I år startet vi et stort prosjekt for å lage en cybertreningsplass – en plattform for cyberøvelser for bedrifter i ulike bransjer. For å gjøre dette er det nødvendig å lage virtuelle infrastrukturer som er "identiske med naturlige" - slik at de gjenskaper den typiske interne strukturen til en bank, energiselskap, etc., og ikke bare når det gjelder bedriftssegmentet av nettverket . Litt senere vil vi snakke om banktjenester og andre infrastrukturer i cyberområdet, og i dag vil vi snakke om hvordan vi løste dette problemet i forhold til det teknologiske segmentet til en industribedrift.
Temaet cyberøvelser og cybertreningsplasser dukket selvfølgelig ikke opp i går. I Vesten har det lenge blitt dannet en sirkel av konkurrerende forslag, ulike tilnærminger til cyberøvelser og rett og slett beste praksis. Informasjonssikkerhetstjenestens «gode form» er å periodisk øve seg på beredskapen til å avvise cyberangrep i praksis. For Russland er dette fortsatt et nytt tema: ja, det er et lite tilbud, og det oppsto for flere år siden, men etterspørselen, spesielt i industrielle sektorer, har begynt å gradvis dannes først nå. Vi tror det er tre hovedårsaker til dette – de er også problemer som allerede har blitt veldig åpenbare.
Verden forandrer seg for fort
For bare 10 år siden angrep hackere hovedsakelig de organisasjonene de raskt kunne ta ut penger fra. For industrien var denne trusselen mindre relevant. Nå ser vi at infrastrukturen til statlige organisasjoner, energi- og industribedrifter også blir et tema for deres interesse. Her har vi oftere å gjøre med forsøk på spionasje, datatyveri til ulike formål (konkurranseetterretning, utpressing), samt innhenting av tilstedeværelsespunkter i infrastrukturen for videre salg til interesserte kamerater. Vel, selv banale krypteringer som WannaCry har fanget ganske mange lignende objekter rundt om i verden. Derfor krever moderne realiteter at informasjonssikkerhetsspesialister tar disse risikoene i betraktning og skaper nye informasjonssikkerhetsprosesser. Spesielt forbedre dine kvalifikasjoner regelmessig og øve på praktiske ferdigheter. Personell på alle nivåer av operativ ekspedisjonskontroll av industrianlegg må ha en klar forståelse av hvilke tiltak som skal iverksettes ved et cyberangrep. Men å gjennomføre cyberøvelser på din egen infrastruktur – beklager, risikoen oppveier klart de mulige fordelene.
Mangel på forståelse av angripernes reelle evner til å hacke prosesskontrollsystemer og IIoT-systemer
Dette problemet eksisterer på alle nivåer av organisasjoner: ikke engang alle spesialister forstår hva som kan skje med systemet deres, hvilke angrepsvektorer som er tilgjengelige mot det. Hva kan vi si om ledelsen?
Sikkerhetseksperter appellerer ofte til "luftgapet", som angivelig ikke vil tillate en angriper å gå lenger enn bedriftsnettverket, men praksis viser at i 90 % av organisasjonene er det en sammenheng mellom bedrifts- og teknologisegmentet. Samtidig har selve elementene i å konstruere og administrere teknologiske nettverk ofte også sårbarheter, som vi spesielt så når vi undersøkte utstyr и .
Det er vanskelig å bygge en tilstrekkelig trusselmodell
De siste årene har det vært en konstant prosess med økende kompleksitet av informasjon og automatiserte systemer, samt en overgang til cyberfysiske systemer som involverer integrasjon av dataressurser og fysisk utstyr. Systemer blir så komplekse at det rett og slett er umulig å forutsi alle konsekvensene av cyberangrep ved hjelp av analytiske metoder. Vi snakker ikke bare om økonomisk skade på organisasjonen, men også om å vurdere konsekvensene som er forståelige for teknologen og for industrien - underforsyning av strøm, for eksempel, eller en annen type produkt, hvis vi snakker om olje og gass. eller petrokjemikalier. Og hvordan prioritere i en slik situasjon?
