産業用サイバートレーニング用の仮想インフラストラクチャを構築した方法

今年、私たちはサイバー訓練場、つまりさまざまな業界の企業向けのサイバー演習のためのプラットフォームを構築する大規模なプロジェクトを開始しました。 これを行うには、ネットワークの企業セグメントの観点だけでなく、銀行やエネルギー会社などの典型的な内部構造を再現するために、「自然のものと同一の」仮想インフラストラクチャを作成する必要があります。 。 少し後で、銀行業務やサイバー範囲のその他のインフラストラクチャについて説明します。そして今日は、産業企業の技術分野に関連してこの問題をどのように解決したかについて説明します。

もちろん、サイバー演習とサイバー訓練場の話題は昨日生まれたわけではありません。 西側諸国では、競合する提案、サイバー演習へのさまざまなアプローチ、そして単なるベストプラクティスの輪が長い間形成されてきました。 情報セキュリティ サービスの「良い形」は、実際にサイバー攻撃を撃退する準備を定期的に実践することです。 ロシアにとって、これはまだ新しいトピックです。はい、供給は少なく、数年前に発生しましたが、特に産業分野での需要が徐々に形成され始めたのは今になって初めてです。 これには主に XNUMX つの理由があると考えています。これらはすでに非常に明白になっている問題でもあります。

世界の変化が速すぎる

わずか 10 年前、ハッカーは主に資金をすぐに引き出すことができる組織を攻撃しました。 業界にとって、この脅威はそれほど重要ではありませんでした。 現在、政府機関、エネルギーおよび産業企業のインフラストラクチャも関心の対象となっていることがわかります。 ここでは、スパイ行為の試み、さまざまな目的（競合情報、脅迫）でのデータ盗難、さらには関心のある同志へのさらなる販売のためのインフラストラクチャ内の拠点の取得に対処することが多くなります。 まあ、WannaCry のような平凡な暗号化ツールでさえ、世界中のかなりの数の同様のオブジェクトを捕捉しています。 したがって、現代の現実では、情報セキュリティの専門家はこれらのリスクを考慮し、新しい情報セキュリティ プロセスを作成する必要があります。 特に、定期的に資格の向上と実践的なスキルの練習を行ってください。 産業施設の運用派遣管理のあらゆるレベルの担当者は、サイバー攻撃が発生した場合にどのような行動をとるべきかを明確に理解していなければなりません。 しかし、自社のインフラストラクチャ上でサイバー演習を実施することは、申し訳ありませんが、リスクが明らかにメリットを上回ります。

攻撃者がプロセス制御システムや IIoT システムをハッキングする実際の能力についての理解の欠如

この問題は組織のあらゆるレベルに存在します。すべての専門家ですら、自分たちのシステムに何が起こり得るのか、それに対してどのような攻撃ベクトルが利用可能なのかを理解しているわけではありません。 リーダーシップについて何が言えるでしょうか?

セキュリティの専門家は、攻撃者が企業ネットワークより先に進むことを許さないとされる「エアギャップ」をよく主張しますが、実際には、組織の 90% で企業セグメントとテクノロジーセグメントの間につながりがあることが示されています。 同時に、技術ネットワークの構築と管理のまさに要素にも脆弱性が存在することが多く、特に機器を調査する際にその脆弱性が見つかりました。 モクサ и シュナイダーエレクトリック.

適切な脅威モデルを構築するのは困難

近年、情報と自動化システムの複雑性が継続的に増加し、コンピューティング リソースと物理機器の統合を伴うサイバー物理システムへの移行が進んでいます。 システムは非常に複雑になっているため、分析手法を使用してサイバー攻撃の結果をすべて予測することはまったく不可能です。 私たちは組織への経済的損害についてだけでなく、技術者や業界にとって理解できる結果の評価についても話しています。たとえば、石油やガスについて話している場合は、電力や別の種類の製品の供給不足です。または石油化学製品。 そして、そのような状況で優先順位をどのように設定すればよいでしょうか?

