Letos smo začeli z velikim projektom ustvarjanja kibernetskega poligona – platforme za kibernetske vaje za podjetja v različnih panogah. Za to je treba ustvariti virtualne infrastrukture, ki so »identične naravnim« – tako da posnemajo tipično notranjo strukturo banke, energetske družbe ipd., in ne le v smislu korporativnega segmenta omrežja. . Malo kasneje bomo govorili o bančni in drugih infrastrukturah kibernetskega področja, danes pa bomo govorili o tem, kako smo rešili ta problem v zvezi s tehnološkim segmentom industrijskega podjetja.
Seveda se tema kibernetskih vaj in kibernetskih poligonov ni pojavila včeraj. Na Zahodu se že dolgo oblikuje krog konkurenčnih predlogov, različnih pristopov k kibernetskim vajam in preprosto najboljših praks. »Dobra forma« službe za informacijsko varnost je, da svojo pripravljenost za odbijanje kibernetskih napadov občasno vadi v praksi. Za Rusijo je to še vedno nova tema: da, ponudba je majhna in nastala je pred nekaj leti, vendar se je povpraševanje, zlasti v industrijskih sektorjih, začelo postopoma oblikovati šele zdaj. Menimo, da so za to trije glavni razlogi – to so tudi problemi, ki so postali že zelo očitni.
Svet se prehitro spreminja
Še pred 10 leti so hekerji napadali predvsem tiste organizacije, iz katerih so lahko hitro dvignili denar. Za industrijo je bila ta grožnja manj pomembna. Zdaj vidimo, da postaja predmet njihovega zanimanja tudi infrastruktura vladnih organizacij, energetskih in industrijskih podjetij. Tu se pogosteje ukvarjamo s poskusi vohunjenja, krajo podatkov za različne namene (konkurenčne obveščevalne informacije, izsiljevanje), pa tudi s pridobivanjem točk prisotnosti v infrastrukturi za nadaljnjo prodajo zainteresiranim tovarišem. No, tudi banalni šifrirniki, kot je WannaCry, so ujeli kar nekaj podobnih predmetov po vsem svetu. Zato sodobna realnost zahteva, da strokovnjaki za informacijsko varnost upoštevajo ta tveganja in ustvarijo nove procese informacijske varnosti. Zlasti redno izboljšujte svoje kvalifikacije in vadite praktične spretnosti. Osebje na vseh ravneh operativnega dispečerskega nadzora industrijskih objektov mora jasno razumeti, kaj je treba sprejeti v primeru kibernetskega napada. Toda za izvajanje kibernetskih vaj na lastni infrastrukturi – oprostite, tveganja očitno prevladajo nad možnimi koristmi.
Pomanjkanje razumevanja dejanskih zmožnosti napadalcev za vdor v sisteme za nadzor procesov in sisteme IIoT
Ta problem obstaja na vseh ravneh organizacij: niti vsi strokovnjaki ne razumejo, kaj se lahko zgodi z njihovim sistemom, kateri vektorji napada so na voljo proti njemu. Kaj lahko rečemo o vodstvu?
Varnostni strokovnjaki se pogosto sklicujejo na »zračno režo«, ki menda ne bo dovolila napadalcu dlje od korporativnega omrežja, vendar praksa kaže, da v 90% organizacij obstaja povezava med korporativnim in tehnološkim segmentom. Hkrati pa imajo sami elementi gradnje in upravljanja tehnoloških omrežij pogosto tudi ranljivosti, kar smo opazili predvsem pri pregledu opreme. и .
Težko je zgraditi ustrezen model grožnje
V zadnjih letih je prišlo do stalnega procesa povečevanja kompleksnosti informacijskih in avtomatiziranih sistemov ter prehoda na kibernetske fizične sisteme, ki vključujejo integracijo računalniških virov in fizične opreme. Sistemi postajajo tako kompleksni, da je z analitičnimi metodami preprosto nemogoče predvideti vse posledice kibernetskih napadov. Ne govorimo le o gospodarski škodi za organizacijo, ampak tudi o oceni posledic, ki so razumljive za tehnologa in industrijo - nezadostna dobava električne energije, na primer, ali druge vrste proizvoda, če govorimo o nafti in plinu. ali petrokemikalij. In kako v takšni situaciji postaviti prioritete?