Faktisk ble alt dette, etter vår mening, forutsetningene for fremveksten av konseptet med cyberøvelser og cybertreningsplasser i Russland.
Hvordan det teknologiske segmentet av cyberserien fungerer
En cybertestingbane er et kompleks av virtuelle infrastrukturer som gjenskaper typiske infrastrukturer til bedrifter i ulike bransjer. Det lar deg "øve på katter" - å øve på de praktiske ferdighetene til spesialister uten risiko for at noe ikke vil gå etter planen, og cyberøvelser vil skade aktivitetene til en ekte bedrift. Store cybersikkerhetsselskaper begynner å utvikle dette området, og du kan se lignende cyberøvelser i et spillformat, for eksempel på Positive Hack Days.
Et typisk nettverksinfrastrukturdiagram for en stor bedrift eller et stort selskap er et ganske standard sett med servere, arbeidsdatamaskiner og forskjellige nettverksenheter med et standardsett med bedriftsprogramvare og informasjonssikkerhetssystemer. En industricybertestingbane er like, pluss alvorlige detaljer som dramatisk kompliserer den virtuelle modellen.
Hvordan vi brakte cyberområdet nærmere virkeligheten
Konseptuelt avhenger utseendet til den industrielle delen av cyberteststedet av den valgte metoden for å modellere et komplekst cyberfysisk system. Det er tre hovedtilnærminger til modellering:
Hver av disse tilnærmingene har sine egne fordeler og ulemper. I forskjellige tilfeller, avhengig av det endelige målet og eksisterende begrensninger, kan alle tre av de ovennevnte modelleringsmetodene brukes. For å formalisere valget av disse metodene har vi satt sammen følgende algoritme:
Fordeler og ulemper med ulike modelleringsmetoder kan representeres i form av et diagram, der y-aksen er dekningen av studieområder (dvs. fleksibiliteten til det foreslåtte modelleringsverktøyet), og x-aksen er nøyaktigheten av simuleringen (graden av korrespondanse til det virkelige systemet). Det viser seg nesten et Gartner-torg:
Den optimale balansen mellom nøyaktighet og fleksibilitet ved modellering er altså den såkalte semi-naturlige modelleringen (hardware-in-the-loop, HIL). Innenfor denne tilnærmingen er det cyber-fysiske systemet delvis modellert ved hjelp av ekte utstyr, og delvis ved hjelp av matematiske modeller. For eksempel kan en elektrisk understasjon representeres av ekte mikroprosessorenheter (relébeskyttelsesterminaler), servere til automatiserte kontrollsystemer og annet sekundært utstyr, og de fysiske prosessene som skjer i det elektriske nettverket implementeres ved hjelp av en datamodell. Ok, vi har bestemt oss for modelleringsmetoden. Etter dette var det nødvendig å utvikle arkitekturen til cyberserien. For at cyberøvelser skal være virkelig nyttige, må alle sammenkoblingene til et virkelig komplekst cyber-fysisk system gjenskapes så nøyaktig som mulig på teststedet. Derfor, i vårt land, som i det virkelige liv, består den teknologiske delen av cyberserien av flere samhandlende nivåer. La meg minne deg på at en typisk industriell nettverksinfrastruktur inkluderer det laveste nivået, som inkluderer det såkalte "primærutstyret" - dette er optisk fiber, et elektrisk nettverk eller noe annet, avhengig av bransjen. Den utveksler data og kontrolleres av spesialiserte industrielle kontrollere, og de igjen av SCADA-systemer.
Vi begynte å lage den industrielle delen av cyberområdet fra energisegmentet, som nå er vår prioritet (olje- og gass- og kjemisk industri er med i våre planer).
