Í ár hófum við stórt verkefni til að búa til netþjálfunarsvæði - vettvang fyrir netæfingar fyrir fyrirtæki í ýmsum atvinnugreinum. Til að gera þetta er nauðsynlegt að búa til sýndarinnviði sem eru „eins og náttúrulegir“ - þannig að þeir endurtaki dæmigerða innri uppbyggingu banka, orkufyrirtækis osfrv., En ekki aðeins hvað varðar fyrirtækjahluta netkerfisins. . Nokkru síðar munum við tala um bankastarfsemi og aðra innviði netsviðsins og í dag munum við tala um hvernig við leystum þetta vandamál í tengslum við tæknilega hluta iðnaðarfyrirtækis.
Umræðan um netæfingar og netþjálfunarsvæði kom auðvitað ekki upp í gær. Á Vesturlöndum hefur lengi myndast hringur samkeppnistillagna, mismunandi nálgun á netæfingar og einfaldlega bestu starfsvenjur. „Gott form“ upplýsingaöryggisþjónustunnar er að æfa sig reglulega til að hrekja netárásir frá sér í reynd. Fyrir Rússland er þetta enn nýtt umræðuefni: já, það er lítið framboð og það kom upp fyrir nokkrum árum, en eftirspurn, sérstaklega í iðngreinum, hefur byrjað að myndast smám saman fyrst núna. Við teljum að það séu þrjár meginástæður fyrir þessu - þetta eru líka vandamál sem eru þegar orðin mjög augljós.
Heimurinn breytist of hratt
Fyrir aðeins 10 árum síðan réðust tölvuþrjótar aðallega á þær stofnanir sem þeir gátu tekið peninga frá. Fyrir iðnaðinn átti þessi ógn síður við. Nú sjáum við að innviðir ríkisstofnana, orku- og iðnaðarfyrirtækja eru líka að verða viðfangsefni þeirra. Hér erum við oftar að fást við tilraunir til njósna, gagnaþjófnaði í ýmsum tilgangi (samkeppnisnjósnir, fjárkúgun), auk þess að afla viðverustaða í innviðum til frekari sölu til áhugasamra félaga. Jæja, jafnvel banale dulkóðarar eins og WannaCry hafa náð töluvert af svipuðum hlutum um allan heim. Þess vegna krefst nútíma veruleiki þess að sérfræðingar í upplýsingaöryggi taki tillit til þessara áhættu og búi til ný upplýsingaöryggisferli. Sérstaklega, bæta reglulega hæfni þína og æfa hagnýta færni. Starfsfólk á öllum stigum rekstri sendingareftirlits iðnaðarmannvirkja verður að hafa skýran skilning á því hvaða aðgerðir á að grípa til ef til netárásar kemur. En til að stunda netæfingar á eigin innviðum - því miður, áhættan vegur greinilega þyngra en hugsanlegur ávinningur.
Skortur á skilningi á raunverulegum getu árásarmanna til að hakka inn ferlistýringarkerfi og IIoT kerfi
Þetta vandamál er til staðar á öllum stigum stofnana: ekki einu sinni allir sérfræðingar skilja hvað getur gerst við kerfið þeirra, hvaða árásarvektorar eru tiltækir gegn því. Hvað getum við sagt um forystuna?
Öryggissérfræðingar höfða oft til „loftgapsins“, sem að sögn mun ekki leyfa árásarmanni að fara lengra en fyrirtækjanetið, en æfingin sýnir að í 90% stofnana eru tengsl á milli fyrirtækja- og tæknihluta. Á sama tíma hafa sjálfir þættirnir í uppbyggingu og stjórnun tæknineta einnig oft veikleika, sem við sáum sérstaklega þegar búnaður var skoðaður и .
Það er erfitt að búa til viðunandi ógnarlíkan
Undanfarin ár hefur stöðugt verið flókið ferli upplýsinga og sjálfvirkra kerfa auk þess sem skipt hefur verið yfir í net-eðlisfræðileg kerfi sem fela í sér samþættingu tölvuauðlinda og efnisbúnaðar. Kerfi eru að verða svo flókin að það er einfaldlega ómögulegt að spá fyrir um allar afleiðingar netárása með greiningaraðferðum. Við erum ekki bara að tala um efnahagslegt tjón fyrir stofnunina heldur líka um að meta þær afleiðingar sem skiljanlegar eru fyrir tæknifræðinginn og iðnaðinn - vanframboð á rafmagni, til dæmis, eða annars konar vöru, ef við erum að tala um olíu og gas. eða jarðolíu. Og hvernig á að forgangsraða í slíkum aðstæðum?
