Tahun ini kami memulai proyek besar untuk membuat tempat pelatihan siber - sebuah platform untuk latihan siber bagi perusahaan di berbagai industri. Untuk melakukan hal ini, perlu untuk menciptakan infrastruktur virtual yang “identik dengan infrastruktur alami” - sehingga mereka meniru struktur internal khas bank, perusahaan energi, dll., dan tidak hanya dalam kaitannya dengan segmen jaringan korporasi. . Nanti kita akan berbicara tentang perbankan dan infrastruktur dunia maya lainnya, dan hari ini kita akan berbicara tentang bagaimana kita memecahkan masalah ini dalam kaitannya dengan segmen teknologi suatu perusahaan industri.
Tentu saja topik latihan siber dan tempat pelatihan siber tidak muncul kemarin. Di negara-negara Barat, lingkaran proposal yang saling bersaing, pendekatan yang berbeda terhadap latihan siber, dan praktik terbaik telah lama terbentuk. “Bentuk yang baik” dari layanan keamanan informasi adalah dengan secara berkala mempraktikkan kesiapannya untuk menangkal serangan dunia maya. Bagi Rusia, ini masih merupakan topik baru: ya, pasokannya sedikit, dan hal ini muncul beberapa tahun lalu, namun permintaan, terutama di sektor industri, baru mulai terbentuk secara bertahap sekarang. Kami percaya ada tiga alasan utama untuk hal ini - ini juga merupakan masalah yang sudah sangat jelas terlihat.
Dunia berubah terlalu cepat
Hanya 10 tahun yang lalu, peretas terutama menyerang organisasi tempat mereka dapat menarik uang dengan cepat. Bagi industri, ancaman ini kurang relevan. Sekarang kita melihat bahwa infrastruktur organisasi pemerintah, energi dan perusahaan industri juga menjadi perhatian mereka. Di sini kita lebih sering menghadapi upaya spionase, pencurian data untuk berbagai tujuan (intelijen kompetitif, pemerasan), serta mendapatkan titik kehadiran di infrastruktur untuk dijual lebih lanjut kepada kawan-kawan yang berminat. Ya, bahkan enkripsi biasa seperti WannaCry telah menangkap beberapa objek serupa di seluruh dunia. Oleh karena itu, realitas modern memerlukan spesialis keamanan informasi untuk mempertimbangkan risiko ini dan menciptakan proses keamanan informasi baru. Secara khusus, tingkatkan kualifikasi Anda secara teratur dan latih keterampilan praktis. Personil di semua tingkat kendali pengiriman operasional fasilitas industri harus memiliki pemahaman yang jelas tentang tindakan apa yang harus diambil jika terjadi serangan siber. Namun melakukan latihan siber pada infrastruktur Anda sendiri - maaf, risikonya jelas lebih besar daripada manfaat yang mungkin didapat.
Kurangnya pemahaman tentang kemampuan sebenarnya penyerang untuk meretas sistem kontrol proses dan sistem IIoT
Masalah ini terjadi di semua tingkat organisasi: bahkan tidak semua spesialis memahami apa yang dapat terjadi pada sistem mereka, vektor serangan apa yang dapat melawannya. Apa yang bisa kita katakan tentang kepemimpinan?
Pakar keamanan sering kali mengacu pada “celah udara”, yang konon tidak akan memungkinkan penyerang untuk melangkah lebih jauh dari jaringan korporat, namun praktik menunjukkan bahwa di 90% organisasi terdapat hubungan antara segmen korporat dan teknologi. Pada saat yang sama, elemen-elemen dalam membangun dan mengelola jaringan teknologi juga sering kali memiliki kerentanan, yang khususnya kita lihat saat memeriksa peralatan. и .
Sulit untuk membangun model ancaman yang memadai
Dalam beberapa tahun terakhir, telah terjadi proses peningkatan kompleksitas informasi dan sistem otomatis, serta transisi ke sistem cyber-fisik yang melibatkan integrasi sumber daya komputasi dan peralatan fisik. Sistem menjadi begitu kompleks sehingga mustahil untuk memprediksi seluruh konsekuensi serangan siber menggunakan metode analitis. Kita tidak hanya berbicara tentang kerusakan ekonomi pada organisasi, tetapi juga tentang menilai konsekuensi yang dapat dimengerti oleh para teknolog dan industri - kekurangan pasokan listrik, misalnya, atau jenis produk lain, jika kita berbicara tentang minyak dan gas. atau petrokimia. Dan bagaimana menetapkan prioritas dalam situasi seperti ini?