実際、私たちの意見では、これらすべてがロシアにおけるサイバー演習とサイバー訓練場の概念の出現の前提条件となりました。

サイバーレンジのテクノロジーセグメントがどのように機能するか

サイバー テスト グラウンドは、さまざまな業界の企業の典型的なインフラストラクチャを複製する仮想インフラストラクチャの複合体です。 これにより、「猫で練習」することができます。つまり、何かが計画どおりに進まず、サイバー演習が実際の企業の活動に損害を与えるリスクを負うことなく、専門家の実践的なスキルを練習することができます。 大手サイバーセキュリティ企業はこの分野の開発に着手しており、たとえば Positive Hack Days では、同様のサイバー演習をゲーム形式で見ることができます。

大企業や企業の典型的なネットワーク インフラストラクチャ図は、企業ソフトウェアと情報セキュリティ システムの標準セットを備えたサーバー、職場コンピュータ、およびさまざまなネットワーク デバイスのかなり標準的なセットです。 業界のサイバー テスト場はすべて同じですが、仮想モデルを大幅に複雑にする重大な仕様が追加されています。

サイバー範囲をどのように現実に近づけたか

概念的には、サイバー テスト サイトの産業部分の外観は、複雑なサイバー物理システムをモデル化するために選択された方法によって異なります。 モデリングには XNUMX つの主なアプローチがあります。

これらのアプローチにはそれぞれ、独自の長所と短所があります。 場合によっては、最終目標と既存の制限に応じて、上記の XNUMX つのモデリング方法をすべて使用できます。 これらの方法の選択を形式化するために、次のアルゴリズムをコンパイルしました。

さまざまなモデリング方法の長所と短所は、図の形式で表すことができます。Y 軸は研究領域の範囲 (つまり、提案されたモデリング ツールの柔軟性)、X 軸は精度です。シミュレーションの程度（実システムとの一致度）。 それはほぼ Gartner スクエアであることがわかります。

したがって、モデリングの精度と柔軟性の間の最適なバランスは、いわゆる半自然モデリング (ハードウェアインザループ、HIL) です。 このアプローチでは、サイバーフィジカル システムの一部は実際の機器を使用してモデル化され、一部は数学的モデルを使用します。 たとえば、変電所は実際のマイクロプロセッサ デバイス (リレー保護端子)、自動制御システムのサーバー、その他の二次機器によって表すことができ、電気ネットワーク内で発生する物理プロセス自体はコンピューター モデルを使用して実装されます。 さて、モデリング方法が決まりました。 この後、サイバーレンジのアーキテクチャを開発する必要がありました。 サイバー演習が真に役立つためには、実際の複雑なサイバー物理システムのすべての相互接続がテストサイトで可能な限り正確に再現されなければなりません。 したがって、我が国では、現実世界と同様に、サイバー範囲の技術部分は、相互作用する複数のレベルで構成されています。 典型的な産業用ネットワーク インフラストラクチャには、いわゆる「主要機器」を含む最下位レベルが含まれていることを思い出してください。これは、業界に応じて、光ファイバー、電気ネットワーク、またはその他のものです。 データを交換し、専用の産業用コントローラー、さらには SCADA システムによって制御されます。

