Dit jier binne wy begûn mei in grut projekt om in cybertrainingsterrein te meitsjen - in platfoarm foar cyberoefeningen foar bedriuwen yn ferskate yndustry. Om dit te dwaan is it nedich om firtuele ynfrastruktueren te meitsjen dy't "identyk binne oan natuerlike" - sadat se de typyske ynterne struktuer fan in bank, enerzjybedriuw, ensfh. . In bytsje letter sille wy prate oer it bank- en oare ynfrastruktuer fan it cyberberik, en hjoed sille wy prate oer hoe't wy dit probleem hawwe oplost yn relaasje ta it technologyske segmint fan in yndustriële ûndernimming.
Fansels kaam it ûnderwerp fan cyberoefeningen en cyberopliedingsterreinen juster net oan it ljocht. Yn it Westen is in sirkel fan konkurrearjende foarstellen, ferskate oanpak foar cyberoefeningen, en gewoan bêste praktiken lang foarme. De "goede foarm" fan 'e tsjinst foar ynformaasjefeiligens is om periodyk syn reewilligens te oefenjen om cyberoanfallen yn' e praktyk ôf te kearen. Foar Ruslân is dit noch in nij ûnderwerp: ja, d'r is in lyts oanbod, en it ûntstie ferskate jierren lyn, mar de fraach, benammen yn yndustriële sektoaren, begon allinich no stadichoan te foarmjen. Wy leauwe dat d'r trije wichtichste redenen foar binne - it binne ek problemen dy't al heul dúdlik wurden binne.
De wrâld feroaret te hurd
Krekt 10 jier lyn foelen hackers benammen dy organisaasjes oan dêr't se gau jild út koenen. Foar de yndustry wie dizze bedriging minder relevant. No sjogge wy dat de ynfrastruktuer fan oerheidsorganisaasjes, enerzjy en yndustriële bedriuwen ek in ûnderwerp fan har belang wurdt. Hjir hawwe wy faker te krijen mei besykjen ta spionaazje, gegevensstellerij foar ferskate doelen (kompetitive yntelliginsje, sjantaazje), en ek it krijen fan punten fan oanwêzigens yn 'e ynfrastruktuer foar fierdere ferkeap oan ynteressearre kameraden. No, sels banale fersifers lykas WannaCry hawwe oer de hiele wrâld nochal wat ferlykbere objekten fongen. Dêrom fereaskje moderne realiteiten spesjalisten foar ynformaasjefeiligens om dizze risiko's yn rekken te hâlden en nije prosessen foar ynformaasjefeiligens te meitsjen. Benammen ferbetterje jo kwalifikaasjes regelmjittich en oefenje praktyske feardigens. Personiel op alle nivo's fan operasjonele ferstjoerkontrôle fan yndustriële foarsjenningen moat in dúdlik begryp hawwe fan hokker aksjes te nimmen yn it gefal fan in cyberoanfal. Mar om cyberoefeningen op jo eigen ynfrastruktuer út te fieren - sorry, de risiko's wegen dúdlik op tsjin de mooglike foardielen.
Gebrek oan begryp fan 'e echte mooglikheden fan oanfallers om proseskontrôlesystemen en IIoT-systemen te hacken
Dit probleem bestiet op alle nivo's fan organisaasjes: net iens alle spesjalisten begripe wat der mei har systeem barre kin, hokker oanfalfektors der tsjin beskikber binne. Wat kinne wy sizze oer it liederskip?
Feiligens saakkundigen faak in berop op 'e "loft gat", dy't nei alle gedachten sil net tastean in oanfaller te gean fierder as it bedriuwsnetwurk, mar de praktyk lit sjen dat yn 90% fan organisaasjes is der in ferbining tusken it bedriuw en technology segminten. Tagelyk hawwe de eleminten fan it bouwen en behearen fan technologyske netwurken ek faak kwetsberens, dy't wy benammen seagen by it ûndersykjen fan apparatuer и .
It is lestich om in adekwaat bedrigingsmodel te bouwen
Yn 'e ôfrûne jierren is d'r in konstant proses west fan tanimmende kompleksiteit fan ynformaasje en automatisearre systemen, lykas ek in oergong nei cyber-fysike systemen dy't de yntegraasje fan komputerboarnen en fysike apparatuer omfetsje. Systemen wurde sa kompleks dat it gewoan ûnmooglik is om alle gefolgen fan cyberoanfallen te foarsizzen mei analytyske metoaden. Wy hawwe it net allinnich oer ekonomyske skea foar de organisaasje, mar ek oer it beoardieljen fan de gefolgen dy't begryplik binne foar de technolooch en foar de yndustry - ûnderoanbod fan elektrisiteit bygelyks of in oar soart produkt, as wy it oer oalje en gas hawwe of petrochemicals. En hoe te stellen prioriteiten yn sa'n situaasje?
