Este ano iniciamos um grande projeto para criar um campo de treinamento cibernético - uma plataforma de exercícios cibernéticos para empresas de diversos setores. Para tal, é necessário criar infraestruturas virtuais “idênticas às naturais” – para que repliquem a estrutura interna típica de um banco, empresa de energia, etc., e não apenas ao nível do segmento empresarial da rede. . Um pouco mais tarde falaremos sobre a banca e outras infra-estruturas da gama cibernética, e hoje falaremos sobre como resolvemos este problema em relação ao segmento tecnológico de uma empresa industrial.
É claro que o tema dos exercícios cibernéticos e dos campos de treinamento cibernéticos não surgiu ontem. No Ocidente, formou-se há muito tempo um círculo de propostas concorrentes, diferentes abordagens aos exercícios cibernéticos e simplesmente melhores práticas. A “boa forma” do serviço de segurança da informação é praticar periodicamente a sua prontidão para repelir ataques cibernéticos na prática. Para a Rússia, este ainda é um tema novo: sim, há uma pequena oferta, e surgiu há vários anos, mas a procura, especialmente nos sectores industriais, só agora começou a formar-se gradualmente. Acreditamos que há três razões principais para isto – são também problemas que já se tornaram muito óbvios.
O mundo está mudando muito rápido
Há apenas 10 anos, os hackers atacavam principalmente as organizações das quais podiam sacar dinheiro rapidamente. Para a indústria, esta ameaça era menos relevante. Agora vemos que a infra-estrutura das organizações governamentais, das empresas energéticas e industriais também se está a tornar um assunto do seu interesse. Aqui estamos mais frequentemente lidando com tentativas de espionagem, roubo de dados para diversos fins (inteligência competitiva, chantagem), bem como obtenção de pontos de presença na infraestrutura para posterior venda a camaradas interessados. Bem, até mesmo criptografadores banais como o WannaCry capturaram alguns objetos semelhantes em todo o mundo. Portanto, as realidades modernas exigem que os especialistas em segurança da informação levem em conta esses riscos e criem novos processos de segurança da informação. Em particular, melhore regularmente suas qualificações e pratique habilidades práticas. O pessoal em todos os níveis de controlo operacional de despacho de instalações industriais deve ter uma compreensão clara das ações a tomar em caso de ataque cibernético. Mas para realizar exercícios cibernéticos em sua própria infraestrutura - desculpe, os riscos superam claramente os possíveis benefícios.
Falta de compreensão das reais capacidades dos invasores para hackear sistemas de controle de processos e sistemas IIoT
Este problema existe em todos os níveis das organizações: nem todos os especialistas entendem o que pode acontecer ao seu sistema, quais vetores de ataque estão disponíveis contra ele. O que podemos dizer sobre a liderança?
Os especialistas em segurança apelam frequentemente ao “air gap”, que alegadamente não permitirá que um atacante vá além da rede corporativa, mas a prática mostra que em 90% das organizações existe uma ligação entre os segmentos corporativo e tecnológico. Ao mesmo tempo, os próprios elementos de construção e gestão de redes tecnológicas também apresentam frequentemente vulnerabilidades, que vimos, em particular, ao examinar equipamentos и .
É difícil construir um modelo de ameaça adequado
Nos últimos anos, tem havido um processo constante de aumento da complexidade dos sistemas de informação e automatizados, bem como uma transição para sistemas ciber-físicos que envolvem a integração de recursos computacionais e equipamentos físicos. Os sistemas estão a tornar-se tão complexos que é simplesmente impossível prever todas as consequências dos ataques cibernéticos utilizando métodos analíticos. Não estamos falando apenas de prejuízos econômicos para a organização, mas também de avaliar as consequências que são compreensíveis para o tecnólogo e para a indústria - suboferta de energia elétrica, por exemplo, ou de outro tipo de produto, se estivermos falando de petróleo e gás ou petroquímicos. E como definir prioridades numa situação destas?
