Este ano comezamos un gran proxecto para crear un campo de adestramento cibernético: unha plataforma para exercicios cibernéticos para empresas de varias industrias. Para iso, é necesario crear infraestruturas virtuais que sexan "idénticas ás naturais", para que repliquen a estrutura interna típica dun banco, compañía enerxética, etc., e non só no que se refire ao segmento corporativo da rede. . Un pouco máis adiante falaremos da banca e outras infraestruturas da gama cibernética, e hoxe falaremos de como resolvemos este problema en relación ao segmento tecnolóxico dunha empresa industrial.
Por suposto, onte non xurdiu o tema dos exercicios cibernéticos e dos campos de adestramento cibernéticos. En Occidente, hai tempo que se formou un círculo de propostas en competencia, diferentes enfoques de exercicios cibernéticos e simplemente mellores prácticas. A "boa forma" do servizo de seguridade da información é practicar periodicamente a súa disposición para repeler os ciberataques na práctica. Para Rusia, este aínda é un tema novo: si, hai unha pequena oferta, e xurdiu hai varios anos, pero a demanda, especialmente nos sectores industriais, comezou a formarse gradualmente só agora. Cremos que hai tres razóns principais para iso: tamén son problemas que xa se fixeron moi evidentes.
O mundo está cambiando demasiado rápido
Hai só 10 anos, os piratas informáticos atacaron principalmente aquelas organizacións das que podían retirar diñeiro rapidamente. Para a industria, esta ameaza era menos relevante. Agora vemos que a infraestrutura de organizacións gobernamentais, empresas enerxéticas e industriais tamén se está a converter nun tema do seu interese. Aquí estamos con máis frecuencia ante intentos de espionaxe, roubo de datos para diversos fins (intelixencia competitiva, chantaxe), así como a obtención de puntos de presenza na infraestrutura para a súa posterior venda aos compañeiros interesados. Ben, incluso os cifradores banais como WannaCry capturaron bastantes obxectos similares en todo o mundo. Por iso, as realidades modernas esixen que os especialistas en seguridade da información teñan en conta estes riscos e creen novos procesos de seguridade da información. En particular, mellora regularmente as túas cualificacións e practica habilidades prácticas. O persoal de todos os niveis de control operativo de despacho das instalacións industriais debe ter unha comprensión clara das accións que se deben tomar en caso de ciberataque. Pero para realizar exercicios cibernéticos na túa propia infraestrutura, desculpa, os riscos superan claramente os posibles beneficios.
Falta de comprensión das capacidades reais dos atacantes para piratear sistemas de control de procesos e sistemas IIoT
Este problema existe en todos os niveis das organizacións: nin sequera todos os especialistas entenden que pode pasar co seu sistema, que vectores de ataque están dispoñibles contra el. Que podemos dicir do liderado?
Os expertos en seguridade adoitan apelar á "brecha de aire", que supostamente non permitirá que un atacante vaia máis lonxe que a rede corporativa, pero a práctica demostra que no 90% das organizacións hai unha conexión entre os segmentos corporativos e tecnolóxicos. Ao mesmo tempo, os propios elementos da construción e xestión de redes tecnolóxicas tamén teñen moitas veces vulnerabilidades, que, en particular, vimos ao examinar os equipos. и .
É difícil construír un modelo de ameazas adecuado
Nos últimos anos produciuse un proceso constante de crecente complexidade da información e dos sistemas automatizados, así como unha transición cara a sistemas ciberfísicos que implican a integración de recursos informáticos e equipos físicos. Os sistemas estanse facendo tan complexos que é simplemente imposible prever todas as consecuencias dos ciberataques mediante métodos analíticos. Non falamos só de prexuízos económicos para a organización, senón tamén de avaliar as consecuencias comprensibles para o tecnólogo e para a industria: subabastecemento de electricidade, por exemplo, ou outro tipo de produtos, se falamos de petróleo e gas. ou petroquímicos. E como establecer prioridades ante tal situación?