Eins, dit alles, yn ús miening, waard de betingsten foar it ûntstean fan it konsept fan cyber oefeningen en cyber training grûnen yn Ruslân.
Hoe't it technologyske segmint fan it cyberberik wurket
In cybertestgrûn is in kompleks fan firtuele ynfrastruktuer dy't typyske ynfrastruktueren fan bedriuwen yn ferskate yndustry replikearje. It lit jo "oefenje op katten" - oefenje de praktyske feardichheden fan spesjalisten sûnder it risiko dat iets net neffens plan giet, en cyber-oefeningen sille de aktiviteiten fan in echte ûndernimming beskeadigje. Grutte cybersecurity bedriuwen begjinne te ûntwikkeljen dit gebiet, en do kinst watch ferlykbere cyber oefeningen yn in spultsje opmaak, Bygelyks, op Positive Hack Days.
In typysk netwurkynfrastruktuerdiagram foar in grutte ûndernimming as korporaasje is in frij standert set fan servers, wurkkompjûters en ferskate netwurkapparaten mei in standert set fan bedriuwssoftware en ynformaasjefeiligenssystemen. In cybertestgrûn fan 'e yndustry is allegear itselde, plus serieuze spesifikaasjes dy't it firtuele model dramatysk komplisearje.
Hoe't wy it cyberberik tichter by de realiteit brochten
Konseptueel hinget it uterlik fan it yndustriële diel fan 'e cybertestside ôf fan' e keazen metoade foar it modelleren fan in kompleks cyberfysikaal systeem. D'r binne trije haadbenaderingen foar modellering:
Elk fan dizze oanpak hat syn eigen foardielen en neidielen. Yn ferskate gefallen, ôfhinklik fan it definitive doel en besteande beheinings, kinne alle trije fan de boppesteande modellewurk metoaden wurde brûkt. Om de kar fan dizze metoaden te formalisearjen, hawwe wy it folgjende algoritme gearstald:
De foar- en neidielen fan ferskate modellearingsmetoaden kinne wurde fertsjintwurdige yn 'e foarm fan in diagram, wêrby't de y-as de dekking is fan gebieten fan stúdzje (dus de fleksibiliteit fan it foarstelde modeling-ark), en de x-as is de krektens fan 'e simulaasje (de graad fan korrespondinsje mei it echte systeem). It docht bliken hast in Gartner-plein:
Sa is de optimale lykwicht tusken krektens en fleksibiliteit fan modellering de saneamde semy-natuerlike modellering (hardware-in-the-loop, HIL). Binnen dizze oanpak wurdt it cyberfysike systeem foar in part modeleare mei echte apparatuer, en foar in part mei wiskundige modellen. Bygelyks, in elektryske substation kin wurde fertsjintwurdige troch echte mikroprosessor-apparaten (relaisbeskermingsterminals), servers fan automatisearre kontrôlesystemen en oare sekundêre apparatuer, en de fysike prosessen sels dy't foarkomme yn it elektryske netwurk wurde útfierd mei in kompjûtermodel. Okee, wy hawwe besletten oer de modelingmetoade. Dêrnei wie it nedich om de arsjitektuer fan it cyberberik te ûntwikkeljen. Foar cyber-oefeningen om wirklik nuttich te wêzen, moatte alle ynterferbiningen fan in echt kompleks cyber-fysikaal systeem sa sekuer mooglik opnij makke wurde op 'e testside. Dêrom, yn ús lân, lykas yn it echte libben, it technologyske diel fan it cyberberik bestiet út ferskate ynteraktive nivo's. Lit my jo herinnerje dat in typyske yndustriële netwurkynfrastruktuer it leechste nivo omfettet, dy't de saneamde "primêre apparatuer" omfettet - dit is optyske glêstried, in elektryske netwurk, of wat oars, ôfhinklik fan 'e yndustry. It wikselet gegevens út en wurdt regele troch spesjalisearre yndustriële kontrôlers, en dy, op har beurt, troch SCADA-systemen.
Wy begûnen it yndustriële diel fan 'e cybersite te meitsjen fan it enerzjysegment, dat no ús prioriteit is (de oalje- en gas- en gemyske yndustry binne yn ús plannen).
