Tahun ini kami memulakan projek besar untuk mewujudkan tempat latihan siber - platform untuk latihan siber untuk syarikat dalam pelbagai industri. Untuk melakukan ini, adalah perlu untuk mencipta infrastruktur maya yang "sama dengan yang semula jadi" - supaya mereka meniru struktur dalaman biasa bank, syarikat tenaga, dll., dan bukan sahaja dari segi segmen korporat rangkaian. . Tidak lama kemudian kita akan bercakap tentang perbankan dan infrastruktur lain dalam rangkaian siber, dan hari ini kita akan bercakap tentang cara kami menyelesaikan masalah ini berkaitan dengan segmen teknologi perusahaan perindustrian.
Sudah tentu topik latihan siber dan tempat latihan siber tidak timbul semalam. Di Barat, bulatan cadangan yang bersaing, pendekatan berbeza untuk latihan siber, dan hanya amalan terbaik telah lama dibentuk. "Bentuk yang baik" perkhidmatan keselamatan maklumat adalah untuk mempraktikkan secara berkala kesediaannya untuk menangkis serangan siber dalam amalan. Bagi Rusia, ini masih topik baru: ya, terdapat sedikit bekalan, dan ia timbul beberapa tahun lalu, tetapi permintaan, terutamanya dalam sektor perindustrian, telah mula terbentuk secara beransur-ansur hanya sekarang. Kami percaya terdapat tiga sebab utama untuk ini - ia juga merupakan masalah yang telah menjadi sangat jelas.
Dunia berubah terlalu cepat
Hanya 10 tahun yang lalu, penggodam menyerang terutamanya organisasi yang mereka boleh mengeluarkan wang dengan cepat. Bagi industri, ancaman ini kurang relevan. Sekarang kita melihat bahawa infrastruktur organisasi kerajaan, tenaga dan perusahaan perindustrian juga menjadi subjek minat mereka. Di sini kita lebih kerap berurusan dengan percubaan pengintipan, pencurian data untuk pelbagai tujuan (risikan kompetitif, pemerasan), serta mendapatkan titik kehadiran dalam infrastruktur untuk dijual selanjutnya kepada rakan-rakan yang berminat. Malah, penyulitan cetek seperti WannaCry telah menangkap beberapa objek serupa di seluruh dunia. Oleh itu, realiti moden memerlukan pakar keselamatan maklumat untuk mengambil kira risiko ini dan mencipta proses keselamatan maklumat baharu. Khususnya, kerap meningkatkan kelayakan anda dan mengamalkan kemahiran praktikal. Kakitangan di semua peringkat kawalan penghantaran operasi kemudahan industri mesti mempunyai pemahaman yang jelas tentang tindakan yang perlu diambil sekiranya berlaku serangan siber. Tetapi untuk menjalankan latihan siber pada infrastruktur anda sendiri - maaf, risikonya jelas melebihi manfaat yang mungkin.
Kurang pemahaman tentang keupayaan sebenar penyerang untuk menggodam sistem kawalan proses dan sistem IIoT
Masalah ini wujud di semua peringkat organisasi: malah tidak semua pakar memahami apa yang boleh berlaku kepada sistem mereka, vektor serangan apa yang tersedia terhadapnya. Apa yang boleh kita katakan tentang kepimpinan?
Pakar keselamatan sering merayu kepada "jurang udara", yang kononnya tidak akan membenarkan penyerang pergi lebih jauh daripada rangkaian korporat, tetapi amalan menunjukkan bahawa dalam 90% organisasi terdapat hubungan antara segmen korporat dan teknologi. Pada masa yang sama, unsur-unsur membina dan mengurus rangkaian teknologi juga sering mempunyai kelemahan, yang kami, khususnya, melihat semasa memeriksa peralatan ΠΈ .
Sukar untuk membina model ancaman yang mencukupi
Dalam beberapa tahun kebelakangan ini, terdapat proses berterusan untuk meningkatkan kerumitan maklumat dan sistem automatik, serta peralihan kepada sistem siber-fizikal yang melibatkan penyepaduan sumber pengkomputeran dan peralatan fizikal. Sistem menjadi sangat kompleks sehingga mustahil untuk meramalkan semua akibat serangan siber menggunakan kaedah analisis. Kita bercakap bukan sahaja tentang kerosakan ekonomi kepada organisasi, tetapi juga tentang menilai akibat yang boleh difahami oleh ahli teknologi dan industri - kekurangan bekalan elektrik, contohnya, atau jenis produk lain, jika kita bercakap tentang minyak dan gas. atau petrokimia. Dan bagaimana untuk menetapkan keutamaan dalam keadaan sedemikian?