Reyndar varð allt þetta, að okkar mati, forsendur fyrir tilkomu hugmyndarinnar um netæfingar og netþjálfunarsvæði í Rússlandi.
Hvernig tæknihluti netsviðsins virkar
Netprófunarsvæði er flókið sýndarinnviði sem endurtaka dæmigerða innviði fyrirtækja í ýmsum atvinnugreinum. Það gerir þér kleift að „æfa á köttum“ - að æfa hagnýta færni sérfræðinga án þess að eiga á hættu að eitthvað fari ekki samkvæmt áætlun og netæfingar munu skaða starfsemi raunverulegs fyrirtækis. Stór netöryggisfyrirtæki eru farin að þróa þetta svæði og hægt er að horfa á svipaðar netæfingar í leikjaformi, til dæmis á Positive Hack Days.
Dæmigerð skýringarmynd netuppbyggingar fyrir stórt fyrirtæki eða fyrirtæki er nokkuð staðlað sett af netþjónum, vinnutölvum og ýmsum nettækjum með stöðluðu setti fyrirtækjahugbúnaðar og upplýsingaöryggiskerfa. Netprófunarsvæði iðnaðarins er allt það sama, auk alvarlegra sérstakra sem flækja sýndarlíkanið verulega.
Hvernig við færðum netsviðið nær raunveruleikanum
Hugmyndalega er útlit iðnaðarhluta netprófunarsvæðisins háð valinni aðferð til að móta flókið net-eðlisfræðilegt kerfi. Það eru þrjár meginaðferðir við líkanagerð:
Hver af þessum aðferðum hefur sína kosti og galla. Í mismunandi tilvikum, allt eftir lokamarkmiðinu og núverandi takmörkunum, er hægt að nota allar þrjár ofangreindar líkanaaðferðir. Til þess að formfesta val á þessum aðferðum höfum við tekið saman eftirfarandi reiknirit:
Kostir og gallar mismunandi líkanaaðferða geta verið sýndir í formi skýringarmyndar, þar sem y-ásinn er umfjöllun um námssvið (þ.e. sveigjanleiki fyrirhugaðs líkanatóls), og x-ásinn er nákvæmni af uppgerðinni (stig samsvarandi við raunverulegt kerfi). Það kemur í ljós næstum Gartner ferningur:
Ákjósanlegasta jafnvægið á milli nákvæmni og sveigjanleika líkanagerðar er því svokölluð hálfnáttúruleg líkan (vélbúnaður-í-lykkju, HIL). Innan þessarar nálgunar er net-eðlisfræðilega kerfið að hluta til mótað með raunverulegum búnaði og að hluta með stærðfræðilegum líkönum. Til dæmis getur rafmagnsaðveitustöð verið táknuð með raunverulegum örgjörvatækjum (relay verndarstöðvum), netþjónum sjálfvirkra stjórnkerfa og annars aukabúnaðar, og eðlisfræðilegir ferlar sem eiga sér stað í rafnetinu eru útfærðir með tölvulíkani. Allt í lagi, við höfum ákveðið líkanaaðferðina. Eftir þetta var nauðsynlegt að þróa arkitektúr netsviðsins. Til þess að netæfingar séu raunverulega gagnlegar, verður að endurskapa allar samtengingar raunverulegs flókins netkerfis eins nákvæmlega og hægt er á prófunarstaðnum. Þess vegna, í okkar landi, eins og í raunveruleikanum, samanstendur tæknihluti netsviðsins af nokkrum samskiptastigum. Leyfðu mér að minna þig á að dæmigerð iðnaðarnetinnviði inniheldur lægsta stigið, sem felur í sér svokallaðan „aðalbúnað“ - þetta er ljósleiðari, rafmagnsnet eða eitthvað annað, allt eftir iðnaði. Það skiptist á gögnum og er stjórnað af sérhæfðum iðnaðarstýringum og þeim aftur á móti af SCADA kerfum.
Við byrjuðum að búa til iðnaðarhluta netsíðunnar úr orkuhlutanum, sem er nú forgangsverkefni okkar (olíu- og gas- og efnaiðnaðurinn er í áætlunum okkar).