Pravzaprav je vse to po našem mnenju postalo predpogoj za nastanek koncepta kibernetskih vaj in kibernetskih poligonov v Rusiji.
Kako deluje tehnološki segment kibernetske ponudbe
Kibernetski testni poligon je kompleks virtualnih infrastruktur, ki posnemajo tipične infrastrukture podjetij v različnih panogah. Omogoča vam, da "vadite na mačkah" - vadite praktične spretnosti strokovnjakov brez tveganja, da nekaj ne bo šlo po načrtu, kibernetske vaje pa bodo škodovale dejavnostim pravega podjetja. Velika podjetja za kibernetsko varnost začenjajo razvijati to področje in podobne kibernetske vaje si lahko ogledate v obliki igre, na primer na Positive Hack Days.
Tipičen diagram omrežne infrastrukture za veliko podjetje ali korporacijo je dokaj standarden nabor strežnikov, delovnih računalnikov in različnih omrežnih naprav s standardnim naborom korporativne programske opreme in informacijskih varnostnih sistemov. Industrijski kibernetski testni poligon je enak, poleg tega pa ima resne posebnosti, ki dramatično zapletejo virtualni model.
Kako smo kibernetsko področje približali realnosti
Konceptualno je videz industrijskega dela kibernetskega poligona odvisen od izbrane metode modeliranja kompleksnega kiberfizičnega sistema. Obstajajo trije glavni pristopi k modeliranju:
Vsak od teh pristopov ima svoje prednosti in slabosti. V različnih primerih, odvisno od končnega cilja in obstoječih omejitev, se lahko uporabijo vse tri zgoraj navedene metode modeliranja. Da bi formalizirali izbiro teh metod, smo sestavili naslednji algoritem:
Prednosti in slabosti različnih metod modeliranja lahko predstavimo v obliki diagrama, kjer je os y pokritost študijskih področij (tj. prilagodljivost predlaganega orodja za modeliranje), os x pa natančnost simulacije (stopnja ujemanja z realnim sistemom). Izkazalo se je skoraj Gartnerjev kvadrat:
Tako je optimalno razmerje med natančnostjo in fleksibilnostjo modeliranja tako imenovano polnaravno modeliranje (hardware-in-the-loop, HIL). V okviru tega pristopa je kiberfizični sistem delno modeliran z uporabo realne opreme, delno pa z uporabo matematičnih modelov. Na primer, električno postajo lahko predstavljajo prave mikroprocesorske naprave (relejni zaščitni terminali), strežniki avtomatiziranih nadzornih sistemov in druga sekundarna oprema, sami fizični procesi, ki se pojavljajo v električnem omrežju, pa se izvajajo z računalniškim modelom. V redu, odločili smo se za metodo modeliranja. Po tem je bilo treba razviti arhitekturo kibernetske ponudbe. Da bi bile kibernetske vaje resnično uporabne, je treba vse medsebojne povezave resničnega kompleksnega kiberfizičnega sistema čim bolj natančno poustvariti na poligonu. Zato je tudi pri nas, tako kot v resničnem življenju, tehnološki del kibernetske ponudbe sestavljen iz več med seboj povezanih ravni. Naj vas spomnim, da tipična infrastruktura industrijskega omrežja vključuje najnižjo raven, ki vključuje tako imenovano "primarno opremo" - to je optično vlakno, električno omrežje ali kaj drugega, odvisno od industrije. Izmenjuje podatke in je nadzorovan s specializiranimi industrijskimi krmilniki, ti pa s sistemi SCADA.
Industrijski del kibernetske strani smo začeli ustvarjati iz energetskega segmenta, ki je zdaj naša prioriteta (naftna in plinska ter kemična industrija sta v naših načrtih).