私たちはエネルギー分野からサイバー サイトの産業部分の作成を開始しましたが、これは現在当社の優先事項です (石油、ガス、化学産業が計画に含まれています)。

実物を使った本格的なモデリングでは初級装備のレベルを実現できないことは明らかです。 したがって、最初の段階では、電力設備と電力システムの隣接部分の数学的モデルを開発しました。 このモデルには、変電所のすべての電力設備 (送電線、変圧器など) が含まれており、特別な RSCAD ソフトウェア パッケージで実行されます。 この方法で作成されたモデルは、リアルタイム コンピューティング コンプレックスで処理できます。その主な特徴は、実際のシステムでの処理時間とモデルでの処理時間が完全に同一であることです。つまり、実際のシステムで短絡が発生した場合、ネットワークが XNUMX 秒続く場合、RSCAD ではまったく同じ時間シミュレーションされます)。 電力システムの「ライブ」セクションが得られ、すべての物理法則に従って機能し、外部の影響（たとえば、リレー保護および自動化端子の作動、スイッチのトリップなど）にも反応します。 外部デバイスとの対話は、カスタマイズ可能な専用の通信インターフェイスを使用して実現され、数学的モデルがコントローラーのレベルや自動化システムのレベルと対話できるようになりました。

ただし、電力設備のコントローラーと自動制御システムのレベルは、実際の産業機器を使用して作成できます (ただし、必要に応じて、仮想モデルを使用することもできます)。 これら XNUMX つのレベルには、それぞれコントローラーと自動化機器 (リレー保護と自動化、PMU、USPD、メーター) と自動制御システム (SCADA、OIK、AIISKUE) が配置されています。 チームは独自の特性、バグ、脆弱性を持つ実際の産業用機器を操作することになるため、本格的なモデリングによりモデルの現実性が大幅に向上し、それに応じてサイバー演習自体も向上します。

第 XNUMX 段階では、専用のハードウェアとソフトウェアのインターフェイスと信号増幅器を使用して、モデルの数学的部分と物理的部分の相互作用を実装しました。

その結果、インフラストラクチャは次のようになります。

すべてのテスト サイトの機器は、実際のサイバーフィジカル システムと同じ方法で相互に通信します。 より具体的には、このモデルを構築する際には、次の機器とコンピューティング ツールを使用しました。

• 「リアルタイム」で計算を実行するための複雑な RTDS の計算。
• 変電所の技術プロセスと主要機器をモデル化するためのソフトウェアがインストールされたオペレーターの自動ワークステーション (AWS)。
• 通信機器、リレー保護および自動化端子、および自動プロセス制御機器を備えたキャビネット。
• RTDS シミュレーターのデジタル - アナログ コンバーター ボードからのアナログ信号を増幅するように設計されたアンプ キャビネット。 各アンプキャビネットには、研究対象のリレー保護端子の電流および電圧入力信号を生成するために使用される増幅ブロックの異なるセットが含まれています。 入力信号はリレー保護端子の通常動作に必要なレベルまで増幅されます。

これが唯一の可能な解決策ではありませんが、現代の変電所の大部分の実際のアーキテクチャを反映しており、同時に、次のようにカスタマイズできるため、サイバー演習を行うのに最適であると私たちは考えています。特定のオブジェクトのいくつかの特徴を可能な限り正確に表示します。

結論

サイバーレンジは大規模なプロジェクトであり、今後も多くの作業が残されています。 一方では、私たちは西側の同僚の経験を研究していますが、他方では、特にロシアの産業企業と協力した経験に基づいて多くのことを行う必要があります。なぜなら、異なる業界だけでなく、異なる国にも特有の事情があるからです。 これは複雑かつ興味深いテーマです。
それにもかかわらず、私たちはロシアにおいて、産業界もサイバー演習の必要性を理解する、一般に「成熟のレベル」と呼ばれるレベルに到達したと確信しています。 これは、間もなく業界が独自のベスト プラクティスを確立し、セキュリティ レベルが強化されることを意味します。

著者

産業サイバー テスト サイト プロジェクトの主要アナリスト兼方法論者、オレグ アルハンゲルスキー氏。
産業サイバーテストサイトプロジェクトのチーフエンジニア、ドミトリー・シュトフ氏。
アンドレイ・クズネツォフ氏、「産業サイバーテストサイト」プロジェクト責任者、生産用自動プロセス制御システムサイバーセキュリティ研究所副所長

出所： habr.com