Tento rok sme začali s veľkým projektom vytvorenia kybernetického cvičiska – platformy pre kybernetické cvičenia pre firmy z rôznych odvetví. K tomu je potrebné vytvárať virtuálne infraštruktúry, ktoré sú „identické s prírodnými“ – tak, aby kopírovali typickú vnútornú štruktúru banky, energetickej spoločnosti a pod., a to nielen z hľadiska firemného segmentu siete. . O niečo neskôr si povieme o bankových a iných infraštruktúrach kybernetického rozsahu a dnes si povieme, ako sme tento problém vyriešili vo vzťahu k technologickému segmentu priemyselného podniku.
Téma kybernetických cvičení a kybernetických cvičísk samozrejme nevznikla včera. Na Západe sa už dlho vytvoril okruh súťažiacich návrhov, rôznych prístupov ku kybernetickým cvičeniam a jednoducho osvedčených postupov. „Dobrou formou“ služby informačnej bezpečnosti je pravidelné precvičovanie si pripravenosti odrážať kybernetické útoky v praxi. Pre Rusko je to stále nová téma: áno, ponuka je malá a vznikla pred niekoľkými rokmi, ale dopyt, najmä v priemyselných odvetviach, sa začal postupne formovať až teraz. Domnievame sa, že to má tri hlavné dôvody – sú to tiež problémy, ktoré sa už stali veľmi zrejmými.
Svet sa mení príliš rýchlo
Ešte pred 10 rokmi hackeri útočili najmä na tie organizácie, z ktorých si mohli rýchlo vybrať peniaze. Pre priemysel bola táto hrozba menej relevantná. Teraz vidíme, že predmetom ich záujmu sa stáva aj infraštruktúra vládnych organizácií, energetiky a priemyselných podnikov. Tu sa častejšie stretávame s pokusmi o špionáž, krádeže dát na rôzne účely (konkurenčné spravodajstvo, vydieranie), ako aj získavanie bodov prítomnosti v infraštruktúre na ďalší predaj zainteresovaným súdruhom. Dokonca aj banálne šifrovače ako WannaCry zachytili pomerne veľa podobných objektov po celom svete. Moderná realita preto vyžaduje, aby špecialisti informačnej bezpečnosti zohľadnili tieto riziká a vytvorili nové procesy informačnej bezpečnosti. Najmä si pravidelne zvyšujte kvalifikáciu a precvičujte praktické zručnosti. Personál na všetkých úrovniach operatívneho dispečerského riadenia priemyselných zariadení musí jasne rozumieť tomu, aké kroky podniknúť v prípade kybernetického útoku. Ale vykonávať kybernetické cvičenia na vlastnej infraštruktúre – prepáčte, riziká jednoznačne prevažujú nad možnými výhodami.
Nedostatočné pochopenie skutočných schopností útočníkov hacknúť systémy riadenia procesov a systémy IIoT
Tento problém existuje na všetkých úrovniach organizácií: ani všetci špecialisti nerozumejú tomu, čo sa môže stať s ich systémom, aké útočné vektory sú proti nemu dostupné. Čo môžeme povedať o vedení?
Bezpečnostní experti často apelujú na „vzduchovú medzeru“, ktorá údajne útočníkovi nedovolí zájsť ďalej ako do podnikovej siete, no prax ukazuje, že v 90 % organizácií existuje prepojenie medzi firemným a technologickým segmentom. Zároveň samotné prvky budovania a riadenia technologických sietí majú tiež často slabé miesta, ktoré sme videli najmä pri skúmaní zariadení. и .
Je ťažké vybudovať adekvátny model hrozby
V posledných rokoch dochádza k neustálemu procesu zvyšovania zložitosti informačných a automatizovaných systémov, ako aj k prechodu na kyberneticko-fyzikálne systémy, ktoré zahŕňajú integráciu výpočtových zdrojov a fyzického vybavenia. Systémy sú také zložité, že je jednoducho nemožné predvídať všetky dôsledky kybernetických útokov pomocou analytických metód. Hovoríme nielen o ekonomických škodách pre organizáciu, ale aj o posudzovaní dôsledkov, ktoré sú pochopiteľné pre technológa aj pre priemysel – napríklad nedostatočné zásobovanie elektrickou energiou alebo iným typom produktov, ak hovoríme o rope a plyne. alebo petrochemikálie. A ako si v takejto situácii stanoviť priority?