It is fanselssprekkend dat it nivo fan primêre apparatuer net realisearre wurde kin troch folsleine modellering mei echte objekten. Dêrom hawwe wy yn 'e earste faze in wiskundich model ûntwikkele fan' e machtfoarsjenning en it neistlizzende diel fan it machtsysteem. Dit model omfettet alle macht apparatuer fan substations - macht linen, transformators, ensfh, en wurdt útfierd yn in spesjale RSCAD software pakket. It op dizze manier makke model kin wurde ferwurke troch in real-time komputerkompleks - har haadfunksje is dat de prosestiid yn it echte systeem en de prosestiid yn it model absolút identyk binne - dat is, as in koartsluting yn in echte netwurk duorret twa sekonden, it sil wurde simulearre foar krekt deselde tiid yn RSCAD). Wy krije in "live" seksje fan it elektryske krêftsysteem, funksjonearret neffens alle wetten fan 'e natuerkunde en sels reagearje op eksterne ynfloeden (bygelyks aktivearring fan relaisbeskerming en automatisearringsterminals, tripping fan skeakels, ensfh.). Ynteraksje mei eksterne apparaten waard berikt mei help fan spesjalisearre oanpasbere kommunikaasje-ynterfaces, wêrtroch it wiskundige model kin ynteraksje mei it nivo fan controllers en it nivo fan automatisearre systemen.
Mar de nivo's fan kontrôlers en automatisearre kontrôlesystemen fan in krêftfoarsjenning kinne wurde makke mei echte yndustriële apparatuer (hoewol, as it nedich is, kinne wy ek firtuele modellen brûke). Op dizze twa nivo's binne respektivelik controllers en automatisearringsapparatuer (estafettebeskerming, PMU, USPD, meters) en automatisearre kontrôlesystemen (SCADA, OIK, AIISKUE). Folsleine skaalmodellering kin it realisme fan it model signifikant ferheegje en, sadwaande, de cyber-oefeningen sels, om't teams sille ynteraksje mei echte yndustriële apparatuer, dy't har eigen skaaimerken, bugs en kwetsberens hat.
Yn 'e tredde etappe hawwe wy de ynteraksje fan' e wiskundige en fysike dielen fan it model ymplementearre mei spesjale hardware- en software-ynterfaces en sinjaalfersterkers.
As resultaat sjocht de ynfrastruktuer der sa út:
Alle apparatuer foar testsites ynteraksje mei elkoar op deselde wize as yn in echt cyber-fysikaal systeem. Mear spesifyk brûkten wy by it bouwen fan dit model de folgjende apparatuer en kompjûterynstruminten:
- Berekkenjen fan komplekse RTDS foar it útfieren fan berekkeningen yn "echte tiid";
- Automatisearre wurkstasjon (AWS) fan in operator mei ynstalleare software foar it modellearjen fan it technologyske proses en primêre apparatuer fan elektryske substasjons;
- Kasten mei kommunikaasjeapparatuer, relay beskerming en automatisearring terminals, en automatisearre proses kontrôle apparatuer;
- Amplifierkasten ûntworpen om analoge sinjalen te fersterkjen fan it digitaal-nei-analoge converterboard fan 'e RTDS-simulator. Elke fersterkerkabinet befettet in oare set fersterkingsblokken dy't brûkt wurde om stroom- en spanningynputsinjalen te generearjen foar de relaisbeskermingsterminals dy't ûndersocht wurde. Ynputsinjalen wurde fersterke oant it nivo dat nedich is foar normale wurking fan 'e relaisbeskermingsterminals.
Dit is net de iennichste mooglike oplossing, mar, neffens ús, is it optimaal foar it útfieren fan cyberoefeningen, om't it de echte arsjitektuer fan 'e grutte mearderheid fan moderne substations wjerspegelet, en tagelyk kin it wurde oanpast om opnij te meitsjen as krekt as mooglik guon skaaimerken fan in bepaald foarwerp.
Yn ôfsluting
It cyberberik is in enoarm projekt, en d'r is noch in protte wurk foarút. Oan 'e iene kant studearje wy de ûnderfining fan ús westerske kollega's, oan' e oare kant moatte wy in protte dwaan op basis fan ús ûnderfining fan spesifyk wurkjen mei Russyske yndustriële bedriuwen, om't net allinich ferskate yndustry, mar ek ferskate lannen hawwe spesifiken. Dit is sawol in kompleks en nijsgjirrich ûnderwerp.
Dochs binne wy derfan oertsjûge dat wy yn Ruslân hawwe berikt wat gewoanlik in "nivo fan folwoeksenens" neamd wurdt as de yndustry ek begrypt de needsaak foar cyber-oefeningen. Dit betsjut dat de yndustry meikoarten har eigen bêste praktiken sil hawwe, en wy sille hooplik ús nivo fan feiligens fersterkje.
skriuwers
Oleg Arkhangelsky, liedende analist en metodolooch fan it projekt Industrial Cyber Test Site.
Dmitry Syutov, haadyngenieur fan it projekt Industrial Cyber Test Site;
Andrey Kuznetsov, haad fan it projekt "Industrial Cyber Test Site", plakferfangend haad fan it Cyber Security Laboratory of Automated Process Control Systems for Production
Boarne: www.habr.com