השנה התחלנו בפרויקט גדול ליצירת מגרש אימוני סייבר – פלטפורמה לתרגילי סייבר לחברות בתעשיות שונות. לשם כך יש צורך ליצור תשתיות וירטואליות "זהות לטבעיות" - כך שישכפלו את המבנה הפנימי הטיפוסי של בנק, חברת אנרגיה וכו', ולא רק מבחינת הפלח הארגוני של הרשת. . קצת אחר כך נדבר על התשתיות הבנקאיות ותשתיות אחרות של מגוון הסייבר, והיום נדבר על איך פתרנו את הבעיה הזו ביחס לפלח הטכנולוגי של מפעל תעשייתי.
כמובן שהנושא של תרגילי סייבר ומגרשי אימוני סייבר לא עלה אתמול. במערב נוצר מזמן מעגל של הצעות מתחרות, גישות שונות לתרגילי סייבר ופשוט שיטות עבודה מומלצות. "הצורה הטובה" של שירות אבטחת המידע היא לתרגל מעת לעת את נכונותו להדוף מתקפות סייבר בפועל. עבור רוסיה, זה עדיין נושא חדש: כן, יש היצע קטן, והוא עלה לפני מספר שנים, אבל הביקוש, במיוחד במגזרי התעשייה, החל להיווצר בהדרגה רק עכשיו. אנו מאמינים שיש לכך שלוש סיבות עיקריות - הן גם בעיות שכבר הפכו ברורות מאוד.
העולם משתנה מהר מדי
רק לפני 10 שנים האקרים תקפו בעיקר את הארגונים שמהם יכלו למשוך כסף במהירות. עבור התעשייה, האיום הזה היה פחות רלוונטי. כעת אנו רואים שגם התשתית של ארגונים ממשלתיים, מפעלי אנרגיה ותעשייה הופכת לנושא העניין שלהם. כאן אנו עוסקים לעתים קרובות יותר בניסיונות ריגול, גניבת נתונים למטרות שונות (מודיעין תחרותי, סחיטה), וכן השגת נקודות נוכחות בתשתית להמשך מכירה לחברים מתעניינים. ובכן, אפילו מוצפנים בנאליים כמו WannaCry תפסו לא מעט חפצים דומים ברחבי העולם. לכן, המציאות המודרנית מחייבת מומחי אבטחת מידע לקחת בחשבון סיכונים אלו וליצור תהליכי אבטחת מידע חדשים. בפרט, שפר באופן קבוע את הכישורים שלך ותרגל מיומנויות מעשיות. כוח אדם בכל הרמות של בקרת שיגור מבצעית של מתקנים תעשייתיים חייב להיות בעל הבנה ברורה של הפעולות שיש לנקוט במקרה של מתקפת סייבר. אבל כדי לבצע תרגילי סייבר על התשתית שלך - מצטער, הסיכונים עולים בבירור על היתרונות האפשריים.
חוסר הבנה של היכולות האמיתיות של התוקפים לפרוץ מערכות בקרת תהליכים ומערכות IIoT
הבעיה הזו קיימת בכל רמות הארגונים: אפילו לא כל המומחים מבינים מה יכול לקרות למערכת שלהם, אילו וקטורי תקיפה זמינים נגדה. מה אנחנו יכולים לומר על ההנהגה?
מומחי אבטחה פונים לא פעם ל"פער האוויר", שלכאורה לא יאפשר לתוקף ללכת רחוק יותר מהרשת הארגונית, אך הפרקטיקה מלמדת כי ב-90% מהארגונים יש קשר בין המגזר הארגוני והטכנולוגיה. יחד עם זאת, לעצם המרכיבים של בנייה וניהול רשתות טכנולוגיות יש לעיתים קרובות גם נקודות תורפה, שראינו במיוחד כשבדקנו ציוד и .
קשה לבנות מודל איומים הולם
בשנים האחרונות חל תהליך מתמיד של הגברת מורכבות המידע והמערכות האוטומטיות וכן מעבר למערכות סייבר-פיזיות הכוללות שילוב משאבי מחשוב וציוד פיזי. המערכות הופכות למורכבות עד כדי כך שפשוט בלתי אפשרי לחזות את כל ההשלכות של התקפות סייבר באמצעות שיטות אנליטיות. אנחנו מדברים לא רק על נזק כלכלי לארגון, אלא גם על הערכת ההשלכות המובנות עבור הטכנולוג ועבור התעשייה - תת אספקת חשמל למשל, או סוג אחר של מוצר, אם אנחנו מדברים על נפט וגז. או פטרוכימיקלים. ואיך לקבוע סדרי עדיפויות במצב כזה?
למעשה, כל זה, לדעתנו, הפך לתנאים המוקדמים להופעתו של הרעיון של תרגילי סייבר ומגרשי אימוני סייבר ברוסיה.