V skutočnosti sa to všetko podľa nášho názoru stalo predpokladom pre vznik konceptu kybernetických cvičení a kybernetických výcvikových stredísk v Rusku.
Ako funguje technologický segment kybernetického sortimentu
Kybernetické testovacie pole je komplex virtuálnych infraštruktúr, ktoré kopírujú typické infraštruktúry podnikov v rôznych odvetviach. Umožňuje vám „cvičiť na mačkách“ - precvičovať si praktické zručnosti špecialistov bez rizika, že niečo nepôjde podľa plánu a kybernetické cvičenia poškodia činnosť skutočného podniku. Veľké spoločnosti zaoberajúce sa kybernetickou bezpečnosťou začínajú túto oblasť rozvíjať a podobné kybernetické cvičenia v hernom formáte môžete sledovať napríklad na Positive Hack Days.
Typický diagram sieťovej infraštruktúry pre veľký podnik alebo korporáciu je pomerne štandardná sada serverov, pracovných počítačov a rôznych sieťových zariadení so štandardnou sadou podnikového softvéru a systémov informačnej bezpečnosti. Odvetvové kybernetické testovacie prostredie je rovnaké, plus vážne špecifiká, ktoré dramaticky komplikujú virtuálny model.
Ako sme priblížili kybernetický rozsah realite
Koncepčne vzhľad priemyselnej časti kybernetického testovacieho miesta závisí od zvolenej metódy modelovania zložitého kyberneticko-fyzikálneho systému. Existujú tri hlavné prístupy k modelovaniu:
Každý z týchto prístupov má svoje výhody a nevýhody. V rôznych prípadoch, v závislosti od konečného cieľa a existujúcich obmedzení, možno použiť všetky tri vyššie uvedené metódy modelovania. Aby sme formalizovali výber týchto metód, zostavili sme nasledujúci algoritmus:
Výhody a nevýhody rôznych metód modelovania možno znázorniť vo forme diagramu, kde os y predstavuje pokrytie oblastí štúdia (t. j. flexibilitu navrhovaného modelovacieho nástroja) a os x predstavuje presnosť simulácie (stupeň zhody so skutočným systémom). Ukázalo sa, že je to takmer štvorec Gartner:
Optimálnou rovnováhou medzi presnosťou a flexibilitou modelovania je teda takzvané poloprirodzené modelovanie (hardware-in-the-loop, HIL). V rámci tohto prístupu je kyberneticko-fyzikálny systém čiastočne modelovaný pomocou reálneho vybavenia a čiastočne pomocou matematických modelov. Napríklad elektrická rozvodňa môže byť reprezentovaná skutočnými mikroprocesorovými zariadeniami (reléové ochranné terminály), servermi automatizovaných riadiacich systémov a iných sekundárnych zariadení a samotné fyzikálne procesy prebiehajúce v elektrickej sieti sú implementované pomocou počítačového modelu. Dobre, rozhodli sme sa pre metódu modelovania. Potom bolo potrebné vyvinúť architektúru kybernetického rozsahu. Aby boli kybernetické cvičenia skutočne užitočné, musia byť na testovacom mieste čo najpresnejšie znovu vytvorené všetky prepojenia skutočného komplexného kyberneticko-fyzikálneho systému. Preto aj u nás, tak ako v reálnom živote, technologická časť kybernetického sortimentu pozostáva z niekoľkých vzájomne sa ovplyvňujúcich úrovní. Dovoľte mi pripomenúť, že typická infraštruktúra priemyselnej siete zahŕňa najnižšiu úroveň, ktorá zahŕňa takzvané „primárne vybavenie“ - to je optické vlákno, elektrická sieť alebo niečo iné, v závislosti od odvetvia. Vymieňa si dáta a je riadený špecializovanými priemyselnými ovládačmi a tie zasa SCADA systémami.
Priemyselnú časť kybernetickej lokality sme začali vytvárať zo segmentu energetiky, ktorý je teraz našou prioritou (v pláne máme ropný a plynárenský a chemický priemysel).
