ProHoster > Blogs > Administrācija > Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Å ogad sākām apjomÄ«gu projektu, lai izveidotu kibermācÄ«bu poligonu ā€“ platformu kibermācÄ«bu veikÅ”anai dažādu nozaru uzņēmumiem. Lai to izdarÄ«tu, ir jāizveido virtuālās infrastruktÅ«ras, kas ir ā€œidentiskas dabiskajāmā€ - lai tās atkārtotu bankai, energokompānijai utt. tipisko iekŔējo struktÅ«ru, nevis tikai tÄ«kla korporatÄ«vā segmenta ziņā. . Nedaudz vēlāk mēs runāsim par banku un citām kiberdiapazona infrastruktÅ«rām, un Å”odien mēs runāsim par to, kā mēs atrisinājām Å”o problēmu saistÄ«bā ar rÅ«pniecÄ«bas uzņēmuma tehnoloÄ£isko segmentu.

Protams, vakar tēma par kibermācÄ«bām un kibertreniņu laukumiem neradās. Rietumos jau sen ir izveidojies konkurējoÅ”u priekÅ”likumu loks, dažādas pieejas kibermācÄ«bām un vienkārÅ”i labākās prakses. Informācijas droŔības dienesta ā€œlabā formaā€ ir periodiski praksē praktizēt gatavÄ«bu atvairÄ«t kiberuzbrukumus. Krievijai Ŕī joprojām ir jauna tēma: jā, ir neliels piedāvājums, un tas radās pirms vairākiem gadiem, bet pieprasÄ«jums, Ä«paÅ”i rÅ«pniecÄ«bas nozarēs, pamazām sācis veidoties tikai tagad. Mēs uzskatām, ka tam ir trÄ«s galvenie iemesli ā€“ tās ir arÄ« problēmas, kas jau ir kļuvuÅ”as ļoti acÄ«mredzamas.

Pasaule mainās pārāk ātri

Vēl tikai pirms 10 gadiem hakeri uzbruka galvenokārt tām organizācijām, no kurām varēja ātri izņemt naudu. Nozarei Å”is drauds nebija tik bÅ«tisks. Tagad redzam, ka arÄ« valsts organizāciju, enerģētikas un rÅ«pniecÄ«bas uzņēmumu infrastruktÅ«ra kļūst par viņu intereses objektu. Å eit biežāk ir darÄ«Å”ana ar spiegoÅ”anas mēģinājumiem, datu zādzÄ«bām dažādiem mērÄ·iem (konkurences izlÅ«koÅ”ana, Å”antāža), kā arÄ« klātbÅ«tnes punktu iegÅ«Å”anu infrastruktÅ«rā tālākai pārdoÅ”anai ieinteresētajiem biedriem. Pat tādi banāli Å”ifrētāji kā WannaCry ir noķēruÅ”i diezgan daudz lÄ«dzÄ«gu objektu visā pasaulē. Tāpēc mÅ«sdienu realitātē informācijas droŔības speciālistiem ir jāņem vērā Å”ie riski un jāveido jauni informācijas droŔības procesi. Jo Ä«paÅ”i regulāri paaugstiniet savu kvalifikāciju un praktizējiet praktiskās iemaņas. Personālam visos industriālo objektu operatÄ«vās nosÅ«tÄ«Å”anas kontroles lÄ«meņos ir jābÅ«t skaidrai izpratnei par to, kādas darbÄ«bas jāveic kiberuzbrukuma gadÄ«jumā. Bet veikt kibermācÄ«bas savā infrastruktÅ«rā ā€“ atvainojiet, riski nepārprotami atsver iespējamos ieguvumus.

Izpratnes trūkums par uzbrucēju reālajām iespējām uzlauzt procesu vadības sistēmas un IIoT sistēmas

Šī problēma pastāv visos organizāciju līmeņos: pat ne visi speciālisti saprot, kas var notikt ar viņu sistēmu, kādi uzbrukuma vektori pret to ir pieejami. Ko mēs varam teikt par vadību?

