Cette année, nous avons lancé un grand projet visant à créer un terrain de formation cybernétique - une plate-forme d'exercices cybernétiques pour les entreprises de divers secteurs. Pour ce faire, il est nécessaire de créer des infrastructures virtuelles « identiques aux infrastructures naturelles » - afin qu'elles reproduisent la structure interne typique d'une banque, d'une entreprise énergétique, etc., et pas seulement en termes de segment entreprise du réseau. . Un peu plus tard, nous parlerons des banques et autres infrastructures du secteur cyber, et aujourd'hui nous parlerons de la façon dont nous avons résolu ce problème par rapport au segment technologique d'une entreprise industrielle.
Bien entendu, le sujet des cyber-exercices et des terrains de cyber-entraînement ne s’est pas posé hier. En Occident, un cercle de propositions concurrentes, d'approches différentes des cyber-exercices et simplement de meilleures pratiques s'est formé depuis longtemps. La « bonne forme » du service de sécurité de l'information est de s'exercer périodiquement à se préparer à repousser les cyberattaques dans la pratique. Pour la Russie, il s'agit encore d'un sujet nouveau : oui, l'offre est faible, et elle est apparue il y a plusieurs années, mais la demande, notamment dans les secteurs industriels, n'a commencé à se former progressivement que maintenant. Nous pensons qu’il y a trois raisons principales à cela – ce sont aussi des problèmes qui sont déjà devenus très évidents.
Le monde change trop vite
Il y a à peine 10 ans, les pirates informatiques attaquaient principalement les organisations dans lesquelles ils pouvaient retirer rapidement de l'argent. Pour l’industrie, cette menace était moins pertinente. Nous constatons désormais que l'infrastructure des organisations gouvernementales, des entreprises énergétiques et industrielles devient également un sujet d'intérêt. Il s'agit ici le plus souvent de tentatives d'espionnage, de vol de données à diverses fins (intelligence économique, chantage), ainsi que d'obtention de points de présence dans l'infrastructure pour une vente ultérieure à des camarades intéressés. Eh bien, même des chiffreurs banals comme WannaCry ont capturé de nombreux objets similaires à travers le monde. Par conséquent, les réalités modernes exigent que les spécialistes de la sécurité de l'information prennent en compte ces risques et créent de nouveaux processus de sécurité de l'information. En particulier, améliorez régulièrement vos qualifications et mettez en pratique vos compétences pratiques. Le personnel à tous les niveaux du contrôle opérationnel de la répartition des installations industrielles doit avoir une compréhension claire des mesures à prendre en cas de cyberattaque. Mais pour mener des cyberexercices sur votre propre infrastructure, désolé, les risques l'emportent clairement sur les avantages possibles.
Manque de compréhension des capacités réelles des attaquants à pirater les systèmes de contrôle de processus et les systèmes IIoT
Ce problème existe à tous les niveaux des organisations : même tous les spécialistes ne comprennent pas ce qui peut arriver à leur système, quels vecteurs d'attaque sont disponibles contre lui. Que dire de la direction ?
Les experts en sécurité font souvent appel au « trou d'air », qui ne permettrait pas à un attaquant d'aller plus loin que le réseau d'entreprise, mais la pratique montre que dans 90 % des organisations, il existe un lien entre les segments de l'entreprise et la technologie. Dans le même temps, les éléments mêmes de la construction et de la gestion des réseaux technologiques présentent souvent des vulnérabilités, que nous avons notamment constatées lors de l'examen des équipements. и .
Il est difficile de construire un modèle de menace adéquat
Ces dernières années, on a assisté à un processus constant de complexité croissante des informations et des systèmes automatisés, ainsi qu'à une transition vers des systèmes cyber-physiques qui impliquent l'intégration de ressources informatiques et d'équipements physiques. Les systèmes deviennent si complexes qu’il est tout simplement impossible de prédire toutes les conséquences des cyberattaques à l’aide de méthodes analytiques. Nous parlons non seulement de dommages économiques à l'organisation, mais aussi d'évaluer les conséquences compréhensibles pour le technologue et pour l'industrie - sous-approvisionnement en électricité, par exemple, ou d'un autre type de produit, si nous parlons de pétrole et de gaz. ou la pétrochimie. Et comment fixer des priorités dans une telle situation ?
