I Ă„r lanserade vi ett stort projekt för att skapa en cyberutbildningsplats â en plattform för cyberutbildning för företag frĂ„n olika branscher. För att göra detta Ă€r det nödvĂ€ndigt att skapa virtuella infrastrukturer som Ă€r "identiska med de naturliga" - sĂ„ att de upprepar den typiska interna strukturen för en bank, ett energibolag, etc., och inte bara nĂ€r det gĂ€ller företagssegmentet i nĂ€tverket. Lite senare kommer vi att prata om bank- och andra infrastrukturer i cyberpolygonen, och idag â om hur vi löste detta problem i förhĂ„llande till det tekniska segmentet av ett industriföretag.
Naturligtvis uppstod inte Ă€mnet cyberövningar och cybertrĂ€ningsplatser igĂ„r. I vĂ€st har en krets av konkurrerande förslag, olika förhĂ„llningssĂ€tt till cyberövningar, sĂ„vĂ€l som helt enkelt bĂ€sta praxis, bildats under ganska lĂ„ng tid nu. âGott uppförandeâ för informationssĂ€kerhetstjĂ€nsten Ă€r att med jĂ€mna mellanrum öva pĂ„ beredskap att avvĂ€rja cyberattacker i praktiken. För Ryssland Ă€r detta fortfarande ett nytt Ă€mne: ja, det finns ett litet utbud, och det uppstod för flera Ă„r sedan, men efterfrĂ„gan, sĂ€rskilt inom industrisektorerna, har bara börjat bildas sĂ„ smĂ„tt. Vi tror att det finns tre huvudorsaker till detta â de Ă€r ocksĂ„ problem som redan har blivit ganska uppenbara.
VÀrlden förÀndras för snabbt
För bara 10 Ă„r sedan attackerade hackare frĂ€mst de organisationer som de snabbt kunde ta ut pengar ifrĂ„n. För industrin var detta hot mindre relevant. Nu ser vi att Ă€ven statliga organisationers, energi- och industriföretags infrastruktur blir föremĂ„l för deras intresse. HĂ€r har vi oftare att göra med försök till spionage, datastöld i olika syften (konkurrensunderrĂ€ttelser, utpressning), samt att skaffa nĂ€rvaropunkter i infrastrukturen för efterföljande försĂ€ljning till intresserade kamrater. Tja, Ă€ven banala krypteringar som WannaCry har pĂ„verkat mĂ„nga liknande objekt runt om i vĂ€rlden. DĂ€rför krĂ€ver moderna verkligheter att informationssĂ€kerhetsspecialister tar hĂ€nsyn till dessa risker och utvecklar nya informationssĂ€kerhetsprocesser. I synnerhet förbĂ€ttra dina kvalifikationer regelbundet och öva pĂ„ praktiska fĂ€rdigheter. Personal pĂ„ alla nivĂ„er av operativ kontroll av industrianlĂ€ggningar mĂ„ste ha en klar förstĂ„else för vilka Ă„tgĂ€rder som ska vidtas vid en cyberattack. Men att genomföra cyberövningar pĂ„ din egen infrastruktur â nej tack, riskerna övervĂ€ger klart de potentiella fördelarna.
Brist pÄ förstÄelse för angripares verkliga förmÄga att hacka ICS- och IIoT-system
Detta problem finns pÄ alla nivÄer av organisationer: inte ens alla specialister förstÄr vad som kan hÀnda med deras system, vilka attackvektorer som finns. Vad kan vi sÀga om ledningen?
SÀkerhetsproffs hÀnvisar ofta till "luftgapet" som förmodligen inte kommer att tillÄta en inkrÀktare att gÄ utanför företagets nÀtverk, men praxis visar att det i 90 % av organisationerna finns ett samband mellan företags- och tekniksegmenten. Samtidigt har delarna av konstruktion och förvaltning av tekniska nÀtverk ocksÄ ofta sÄrbarheter, vilket vi sÀrskilt sÄg nÀr vi undersökte utrustningen О .
Det Àr svÄrt att bygga en adekvat hotmodell
Under de senaste Ă„ren har det skett en stĂ€ndig process med ökande komplexitet av information och automatiserade system, samt en övergĂ„ng till cyberfysiska system, som innebĂ€r integration av datorresurser och fysisk utrustning. Systemen blir sĂ„ komplexa att det helt enkelt Ă€r omöjligt att förutse alla konsekvenser av cyberattacker med hjĂ€lp av analytiska metoder. Vi pratar inte bara om de ekonomiska skadorna för organisationen utan ocksĂ„ om att bedöma vilka konsekvenser som Ă€r förstĂ„eliga för teknologen och för industrin â till exempel bristen pĂ„ elförsörjning, eller annan typ av produkt, om vi pratar om olja och gas eller petrokemi. Och hur gör man prioriteringar i en sĂ„dan situation?
