Dit jaar zijn we gestart met een groot project om een cybertrainingsveld te creëren: een platform voor cyberoefeningen voor bedrijven in verschillende sectoren. Om dit te doen is het noodzakelijk om virtuele infrastructuren te creëren die “identiek zijn aan de natuurlijke” – zodat ze de typische interne structuur van een bank, energiebedrijf, enz. repliceren, en niet alleen in termen van het zakelijke segment van het netwerk. . Even later zullen we het hebben over de bank- en andere infrastructuren van het cyberbereik, en vandaag zullen we praten over hoe we dit probleem hebben opgelost met betrekking tot het technologische segment van een industriële onderneming.
Natuurlijk is het onderwerp cyberoefeningen en cyberoefenterreinen gisteren niet ter sprake gekomen. In het Westen bestaat al lang een cirkel van concurrerende voorstellen, verschillende benaderingen van cyberoefeningen en eenvoudigweg best practices. De ‘goede vorm’ van de informatiebeveiligingsdienst is om periodiek in de praktijk te oefenen in de bereidheid om cyberaanvallen af te weren. Voor Rusland is dit nog steeds een nieuw onderwerp: ja, er is een klein aanbod, en het is enkele jaren geleden ontstaan, maar de vraag, vooral in de industriële sectoren, begint zich nu pas geleidelijk te vormen. Wij geloven dat hiervoor drie belangrijke redenen zijn; het zijn ook problemen die al heel duidelijk zijn geworden.
De wereld verandert te snel
Nog maar tien jaar geleden vielen hackers vooral organisaties aan waarbij ze snel geld konden opnemen. Voor de industrie was deze dreiging minder relevant. Nu zien we dat de infrastructuur van overheidsorganisaties, energie- en industriële bedrijven ook een onderwerp van hun interesse wordt. Hier hebben we vaker te maken met pogingen tot spionage, gegevensdiefstal voor verschillende doeleinden (concurrentie-informatie, chantage), en het verkrijgen van aanwezigheidspunten in de infrastructuur voor verdere verkoop aan geïnteresseerde kameraden. Nou ja, zelfs banale encryptors zoals WannaCry hebben over de hele wereld nogal wat soortgelijke objecten onderschept. Daarom vereist de moderne realiteit dat informatiebeveiligingsspecialisten rekening houden met deze risico's en nieuwe informatiebeveiligingsprocessen creëren. Verbeter in het bijzonder regelmatig uw kwalificaties en oefen praktische vaardigheden. Personeel op alle niveaus van de operationele controle van industriële faciliteiten moet een duidelijk inzicht hebben in welke acties moeten worden ondernomen in het geval van een cyberaanval. Maar om cyberoefeningen uit te voeren op uw eigen infrastructuur: sorry, de risico's wegen duidelijk zwaarder dan de mogelijke voordelen.
Gebrek aan inzicht in de werkelijke mogelijkheden van aanvallers om procescontrolesystemen en IIoT-systemen te hacken
Dit probleem doet zich op alle niveaus van organisaties voor: zelfs niet alle specialisten begrijpen wat er met hun systeem kan gebeuren, en welke aanvalsvectoren er tegen beschikbaar zijn. Wat kunnen we zeggen over het leiderschap?
Beveiligingsexperts doen vaak een beroep op de ‘air gap’, waardoor een aanvaller niet verder kan komen dan het bedrijfsnetwerk, maar de praktijk leert dat er in 90% van de organisaties een verband bestaat tussen het bedrijfs- en technologiesegment. Tegelijkertijd vertonen de elementen zelf van het bouwen en beheren van technologische netwerken vaak ook kwetsbaarheden, die we met name hebben gezien bij het onderzoeken van apparatuur и .
Het is moeilijk om een adequaat dreigingsmodel op te bouwen
De afgelopen jaren heeft er een voortdurend proces plaatsgevonden van toenemende complexiteit van informatie en geautomatiseerde systemen, evenals een transitie naar cyber-fysieke systemen waarbij de integratie van computerbronnen en fysieke apparatuur betrokken is. Systemen worden zo complex dat het simpelweg onmogelijk is om met analytische methoden alle gevolgen van cyberaanvallen te voorspellen. We hebben het niet alleen over economische schade aan de organisatie, maar ook over het inschatten van de gevolgen die begrijpelijk zijn voor de technoloog en voor de industrie - bijvoorbeeld een tekort aan elektriciteit of een ander soort product, als we het over olie en gas hebben of petrochemie. En hoe stel je in zo’n situatie prioriteiten?