DroŔības eksperti nereti apelē pie ā€œgaisa spraugasā€, kas it kā neļaus uzbrucējam tikt tālāk par korporatÄ«vo tÄ«klu, taču prakse rāda, ka 90% organizāciju pastāv saikne starp korporatÄ«vo un tehnoloÄ£iju segmentiem. Tajā paŔā laikā paÅ”iem tehnoloÄ£isko tÄ«klu veidoÅ”anas un pārvaldÄ«bas elementiem bieži ir arÄ« ievainojamÄ«bas, ko mēs Ä«paÅ”i redzējām, pārbaudot aprÄ«kojumu. MOXA Šø Schneider Electric.

Ir grūti izveidot adekvātu draudu modeli

Pēdējos gados notiek nemitÄ«gs informācijas un automatizēto sistēmu sarežģītÄ«bas pieauguma process, kā arÄ« pāreja uz kiberfizikālām sistēmām, kas ietver skaitļoÅ”anas resursu un fiziskā aprÄ«kojuma integrāciju. Sistēmas kļūst tik sarežģītas, ka ir vienkārÅ”i neiespējami paredzēt visas kiberuzbrukumu sekas, izmantojot analÄ«tiskās metodes. Runa ir ne tikai par ekonomiskajiem zaudējumiem organizācijai, bet arÄ« par tehnologam un nozarei saprotamo seku izvērtÄ“Å”anu - nepietiekamu elektroenerÄ£ijas piegādi, piemēram, cita veida produktu, ja runājam par naftu un gāzi. vai naftas Ä·Ä«mijas produkti. Un kā Ŕādā situācijā noteikt prioritātes?

Faktiski tas viss, mÅ«suprāt, kļuva par priekÅ”noteikumu kibermācÄ«bu un kibertreniņu jēdziena raÅ”anās Krievijā.

Kā darbojas kiberdiapazona tehnoloģiskais segments

KibertestÄ“Å”anas poligons ir virtuālo infrastruktÅ«ru komplekss, kas atkārto tipiskas dažādu nozaru uzņēmumu infrastruktÅ«ras. Tas ļauj ā€œvingrināties uz kaÄ·iemā€ - praktizēt speciālistu praktiskās iemaņas, neriskējot, ka kaut kas nenotiks pēc plāna, un kibernodarbÄ«bas sabojās reāla uzņēmuma darbÄ«bu. Lielie kiberdroŔības uzņēmumi sāk attÄ«stÄ«t Å”o jomu, un lÄ«dzÄ«gus kibervingrinājumus spēles formātā varat vērot, piemēram, Positive Hack Days.

Tipiska tÄ«kla infrastruktÅ«ras diagramma lielam uzņēmumam vai korporācijai ir diezgan standarta serveru, darba datoru un dažādu tÄ«kla ierīču komplekts ar standarta korporatÄ«vās programmatÅ«ras un informācijas droŔības sistēmu komplektu. Nozares kibertestÄ“Å”anas laukums ir vienāds, kā arÄ« nopietna specifika, kas ievērojami sarežģī virtuālo modeli.

Kā mēs pietuvinājām kiberdiapazonu realitātei

Konceptuāli kibertestÄ“Å”anas poligona rÅ«pnieciskās daļas izskats ir atkarÄ«gs no izvēlētās sarežģītas kiberfizikālās sistēmas modelÄ“Å”anas metodes. Ir trÄ«s galvenās modelÄ“Å”anas pieejas:

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Katrai no Ŕīm metodēm ir savas priekÅ”rocÄ«bas un trÅ«kumi. Dažādos gadÄ«jumos, atkarÄ«bā no gala mērÄ·a un esoÅ”ajiem ierobežojumiem, var izmantot visas trÄ«s iepriekÅ” minētās modelÄ“Å”anas metodes. Lai formalizētu Å”o metožu izvēli, esam sastādÄ«juÅ”i Ŕādu algoritmu:

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Dažādu modelÄ“Å”anas metožu plusus un mÄ«nusus var attēlot diagrammas veidā, kur y ass ir pētāmo jomu pārklājums (t.i., piedāvātā modelÄ“Å”anas rÄ«ka elastÄ«ba), bet x ass ir precizitāte. simulācijas (atbilstÄ«bas pakāpe reālajai sistēmai). Izrādās gandrÄ«z Gartnera laukums:

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Tādējādi optimālais lÄ«dzsvars starp modelÄ“Å”anas precizitāti un elastÄ«bu ir tā sauktā daļēji dabiskā modelÄ“Å”ana (hardware-in-the-loop, HIL). Å Ä«s pieejas ietvaros kiberfiziskā sistēma ir daļēji modelēta, izmantojot reālu aprÄ«kojumu, un daļēji izmantojot matemātiskos modeļus. Piemēram, elektrisko apakÅ”staciju var attēlot ar reālām mikroprocesoru ierÄ«cēm (releja aizsardzÄ«bas termināļiem), automatizēto vadÄ«bas sistēmu serveriem un citām sekundārajām iekārtām, un paÅ”i fiziskie procesi, kas notiek elektrotÄ«klā, tiek realizēti, izmantojot datormodeli. Labi, mēs esam izlēmuÅ”i par modelÄ“Å”anas metodi. Pēc tam bija nepiecieÅ”ams izstrādāt kiberdiapazona arhitektÅ«ru. Lai kibernodarbÄ«bas bÅ«tu patiesi noderÄ«gas, visas reālas sarežģītas kiberfizikālās sistēmas kopsavienojumi ir pēc iespējas precÄ«zāk jāatjauno pārbaudes vietā. Tāpēc mÅ«su valstÄ«, tāpat kā reālajā dzÄ«vē, kiberdiapazona tehnoloÄ£iskā daļa sastāv no vairākiem savstarpēji mijiedarbÄ«giem lÄ«meņiem. AtgādināŔu, ka tipiskā industriālā tÄ«kla infrastruktÅ«rā ietilpst zemākais lÄ«menis, kurā ietilpst tā sauktais ā€œprimārais aprÄ«kojumsā€ - tā ir optiskā Ŕķiedra, elektrotÄ«kls vai kas cits, atkarÄ«bā no nozares. Tas apmainās ar datiem, un to kontrolē specializēti rÅ«pnieciskie kontrolieri, savukārt tos kontrolē SCADA sistēmas.

Kiberlaukuma industriālās daļas izveidi sākām no enerģētikas segmenta, kas Å”obrÄ«d ir mÅ«su prioritāte (mÅ«su plānos ir naftas un gāzes un Ä·Ä«miskā rÅ«pniecÄ«ba).

Ir skaidrs, ka primārā aprÄ«kojuma lÄ«meni nevar realizēt ar pilna mēroga modelÄ“Å”anu, izmantojot reālus objektus. Tāpēc pirmajā posmā mēs izstrādājām energoobjekta un blakus esoŔās energosistēmas sekcijas matemātisko modeli. Å is modelis ietver visas apakÅ”staciju energoiekārtas - elektrolÄ«nijas, transformatorus u.c., un tiek izpildÄ«ts Ä«paŔā RSCAD programmatÅ«ras pakotnē. Šādā veidā izveidoto modeli var apstrādāt reālā laika skaitļoÅ”anas komplekss ā€“ tā galvenā iezÄ«me ir tāda, ka procesa laiks reālajā sistēmā un procesa laiks modelÄ« ir absolÅ«ti identiski ā€“ tas ir, ja reālā notiek Ä«ssavienojums. tÄ«kls ilgst divas sekundes, tas tiks simulēts tieÅ”i tikpat ilgu laiku RSCAD). Mēs iegÅ«stam elektroenerÄ£ijas sistēmas ā€œdzÄ«vuā€ sadaļu, kas darbojas saskaņā ar visiem fizikas likumiem un pat reaģē uz ārējām ietekmēm (piemēram, releja aizsardzÄ«bas un automatizācijas spaiļu aktivizÄ“Å”ana, slēdžu atslēgÅ”ana utt.). MijiedarbÄ«ba ar ārējām ierÄ«cēm tika panākta, izmantojot specializētas, pielāgojamas komunikācijas saskarnes, ļaujot matemātiskajam modelim mijiedarboties ar kontrolieru lÄ«meni un automatizēto sistēmu lÄ«meni.

Bet energoobjekta kontrolieru un automatizēto vadÄ«bas sistēmu lÄ«meņus var izveidot, izmantojot reālas industriālās iekārtas (lai gan, ja nepiecieÅ”ams, varam izmantot arÄ« virtuālos modeļus). Å ajos divos lÄ«meņos atrodas attiecÄ«gi kontrolieri un automatizācijas iekārtas (relejaizsardzÄ«ba un automatizācija, PMU, USPD, skaitÄ«tāji) un automatizētās vadÄ«bas sistēmas (SCADA, OIK, AIISKUE). Pilna mēroga modelÄ“Å”ana var ievērojami palielināt modeļa reālismu un attiecÄ«gi arÄ« paÅ”us kibernodarbÄ«bas, jo komandas mijiedarbosies ar reālu industriālo aprÄ«kojumu, kam ir savas Ä«paŔības, kļūdas un ievainojamÄ«bas.