En fait, tout cela, à notre avis, est devenu une condition préalable à l’émergence du concept de cyberexercices et de terrains d’entraînement cybernétique en Russie.
Comment fonctionne le segment technologique de la gamme cyber
Un terrain de cyber-test est un complexe d’infrastructures virtuelles qui reproduisent les infrastructures typiques des entreprises de divers secteurs. Il vous permet de « s'entraîner sur des chats » - de mettre en pratique les compétences pratiques de spécialistes sans risquer que quelque chose ne se passe pas comme prévu et que les cyber-exercices nuisent aux activités d'une entreprise réelle. Les grandes entreprises de cybersécurité commencent à développer ce domaine, et vous pouvez regarder des exercices de cybersécurité similaires sous forme de jeu, par exemple lors des Positive Hack Days.
Un schéma d'infrastructure réseau typique pour une grande entreprise ou société est un ensemble assez standard de serveurs, d'ordinateurs de travail et de divers périphériques réseau avec un ensemble standard de logiciels d'entreprise et de systèmes de sécurité des informations. Un terrain de cyber-test industriel, c'est tout de même, avec de sérieux détails qui compliquent considérablement le modèle virtuel.
Comment nous avons rapproché la gamme cyber de la réalité
Conceptuellement, l’apparence de la partie industrielle du site de cyber-test dépend de la méthode choisie pour modéliser un système cyber-physique complexe. Il existe trois approches principales de modélisation :
Chacune de ces approches présente ses propres avantages et inconvénients. Dans différents cas, en fonction de l'objectif final et des limitations existantes, les trois méthodes de modélisation ci-dessus peuvent être utilisées. Afin de formaliser le choix de ces méthodes, nous avons compilé l’algorithme suivant :
Les avantages et les inconvénients des différentes méthodes de modélisation peuvent être représentés sous la forme d'un diagramme, où l'axe des y représente la couverture des domaines d'étude (c'est-à-dire la flexibilité de l'outil de modélisation proposé) et l'axe des x représente la précision. de la simulation (le degré de correspondance avec le système réel). Il s'avère presque un carré de Gartner :
Ainsi, l'équilibre optimal entre précision et flexibilité de la modélisation est la modélisation dite semi-naturelle (hardware-in-the-loop, HIL). Dans le cadre de cette approche, le système cyber-physique est en partie modélisé à l’aide d’équipements réels et en partie à l’aide de modèles mathématiques. Par exemple, une sous-station électrique peut être représentée par de véritables dispositifs à microprocesseur (terminaux de protection de relais), des serveurs de systèmes de contrôle automatisés et d'autres équipements secondaires, et les processus physiques eux-mêmes se produisant dans le réseau électrique sont mis en œuvre à l'aide d'un modèle informatique. Bon, nous avons décidé de la méthode de modélisation. Il a ensuite fallu développer l’architecture de la gamme cyber. Pour que les cyber-exercices soient vraiment utiles, toutes les interconnexions d’un système cyber-physique complexe réel doivent être recréées aussi précisément que possible sur le site de test. Ainsi, dans notre pays, comme dans la vraie vie, la partie technologique de la gamme cyber se compose de plusieurs niveaux en interaction. Permettez-moi de vous rappeler qu'une infrastructure de réseau industriel typique comprend le niveau le plus bas, qui comprend ce que l'on appelle les « équipements primaires » - il s'agit de la fibre optique, d'un réseau électrique ou autre, selon le secteur. Il échange des données et est contrôlé par des contrôleurs industriels spécialisés, et ceux-ci, à leur tour, par des systèmes SCADA.
Nous avons commencé à créer la partie industrielle du cyber-site à partir du segment de l'énergie, qui est désormais notre priorité (les industries pétrolière et gazière et chimique sont dans nos projets).
