I år påbörjade vi ett stort projekt för att skapa en cyberövningsplats – en plattform för cyberövningar för företag i olika branscher. För att göra detta är det nödvändigt att skapa virtuella infrastrukturer som är "identiska med naturliga sådana" - så att de replikerar den typiska interna strukturen för en bank, ett energibolag, etc., och inte bara när det gäller företagssegmentet av nätverket . Lite senare kommer vi att prata om bank- och andra infrastrukturer i cybersortimentet, och idag kommer vi att prata om hur vi löste detta problem i förhållande till det tekniska segmentet av ett industriföretag.
Naturligtvis uppstod inte ämnet cyberövningar och cyberträningsplatser igår. I väst har en cirkel av konkurrerande förslag, olika förhållningssätt till cyberövningar och helt enkelt bästa praxis bildats länge. Informationssäkerhetstjänstens ”goda form” är att med jämna mellanrum öva på sin beredskap att avvärja cyberattacker i praktiken. För Ryssland är detta fortfarande ett nytt ämne: ja, det finns ett litet utbud, och det uppstod för flera år sedan, men efterfrågan, särskilt inom industrisektorer, har börjat gradvis bildas först nu. Vi tror att det finns tre huvudorsaker till detta – de är också problem som redan har blivit väldigt uppenbara.
Världen förändras för snabbt
För bara 10 år sedan attackerade hackare främst de organisationer som de snabbt kunde ta ut pengar ifrån. För industrin var detta hot mindre relevant. Nu ser vi att även statliga organisationers, energi- och industriföretags infrastruktur blir ett föremål för deras intresse. Här har vi oftare att göra med försök till spionage, datastöld i olika syften (konkurrensunderrättelser, utpressning), samt att skaffa närvaropunkter i infrastrukturen för vidare försäljning till intresserade kamrater. Tja, även banala krypteringar som WannaCry har fångat en hel del liknande objekt runt om i världen. Därför kräver moderna verkligheter att informationssäkerhetsspecialister tar hänsyn till dessa risker och skapar nya informationssäkerhetsprocesser. I synnerhet förbättra dina kvalifikationer regelbundet och öva på praktiska färdigheter. Personal på alla nivåer av operativ utsändningskontroll av industrianläggningar måste ha en klar förståelse för vilka åtgärder som ska vidtas vid en cyberattack. Men att genomföra cyberövningar på sin egen infrastruktur – förlåt, riskerna överväger klart de möjliga fördelarna.
Brist på förståelse för angripares verkliga förmåga att hacka processkontrollsystem och IIoT-system
Detta problem finns på alla nivåer av organisationer: inte ens alla specialister förstår vad som kan hända med deras system, vilka attackvektorer som finns tillgängliga mot det. Vad kan vi säga om ledarskapet?
Säkerhetsexperter vädjar ofta till "luftgapet", som förmodligen inte kommer att tillåta en angripare att gå längre än företagsnätverket, men praxis visar att det i 90 % av organisationerna finns ett samband mellan företags- och tekniksegmenten. Samtidigt har själva delarna av att bygga och hantera tekniska nätverk ofta också sårbarheter, vilket vi särskilt såg när vi undersökte utrustning и .
Det är svårt att bygga en adekvat hotmodell
Under de senaste åren har det skett en ständig process av ökande komplexitet av information och automatiserade system, samt en övergång till cyberfysiska system som involverar integration av datorresurser och fysisk utrustning. Systemen blir så komplexa att det helt enkelt är omöjligt att förutse alla konsekvenser av cyberattacker med hjälp av analytiska metoder. Vi pratar inte bara om ekonomiska skador på organisationen, utan också om att bedöma vilka konsekvenser som är förståeliga för teknologen och för industrin - underutbud av el, till exempel, eller annan typ av produkt, om vi pratar om olja och gas eller petrokemikalier. Och hur gör man prioriteringar i en sådan situation?
I själva verket blev allt detta, enligt vår mening, förutsättningarna för framväxten av konceptet med cyberövningar och cyberträningsplatser i Ryssland.
