näistä lähestymistavoista on omat etunsa ja haittansa. Eri tapauksissa, lopullisesta tavoitteesta ja olemassa olevista rajoituksista riippuen, kaikkia kolmea yllä olevaa mallinnusmenetelmää voidaan käyttää. Näiden menetelmien valinnan formalisoimiseksi olemme koonneet seuraavan algoritmin:
Eri mallinnusmenetelmien hyvät ja huonot puolet voidaan esittää kaavion muodossa, jossa y-akseli on tutkimusalueiden kattavuus (eli ehdotetun mallinnustyökalun joustavuus) ja x-akseli on tarkkuus. simulaation (vastaavuusaste todelliseen järjestelmään). Siitä tulee melkein Gartner-aukio:
Optimaalinen tasapaino mallinnuksen tarkkuuden ja joustavuuden välillä on siis ns. puoliluonnollinen mallinnus (hardware-in-the-loop, HIL). Tässä lähestymistavassa kyberfyysinen järjestelmä mallinnetaan osittain todellisilla laitteilla ja osittain matemaattisilla malleilla. Esimerkiksi sähköasemaa voidaan esittää todellisilla mikroprosessorilaitteilla (releen suojauspäätteet), automaattisten ohjausjärjestelmien palvelimilla ja muilla toissijaisilla laitteilla ja itse sähköverkossa tapahtuvat fyysiset prosessit toteutetaan tietokonemallilla. Okei, olemme päättäneet mallinnusmenetelmästä. Tämän jälkeen oli tarpeen kehittää kyberalueen arkkitehtuuria. Jotta kyberharjoittelut olisivat todella hyödyllisiä, kaikki todellisen monimutkaisen kyberfyysisen järjestelmän yhteydet on luotava uudelleen mahdollisimman tarkasti testipaikalla. Siksi maassamme, kuten todellisessa elämässä, kybervalikoiman teknologinen osa koostuu useista vuorovaikutuksessa olevista tasoista. Muistutan, että tyypilliseen teollisuuden verkkoinfrastruktuuriin kuuluu alin taso, joka sisältää ns. "ensisijaiset laitteet" - tämä on valokuitu, sähköverkko tai jokin muu toimialasta riippuen. Se vaihtaa tietoja ja sitä ohjaavat erikoistuneet teolliset ohjaimet ja niitä puolestaan SCADA-järjestelmät.
Aloitimme kybersivuston teollisen osan luomisen energiasegmentistä, joka on nyt prioriteettimme (suunnitelmissamme on öljy- ja kaasuteollisuus sekä kemianteollisuus).
On selvää, että ensisijaisten laitteiden tasoa ei voida toteuttaa täysimittaisella mallinnuksella käyttäen todellisia esineitä. Siksi kehitimme ensimmäisessä vaiheessa matemaattisen mallin voimalaitoksesta ja sähköjärjestelmän viereisestä osasta. Tämä malli sisältää kaikki sähköasemien teholaitteet - voimalinjat, muuntajat jne., ja se suoritetaan erityisessä RSCAD-ohjelmistopaketissa. Tällä tavalla luotu malli voidaan käsitellä reaaliaikaisella laskentakompleksilla - sen pääominaisuus on, että prosessiaika reaalijärjestelmässä ja prosessiaika mallissa ovat täysin identtisiä - eli jos oikosulku reaalissa verkko kestää kaksi sekuntia, sitä simuloidaan täsmälleen saman ajan RSCADissa). Saamme sähköjärjestelmän "live-osion", joka toimii kaikkien fysiikan lakien mukaan ja jopa reagoi ulkoisiin vaikutuksiin (esimerkiksi releen suoja- ja automaatioliittimien aktivointi, kytkinten laukeaminen jne.). Vuorovaikutus ulkoisten laitteiden kanssa saavutettiin käyttämällä erikoistuneita mukautettavia viestintärajapintoja, jotka mahdollistavat matemaattisen mallin vuorovaikutuksen ohjainten ja automatisoitujen järjestelmien tason kanssa.