Očitno je, da ravni primarne opreme ni mogoče doseči z modeliranjem v polnem merilu z uporabo realnih objektov. Zato smo v prvi fazi razvili matematični model elektroenergetskega objekta in sosednjega odseka elektroenergetskega sistema. Ta model vključuje vso elektroenergetsko opremo transformatorskih postaj - daljnovode, transformatorje itd., in je izveden v posebnem programskem paketu RSCAD. Tako ustvarjen model lahko obdeluje računalniški kompleks v realnem času - njegova glavna značilnost je, da sta procesni čas v realnem sistemu in procesni čas v modelu popolnoma enaka - to je, če kratek stik v realnem omrežje traja dve sekundi, bo natanko toliko časa simulirano v RSCAD). Dobimo »živ« del elektroenergetskega sistema, ki deluje po vseh fizikalnih zakonih in se celo odziva na zunanje vplive (na primer aktiviranje sponk relejne zaščite in avtomatike, sprožitev stikal itd.). Interakcija z zunanjimi napravami je bila dosežena s pomočjo specializiranih prilagodljivih komunikacijskih vmesnikov, ki omogočajo interakcijo matematičnega modela z nivojem krmilnikov in nivojem avtomatiziranih sistemov.
Toda ravni krmilnikov in avtomatiziranih krmilnih sistemov elektroenergetskega objekta je mogoče ustvariti z uporabo prave industrijske opreme (čeprav lahko po potrebi uporabimo tudi virtualne modele). Na teh dveh nivojih se nahajajo krmilniki in oprema za avtomatizacijo (relejna zaščita in avtomatizacija, PMU, USPD, števci) oziroma avtomatizirani nadzorni sistemi (SCADA, OIK, AIISKUE). Modeliranje v polnem obsegu lahko bistveno poveča realističnost modela in s tem samih kibernetskih vaj, saj bodo ekipe sodelovale z resnično industrijsko opremo, ki ima svoje značilnosti, hrošče in ranljivosti.
Na tretji stopnji smo izvedli interakcijo matematičnega in fizičnega dela modela s pomočjo specializiranih strojnih in programskih vmesnikov ter ojačevalnikov signala.
Posledično je infrastruktura videti nekako takole:
Vsa oprema na testnem mestu medsebojno deluje na enak način kot v pravem kiberfizičnem sistemu. Natančneje, pri izdelavi tega modela smo uporabili naslednjo opremo in računalniška orodja:
- Računalniški kompleks RTDS za izvajanje izračunov v "realnem času";
- Avtomatizirana delovna postaja (AWS) operaterja z nameščeno programsko opremo za modeliranje tehnološkega procesa in primarne opreme električnih postaj;
- Omare s komunikacijsko opremo, terminali za relejno zaščito in avtomatizacijo ter opremo za avtomatsko vodenje procesov;
- Ojačevalne omare, zasnovane za ojačanje analognih signalov iz digitalno-analogne pretvorniške plošče simulatorja RTDS. Vsaka ojačevalna omarica vsebuje drugačen nabor ojačevalnih blokov, ki se uporabljajo za generiranje tokovnih in napetostnih vhodnih signalov za proučevane relejne zaščite. Vhodni signali se ojačajo do nivoja, ki je potreben za normalno delovanje sponk relejne zaščite.
To ni edina možna rešitev, je pa po našem mnenju optimalna za izvajanje kibernetskih vaj, saj odraža realno arhitekturo velike večine sodobnih transformatorskih postaj, hkrati pa jo je mogoče prilagoditi tako, da poustvari kot čim bolj natančno nekatere značilnosti določenega predmeta.
Na koncu
Kibernetski poligon je ogromen projekt in pred njim je še veliko dela. Po eni strani preučujemo izkušnje naših zahodnih kolegov, po drugi strani pa moramo veliko narediti na podlagi naših izkušenj pri delu posebej z ruskimi industrijskimi podjetji, saj imajo ne samo različne industrije, ampak tudi različne države svoje posebnosti. To je hkrati zapletena in zanimiva tema.
Kljub temu smo prepričani, da smo v Rusiji dosegli tako imenovano »stopnjo zrelosti«, ko tudi industrija razume potrebo po kibernetskih vajah. To pomeni, da bo industrija kmalu imela svoje najboljše prakse in upamo, da bomo okrepili svojo raven varnosti.
Avtorji
Oleg Arkhangelsky, vodilni analitik in metodolog projekta Industrial Cyber Test Site.
Dmitry Syutov, glavni inženir projekta Industrial Cyber Test Site;
Andrey Kuznetsov, vodja projekta "Industrial Cyber Test Site", namestnik vodje Laboratorija za kibernetsko varnost avtomatiziranih sistemov za nadzor procesov za proizvodnjo
Vir: www.habr.com