כיצד פועל הפלח הטכנולוגי של מגוון הסייבר
מגרש בדיקות סייבר הוא קומפלקס של תשתיות וירטואליות המשכפלות תשתיות טיפוסיות של ארגונים בתעשיות שונות. זה מאפשר לך "להתאמן על חתולים" - לתרגל את הכישורים המעשיים של מומחים ללא סיכון שמשהו לא ילך לפי התוכנית, ותרגילי סייבר יפגעו בפעילות של מפעל אמיתי. חברות אבטחת סייבר גדולות מתחילות לפתח תחום זה, ותוכלו לצפות בתרגילי סייבר דומים בפורמט משחק, למשל, ב-Positive Hack Days.
דיאגרמת תשתית רשת אופיינית לארגון גדול או תאגיד הוא סט סטנדרטי למדי של שרתים, מחשבי עבודה והתקני רשת שונים עם סט סטנדרטי של תוכנות ומערכות אבטחת מידע ארגוניות. מגרש בדיקות סייבר בתעשייה הוא אותו דבר, בתוספת פרטים רציניים שמסבכים באופן דרמטי את המודל הווירטואלי.
איך קירבנו את מגוון הסייבר למציאות
מבחינה קונספטואלית, המראה של החלק התעשייתי של אתר בדיקות הסייבר תלוי בשיטה הנבחרת של מודלים של מערכת סייבר-פיזית מורכבת. ישנן שלוש גישות עיקריות למידול:
לכל אחת מהגישות הללו יש יתרונות וחסרונות משלה. במקרים שונים, בהתאם למטרה הסופית ולמגבלות הקיימות, ניתן להשתמש בכל שלוש שיטות המידול לעיל. על מנת לבסס את הבחירה בשיטות אלו, ריכזנו את האלגוריתם הבא:
היתרונות והחסרונות של שיטות מידול שונות יכולים להיות מיוצגים בצורה של דיאגרמה, כאשר ציר ה-y הוא כיסוי תחומי המחקר (כלומר, הגמישות של כלי המידול המוצע), וציר ה-x הוא הדיוק של הסימולציה (מידת ההתאמה למערכת האמיתית). מסתבר שכמעט ריבוע של גרטנר:
לפיכך, האיזון האופטימלי בין דיוק וגמישות של דוגמנות הוא מה שנקרא דוגמנות חצי טבעית (חומרה-בלולאה, HIL). במסגרת גישה זו, המערכת הסייבר-פיזיקלית מעוצבת בחלקה באמצעות ציוד אמיתי, ובחלקה באמצעות מודלים מתמטיים. לדוגמה, תחנת משנה חשמלית יכולה להיות מיוצגת על ידי התקני מיקרו-מעבד אמיתיים (מסופי הגנת ממסר), שרתים של מערכות בקרה אוטומטיות וציוד משני אחר, והתהליכים הפיזיים עצמם המתרחשים ברשת החשמל מיושמים באמצעות מודל מחשב. אוקיי, החלטנו על שיטת הדוגמנות. לאחר מכן, היה צורך לפתח את הארכיטקטורה של מגוון הסייבר. כדי שתרגילי סייבר יהיו שימושיים באמת, יש לשחזר את כל החיבורים של מערכת סייבר-פיזית מורכבת אמיתית בצורה מדויקת ככל האפשר באתר הבדיקה. לכן, במדינה שלנו, כמו בחיים האמיתיים, החלק הטכנולוגי של מגוון הסייבר מורכב מכמה רמות אינטראקציה. הרשו לי להזכיר לכם שתשתית רשת תעשייתית טיפוסית כוללת את הרמה הנמוכה ביותר, הכוללת את מה שנקרא "ציוד ראשוני" - זהו סיב אופטי, רשת חשמל או משהו אחר, תלוי בענף. הוא מחליף נתונים ונשלט על ידי בקרים תעשייתיים מיוחדים, ואלה, בתורם, על ידי מערכות SCADA.
התחלנו ליצור את החלק התעשייתי של אתר הסייבר ממגזר האנרגיה, שהוא כעת בראש סדר העדיפויות שלנו (תעשיות הנפט והגז והכימיה נמצאות בתוכניות שלנו).