Faktum Àr att allt detta, enligt vÄr mening, blev förutsÀttningarna för framvÀxten av konceptet med cyberövningar och cybertrÀningsplatser i Ryssland.
Hur det tekniska segmentet av cyberpolygonen Àr organiserat
En cyberpolygon Àr ett komplex av virtuella infrastrukturer som replikerar typiska infrastrukturer för företag i olika branscher. Det lÄter dig "öva pÄ katter" - att öva specialisters praktiska fÀrdigheter utan risk för att nÄgot inte kommer att gÄ enligt plan, och cyberövningar kommer att skada verksamheten i ett riktigt företag. Stora informationssÀkerhetsföretag börjar utveckla denna riktning, och du kan se liknande cyberövningar i spelformat, till exempel pÄ Positive Hack Days.
Ett typiskt nÀtverksinfrastrukturschema för ett hypotetiskt stort företag eller företag Àr en ganska standarduppsÀttning servrar, arbetsdatorer och olika nÀtverksenheter med en typisk uppsÀttning företagsprogramvara och informationssÀkerhetssystem. En bransch cyber testplats Àr alla samma plus allvarliga detaljer som i hög grad komplicerar den virtuella modellen.
Hur vi förde cyberpolygonen nÀrmare verkligheten
Det konceptuella utseendet pÄ den industriella delen av cybertestomrÄdet beror pÄ den valda metoden för att modellera ett komplext cyberfysiskt system. Det finns tre huvudsakliga metoder för modellering:
Var och en av dessa tillvÀgagÄngssÀtt har sina egna fördelar och nackdelar. I olika fall, beroende pÄ det slutliga mÄlet och befintliga begrÀnsningar, kan alla tre ovan nÀmnda modelleringsmetoder anvÀndas. För att formalisera valet av dessa metoder har vi sammanstÀllt följande algoritm:
För- och nackdelar med olika modelleringsmetoder kan presenteras i form av ett diagram, dÀr ordinataaxeln Àr tÀckningen av forskningsomrÄdena (d.v.s. flexibiliteten hos det föreslagna modelleringsverktyget), och abskissaxeln Àr noggrannheten i modelleringen (graden av överensstÀmmelse med det verkliga systemet). Det visar sig nÀstan vara ett Gartner-torg:
SÄledes Àr den optimala lösningen nÀr det gÀller förhÄllandet mellan noggrannhet och flexibilitet i modellering den sÄ kallade semi-natural modellering (hÄrdvara-i-slingan, HIL). Inom detta tillvÀgagÄngssÀtt modelleras det cyberfysiska systemet delvis med hjÀlp av verklig utrustning och delvis med matematiska modeller. Till exempel kan en elektrisk transformatorstation representeras av verkliga mikroprocessorenheter (relÀskyddsterminaler), servrar för automatiserade styrsystem och annan sekundÀr utrustning, och de fysiska processerna som förekommer i sjÀlva det elektriska nÀtverket implementeras med hjÀlp av en datormodell. Okej, vi har bestÀmt oss för modelleringsmetoden. Efter detta var det nödvÀndigt att utveckla arkitekturen för cybertestplatsen. För att cyberövningar verkligen ska vara anvÀndbara mÄste alla sammankopplingar av ett riktigt komplext cyberfysiskt system Äterskapas sÄ exakt som möjligt pÄ trÀningsplatsen. DÀrför, precis som i verkligheten, bestÄr den tekniska delen av cybertestomrÄdet av flera interagerande nivÄer. LÄt mig pÄminna dig om att den typiska infrastrukturen för industriella nÀtverk inkluderar den lÀgsta nivÄn, som inkluderar den sÄ kallade "primÀra utrustningen" - det hÀr Àr fiberoptik, ett elektriskt nÀtverk eller nÄgot annat - beroende pÄ bransch. Den utbyter data och styrs av specialiserade industrikontrollanter, som i sin tur styrs av SCADA-system.
Vi började skapa den industriella delen av cyberpolgon med energisegmentet, vilket nu Àr en prioritet för oss (vÄra planer inkluderar olje- och gasindustrin och kemisk industri).