En realidade, todo isto, na nosa opinión, converteuse nos requisitos previos para a aparición do concepto de exercicios cibernéticos e campos de adestramento cibernéticos en Rusia.
Como funciona o segmento tecnolóxico da gama cibernética
Un campo de probas cibernéticas é un complexo de infraestruturas virtuais que replican infraestruturas típicas de empresas de varias industrias. Permítelle "practicar en gatos": practicar as habilidades prácticas dos especialistas sen o risco de que algo non saia segundo o plan, e os exercicios cibernéticos danarán as actividades dunha empresa real. As grandes empresas de ciberseguridade comezan a desenvolver esta área e podes ver exercicios cibernéticos similares nun formato de xogo, por exemplo, nos Positive Hack Days.
Un diagrama de infraestrutura de rede típico para unha gran empresa ou corporación é un conxunto bastante estándar de servidores, ordenadores de traballo e varios dispositivos de rede cun conxunto estándar de software corporativo e sistemas de seguridade da información. Un campo de probas cibernéticas da industria é o mesmo, ademais de detalles serios que complican drasticamente o modelo virtual.
Como achegamos a gama cibernética á realidade
Conceptualmente, o aspecto da parte industrial do sitio de proba cibernética depende do método elixido para modelar un sistema ciberfísico complexo. Existen tres enfoques principais para a modelización:
Cada un destes enfoques ten as súas propias vantaxes e desvantaxes. En diferentes casos, dependendo do obxectivo final e das limitacións existentes, pódense utilizar os tres métodos de modelización anteriores. Para formalizar a elección destes métodos, compilamos o seguinte algoritmo:
Os pros e os contras dos diferentes métodos de modelado pódense representar en forma de diagrama, onde o eixe Y é a cobertura das áreas de estudo (é dicir, a flexibilidade da ferramenta de modelado proposta) e o eixe X é a precisión. da simulación (o grao de correspondencia co sistema real). Resulta case un cadrado de Gartner:
Así, o equilibrio óptimo entre precisión e flexibilidade do modelado é o chamado modelado seminatural (hardware-in-the-loop, HIL). Dentro deste enfoque, o sistema ciberfísico está modelado en parte utilizando equipos reais e en parte utilizando modelos matemáticos. Por exemplo, unha subestación eléctrica pódese representar mediante dispositivos de microprocesadores reais (terminais de protección de relés), servidores de sistemas de control automatizados e outros equipos secundarios, e os propios procesos físicos que ocorren na rede eléctrica impléntanse mediante un modelo informático. Está ben, decidimos o método de modelado. Despois disto, foi necesario desenvolver a arquitectura da gama cibernética. Para que os exercicios cibernéticos sexan realmente útiles, todas as interconexións dun sistema ciberfísico complexo real deben recrearse coa maior precisión posible no lugar da proba. Polo tanto, no noso país, como na vida real, a parte tecnolóxica da gama cibernética consta de varios niveis interactivos. Permíteme recordarche que unha infraestrutura de rede industrial típica inclúe o nivel máis baixo, que inclúe o chamado "equipo primario": isto é a fibra óptica, unha rede eléctrica ou outra cousa, dependendo da industria. Intercambia datos e está controlado por controladores industriais especializados, e estes, á súa vez, por sistemas SCADA.
Comezamos a crear a parte industrial do cibersitio dende o segmento enerxético, que agora é a nosa prioridade (as industrias de petróleo e gas e química están nos nosos plans).
