Quest'anno abbiamo avviato un grande progetto per creare un campo di formazione informatica, una piattaforma per esercizi informatici per aziende di vari settori. Per fare questo è necessario creare infrastrutture virtuali “identiche a quelle naturali” - in modo che replichino la struttura interna tipica di una banca, di un'azienda energetica, ecc., e non solo in termini di segmento corporate della rete . Poco dopo parleremo delle infrastrutture bancarie e di altre infrastrutture della gamma cyber, e oggi parleremo di come abbiamo risolto questo problema in relazione al segmento tecnologico di un'impresa industriale.
Naturalmente il tema delle esercitazioni cibernetiche e dei campi di addestramento cibernetici non è stato posto ieri. In Occidente si è formato da tempo un circolo di proposte concorrenti, approcci diversi agli esercizi informatici e semplicemente migliori pratiche. La “buona forma” del servizio di sicurezza informatica è quella di mettere periodicamente in pratica la propria disponibilità a respingere gli attacchi informatici. Per la Russia questo è ancora un argomento nuovo: sì, l'offerta è piccola, ed è nata diversi anni fa, ma la domanda, soprattutto nei settori industriali, ha iniziato a formarsi gradualmente solo ora. Crediamo che ci siano tre ragioni principali per questo: si tratta anche di problemi che sono già diventati molto evidenti.
Il mondo sta cambiando troppo velocemente
Solo 10 anni fa gli hacker attaccavano soprattutto quelle organizzazioni dalle quali potevano prelevare rapidamente denaro. Per l’industria, questa minaccia era meno rilevante. Ora vediamo che anche le infrastrutture delle organizzazioni governative, delle imprese energetiche e industriali stanno diventando oggetto di loro interesse. Qui si tratta più spesso di tentativi di spionaggio, furto di dati per vari scopi (intelligence della concorrenza, ricatto), nonché di ottenimento di punti di presenza nell'infrastruttura per l'ulteriore vendita ai compagni interessati. Ebbene, anche crittografi banali come WannaCry hanno catturato parecchi oggetti simili in tutto il mondo. Pertanto, le realtà moderne richiedono che gli specialisti della sicurezza delle informazioni tengano conto di questi rischi e creino nuovi processi di sicurezza delle informazioni. In particolare, migliora regolarmente le tue qualifiche e pratica le abilità pratiche. Il personale a tutti i livelli di controllo operativo delle strutture industriali deve avere una chiara comprensione di quali azioni intraprendere in caso di attacco informatico. Ma per condurre esercitazioni informatiche sulla propria infrastruttura, mi dispiace, i rischi superano chiaramente i possibili benefici.
Mancanza di comprensione delle reali capacità degli aggressori di hackerare i sistemi di controllo dei processi e i sistemi IIoT
Questo problema esiste a tutti i livelli delle organizzazioni: nemmeno tutti gli specialisti capiscono cosa può succedere al loro sistema, quali vettori di attacco sono disponibili contro di esso. Cosa possiamo dire della leadership?
Gli esperti di sicurezza spesso fanno appello all'“air gap”, che presumibilmente non consentirà all'aggressore di andare oltre la rete aziendale, ma la pratica dimostra che nel 90% delle organizzazioni esiste una connessione tra il segmento aziendale e quello tecnologico. Allo stesso tempo, anche gli elementi stessi della costruzione e della gestione delle reti tecnologiche presentano spesso dei punti deboli, che abbiamo constatato in particolare esaminando le apparecchiature и .
È difficile costruire un modello di minaccia adeguato
Negli ultimi anni si è assistito a un processo costante di crescente complessità delle informazioni e dei sistemi automatizzati, nonché di una transizione verso sistemi cyber-fisici che comportano l’integrazione di risorse informatiche e apparecchiature fisiche. I sistemi stanno diventando così complessi che è semplicemente impossibile prevedere tutte le conseguenze degli attacchi informatici utilizzando metodi analitici. Non stiamo parlando solo di danni economici all'organizzazione, ma anche di valutare le conseguenze comprensibili per il tecnologo e per l'industria: carenza di elettricità, ad esempio, o un altro tipo di prodotto, se parliamo di petrolio e gas o petrolchimici. E come stabilire le priorità in una situazione del genere?