Sebenarnya, semua ini, pada pendapat kami, menjadi prasyarat untuk kemunculan konsep latihan siber dan tempat latihan siber di Rusia.
Cara segmen teknologi rangkaian siber berfungsi
Tempat ujian siber ialah kompleks infrastruktur maya yang mereplikasi infrastruktur tipikal perusahaan dalam pelbagai industri. Ia membolehkan anda "berlatih pada kucing" - untuk mengamalkan kemahiran praktikal pakar tanpa risiko bahawa sesuatu tidak akan berjalan mengikut rancangan, dan latihan siber akan merosakkan aktiviti perusahaan sebenar. Syarikat keselamatan siber yang besar mula membangunkan kawasan ini dan anda boleh menonton latihan siber yang serupa dalam format permainan, contohnya, di Positive Hack Days.
Gambar rajah infrastruktur rangkaian biasa untuk perusahaan atau syarikat besar ialah set pelayan, komputer kerja dan pelbagai peranti rangkaian yang agak standard dengan set piawai perisian korporat dan sistem keselamatan maklumat. Tempat ujian siber industri adalah sama, ditambah dengan spesifikasi serius yang merumitkan model maya secara mendadak.
Bagaimana kami mendekatkan rangkaian siber kepada realiti
Secara konsep, penampilan bahagian industri tapak ujian siber bergantung pada kaedah yang dipilih untuk memodelkan sistem fizikal siber yang kompleks. Terdapat tiga pendekatan utama untuk pemodelan:
Setiap pendekatan ini mempunyai kelebihan dan kekurangannya sendiri. Dalam kes yang berbeza, bergantung pada matlamat akhir dan had sedia ada, ketiga-tiga kaedah pemodelan di atas boleh digunakan. Untuk memformalkan pilihan kaedah ini, kami telah menyusun algoritma berikut:
Kebaikan dan keburukan kaedah pemodelan yang berbeza boleh diwakili dalam bentuk gambar rajah, di mana paksi-y ialah liputan bidang kajian (iaitu, fleksibiliti alat pemodelan yang dicadangkan), dan paksi-x ialah ketepatan. simulasi (tahap kesesuaian dengan sistem sebenar). Ia ternyata hampir persegi Gartner:
Oleh itu, keseimbangan optimum antara ketepatan dan fleksibiliti pemodelan ialah apa yang dipanggil pemodelan separa semulajadi (perkakasan-dalam-gelung, HIL). Dalam pendekatan ini, sistem siber-fizikal sebahagiannya dimodelkan menggunakan peralatan sebenar, dan sebahagiannya menggunakan model matematik. Sebagai contoh, pencawang elektrik boleh diwakili oleh peranti mikropemproses sebenar (terminal perlindungan geganti), pelayan sistem kawalan automatik dan peralatan sekunder lain, dan proses fizikal itu sendiri yang berlaku dalam rangkaian elektrik dilaksanakan menggunakan model komputer. Baiklah, kami telah memutuskan kaedah pemodelan. Selepas ini, adalah perlu untuk membangunkan seni bina rangkaian siber. Untuk latihan siber benar-benar berguna, semua kesalinghubungan sistem fizikal siber yang kompleks mesti dicipta semula setepat mungkin di tapak ujian. Oleh itu, di negara kita, seperti dalam kehidupan sebenar, bahagian teknologi rangkaian siber terdiri daripada beberapa tahap yang berinteraksi. Biar saya ingatkan anda bahawa infrastruktur rangkaian perindustrian biasa termasuk tahap paling rendah, yang termasuk apa yang dipanggil "peralatan utama" - ini ialah gentian optik, rangkaian elektrik atau sesuatu yang lain, bergantung pada industri. Ia bertukar-tukar data dan dikawal oleh pengawal industri khusus, dan seterusnya, oleh sistem SCADA.
Kami mula mencipta bahagian perindustrian tapak siber daripada segmen tenaga, yang kini menjadi keutamaan kami (industri minyak dan gas dan kimia ada dalam rancangan kami).