ברור שלא ניתן לממש את רמת הציוד העיקרי באמצעות מודלים בקנה מידה מלא תוך שימוש באובייקטים אמיתיים. לכן, בשלב הראשון, פיתחנו מודל מתמטי של מתקן החשמל והמקטע הצמוד של מערכת החשמל. דגם זה כולל את כל ציוד החשמל של תחנות משנה - קווי חשמל, שנאים וכו', והוא מבוצע בחבילת תוכנה מיוחדת של RSCAD. ניתן לעבד את המודל שנוצר בצורה זו על ידי קומפלקס מחשוב בזמן אמת - המאפיין העיקרי שלו הוא שזמן התהליך במערכת האמיתית וזמן התהליך במודל זהים לחלוטין - כלומר אם קצר חשמלי במערכת אמיתית הרשת נמשכת שתי שניות, היא תודמה בדיוק במשך אותו פרק זמן ב-RSCAD). אנו מקבלים קטע "חי" של מערכת החשמל, המתפקד על פי כל חוקי הפיזיקה ואף מגיב להשפעות חיצוניות (למשל, הפעלת מסופי הגנת ממסר ואוטומציה, מעידה של מתגים וכו'). אינטראקציה עם מכשירים חיצוניים הושגה באמצעות ממשקי תקשורת מיוחדים הניתנים להתאמה אישית, המאפשרים למודל המתמטי לקיים אינטראקציה עם רמת הבקרים ורמת המערכות האוטומטיות.
אבל ניתן ליצור את רמות הבקרים ומערכות הבקרה האוטומטיות של מתקן חשמל באמצעות ציוד תעשייתי אמיתי (אם כי, במידת הצורך, נוכל להשתמש גם במודלים וירטואליים). בשתי רמות אלו ממוקמים בקרים וציוד אוטומציה (הגנה ואוטומציה ממסר, PMU, USPD, מטרים) ומערכות בקרה אוטומטיות (SCADA, OIK, AIISKUE) בהתאמה. דוגמנות בקנה מידה מלא יכול להגביר משמעותית את הריאליזם של המודל, ובהתאם, את תרגילי הסייבר עצמם, שכן צוותים יתקשרו עם ציוד תעשייתי אמיתי, שיש לו מאפיינים, באגים ופגיעויות משלו.
בשלב השלישי, יישמנו את האינטראקציה בין החלקים המתמטיים והפיזיים של המודל באמצעות ממשקי חומרה ותוכנה מיוחדים ומגברי אותות.
כתוצאה מכך, התשתית נראית בערך כך:
כל ציוד אתר הבדיקה מקיים אינטראקציה זה עם זה באותו אופן כמו במערכת סייבר-פיזית אמיתית. ליתר דיוק, בעת בניית המודל הזה השתמשנו בציוד ובכלי המחשוב הבאים:
- מחשוב RTDS מורכב לביצוע חישובים ב"זמן אמת";
- תחנת עבודה אוטומטית (AWS) של מפעיל עם תוכנה מותקנת למידול התהליך הטכנולוגי וציוד ראשוני של תחנות משנה חשמליות;
- ארונות עם ציוד תקשורת, מסופי הגנת ממסר ואוטומציה וציוד אוטומטי לבקרת תהליכים;
- ארונות מגברים המיועדים להגברת אותות אנלוגיים מלוח הממיר הדיגיטלי לאנלוגי של סימולטור RTDS. כל ארון מגבר מכיל קבוצה שונה של בלוקי הגברה המשמשים ליצירת אותות כניסה זרם ומתח עבור מסופי הגנת הממסר הנבדקים. אותות כניסה מוגברים לרמה הנדרשת לפעולה רגילה של מסופי הגנת הממסר.
זה לא הפתרון היחיד האפשרי, אבל, לדעתנו, הוא אופטימלי לביצוע תרגילי סייבר, שכן הוא משקף את הארכיטקטורה האמיתית של הרוב המכריע של תחנות המשנה המודרניות, ובמקביל ניתן להתאים אותו כך שייצור מחדש כמו במדויק ככל האפשר כמה תכונות של אובייקט מסוים.
לסיכום
מגוון הסייבר הוא פרויקט ענק, ויש עוד הרבה עבודה לפנינו. מצד אחד, אנחנו לומדים את הניסיון של עמיתינו המערביים, מצד שני, אנחנו צריכים לעשות הרבה על סמך הניסיון שלנו בעבודה ספציפית עם מפעלים תעשייתיים רוסים, שכן לא רק לתעשיות שונות, אלא גם למדינות שונות יש פרטים ספציפיים. זה נושא מורכב ומעניין כאחד.
עם זאת, אנו משוכנעים שאנו ברוסיה הגענו למה שנהוג לכנות "רמת בגרות" כאשר גם התעשייה מבינה את הצורך בתרגילי סייבר. המשמעות היא שבקרוב לתעשייה יהיו שיטות עבודה מומלצות משלה, ובתקווה נחזק את רמת האבטחה שלנו.
מחברים
אולג ארכנגלסקי, אנליסט ומתודולוג מוביל של פרויקט אתר בדיקות הסייבר התעשייתי.
דמיטרי סיוטוב, המהנדס הראשי של פרויקט אתר בדיקות הסייבר התעשייתי;
אנדריי קוזנצוב, ראש פרויקט "אתר בדיקות סייבר תעשייתי", סגן ראש מעבדת אבטחת סייבר של מערכות אוטומטיות לבקרת תהליכים לייצור
מקור: www.habr.com