Mutta voimalaitoksen säätimien ja automatisoitujen ohjausjärjestelmien tasot voidaan luoda todellisilla teollisilla laitteilla (vaikka tarvittaessa voimme käyttää myös virtuaalisia malleja). Näillä kahdella tasolla sijaitsevat ohjaimet ja automaatiolaitteet (releen suojaus ja automaatio, PMU, USPD, mittarit) ja automaattiset ohjausjärjestelmät (SCADA, OIK, AIISKUE). Täysi mittakaavamallinnus voi lisätä merkittävästi mallin realistisuutta ja vastaavasti itse kyberharjoituksia, koska tiimit ovat vuorovaikutuksessa todellisten teollisuuslaitteiden kanssa, joilla on omat ominaisuutensa, buginsa ja haavoittuvuutensa.
Kolmannessa vaiheessa toteutimme mallin matemaattisten ja fyysisten osien vuorovaikutuksen erityisillä laitteisto- ja ohjelmistoliitännöillä sekä signaalivahvistimilla.
Seurauksena on, että infrastruktuuri näyttää tältä:
Kaikki testipaikan laitteet ovat vuorovaikutuksessa keskenään samalla tavalla kuin todellisessa kyberfyysisessä järjestelmässä. Tarkemmin sanottuna tätä mallia rakennettaessa käytimme seuraavia laitteita ja laskentatyökaluja:
- Monimutkainen RTDS-laskenta "reaaliaikaisten" laskelmien suorittamista varten;
- Operaattorin automatisoitu työasema (AWS), johon on asennettu ohjelmisto sähköasemien teknologisen prosessin ja päälaitteiden mallintamiseen;
- Kaapit, joissa on viestintälaitteet, releen suojaus- ja automaatiopäätteet sekä automatisoidut prosessinohjauslaitteet;
- Vahvistinkaapit, jotka on suunniteltu vahvistamaan analogisia signaaleja RTDS-simulaattorin digitaali-analogiamuunninlevyltä. Jokainen vahvistinkaappi sisältää eri vahvistinlohkoja, joita käytetään tuottamaan virta- ja jännitetulosignaaleja tutkittaville releen suojausliittimille. Tulosignaalit vahvistetaan tasolle, joka vaaditaan releen suojaliittimien normaalin toiminnan kannalta.
Tämä ei ole ainoa mahdollinen ratkaisu, mutta mielestämme se on optimaalinen kyberharjoitusten suorittamiseen, koska se heijastaa valtaosan nykyaikaisten sähköasemien todellista arkkitehtuuria ja samalla se voidaan räätälöidä niin, että se voidaan luoda uudelleen mahdollisimman tarkasti tietyn kohteen jotkin ominaisuudet.
lopuksi
Kyberalue on valtava projekti, ja vielä on paljon työtä edessä. Toisaalta tutkimme länsimaisten kollegojemme kokemuksia, toisaalta meidän on tehtävä paljon kokemuksemme perusteella erityisesti venäläisten teollisuusyritysten kanssa työskentelystä, koska eri toimialoilla, mutta myös eri maissa on erityispiirteitä. Tämä on sekä monimutkainen että mielenkiintoinen aihe.
Olemme kuitenkin vakuuttuneita siitä, että olemme Venäjällä saavuttaneet niin sanotun "kypsyystason", jolloin myös teollisuus ymmärtää kyberharjoitusten tarpeen. Tämä tarkoittaa, että toimialalla on pian omat parhaat käytännöt ja toivottavasti vahvistamme turvatasoamme.
Tekijät
Oleg Arkhangelsky, Industrial Cyber Test Site -projektin johtava analyytikko ja metodologi.
Dmitry Syutov, Industrial Cyber Test Site -projektin pääinsinööri;
Andrey Kuznetsov, "Industrial Cyber Test Site" -projektin johtaja, tuotannon automatisoitujen prosessinohjausjärjestelmien kyberturvallisuuslaboratorion apulaisjohtaja
Lähde: will.com