Je zrejmé, že úroveň primárneho vybavenia nie je možné realizovať modelovaním v plnom rozsahu pomocou reálnych objektov. Preto sme v prvej etape vypracovali matematický model energetického zariadenia a priľahlej časti energetického systému. Tento model zahŕňa všetky energetické zariadenia rozvodní - elektrické vedenia, transformátory atď., a je realizovaný v špeciálnom softvérovom balíku RSCAD. Takto vytvorený model je možné spracovať výpočtovým komplexom v reálnom čase - jeho hlavnou črtou je, že procesný čas v reálnom systéme a procesný čas v modeli sú absolútne identické - teda ak dôjde ku skratu v reálnom sieť trvá dve sekundy, bude simulovaná presne rovnaký čas v RSCAD). Získame „živú“ časť systému elektrickej energie, ktorá funguje podľa všetkých fyzikálnych zákonov a dokonca reaguje na vonkajšie vplyvy (napríklad aktivácia ochrany relé a automatizačných terminálov, vypnutie spínačov atď.). Interakcia s externými zariadeniami bola dosiahnutá pomocou špecializovaných prispôsobiteľných komunikačných rozhraní, ktoré umožňujú interakciu matematického modelu s úrovňou regulátorov a úrovňou automatizovaných systémov.
Úrovne regulátorov a automatizovaných riadiacich systémov energetického zariadenia je však možné vytvoriť pomocou skutočných priemyselných zariadení (aj keď v prípade potreby môžeme použiť aj virtuálne modely). Na týchto dvoch úrovniach sú riadiace a automatizačné zariadenia (reléová ochrana, PMU, USPD, merače) a automatizované riadiace systémy (SCADA, OIK, AIISKUE). Modelovanie v plnom rozsahu môže výrazne zvýšiť realizmus modelu a tým aj samotné kybernetické cvičenia, pretože tímy budú interagovať so skutočným priemyselným zariadením, ktoré má svoje vlastné charakteristiky, chyby a zraniteľné miesta.
V tretej fáze sme implementovali interakciu matematickej a fyzickej časti modelu pomocou špecializovaných hardvérových a softvérových rozhraní a zosilňovačov signálu.
Výsledkom je, že infraštruktúra vyzerá asi takto:
Všetky zariadenia testovacieho miesta navzájom spolupracujú rovnakým spôsobom ako v skutočnom kyberneticko-fyzikálnom systéme. Konkrétnejšie, pri zostavovaní tohto modelu sme použili nasledujúce vybavenie a výpočtové nástroje:
- Výpočtové komplexné RTDS na vykonávanie výpočtov v „reálnom čase“;
- Automatizované pracovisko (AWS) operátora s inštalovaným softvérom na modelovanie technologického procesu a primárneho vybavenia elektrických staníc;
- Skrine s komunikačným zariadením, reléovými ochrannými a automatizačnými terminálmi a zariadeniami na automatizované riadenie procesov;
- Zosilňovacie skrine určené na zosilnenie analógových signálov z dosky digitálneho na analógový prevodník simulátora RTDS. Každá skriňa zosilňovača obsahuje inú sadu zosilňovacích blokov používaných na generovanie prúdových a napäťových vstupných signálov pre skúmané ochranné svorky relé. Vstupné signály sú zosilnené na úroveň potrebnú pre normálnu činnosť svoriek ochrany relé.
Toto nie je jediné možné riešenie, ale podľa nášho názoru je optimálne na vykonávanie kybernetických cvičení, pretože odráža skutočnú architektúru veľkej väčšiny moderných rozvodní a zároveň je možné ho prispôsobiť tak, aby bolo možné vytvoriť čo najpresnejšie niektoré vlastnosti konkrétneho objektu.
na záver
Kybernetický rozsah je obrovský projekt a pred nami je ešte veľa práce. Na jednej strane študujeme skúsenosti našich západných kolegov, na druhej strane musíme veľa urobiť na základe našich skúseností zo spolupráce konkrétne s ruskými priemyselnými podnikmi, keďže nielen rôzne odvetvia, ale aj rôzne krajiny majú špecifiká. Je to zložitá a zároveň zaujímavá téma.
Napriek tomu sme presvedčení, že v Rusku sme dosiahli to, čo sa bežne nazýva „úroveň zrelosti“, keď aj priemysel chápe potrebu kybernetických cvičení. To znamená, že toto odvetvie bude mať čoskoro svoje vlastné osvedčené postupy a my dúfame, že posilníme našu úroveň bezpečnosti.
Autori
Oleg Arkhangelsky, vedúci analytik a metodológ projektu Industrial Cyber Test Site.
Dmitrij Syutov, hlavný inžinier projektu Industrial Cyber Test Site;
Andrey Kuznetsov, vedúci projektu „Priemyselné kybernetické testovacie miesto“, zástupca vedúceho Laboratória kybernetickej bezpečnosti automatizovaných systémov riadenia procesov pre výrobu
Zdroj: hab.com