Det er åpenbart at nivået på primærutstyr ikke kan realiseres gjennom fullskala modellering ved bruk av virkelige objekter. Derfor utviklet vi i første fase en matematisk modell av kraftanlegget og den tilstøtende delen av kraftsystemet. Denne modellen inkluderer alt kraftutstyr til transformatorstasjoner - kraftledninger, transformatorer, etc., og er utført i en spesiell RSCAD-programvarepakke. Modellen som er opprettet på denne måten kan behandles av et sanntidsberegningskompleks - dens hovedtrekk er at prosesstiden i det virkelige systemet og prosesstiden i modellen er helt identiske - det vil si hvis en kortslutning i en reell nettverket varer i to sekunder, vil det simuleres i nøyaktig samme tid i RSCAD). Vi får en "live" del av det elektriske kraftsystemet, som fungerer i henhold til alle fysikkens lover og til og med reagerer på ytre påvirkninger (for eksempel aktivering av relébeskyttelse og automatiseringsterminaler, utløsning av brytere, etc.). Interaksjon med eksterne enheter ble oppnådd ved hjelp av spesialiserte tilpassbare kommunikasjonsgrensesnitt, slik at den matematiske modellen kan samhandle med nivået på kontrollere og nivået på automatiserte systemer.
Men nivåene av kontrollere og automatiserte kontrollsystemer til et kraftanlegg kan opprettes ved hjelp av ekte industrielt utstyr (selv om vi om nødvendig også kan bruke virtuelle modeller). På disse to nivåene er det henholdsvis kontroller og automasjonsutstyr (relébeskyttelse, PMU, USPD, målere) og automatiserte kontrollsystemer (SCADA, OIK, AIISKUE). Fullskala modellering kan betydelig øke realismen til modellen og følgelig selve cyberøvelsene, siden teamene vil samhandle med ekte industrielt utstyr, som har sine egne egenskaper, feil og sårbarheter.
På det tredje trinnet implementerte vi samspillet mellom de matematiske og fysiske delene av modellen ved å bruke spesialiserte maskinvare- og programvaregrensesnitt og signalforsterkere.
Som et resultat ser infrastrukturen omtrent slik ut:
Alt utstyr på teststedet samhandler med hverandre på samme måte som i et ekte cyber-fysisk system. Mer spesifikt, når vi bygde denne modellen brukte vi følgende utstyr og dataverktøy:
- Beregning av kompleks RTDS for å utføre beregninger i "sanntid";
- Automatisert arbeidsstasjon (AWS) til en operatør med installert programvare for modellering av den teknologiske prosessen og primærutstyret til elektriske transformatorstasjoner;
- Skap med kommunikasjonsutstyr, relébeskyttelse og automatiseringsterminaler og automatisert prosesskontrollutstyr;
- Forsterkerskap designet for å forsterke analoge signaler fra digital-til-analog-omformerkortet til RTDS-simulatoren. Hvert forsterkerskap inneholder et annet sett med forsterkerblokker som brukes til å generere strøm- og spenningsinngangssignaler for relébeskyttelsesterminalene som studeres. Inngangssignaler forsterkes til det nivået som kreves for normal drift av relébeskyttelsesklemmene.
Dette er ikke den eneste mulige løsningen, men etter vår mening er den optimal for å gjennomføre cyberøvelser, siden den reflekterer den virkelige arkitekturen til de aller fleste moderne transformatorstasjoner, og samtidig kan den tilpasses for å gjenskape som nøyaktig som mulig noen funksjoner ved et bestemt objekt.
i konklusjonen
Cyberutvalget er et enormt prosjekt, og det gjenstår fortsatt mye arbeid. På den ene siden studerer vi erfaringene til våre vestlige kolleger, på den annen side må vi gjøre mye basert på vår erfaring med å jobbe spesifikt med russiske industribedrifter, siden ikke bare forskjellige bransjer, men også forskjellige land har spesifikke egenskaper. Dette er både et komplekst og interessant tema.
Likevel er vi overbevist om at vi i Russland har nådd det som vanligvis kalles et "modenhetsnivå" når industrien også forstår behovet for cyberøvelser. Dette betyr at bransjen snart vil ha sin egen beste praksis, og vi vil forhåpentligvis styrke vårt sikkerhetsnivå.
Forfattere
Oleg Arkhangelsky, ledende analytiker og metodolog for Industrial Cyber Test Site-prosjektet.
Dmitry Syutov, sjefingeniør for Industrial Cyber Test Site-prosjektet;
Andrey Kuznetsov, leder av prosjektet "Industrial Cyber Test Site", nestleder for Cyber Security Laboratory of Automated Process Control Systems for Production
Kilde: www.habr.com