Na verdade, tudo isso, em nossa opinião, tornou-se os pré-requisitos para o surgimento do conceito de exercícios cibernéticos e campos de treinamento cibernético na Rússia.
Como funciona o segmento tecnológico da gama cibernética
Um campo de testes cibernéticos é um complexo de infraestruturas virtuais que replicam infraestruturas típicas de empresas em diversos setores. Ele permite que você “pratique em gatos” - pratique as habilidades práticas de especialistas sem o risco de que algo não saia conforme o planejado e que os exercícios cibernéticos prejudiquem as atividades de uma empresa real. Grandes empresas de segurança cibernética estão começando a desenvolver essa área, e você pode assistir a exercícios cibernéticos semelhantes em formato de jogo, por exemplo, no Positive Hack Days.
Um diagrama típico de infraestrutura de rede para uma grande empresa ou corporação é um conjunto bastante padrão de servidores, computadores de trabalho e vários dispositivos de rede com um conjunto padrão de software corporativo e sistemas de segurança da informação. Um campo de testes cibernéticos da indústria é tudo igual, além de especificidades sérias que complicam dramaticamente o modelo virtual.
Como aproximamos o alcance cibernético da realidade
Conceitualmente, a aparência da parte industrial do local de teste cibernético depende do método escolhido para modelar um sistema ciberfísico complexo. Existem três abordagens principais para modelagem:
Cada uma dessas abordagens tem suas próprias vantagens e desvantagens. Em diferentes casos, dependendo do objetivo final e das limitações existentes, todos os três métodos de modelagem acima podem ser utilizados. Para formalizar a escolha desses métodos, compilamos o seguinte algoritmo:
Os prós e contras de diferentes métodos de modelagem podem ser representados na forma de um diagrama, onde o eixo y é a cobertura das áreas de estudo (ou seja, a flexibilidade da ferramenta de modelagem proposta) e o eixo x é a precisão da simulação (o grau de correspondência com o sistema real). Acontece quase um quadrado do Gartner:
Assim, o equilíbrio ideal entre precisão e flexibilidade de modelagem é a chamada modelagem seminatural (hardware-in-the-loop, HIL). Dentro desta abordagem, o sistema ciberfísico é parcialmente modelado utilizando equipamentos reais e parcialmente utilizando modelos matemáticos. Por exemplo, uma subestação elétrica pode ser representada por dispositivos microprocessadores reais (terminais de proteção de relés), servidores de sistemas de controle automatizados e outros equipamentos secundários, e os próprios processos físicos que ocorrem na rede elétrica são implementados por meio de um modelo computacional. Ok, decidimos sobre o método de modelagem. Depois disso, foi necessário desenvolver a arquitetura da gama cibernética. Para que os exercícios cibernéticos sejam verdadeiramente úteis, todas as interconexões de um sistema ciberfísico real complexo devem ser recriadas com a maior precisão possível no local de teste. Portanto, no nosso país, como na vida real, a parte tecnológica da gama cibernética é composta por vários níveis de interação. Deixe-me lembrar que uma infraestrutura de rede industrial típica inclui o nível mais baixo, que inclui o chamado “equipamento primário” - isto é fibra óptica, uma rede elétrica ou qualquer outra coisa, dependendo do setor. Troca dados e é controlado por controladores industriais especializados, e estes, por sua vez, por sistemas SCADA.
Começamos a criar a parte industrial do cyber site a partir do segmento de energia, que agora é nossa prioridade (as indústrias de petróleo e gás e química estão em nossos planos).