É obvio que o nivel de equipamento primario non se pode realizar mediante un modelado a gran escala utilizando obxectos reais. Polo tanto, na primeira etapa, desenvolvemos un modelo matemático da instalación eléctrica e da sección adxacente do sistema de enerxía. Este modelo inclúe todos os equipos de enerxía das subestacións: liñas eléctricas, transformadores, etc., e execútase nun paquete de software especial RSCAD. O modelo creado deste xeito pode ser procesado por un complexo informático en tempo real - a súa característica principal é que o tempo de proceso no sistema real e o tempo de proceso no modelo son absolutamente idénticos - é dicir, se se produce un curtocircuíto nun a rede dura dous segundos, simularase durante exactamente o mesmo tempo en RSCAD). Obtemos unha sección "en directo" do sistema de enerxía eléctrica, que funciona segundo todas as leis da física e mesmo responde a influencias externas (por exemplo, activación de terminais de protección e automatización de relés, disparo de interruptores, etc.). A interacción con dispositivos externos conseguiuse mediante interfaces de comunicación especializadas personalizables, permitindo que o modelo matemático interactúe co nivel de controladores e co nivel de sistemas automatizados.
Pero os niveis de controladores e sistemas de control automatizado dunha instalación eléctrica pódense crear utilizando equipos industriais reais (aínda que, se é necesario, tamén podemos utilizar modelos virtuais). Nestes dous niveis existen, respectivamente, controladores e equipos de automatización (protección de relés, PMU, USPD, contadores) e sistemas de control automatizado (SCADA, OIK, AIISKUE). O modelado a gran escala pode aumentar significativamente o realismo do modelo e, en consecuencia, os propios exercicios cibernéticos, xa que os equipos interactuarán con equipos industriais reais, que teñen as súas propias características, erros e vulnerabilidades.
Na terceira etapa, implementamos a interacción das partes físicas e matemáticas do modelo utilizando interfaces de hardware e software especializados e amplificadores de sinal.
Como resultado, a infraestrutura ten un aspecto similar ao seguinte:
Todos os equipos do sitio de proba interactúan entre si do mesmo xeito que nun sistema ciberfísico real. Máis concretamente, ao construír este modelo utilizamos os seguintes equipos e ferramentas informáticas:
- Cálculo de RTDS complexos para a realización de cálculos en “tempo real”;
- Estación de traballo automatizada (AWS) dun operador con software instalado para modelar o proceso tecnolóxico e equipamento primario das subestacións eléctricas;
- Armarios con equipos de comunicación, terminais de protección e automatización de relés e equipos de control de procesos automatizados;
- Gabinetes de amplificadores deseñados para amplificar sinais analóxicos desde a placa convertidora de dixital a analóxico do simulador RTDS. Cada armario amplificador contén un conxunto diferente de bloques de amplificación utilizados para xerar sinais de entrada de corrente e tensión para os terminais de protección dos relés en estudo. Os sinais de entrada amplícanse ata o nivel necesario para o funcionamento normal dos terminais de protección do relé.
Esta non é a única solución posible, senón que, na nosa opinión, é óptima para a realización de exercicios cibernéticos, xa que reflicte a arquitectura real da gran maioría das subestacións modernas e, ao mesmo tempo, pódese personalizar para recrear como coa maior precisión posible algunhas características dun determinado obxecto.
En conclusión
A gama cibernética é un proxecto enorme, e aínda queda moito traballo por diante. Por unha banda, estudamos a experiencia dos nosos colegas occidentais, por outra banda, temos que facer moito en función da nosa experiencia de traballar especificamente con empresas industriais rusas, xa que non só as diferentes industrias, senón tamén diferentes países teñen características específicas. Este é un tema complexo e interesante.
Non obstante, estamos convencidos de que en Rusia alcanzamos o que comunmente se chama "nivel de madurez" cando a industria tamén entende a necesidade de exercicios cibernéticos. Isto significa que en breve a industria terá as súas propias mellores prácticas, e esperamos fortalecer o noso nivel de seguridade.
Autores
Oleg Arkhangelsky, analista e metodolóxico líder do proxecto Industrial Cyber Test Site.
Dmitry Syutov, enxeñeiro xefe do proxecto Industrial Cyber Test Site;
Andrey Kuznetsov, xefe do proxecto "Industrial Cyber Test Site", subxefe do Laboratorio de Seguridade Cibernética de Sistemas de Control de Procesos Automatizados para a Produción
Fonte: www.habr.com