Il est évident que le niveau d’équipement primaire ne peut être atteint par une modélisation grandeur nature à partir d’objets réels. Par conséquent, dans un premier temps, nous avons développé un modèle mathématique de la centrale électrique et de la section adjacente du système électrique. Ce modèle comprend tous les équipements électriques des sous-stations - lignes électriques, transformateurs, etc., et est exécuté dans un progiciel spécial RSCAD. Le modèle ainsi créé peut être traité par un complexe informatique en temps réel - sa principale caractéristique est que le temps de traitement dans le système réel et le temps de traitement dans le modèle sont absolument identiques - c'est-à-dire si un court-circuit dans un système réel réseau dure deux secondes, il sera simulé exactement pendant la même durée dans RSCAD). Nous obtenons une section « sous tension » du système d'alimentation électrique, fonctionnant selon toutes les lois de la physique et réagissant même aux influences extérieures (par exemple, activation des relais de protection et des bornes d'automatisation, déclenchement des interrupteurs, etc.). L'interaction avec des appareils externes a été réalisée à l'aide d'interfaces de communication spécialisées personnalisables, permettant au modèle mathématique d'interagir avec le niveau des contrôleurs et le niveau des systèmes automatisés.
Mais les niveaux de contrôleurs et de systèmes de contrôle automatisés d'une installation électrique peuvent être créés à l'aide d'équipements industriels réels (bien que, si nécessaire, nous puissions également utiliser des modèles virtuels). A ces deux niveaux, se trouvent respectivement les contrôleurs et les équipements d'automatisation (relais de protection et d'automatisation, PMU, USPD, compteurs) et les systèmes de contrôle automatisés (SCADA, OIK, AIISKUE). La modélisation à grande échelle peut augmenter considérablement le réalisme du modèle et, par conséquent, des cyber-exercices eux-mêmes, puisque les équipes interagiront avec de véritables équipements industriels, qui ont leurs propres caractéristiques, bugs et vulnérabilités.
Lors de la troisième étape, nous avons mis en œuvre l'interaction des parties mathématiques et physiques du modèle à l'aide d'interfaces matérielles et logicielles spécialisées et d'amplificateurs de signaux.
En conséquence, l’infrastructure ressemble à ceci :
Tous les équipements du site de test interagissent les uns avec les autres de la même manière que dans un véritable système cyber-physique. Plus précisément, lors de la construction de ce modèle, nous avons utilisé les équipements et outils informatiques suivants :
- Calculer des RTDS complexes pour effectuer des calculs en « temps réel » ;
- Poste de travail automatisé (AWS) d'un opérateur avec un logiciel installé pour modéliser le processus technologique et les équipements primaires des sous-stations électriques ;
- Armoires avec équipements de communication, bornes de protection et d'automatisation des relais et équipements de contrôle de processus automatisés ;
- Armoires d'amplification conçues pour amplifier les signaux analogiques de la carte convertisseur numérique-analogique du simulateur RTDS. Chaque armoire d'amplificateur contient un ensemble différent de blocs d'amplification utilisés pour générer des signaux d'entrée de courant et de tension pour les bornes de protection des relais étudiées. Les signaux d'entrée sont amplifiés jusqu'au niveau requis pour le fonctionnement normal des bornes de protection du relais.
Ce n'est pas la seule solution possible, mais elle nous semble optimale pour réaliser des cyber-exercices, car elle reflète l'architecture réelle de la grande majorité des sous-stations modernes, et en même temps elle peut être personnalisée pour recréer comme avec autant de précision que possible certaines caractéristiques d'un objet particulier.
En conclusion
La gamme cyber est un projet énorme et il reste encore beaucoup de travail à faire. D'une part, nous étudions l'expérience de nos collègues occidentaux, d'autre part, nous devons faire beaucoup de choses sur la base de notre expérience de travail spécifique avec les entreprises industrielles russes, car non seulement différentes industries, mais aussi différents pays ont des spécificités. C’est un sujet à la fois complexe et intéressant.
Néanmoins, nous sommes convaincus que nous, en Russie, avons atteint ce qu’on appelle communément un « niveau de maturité », lorsque l’industrie comprend également la nécessité de mener des cyberexercices. Cela signifie que bientôt l’industrie aura ses propres meilleures pratiques et nous espérons renforcer notre niveau de sécurité.
Auteurs
Oleg Arkhangelsky, analyste principal et méthodologiste du projet Industrial Cyber Test Site.
Dmitry Syutov, ingénieur en chef du projet Industrial Cyber Test Site ;
Andrey Kuznetsov, chef du projet « Site de cyber-test industriel », chef adjoint du Laboratoire de cyber-sécurité des systèmes de contrôle de processus automatisés pour la production
Source: habr.com