Sebenarnya semua itu, menurut kami, menjadi prasyarat munculnya konsep cyber workout dan cyber training ground di Rusia.
Cara kerja segmen teknologi di dunia maya
Tempat pengujian dunia maya adalah kompleks infrastruktur virtual yang mereplikasi infrastruktur khas perusahaan di berbagai industri. Hal ini memungkinkan Anda untuk "berlatih pada kucing" - untuk melatih keterampilan praktis para spesialis tanpa risiko bahwa sesuatu tidak akan berjalan sesuai rencana, dan latihan dunia maya akan merusak aktivitas perusahaan nyata. Perusahaan keamanan siber besar mulai mengembangkan bidang ini, dan Anda dapat menyaksikan latihan siber serupa dalam format permainan, misalnya, di Positive Hack Days.
Diagram infrastruktur jaringan yang khas untuk perusahaan besar atau korporasi adalah seperangkat server, komputer kerja, dan berbagai perangkat jaringan yang cukup standar dengan seperangkat perangkat lunak perusahaan dan sistem keamanan informasi standar. Tempat pengujian dunia maya di industri semuanya sama, ditambah hal-hal spesifik yang sangat mempersulit model virtual.
Bagaimana kami mendekatkan dunia maya dengan kenyataan
Secara konseptual, tampilan bagian industri dari lokasi uji siber bergantung pada metode yang dipilih untuk memodelkan sistem siber-fisik yang kompleks. Ada tiga pendekatan utama untuk pemodelan:
Masing-masing pendekatan ini mempunyai kelebihan dan kekurangannya masing-masing. Dalam kasus yang berbeda, tergantung pada tujuan akhir dan keterbatasan yang ada, ketiga metode pemodelan di atas dapat digunakan. Untuk memformalkan pilihan metode ini, kami telah menyusun algoritma berikut:
Kelebihan dan kekurangan metode pemodelan yang berbeda dapat direpresentasikan dalam bentuk diagram, dengan sumbu y adalah cakupan bidang studi (yaitu fleksibilitas alat pemodelan yang diusulkan), dan sumbu x adalah keakuratannya. simulasi (tingkat kesesuaian dengan sistem nyata). Ternyata hampir seperti kotak Gartner:
Dengan demikian, keseimbangan optimal antara akurasi dan fleksibilitas pemodelan adalah apa yang disebut pemodelan semi-alami (hardware-in-the-loop, HIL). Dalam pendekatan ini, sistem cyber-fisik sebagian dimodelkan menggunakan peralatan nyata, dan sebagian lagi menggunakan model matematika. Misalnya, gardu listrik dapat diwakili oleh perangkat mikroprosesor nyata (terminal proteksi relai), server sistem kontrol otomatis dan peralatan sekunder lainnya, dan proses fisik itu sendiri yang terjadi di jaringan listrik diimplementasikan menggunakan model komputer. Oke, kami telah memutuskan metode pemodelannya. Setelah itu, perlu dikembangkan arsitektur jangkauan siber. Agar latihan siber benar-benar bermanfaat, semua interkoneksi sistem siber-fisik yang sangat kompleks harus dibuat ulang seakurat mungkin di lokasi pengujian. Oleh karena itu, di negara kita, seperti dalam kehidupan nyata, bagian teknologi dari dunia maya terdiri dari beberapa tingkatan yang saling berinteraksi. Izinkan saya mengingatkan Anda bahwa infrastruktur jaringan industri pada umumnya mencakup tingkat terendah, yang mencakup apa yang disebut "peralatan utama" - ini adalah serat optik, jaringan listrik, atau yang lainnya, tergantung pada industrinya. Ia bertukar data dan dikendalikan oleh pengontrol industri khusus, dan pada gilirannya, oleh sistem SCADA.
Kami mulai membuat bagian industri situs siber dari segmen energi, yang kini menjadi prioritas kami (industri minyak, gas, dan kimia ada dalam rencana kami).