Det Ă€r uppenbart att nivĂ„n pĂ„ primĂ€rutrustning inte kan realiseras genom naturlig modellering med hjĂ€lp av verkliga objekt. DĂ€rför utvecklade vi i det första skedet en matematisk modell av energianlĂ€ggningen och den intilliggande delen av energisystemet. Denna modell inkluderar all kraftutrustning för transformatorstationer â kraftledningar, transformatorer etc., och Ă€r implementerad i ett speciellt mjukvarupaket RSCAD. Modellen som skapas pĂ„ detta sĂ€tt kan bearbetas av ett realtidsberĂ€kningskomplex - dess huvudsakliga egenskap Ă€r att processtiden i det verkliga systemet och processtiden i modellen Ă€r helt identiska - det vill sĂ€ga om en kortslutning i ett riktigt nĂ€tverk varar i tvĂ„ sekunder kommer den att modelleras i RSCAD under exakt samma tid). Vi fĂ„r en "live" del av det elektriska kraftsystemet, som fungerar enligt alla fysikens lagar och till och med reagerar pĂ„ yttre pĂ„verkan (till exempel driften av relĂ€skydd och automationsterminaler, frĂ„nkoppling av strömbrytare, etc.). Interaktion med externa enheter uppnĂ„ddes med hjĂ€lp av specialiserade anpassningsbara kommunikationsgrĂ€nssnitt, vilket gjorde det möjligt för den matematiska modellen att interagera med kontrollnivĂ„n och den automatiserade systemnivĂ„n.
Men nivÄerna av styrenheter och automatiserade styrsystem för kraftanlÀggningen kan skapas med hjÀlp av riktig industriell utrustning (Àven om vi vid behov ocksÄ kan anvÀnda virtuella modeller). PÄ dessa tvÄ nivÄer finns regulatorer respektive automationsutrustning (RPA, PMU, USPD, mÀtare) och automatiserade styrsystem (SCADA, OIC, AISKUE). Fullskalig modellering möjliggör en betydande ökning av modellens realism och följaktligen sjÀlva cyberövningarna, eftersom teamen kommer att interagera med riktig industriell utrustning, som har sina egna egenskaper, buggar och sÄrbarheter.
I det tredje steget implementerade vi interaktionen mellan de matematiska och fysiska delarna av modellen med hjÀlp av specialiserade hÄrdvaru- och mjukvarugrÀnssnitt och signalförstÀrkare.
Som ett resultat ser infrastrukturen ut ungefÀr sÄ hÀr:
All utrustning pÄ testplatsen interagerar med varandra pÄ samma sÀtt som i ett riktigt cyberfysiskt system. För att vara mer specifik, nÀr vi konstruerade den hÀr modellen anvÀnde vi följande utrustning och datorresurser:
- RTDS-berÀkningskomplex för att utföra berÀkningar i realtid;
- Automatiserad arbetsstation (AWS) för operatören med installerad programvara för modellering av den tekniska processen och primÀr utrustning för elektriska transformatorstationer;
- SkÄp med kommunikationsutrustning, relÀskydd och automationsterminaler och automatiserad processkontrollsystemutrustning;
- FörstÀrkarskÄp utformade för att förstÀrka analoga signaler frÄn RTDS-simulatorns digital-till-analog-omvandlarkort. Varje förstÀrkarskÄp innehÄller en annan uppsÀttning förstÀrkningsblock som anvÀnds för att generera ingÄngsström- och spÀnningssignaler för relÀskyddet och automationsterminalerna som studeras. IngÄngssignaler förstÀrks till den nivÄ som krÀvs för normal drift av relÀskyddet och automationsterminalerna.
Detta Àr inte den enda möjliga lösningen, men enligt vÄr Äsikt Àr den optimal för att genomföra cyberövningar, eftersom den Äterspeglar den verkliga arkitekturen hos de allra flesta moderna transformatorstationer, och samtidigt kan den anpassas för att sÄ exakt som möjligt Äterskapa vissa funktioner i en specifik anlÀggning.
Sammanfattningsvis
Cyberpolygon Ă€r ett enormt projekt, och det Ă„terstĂ„r fortfarande mycket arbete. Ă
ena sidan studerar vi erfarenheterna frÄn vÄra vÀsterlÀndska kollegor, Ä andra sidan mÄste vi göra mycket baserat pÄ vÄr erfarenhet av att arbeta specifikt med ryska industriföretag, eftersom det finns detaljer inte bara i olika branscher utan ocksÄ i olika lÀnder. Detta Àr ett bÄde komplext och intressant Àmne.
ĂndĂ„ Ă€r vi övertygade om att vi i Ryssland har nĂ„tt vad som vanligtvis kallas en "mognadsnivĂ„" dĂ€r Ă€ven industrin förstĂ„r behovet av cyberövningar. Det betyder att snart kommer branschen att ha sina egna bĂ€sta praxis, och vi kommer, hoppas jag, att stĂ€rka vĂ„r sĂ€kerhetsnivĂ„.
Författare
Oleg Arkhangelsky, ledande analytiker och metodolog för Industrial Cyber ââââPolygon-projektet.
Dmitry Syutov, chefsingenjör för Industrial Cyber ââââPolygon-projektet;
Andrey Kuznetsov, chef för Industrial Cyber ââââPolygon Project, bitrĂ€dande chef för cybersĂ€kerhetslaboratoriet för det automatiserade processkontrollsystemet för produktion
KĂ€lla: will.com