TreÅ”ajā posmā mēs Ä«stenojām modeļa matemātisko un fizisko daļu mijiedarbÄ«bu, izmantojot specializētas aparatÅ«ras un programmatÅ«ras saskarnes un signālu pastiprinātājus.

Rezultātā infrastruktÅ«ra izskatās apmēram Ŕādi:

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Visas pārbaudes vietas iekārtas mijiedarbojas savā starpā tāpat kā reālā kiberfiziskā sistēmā. Konkrētāk, veidojot Å”o modeli, mēs izmantojām Ŕādu aprÄ«kojumu un skaitļoÅ”anas rÄ«kus:

  • skaitļoÅ”anas komplekss RTDS aprēķinu veikÅ”anai ā€œreālā laikāā€;
  • Operatora automatizēta darbstacija (AWS) ar uzstādÄ«tu programmatÅ«ru elektrisko apakÅ”staciju tehnoloÄ£iskā procesa un primārā aprÄ«kojuma modelÄ“Å”anai;
  • Skapji ar sakaru iekārtām, relejaizsardzÄ«bas un automatizācijas termināliem un automatizētām procesu vadÄ«bas iekārtām;
  • Pastiprinātāju skapji, kas paredzēti analogo signālu pastiprināŔanai no RTDS simulatora ciparu-analogā pārveidotāja plates. Katrs pastiprinātāja korpuss satur atŔķirÄ«gu pastiprināŔanas bloku komplektu, ko izmanto, lai Ä£enerētu strāvas un sprieguma ieejas signālus pētāmajiem releja aizsardzÄ«bas spailēm. Ieejas signāli tiek pastiprināti lÄ«dz lÄ«menim, kas nepiecieÅ”ams normālai releja aizsardzÄ«bas spaiļu darbÄ«bai.

Kā mēs izveidojām virtuālu infrastruktūru rūpnieciskām kiberapmācībām

Tas nav vienÄ«gais iespējamais risinājums, taču, mÅ«suprāt, tas ir optimāls kibermācÄ«bu veikÅ”anai, jo atspoguļo vairuma mÅ«sdienu apakÅ”staciju reālo arhitektÅ«ru un tajā paŔā laikā to var pielāgot tā, lai atjaunotu pēc iespējas precÄ«zāk dažas konkrēta objekta pazÄ«mes.

Noslēgumā

Kiberdiapazons ir milzÄ«gs projekts, un priekŔā vēl ir daudz darba. No vienas puses, mēs pētām Rietumu kolēģu pieredzi, no otras puses, mums ir daudz jādara, balstoties uz mÅ«su pieredzi, strādājot tieÅ”i ar Krievijas rÅ«pniecÄ«bas uzņēmumiem, jo ā€‹ā€‹ne tikai dažādām nozarēm, bet arÄ« dažādām valstÄ«m ir specifika. Å Ä« ir gan sarežģīta, gan interesanta tēma.
Tomēr mēs esam pārliecināti, ka mēs Krievijā esam sasnieguÅ”i to, ko parasti sauc par "brieduma lÄ«meni", kad arÄ« nozare saprot kibermācÄ«bu nepiecieÅ”amÄ«bu. Tas nozÄ«mē, ka drÄ«z nozarei bÅ«s sava labākā prakse, un mēs, cerams, stiprināsim savu droŔības lÄ«meni.

Autori

Oļegs Arhangeļskis, industriālās kibertestÄ“Å”anas vietas projekta vadoÅ”ais analÄ«tiÄ·is un metodiÄ·is.
Dmitrijs Sjutovs, rÅ«pnieciskās kibertestÄ“Å”anas vietas projekta galvenais inženieris;
Andrejs Kuzņecovs, projekta ā€œIndustriālā kibertestÄ“Å”anas vietaā€ vadÄ«tājs, ražoÅ”anas automatizēto procesu vadÄ«bas sistēmu kiberdroŔības laboratorijas vadÄ«tāja vietnieks

Avots: www.habr.com

Pievieno komentāru