Jelas sekali bahwa tingkat peralatan primer tidak dapat direalisasikan melalui pemodelan skala penuh dengan menggunakan objek nyata. Oleh karena itu, pada tahap pertama, kami mengembangkan model matematika dari fasilitas tenaga listrik dan bagian sistem tenaga yang berdekatan. Model ini mencakup semua peralatan listrik gardu induk - saluran listrik, transformator, dll., dan dijalankan dalam paket perangkat lunak RSCAD khusus. Model yang dibuat dengan cara ini dapat diproses oleh kompleks komputasi waktu nyata - fitur utamanya adalah bahwa waktu proses dalam sistem nyata dan waktu proses dalam model benar-benar identik - yaitu, jika terjadi hubungan pendek dalam sistem nyata jaringan berlangsung dua detik, itu akan disimulasikan untuk jumlah waktu yang sama di RSCAD). Kami mendapatkan bagian "hidup" dari sistem tenaga listrik, berfungsi sesuai dengan semua hukum fisika dan bahkan merespons pengaruh eksternal (misalnya, aktivasi proteksi relai dan terminal otomasi, sakelar tersandung, dll.). Interaksi dengan perangkat eksternal dicapai dengan menggunakan antarmuka komunikasi khusus yang dapat disesuaikan, memungkinkan model matematika berinteraksi dengan tingkat pengontrol dan tingkat sistem otomatis.
Namun tingkat pengontrol dan sistem kendali otomatis fasilitas tenaga listrik dapat dibuat menggunakan peralatan industri nyata (walaupun, jika perlu, kita juga dapat menggunakan model virtual). Pada dua tingkat ini masing-masing terdapat pengontrol dan peralatan otomasi (proteksi relai, PMU, USPD, meter) dan sistem kendali otomatis (SCADA, OIK, AIISKUE). Pemodelan skala penuh dapat secara signifikan meningkatkan realisme model dan, karenanya, latihan siber itu sendiri, karena tim akan berinteraksi dengan peralatan industri nyata, yang memiliki karakteristik, bug, dan kerentanannya sendiri.
Pada tahap ketiga, kami mengimplementasikan interaksi bagian matematika dan fisik model menggunakan antarmuka perangkat keras dan perangkat lunak khusus serta penguat sinyal.
Hasilnya, infrastrukturnya terlihat seperti ini:
Semua peralatan di lokasi pengujian berinteraksi satu sama lain dengan cara yang sama seperti dalam sistem cyber-fisik nyata. Lebih khusus lagi, saat membangun model ini kami menggunakan peralatan dan alat komputasi berikut:
- Menghitung RTDS yang kompleks untuk melakukan perhitungan secara “real time”;
- Stasiun kerja otomatis (AWS) dari operator dengan perangkat lunak yang diinstal untuk memodelkan proses teknologi dan peralatan utama gardu listrik;
- Lemari dengan peralatan komunikasi, proteksi relai dan terminal otomasi, serta peralatan kontrol proses otomatis;
- Lemari amplifier dirancang untuk memperkuat sinyal analog dari papan konverter digital-ke-analog simulator RTDS. Setiap kabinet amplifier berisi serangkaian blok amplifikasi berbeda yang digunakan untuk menghasilkan sinyal input arus dan tegangan untuk terminal proteksi relai yang diteliti. Sinyal masukan diperkuat ke tingkat yang diperlukan untuk pengoperasian normal terminal proteksi relai.
Ini bukan satu-satunya solusi yang mungkin, namun, menurut pendapat kami, solusi ini optimal untuk melakukan latihan cyber, karena mencerminkan arsitektur sebenarnya dari sebagian besar gardu induk modern, dan pada saat yang sama dapat disesuaikan sehingga dapat diciptakan kembali sebagai seakurat mungkin beberapa fitur dari suatu objek tertentu.
Sebagai kesimpulan
Jangkauan dunia maya adalah proyek besar, dan masih banyak pekerjaan yang harus dilakukan. Di satu sisi, kami mempelajari pengalaman rekan-rekan Barat kami, di sisi lain, kami harus melakukan banyak hal berdasarkan pengalaman kami bekerja secara khusus dengan perusahaan industri Rusia, karena tidak hanya industri yang berbeda, tetapi juga negara yang berbeda memiliki kekhasannya. Ini adalah topik yang kompleks dan menarik.
Namun demikian, kami yakin bahwa kami di Rusia telah mencapai apa yang biasa disebut “tingkat kedewasaan” ketika industri juga memahami perlunya latihan siber. Artinya, industri ini akan segera memiliki praktik terbaiknya sendiri, dan kami berharap dapat memperkuat tingkat keamanan kami.
Penulis
Oleg Arkhangelsky, analis dan ahli metodologi terkemuka dari proyek Situs Uji Siber Industri.
Dmitry Syutov, kepala insinyur proyek Situs Uji Siber Industri;
Andrey Kuznetsov, kepala proyek “Situs Uji Siber Industri”, wakil kepala Laboratorium Keamanan Siber dari Sistem Kontrol Proses Otomatis untuk Produksi
Sumber: www.habr.com