Hur det tekniska segmentet av cybersortimentet fungerar
En cybertestplats är ett komplex av virtuella infrastrukturer som replikerar typiska infrastrukturer för företag i olika branscher. Det låter dig "öva på katter" - att öva specialisters praktiska färdigheter utan risk för att något inte kommer att gå enligt plan, och cyberövningar kommer att skada verksamheten i ett riktigt företag. Stora cybersäkerhetsföretag börjar utveckla detta område, och du kan se liknande cyberövningar i ett spelformat, till exempel på Positive Hack Days.
Ett typiskt nätverksinfrastrukturdiagram för ett stort företag eller företag är en ganska standarduppsättning av servrar, arbetsdatorer och olika nätverksenheter med en standarduppsättning företagsprogramvara och informationssäkerhetssystem. En industricybertestplats är likadan, plus allvarliga detaljer som dramatiskt komplicerar den virtuella modellen.
Hur vi förde cybersortimentet närmare verkligheten
Konceptuellt beror utseendet på den industriella delen av cybertestplatsen på den valda metoden för att modellera ett komplext cyberfysiskt system. Det finns tre huvudsakliga metoder för modellering:
Var och en av dessa tillvägagångssätt har sina egna fördelar och nackdelar. I olika fall, beroende på det slutliga målet och befintliga begränsningar, kan alla tre ovanstående modelleringsmetoder användas. För att formalisera valet av dessa metoder har vi sammanställt följande algoritm:
För- och nackdelarna med olika modelleringsmetoder kan representeras i form av ett diagram, där y-axeln är täckningen av studieområden (d.v.s. flexibiliteten hos det föreslagna modelleringsverktyget), och x-axeln är noggrannheten av simuleringen (graden av överensstämmelse med det verkliga systemet). Det visar sig nästan vara ett Gartner-torg:
Således är den optimala balansen mellan noggrannhet och flexibilitet i modellering den så kallade semi-naturliga modelleringen (hårdvara-i-slingan, HIL). Inom detta tillvägagångssätt är det cyberfysiska systemet delvis modellerat med hjälp av verklig utrustning, och delvis med matematiska modeller. Till exempel kan en elektrisk transformatorstation representeras av verkliga mikroprocessorenheter (reläskyddsterminaler), servrar för automatiserade styrsystem och annan sekundär utrustning, och de fysiska processerna som själva förekommer i det elektriska nätverket implementeras med hjälp av en datormodell. Okej, vi har bestämt oss för modelleringsmetoden. Efter detta var det nödvändigt att utveckla arkitekturen för cybersortimentet. För att cyberövningar verkligen ska vara användbara måste alla sammankopplingar av ett riktigt komplext cyberfysiskt system återskapas så exakt som möjligt på testplatsen. Därför, i vårt land, som i det verkliga livet, består den tekniska delen av cybersortimentet av flera interagerande nivåer. Låt mig påminna dig om att en typisk industriell nätverksinfrastruktur inkluderar den lägsta nivån, som inkluderar den så kallade "primära utrustningen" - det här är optisk fiber, ett elektriskt nätverk eller något annat, beroende på bransch. Den utbyter data och styrs av specialiserade industriella kontroller, och de i sin tur av SCADA-system.
Vi började skapa den industriella delen av cybersajten från energisegmentet, vilket nu är vår prioritet (olja- och gas- och kemisk industri ingår i våra planer).