Eigenlijk is dit alles naar onze mening de voorwaarde geworden voor de opkomst van het concept van cyberoefeningen en cyberoefenterreinen in Rusland.
Hoe het technologische segment van het cyberassortiment werkt
Een cyberproeftuin is een complex van virtuele infrastructuren die typische infrastructuren van ondernemingen in verschillende sectoren repliceren. Hiermee kunt u "oefenen op katten" - de praktische vaardigheden van specialisten oefenen zonder het risico te lopen dat iets niet volgens plan zal verlopen, en cyberoefeningen zullen de activiteiten van een echte onderneming schaden. Grote cybersecuritybedrijven beginnen dit gebied te ontwikkelen en soortgelijke cyberoefeningen kun je bijvoorbeeld in gamevorm bekijken op Positive Hack Days.
Een typisch netwerkinfrastructuurdiagram voor een grote onderneming of onderneming is een vrij standaardset servers, werkcomputers en verschillende netwerkapparaten met een standaardset bedrijfssoftware en informatiebeveiligingssystemen. Een cyberproeftuin voor de industrie is allemaal hetzelfde, plus serieuze details die het virtuele model dramatisch compliceren.
Hoe we het cyberbereik dichter bij de realiteit brachten
Conceptueel gezien hangt het uiterlijk van het industriële deel van de cybertestlocatie af van de gekozen methode voor het modelleren van een complex cyberfysiek systeem. Er zijn drie belangrijke benaderingen van modellering:
Elk van deze benaderingen heeft zijn eigen voor- en nadelen. In verschillende gevallen, afhankelijk van het uiteindelijke doel en de bestaande beperkingen, kunnen alle drie de bovenstaande modelleringsmethoden worden gebruikt. Om de keuze voor deze methoden te formaliseren, hebben we het volgende algoritme samengesteld:
De voor- en nadelen van verschillende modelleringsmethoden kunnen worden weergegeven in de vorm van een diagram, waarbij de y-as de dekking is van studiegebieden (dat wil zeggen de flexibiliteit van het voorgestelde modelleringsinstrument), en de x-as de nauwkeurigheid. van de simulatie (de mate van overeenstemming met het echte systeem). Het blijkt bijna een Gartner-vierkant te zijn:
De optimale balans tussen nauwkeurigheid en flexibiliteit van modellering is dus de zogenaamde semi-natuurlijke modellering (hardware-in-the-loop, HIL). Binnen deze aanpak wordt het cyberfysieke systeem deels gemodelleerd met behulp van echte apparatuur, en deels met behulp van wiskundige modellen. Een elektrisch onderstation kan bijvoorbeeld worden weergegeven door echte microprocessorapparaten (relaisbeschermingsterminals), servers van geautomatiseerde besturingssystemen en andere secundaire apparatuur, en de fysieke processen zelf die plaatsvinden in het elektrische netwerk worden geïmplementeerd met behulp van een computermodel. Oké, we hebben besloten over de modelleringsmethode. Hierna was het noodzakelijk om de architectuur van het cyberbereik te ontwikkelen. Om cyberoefeningen echt nuttig te laten zijn, moeten alle verbindingen van een echt complex cyber-fysiek systeem zo nauwkeurig mogelijk op de testlocatie worden nagebootst. Daarom bestaat in ons land, net als in het echte leven, het technologische deel van het cyberbereik uit verschillende op elkaar inwerkende niveaus. Laat me u eraan herinneren dat een typische industriële netwerkinfrastructuur het laagste niveau omvat, waaronder de zogenaamde “primaire apparatuur” – dit is optische glasvezel, een elektrisch netwerk of iets anders, afhankelijk van de sector. Het wisselt gegevens uit en wordt bestuurd door gespecialiseerde industriële controllers, en die op hun beurt door SCADA-systemen.
We zijn begonnen met het creëren van het industriële deel van de cybersite vanuit het energiesegment, wat nu onze prioriteit is (de olie- en gas- en chemische industrie staan in onze plannen).