In realtà, tutto ciò, a nostro avviso, è diventato i prerequisiti per l'emergere del concetto di esercitazioni informatiche e campi di addestramento informatico in Russia.
Come funziona il segmento tecnologico della gamma cyber
Un banco di prova informatico è un complesso di infrastrutture virtuali che replicano le infrastrutture tipiche delle imprese di vari settori. Ti consente di "esercitarti sui gatti" - di esercitare le abilità pratiche degli specialisti senza il rischio che qualcosa non vada secondo i piani e che gli esercizi informatici danneggino le attività di un'impresa reale. Grandi aziende di sicurezza informatica stanno iniziando a sviluppare quest'area e puoi guardare esercizi informatici simili in formato gioco, ad esempio, ai Positive Hack Days.
Un tipico diagramma dell'infrastruttura di rete per una grande azienda o società è un insieme abbastanza standard di server, computer di lavoro e vari dispositivi di rete con un set standard di software aziendale e sistemi di sicurezza delle informazioni. Un banco di prova informatico del settore è tutto uguale, oltre a dettagli seri che complicano notevolmente il modello virtuale.
Come abbiamo avvicinato la cyber-gamma alla realtà
Concettualmente, l'aspetto della parte industriale del sito di cyber test dipende dal metodo scelto per modellare un sistema cyber-fisico complesso. Esistono tre approcci principali alla modellazione:
Ciascuno di questi approcci presenta vantaggi e svantaggi. In diversi casi, a seconda dell'obiettivo finale e delle limitazioni esistenti, è possibile utilizzare tutti e tre i metodi di modellazione sopra menzionati. Per formalizzare la scelta di questi metodi, abbiamo compilato il seguente algoritmo:
I pro e i contro dei diversi metodi di modellazione possono essere rappresentati sotto forma di diagramma, dove l'asse y è la copertura delle aree di studio (ovvero la flessibilità dello strumento di modellazione proposto) e l'asse x è la precisione della simulazione (il grado di corrispondenza al sistema reale). Risulta quasi un quadrato Gartner:
Pertanto, l’equilibrio ottimale tra accuratezza e flessibilità della modellazione è la cosiddetta modellazione semi-naturale (hardware-in-the-loop, HIL). Nell’ambito di questo approccio, il sistema cyber-fisico viene modellato in parte utilizzando apparecchiature reali e in parte utilizzando modelli matematici. Ad esempio, una sottostazione elettrica può essere rappresentata da veri e propri dispositivi a microprocessore (terminali di protezione relè), server di sistemi di controllo automatizzati e altre apparecchiature secondarie, e i processi fisici stessi che si verificano nella rete elettrica sono implementati utilizzando un modello computerizzato. Ok, abbiamo deciso il metodo di modellazione. Successivamente è stato necessario sviluppare l'architettura della cyber range. Affinché gli esercizi informatici siano davvero utili, tutte le interconnessioni di un sistema cyber-fisico complesso reale devono essere ricreate nel modo più accurato possibile sul sito di prova. Pertanto, nel nostro Paese, come nella vita reale, la parte tecnologica della gamma cyber è costituita da diversi livelli interagenti. Permettetemi di ricordarvi che una tipica infrastruttura di rete industriale comprende il livello più basso, che comprende le cosiddette "attrezzature primarie": si tratta di fibra ottica, rete elettrica o qualcos'altro, a seconda del settore. Scambia dati ed è controllato da controllori industriali specializzati e questi, a loro volta, da sistemi SCADA.
Abbiamo iniziato a creare la parte industriale del sito informatico dal segmento energetico, che ora è la nostra priorità (l'industria petrolifera, del gas e quella chimica sono nei nostri piani).