É óbvio que o nível de equipamento primário não pode ser alcançado através de modelagem em escala real usando objetos reais. Portanto, numa primeira fase, desenvolvemos um modelo matemático da instalação de energia e da seção adjacente do sistema de energia. Este modelo inclui todos os equipamentos de potência das subestações - linhas de energia, transformadores, etc., e é executado em um pacote de software RSCAD especial. O modelo criado desta forma pode ser processado por um complexo de computação em tempo real - sua principal característica é que o tempo de processo no sistema real e o tempo de processo no modelo são absolutamente idênticos - isto é, se um curto-circuito em um real rede durar dois segundos, ela será simulada exatamente pelo mesmo período de tempo no RSCAD). Obtemos uma seção “viva” do sistema elétrico de potência, funcionando de acordo com todas as leis da física e até respondendo a influências externas (por exemplo, ativação de relés de proteção e terminais de automação, disparo de interruptores, etc.). A interação com dispositivos externos foi conseguida através de interfaces de comunicação especializadas e personalizáveis, permitindo que o modelo matemático interagisse com o nível dos controladores e o nível dos sistemas automatizados.
Mas os níveis de controladores e sistemas de controle automatizados de uma instalação de energia podem ser criados usando equipamentos industriais reais (embora, se necessário, também possamos usar modelos virtuais). Nestes dois níveis encontram-se, respectivamente, controladores e equipamentos de automação (relés de proteção, PMU, USPD, medidores) e sistemas de controle automatizados (SCADA, OIK, AIISKUE). A modelagem em escala real pode aumentar significativamente o realismo do modelo e, consequentemente, dos próprios exercícios cibernéticos, uma vez que as equipes irão interagir com equipamentos industriais reais, que possuem características, bugs e vulnerabilidades próprias.
Na terceira etapa, implementamos a interação das partes matemáticas e físicas do modelo utilizando interfaces especializadas de hardware e software e amplificadores de sinal.
Como resultado, a infraestrutura se parece com isto:
Todos os equipamentos do local de teste interagem entre si da mesma forma que em um sistema ciberfísico real. Mais especificamente, na construção deste modelo utilizamos os seguintes equipamentos e ferramentas computacionais:
- Computação de RTDS complexos para realização de cálculos em “tempo real”;
- Estação de trabalho automatizada (AWS) de operador com software instalado para modelagem do processo tecnológico e equipamentos primários de subestações elétricas;
- Gabinetes com equipamentos de comunicação, terminais de proteção e automação de relés e equipamentos automatizados de controle de processos;
- Gabinetes amplificadores projetados para amplificar sinais analógicos da placa conversora digital para analógico do simulador RTDS. Cada gabinete amplificador contém um conjunto diferente de blocos de amplificação utilizados para gerar sinais de entrada de corrente e tensão para os terminais de proteção do relé em estudo. Os sinais de entrada são amplificados ao nível necessário para a operação normal dos terminais de proteção do relé.
Esta não é a única solução possível, mas, em nossa opinião, é ideal para a realização de exercícios cibernéticos, pois reflete a arquitetura real da grande maioria das subestações modernas e, ao mesmo tempo, pode ser customizada para recriar como com a maior precisão possível algumas características de um objeto específico.
Em conclusão
A gama cibernética é um projeto enorme e ainda há muito trabalho pela frente. Por um lado, estudamos a experiência dos nossos colegas ocidentais, por outro lado, temos que fazer muito com base na nossa experiência de trabalho específico com empresas industriais russas, uma vez que não só diferentes indústrias, mas também diferentes países têm especificidades. Este é um tópico complexo e interessante.
No entanto, estamos convencidos de que nós, na Rússia, atingimos o que é comummente chamado de “nível de maturidade” quando a indústria também compreende a necessidade de exercícios cibernéticos. Isto significa que em breve a indústria terá as suas próprias melhores práticas e esperamos reforçar o nosso nível de segurança.
Autores
Oleg Arkhangelsky, analista líder e metodologista do projeto Industrial Cyber Test Site.
Dmitry Syutov, engenheiro-chefe do projeto Industrial Cyber Test Site;
Andrey Kuznetsov, chefe do projeto “Industrial Cyber Test Site”, vice-chefe do Laboratório de Segurança Cibernética de Sistemas Automatizados de Controle de Processos para Produção
Fonte: habr.com