Het is duidelijk dat het niveau van de primaire uitrusting niet kan worden gerealiseerd door middel van modellering op volledige schaal met behulp van echte objecten. Daarom hebben we in de eerste fase een wiskundig model ontwikkeld van de energievoorziening en het aangrenzende deel van het energiesysteem. Dit model omvat alle stroomapparatuur van onderstations - hoogspanningslijnen, transformatoren, enz., en wordt uitgevoerd in een speciaal RSCAD-softwarepakket. Het op deze manier gecreëerde model kan worden verwerkt door een real-time computercomplex - het belangrijkste kenmerk is dat de procestijd in het echte systeem en de procestijd in het model absoluut identiek zijn - dat wil zeggen, als er kortsluiting is in een echt systeem netwerk twee seconden duurt, wordt het gedurende exact dezelfde tijd in RSCAD gesimuleerd). We krijgen een “live” gedeelte van het elektrische energiesysteem, dat functioneert volgens alle wetten van de natuurkunde en zelfs reageert op externe invloeden (bijvoorbeeld activering van relaisbescherming en automatiseringsterminals, uitschakeling van schakelaars, enz.). Interactie met externe apparaten werd bereikt met behulp van gespecialiseerde, aanpasbare communicatie-interfaces, waardoor het wiskundige model kon communiceren met het niveau van controllers en het niveau van geautomatiseerde systemen.
Maar de niveaus van controllers en geautomatiseerde besturingssystemen van een energiecentrale kunnen worden gecreëerd met behulp van echte industriële apparatuur (hoewel we, indien nodig, ook virtuele modellen kunnen gebruiken). Op deze twee niveaus bevinden zich respectievelijk controllers en automatiseringsapparatuur (relaisbeveiliging, PMU, USPD, meters) en geautomatiseerde controlesystemen (SCADA, OIK, AIISKUE). Modellering op volledige schaal kan het realisme van het model en daarmee ook de cyberoefeningen zelf aanzienlijk vergroten, omdat teams zullen communiceren met echte industriële apparatuur, die zijn eigen kenmerken, bugs en kwetsbaarheden heeft.
In de derde fase implementeerden we de interactie tussen de wiskundige en fysieke delen van het model met behulp van gespecialiseerde hardware- en software-interfaces en signaalversterkers.
Als gevolg hiervan ziet de infrastructuur er ongeveer zo uit:
Alle apparatuur op de testlocatie communiceert op dezelfde manier met elkaar als in een echt cyberfysiek systeem. Meer specifiek hebben we bij het bouwen van dit model de volgende apparatuur en computerhulpmiddelen gebruikt:
- Het berekenen van complexe RTDS voor het uitvoeren van berekeningen in “real time”;
- Geautomatiseerd werkstation (AWS) van een operator met geïnstalleerde software voor het modelleren van het technologische proces en de primaire uitrusting van elektrische onderstations;
- Kasten met communicatieapparatuur, relaisbeschermings- en automatiseringsterminals en geautomatiseerde procescontroleapparatuur;
- Versterkerkasten ontworpen om analoge signalen van de digitaal-naar-analoog converterkaart van de RTDS-simulator te versterken. Elke versterkerkast bevat een andere set versterkingsblokken die worden gebruikt om stroom- en spanningsingangssignalen te genereren voor de onderzochte relaisbeschermingsterminals. Ingangssignalen worden versterkt tot het niveau dat nodig is voor normale werking van de relaisbeschermingsklemmen.
Dit is niet de enige mogelijke oplossing, maar naar onze mening is het optimaal voor het uitvoeren van cyberoefeningen, omdat het de echte architectuur van de overgrote meerderheid van moderne onderstations weerspiegelt, en tegelijkertijd kan worden aangepast om te recreëren zoals zo nauwkeurig mogelijk enkele kenmerken van een bepaald object weergeven.
Concluderend
Het cyberassortiment is een enorm project en er is nog veel werk aan de winkel. Aan de ene kant bestuderen we de ervaring van onze westerse collega's, aan de andere kant moeten we veel doen op basis van onze ervaring met het specifiek samenwerken met Russische industriële ondernemingen, aangezien niet alleen verschillende industrieën, maar ook verschillende landen specifieke kenmerken hebben. Dit is zowel een complex als interessant onderwerp.
Niettemin zijn we ervan overtuigd dat we in Rusland een niveau van volwassenheid hebben bereikt waarop ook de industrie de noodzaak van cyberoefeningen begrijpt. Dit betekent dat de sector binnenkort zijn eigen best practices zal hebben en dat we hopelijk ons beveiligingsniveau zullen versterken.
Auteurs
Oleg Arkhangelsky, toonaangevend analist en methodoloog van het Industrial Cyber Test Site-project.
Dmitry Syutov, hoofdingenieur van het Industrial Cyber Test Site-project;
Andrey Kuznetsov, hoofd van het project “Industrial Cyber Test Site”, plaatsvervangend hoofd van het Cyber Security Laboratory of Automated Process Control Systems for Production
Bron: www.habr.com