È ovvio che il livello delle attrezzature primarie non può essere realizzato attraverso la modellazione in scala reale utilizzando oggetti reali. Pertanto, nella prima fase, abbiamo sviluppato un modello matematico della centrale elettrica e della sezione adiacente del sistema energetico. Questo modello comprende tutte le apparecchiature elettriche delle sottostazioni: linee elettriche, trasformatori, ecc. ed è eseguito in uno speciale pacchetto software RSCAD. Il modello così creato può essere elaborato da un complesso di calcolo in tempo reale - la sua caratteristica principale è che il tempo di processo nel sistema reale e il tempo di processo nel modello sono assolutamente identici - cioè, se un cortocircuito in un sistema reale dura due secondi, verrà simulata esattamente per lo stesso periodo di tempo in RSCAD). Otteniamo una sezione “viva” del sistema di alimentazione elettrica, che funziona secondo tutte le leggi della fisica e risponde anche a influenze esterne (ad esempio, attivazione della protezione relè e dei terminali di automazione, intervento degli interruttori, ecc.). L'interazione con dispositivi esterni è stata ottenuta utilizzando interfacce di comunicazione specializzate e personalizzabili, consentendo al modello matematico di interagire con il livello dei controllori e il livello dei sistemi automatizzati.
Ma i livelli dei controllori e dei sistemi di controllo automatizzati di un impianto energetico possono essere creati utilizzando apparecchiature industriali reali (anche se, se necessario, possiamo anche utilizzare modelli virtuali). A questi due livelli si trovano, rispettivamente, controllori e apparecchiature di automazione (protezione relè, PMU, USPD, contatori) e sistemi di controllo automatizzati (SCADA, OIK, AIISKUE). La modellazione su vasta scala può aumentare significativamente il realismo del modello e, di conseguenza, gli esercizi informatici stessi, poiché i team interagiranno con apparecchiature industriali reali, che hanno le proprie caratteristiche, bug e vulnerabilità.
Nella terza fase, abbiamo implementato l'interazione delle parti matematiche e fisiche del modello utilizzando interfacce hardware e software specializzate e amplificatori di segnale.
Di conseguenza, l'infrastruttura assomiglia a questa:
Tutte le apparecchiature del sito di prova interagiscono tra loro come in un vero sistema ciberfisico. Più specificamente, durante la costruzione di questo modello abbiamo utilizzato le seguenti apparecchiature e strumenti informatici:
- Calcolo RTDS complessi per l'esecuzione di calcoli in “tempo reale”;
- Postazione di lavoro automatizzata (AWS) di un operatore con software installato per la modellazione del processo tecnologico e delle apparecchiature primarie delle sottostazioni elettriche;
- Armadi con apparecchiature di comunicazione, terminali di protezione e automazione e apparecchiature di controllo del processo automatizzato;
- Armadi amplificatori progettati per amplificare i segnali analogici dalla scheda del convertitore digitale-analogico del simulatore RTDS. Ogni armadio dell'amplificatore contiene un insieme diverso di blocchi di amplificazione utilizzati per generare segnali di ingresso di corrente e tensione per i terminali di protezione del relè in esame. I segnali di ingresso vengono amplificati al livello richiesto per il normale funzionamento dei terminali di protezione del relè.
Questa non è l'unica soluzione possibile, ma, a nostro avviso, è ottimale per lo svolgimento di esercitazioni cyber, poiché rispecchia l'architettura reale della stragrande maggioranza delle moderne sottostazioni, e allo stesso tempo può essere personalizzata in modo da ricreare come nel modo più accurato possibile alcune caratteristiche di un particolare oggetto.
insomma
La gamma cyber è un progetto enorme e c’è ancora molto lavoro da fare. Da un lato studiamo l'esperienza dei nostri colleghi occidentali, dall'altro dobbiamo fare molto in base alla nostra esperienza di lavoro specifico con le imprese industriali russe, poiché non solo settori diversi, ma anche paesi diversi hanno specificità. Questo è un argomento complesso e interessante.
Tuttavia, siamo convinti che in Russia abbiamo raggiunto quello che viene comunemente chiamato un “livello di maturità” in cui anche l’industria comprende la necessità di esercitazioni informatiche. Ciò significa che presto il settore avrà le proprie migliori pratiche e, si spera, rafforzeremo il nostro livello di sicurezza.
Autori
Oleg Arkhangelsky, analista e metodologo leader del progetto Industrial Cyber Test Site.
Dmitry Syutov, ingegnere capo del progetto Industrial Cyber Test Site;
Andrey Kuznetsov, responsabile del progetto "Industrial Cyber Test Site", vicedirettore del Laboratorio di sicurezza informatica dei sistemi automatizzati di controllo dei processi di produzione
Fonte: habr.com