Det är uppenbart att nivån på primärutrustning inte kan realiseras genom fullskalig modellering med hjälp av verkliga objekt. Därför utvecklade vi i det första skedet en matematisk modell av kraftanläggningen och den intilliggande delen av kraftsystemet. Denna modell inkluderar all kraftutrustning för transformatorstationer - kraftledningar, transformatorer, etc., och exekveras i ett speciellt RSCAD-programpaket. Modellen som skapas på detta sätt kan bearbetas av ett realtidsberäkningskomplex - dess huvudsakliga egenskap är att processtiden i det verkliga systemet och processtiden i modellen är helt identiska - det vill säga om en kortslutning i ett verkligt nätverk varar två sekunder, simuleras det under exakt samma tid i RSCAD). Vi får en "live" del av det elektriska kraftsystemet, som fungerar enligt alla fysikens lagar och till och med reagerar på yttre påverkan (till exempel aktivering av reläskydd och automationsterminaler, utlösning av strömbrytare, etc.). Interaktion med externa enheter uppnåddes med hjälp av specialiserade anpassningsbara kommunikationsgränssnitt, vilket gjorde det möjligt för den matematiska modellen att interagera med nivån på styrenheter och nivån på automatiserade system.
Men nivåerna på styrenheter och automatiserade styrsystem för en kraftanläggning kan skapas med hjälp av riktig industriell utrustning (även om vi vid behov också kan använda virtuella modeller). På dessa två nivåer finns regulatorer respektive automationsutrustning (reläskydd, PMU, USPD, mätare) och automatiserade styrsystem (SCADA, OIK, AIISKUE). Fullskalig modellering kan avsevärt öka modellens realism och följaktligen själva cyberövningarna, eftersom team kommer att interagera med riktig industriell utrustning, som har sina egna egenskaper, buggar och sårbarheter.
I det tredje steget implementerade vi interaktionen mellan de matematiska och fysiska delarna av modellen med hjälp av specialiserade hårdvaru- och mjukvarugränssnitt och signalförstärkare.
Som ett resultat ser infrastrukturen ut ungefär så här:
All testplatsutrustning interagerar med varandra på samma sätt som i ett riktigt cyberfysiskt system. Närmare bestämt, när vi byggde den här modellen använde vi följande utrustning och datorverktyg:
- Beräkning av komplex RTDS för att utföra beräkningar i "realtid";
- Automatiserad arbetsstation (AWS) för en operatör med installerad programvara för modellering av den tekniska processen och primär utrustning för elektriska transformatorstationer;
- Skåp med kommunikationsutrustning, reläskydd och automationsterminaler och automatiserad processkontrollutrustning;
- Förstärkarskåp utformade för att förstärka analoga signaler från digital-till-analog-omvandlarkortet i RTDS-simulatorn. Varje förstärkarskåp innehåller en annan uppsättning förstärkningsblock som används för att generera ström- och spänningsinsignaler för reläskyddsterminalerna som studeras. Ingångssignaler förstärks till den nivå som krävs för normal drift av reläskyddsterminalerna.
Detta är inte den enda möjliga lösningen, men enligt vår åsikt är den optimal för att genomföra cyberövningar, eftersom den återspeglar den verkliga arkitekturen hos de allra flesta moderna transformatorstationer, och samtidigt kan den anpassas för att återskapa som exakt som möjligt vissa egenskaper hos ett visst objekt.
Sammanfattningsvis
Cyberutbudet är ett enormt projekt, och det återstår fortfarande mycket arbete. Å ena sidan studerar vi erfarenheterna från våra västerländska kollegor, å andra sidan måste vi göra mycket baserat på vår erfarenhet av att arbeta specifikt med ryska industriföretag, eftersom inte bara olika branscher utan också olika länder har specifika egenskaper. Detta är ett både komplext och intressant ämne.
Ändå är vi övertygade om att vi i Ryssland har nått vad som brukar kallas en "mognadsnivå" när industrin också förstår behovet av cyberövningar. Det betyder att snart kommer branschen att ha sina egna bästa praxis, och vi kommer förhoppningsvis att stärka vår säkerhetsnivå.
Författare
Oleg Arkhangelsky, ledande analytiker och metodolog för projektet Industrial Cyber Test Site.
Dmitry Syutov, chefsingenjör för projektet Industrial Cyber Test Site;
Andrey Kuznetsov, chef för projektet "Industrial Cyber Test Site", biträdande chef för Cyber Security Laboratory of Automated Process Control Systems for Production
Källa: will.com