Það er augljóst að ekki er hægt að átta sig á stigi frumbúnaðar með fullri stærðarlíkönum með raunverulegum hlutum. Þess vegna, á fyrsta stigi, þróuðum við stærðfræðilegt líkan af raforkuverinu og aðliggjandi hluta raforkukerfisins. Þetta líkan inniheldur allan aflbúnað tengivirkja - raflínur, spennar o.s.frv., og er framkvæmt í sérstökum RSCAD hugbúnaðarpakka. Líkanið sem búið er til á þennan hátt er hægt að vinna með rauntímatölvusamstæðu - aðaleinkenni þess er að vinnslutíminn í raunkerfinu og vinnslutíminn í líkaninu er alveg eins - það er að segja ef skammhlaup í raun netið varir í tvær sekúndur, það verður hermt í nákvæmlega sama tíma í RSCAD). Við fáum „lifandi“ hluta raforkukerfisins, sem virkar í samræmi við öll lögmál eðlisfræðinnar og bregst jafnvel við utanaðkomandi áhrifum (til dæmis virkjun liðavörn og sjálfvirkni, slökkt á rofum osfrv.). Samskipti við utanaðkomandi tæki náðust með því að nota sérhæfð sérsniðin samskiptaviðmót, sem gerir stærðfræðilíkaninu kleift að hafa samskipti við stig stýringa og stig sjálfvirkra kerfa.
En stig stjórnenda og sjálfvirkra stjórnkerfa raforkuvera er hægt að búa til með því að nota raunverulegan iðnaðarbúnað (þótt við getum líka notað sýndarlíkön ef nauðsyn krefur). Á þessum tveimur stigum eru, hvort um sig, stýringar og sjálfvirknibúnaður (gengisvörn, PMU, USPD, mælar) og sjálfvirk stjórnkerfi (SCADA, OIK, AIISKUE). Líkanagerð í fullri stærð getur aukið raunsæi líkansins verulega og, í samræmi við það, netæfingarnar sjálfar, þar sem teymi munu hafa samskipti við raunverulegan iðnaðarbúnað, sem hefur sína eigin eiginleika, villur og veikleika.
Á þriðja stigi útfærðum við samspil stærðfræðilegra og eðlisfræðilegra hluta líkansins með því að nota sérhæfð vél- og hugbúnaðarviðmót og merkjamagnara.
Fyrir vikið lítur innviðir eitthvað svona út:
Allur búnaður á prófunarstað hefur samskipti sín á milli á sama hátt og í raunverulegu netkerfi. Nánar tiltekið, þegar við smíðuðum þetta líkan, notuðum við eftirfarandi búnað og tölvuverkfæri:
- Að reikna flókið RTDS til að framkvæma útreikninga í „rauntíma“;
- Sjálfvirk vinnustöð (AWS) rekstraraðila með uppsettan hugbúnað til að búa til líkan af tækniferli og aðalbúnaði rafvirkja;
- Skápar með samskiptabúnaði, gengisvörn og sjálfvirknistöðvum og sjálfvirkum ferlistýringarbúnaði;
- Magnaraskápar hannaðir til að magna hliðræn merki frá stafræna til hliðræna breytiborði RTDS hermirsins. Hver magnaraskápur inniheldur mismunandi sett af mögnunarblokkum sem notaðar eru til að búa til straum- og spennuinntaksmerki fyrir liðavarnarklefana sem verið er að rannsaka. Inntaksmerki eru magnuð upp í það stig sem krafist er fyrir eðlilega notkun liðavarnarskautanna.
Þetta er ekki eina mögulega lausnin, en að okkar mati er hún ákjósanleg til að stunda netæfingar, þar sem hún endurspeglar raunverulegan arkitektúr langflestra nútíma tengivirkja, og á sama tíma er hægt að aðlaga hana þannig að hún endurskapi sem nákvæmlega eins og hægt er suma eiginleika tiltekins hlutar.
Að lokum
Netsviðið er risastórt verkefni og enn er mikil vinna framundan. Annars vegar athugum við reynslu vestrænna samstarfsmanna okkar, hins vegar verðum við að gera mikið út frá reynslu okkar af því að vinna sérstaklega með rússneskum iðnaðarfyrirtækjum, þar sem ekki aðeins mismunandi atvinnugreinar, heldur einnig mismunandi lönd hafa sérstöðu. Þetta er bæði flókið og áhugavert efni.
Engu að síður erum við sannfærð um að við í Rússlandi höfum náð því sem almennt er kallað „þroskastig“ þegar iðnaðurinn skilur einnig þörfina fyrir netæfingar. Þetta þýðir að innan skamms mun iðnaðurinn hafa sína eigin bestu starfshætti og við munum vonandi styrkja öryggisstig okkar.
Höfundar
Oleg Arkhangelsky, leiðandi sérfræðingur og aðferðafræðingur Industrial Cyber Test Site verkefnisins.
Dmitry Syutov, yfirverkfræðingur Industrial Cyber Test Site verkefnisins;
Andrey Kuznetsov, yfirmaður "Industrial Cyber Test Site" verkefnisins, staðgengill yfirmaður Cyber Security Laboratory of Automated Process Control Systems for Production
Heimild: www.habr.com