Jelas sekali bahawa tahap peralatan utama tidak dapat direalisasikan melalui pemodelan skala penuh menggunakan objek sebenar. Oleh itu, pada peringkat pertama, kami membangunkan model matematik kemudahan kuasa dan bahagian bersebelahan sistem kuasa. Model ini termasuk semua peralatan kuasa pencawang - talian kuasa, transformer, dsb., dan dilaksanakan dalam pakej perisian RSCAD khas. Model yang dicipta dengan cara ini boleh diproses oleh kompleks pengkomputeran masa nyata - ciri utamanya ialah masa proses dalam sistem sebenar dan masa proses dalam model adalah sama sekali - iaitu, jika litar pintas dalam keadaan sebenar. rangkaian berlangsung dua saat, ia akan disimulasikan untuk jumlah masa yang sama dalam RSCAD). Kami mendapat bahagian "hidup" sistem kuasa elektrik, berfungsi mengikut semua undang-undang fizik dan juga bertindak balas kepada pengaruh luaran (contohnya, pengaktifan perlindungan geganti dan terminal automasi, suis tersandung, dll.). Interaksi dengan peranti luaran telah dicapai menggunakan antara muka komunikasi tersuai khusus, membolehkan model matematik berinteraksi dengan tahap pengawal dan tahap sistem automatik.
Tetapi tahap pengawal dan sistem kawalan automatik kemudahan kuasa boleh dibuat menggunakan peralatan industri sebenar (walaupun, jika perlu, kita juga boleh menggunakan model maya). Pada kedua-dua peringkat ini, pengawal dan peralatan automasi (perlindungan dan automasi geganti, PMU, USPD, meter) dan sistem kawalan automatik (SCADA, OIK, AIISKUE) terletak, masing-masing. Pemodelan skala penuh boleh meningkatkan realisme model dengan ketara dan, oleh itu, siber menjalankan sendiri, kerana pasukan akan berinteraksi dengan peralatan industri sebenar, yang mempunyai ciri, pepijat dan kelemahannya sendiri.
Pada peringkat ketiga, kami melaksanakan interaksi bahagian matematik dan fizikal model menggunakan antara muka perkakasan dan perisian khusus serta penguat isyarat.
Akibatnya, infrastruktur kelihatan seperti ini:
Semua peralatan tapak ujian berinteraksi antara satu sama lain dengan cara yang sama seperti dalam sistem fizikal siber sebenar. Lebih khusus lagi, semasa membina model ini kami menggunakan peralatan dan alatan pengkomputeran berikut:
- Pengiraan RTDS kompleks untuk menjalankan pengiraan dalam "masa nyata";
- Stesen kerja automatik (AWS) pengendali dengan perisian yang dipasang untuk memodelkan proses teknologi dan peralatan utama pencawang elektrik;
- Kabinet dengan peralatan komunikasi, perlindungan geganti dan terminal automasi, dan peralatan kawalan proses automatik;
- Kabinet penguat direka untuk menguatkan isyarat analog daripada papan penukar digital-ke-analog simulator RTDS. Setiap kabinet penguat mengandungi set blok penguatan berbeza yang digunakan untuk menjana isyarat input arus dan voltan untuk terminal perlindungan geganti yang sedang dikaji. Isyarat input dikuatkan ke tahap yang diperlukan untuk operasi normal terminal perlindungan geganti.
Ini bukan satu-satunya penyelesaian yang mungkin, tetapi, pada pendapat kami, ia adalah optimum untuk menjalankan latihan siber, kerana ia mencerminkan seni bina sebenar sebahagian besar pencawang moden, dan pada masa yang sama ia boleh disesuaikan untuk mencipta semula sebagai setepat mungkin beberapa ciri objek tertentu.
Kesimpulannya
Rangkaian siber adalah projek yang besar, dan masih terdapat banyak kerja di hadapan. Di satu pihak, kami mengkaji pengalaman rakan sekerja Barat kami, sebaliknya, kami perlu melakukan banyak perkara berdasarkan pengalaman kami bekerja secara khusus dengan perusahaan perindustrian Rusia, kerana bukan sahaja industri yang berbeza, tetapi juga negara yang berbeza mempunyai ciri khusus. Ini adalah topik yang kompleks dan menarik.
Namun begitu, kami yakin bahawa kami di Rusia telah mencapai apa yang biasa dipanggil "tahap kematangan" apabila industri juga memahami keperluan untuk latihan siber. Ini bermakna bahawa tidak lama lagi industri akan mempunyai amalan terbaiknya sendiri, dan kami berharap akan mengukuhkan tahap keselamatan kami.
Authors
Oleg Arkhangelsky, penganalisis terkemuka dan metodologi projek Tapak Ujian Siber Industri.
Dmitry Syutov, ketua jurutera projek Tapak Ujian Siber Industri;
Andrey Kuznetsov, ketua projek "Tapak Ujian Siber Industri", timbalan ketua Makmal Keselamatan Siber Sistem Kawalan Proses Automatik untuk Pengeluaran
Sumber: www.habr.com