ปีนี้เราได้เริ่มโครงการขนาดใหญ่เพื่อสร้างพื้นที่ฝึกอบรมทางไซเบอร์ ซึ่งเป็นแพลตฟอร์มสำหรับฝึกซ้อมทางไซเบอร์สำหรับบริษัทในอุตสาหกรรมต่างๆ ในการทำเช่นนี้ จำเป็นต้องสร้างโครงสร้างพื้นฐานเสมือนที่ "เหมือนกันกับธรรมชาติ" - เพื่อจำลองโครงสร้างภายในทั่วไปของธนาคาร บริษัทพลังงาน ฯลฯ และไม่เพียงแต่ในแง่ของส่วนองค์กรของเครือข่ายเท่านั้น . อีกไม่นานเราจะพูดถึงการธนาคารและโครงสร้างพื้นฐานอื่น ๆ ของกลุ่มไซเบอร์และวันนี้เราจะพูดถึงวิธีที่เราแก้ไขปัญหานี้ที่เกี่ยวข้องกับส่วนเทคโนโลยีขององค์กรอุตสาหกรรม
แน่นอนว่าหัวข้อการฝึกหัดทางไซเบอร์และสนามฝึกอบรมทางไซเบอร์ไม่ได้เกิดขึ้นเมื่อวานนี้ ในโลกตะวันตก ได้มีการสร้างข้อเสนอที่แข่งขันกัน แนวทางปฏิบัติทางไซเบอร์ที่แตกต่างกัน และแนวทางปฏิบัติที่ดีที่สุดมาเป็นเวลานานแล้ว “รูปแบบที่ดี” ของบริการรักษาความปลอดภัยข้อมูลคือการฝึกความพร้อมเป็นระยะเพื่อขับไล่การโจมตีทางไซเบอร์ในทางปฏิบัติ สำหรับรัสเซีย นี่ยังคงเป็นหัวข้อใหม่ ใช่ มีอุปทานเล็กน้อยและเกิดขึ้นเมื่อหลายปีก่อน แต่ความต้องการโดยเฉพาะในภาคอุตสาหกรรมเริ่มค่อยๆ ก่อตัวขึ้นในตอนนี้เท่านั้น เราเชื่อว่ามีสาเหตุหลักสามประการสำหรับเรื่องนี้ - สิ่งเหล่านี้ยังเป็นปัญหาที่เห็นได้ชัดเจนอยู่แล้วเช่นกัน
โลกกำลังเปลี่ยนแปลงเร็วเกินไป
เมื่อ 10 ปีที่แล้ว แฮกเกอร์โจมตีองค์กรเหล่านั้นเป็นหลักซึ่งพวกเขาสามารถถอนเงินได้อย่างรวดเร็ว สำหรับภาคอุตสาหกรรม ภัยคุกคามนี้มีความเกี่ยวข้องน้อยกว่า ตอนนี้เราเห็นว่าโครงสร้างพื้นฐานขององค์กรภาครัฐ วิสาหกิจด้านพลังงานและอุตสาหกรรมก็กลายเป็นหัวข้อที่พวกเขาสนใจเช่นกัน ที่นี่เรามักจะจัดการกับความพยายามในการจารกรรม การโจรกรรมข้อมูลเพื่อวัตถุประสงค์ต่างๆ (ข่าวกรองทางการแข่งขัน การแบล็กเมล์) รวมถึงการได้รับจุดแสดงตนในโครงสร้างพื้นฐานเพื่อขายต่อให้กับสหายที่สนใจ แม้แต่ผู้เข้ารหัสธรรมดา ๆ อย่าง WannaCry ก็สามารถตรวจจับวัตถุที่คล้ายกันได้ไม่กี่แห่งทั่วโลก ดังนั้นความเป็นจริงสมัยใหม่จึงจำเป็นต้องให้ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลคำนึงถึงความเสี่ยงเหล่านี้และสร้างกระบวนการรักษาความปลอดภัยข้อมูลใหม่ โดยเฉพาะอย่างยิ่งปรับปรุงคุณสมบัติของคุณอย่างสม่ำเสมอและฝึกฝนทักษะการปฏิบัติ บุคลากรทุกระดับในการควบคุมการจัดส่งการปฏิบัติงานของโรงงานอุตสาหกรรมจะต้องมีความเข้าใจที่ชัดเจนว่าควรดำเนินการอย่างไรในกรณีที่มีการโจมตีทางไซเบอร์ แต่การดำเนินการทางไซเบอร์บนโครงสร้างพื้นฐานของคุณเอง ขออภัย ความเสี่ยงมีมากกว่าผลประโยชน์ที่เป็นไปได้อย่างชัดเจน
ขาดความเข้าใจในความสามารถที่แท้จริงของผู้โจมตีในการแฮ็กระบบควบคุมกระบวนการและระบบ IIoT
ปัญหานี้เกิดขึ้นในองค์กรทุกระดับ แม้แต่ผู้เชี่ยวชาญบางคนก็ไม่เข้าใจว่าจะเกิดอะไรขึ้นกับระบบของพวกเขา มีแนวทางในการโจมตีแบบใดบ้าง เราจะพูดอะไรเกี่ยวกับความเป็นผู้นำได้บ้าง?
ผู้เชี่ยวชาญด้านความปลอดภัยมักสนใจ "ช่องว่างทางอากาศ" ซึ่งถูกกล่าวหาว่าไม่อนุญาตให้ผู้โจมตีไปไกลกว่าเครือข่ายองค์กร แต่ในทางปฏิบัติแสดงให้เห็นว่าใน 90% ขององค์กรมีความเชื่อมโยงระหว่างส่วนองค์กรและเทคโนโลยี ในเวลาเดียวกันองค์ประกอบของการสร้างและการจัดการเครือข่ายเทคโนโลยีก็มักจะมีช่องโหว่ซึ่งโดยเฉพาะอย่างยิ่งเราเห็นเมื่อตรวจสอบอุปกรณ์ и .
เป็นการยากที่จะสร้างแบบจำลองภัยคุกคามที่เหมาะสม
ในช่วงไม่กี่ปีที่ผ่านมา มีกระบวนการอย่างต่อเนื่องในการเพิ่มความซับซ้อนของข้อมูลและระบบอัตโนมัติ ตลอดจนการเปลี่ยนไปใช้ระบบไซเบอร์-กายภาพที่เกี่ยวข้องกับการบูรณาการทรัพยากรคอมพิวเตอร์และอุปกรณ์ทางกายภาพ ระบบมีความซับซ้อนมากจนเป็นไปไม่ได้เลยที่จะคาดการณ์ผลที่ตามมาของการโจมตีทางไซเบอร์โดยใช้วิธีการวิเคราะห์ เรากำลังพูดถึงไม่เพียงแต่เกี่ยวกับความเสียหายทางเศรษฐกิจต่อองค์กร แต่ยังเกี่ยวกับการประเมินผลที่ตามมาซึ่งนักเทคโนโลยีและอุตสาหกรรมสามารถเข้าใจได้ เช่น อุปทานไฟฟ้าไม่เพียงพอหรือผลิตภัณฑ์ประเภทอื่น หากเรากำลังพูดถึงน้ำมันและก๊าซ หรือปิโตรเคมี และจะจัดลำดับความสำคัญในสถานการณ์เช่นนี้ได้อย่างไร?
ที่จริงแล้วในความคิดของเราทั้งหมดนี้กลายเป็นข้อกำหนดเบื้องต้นสำหรับการเกิดขึ้นของแนวคิดของแบบฝึกหัดทางไซเบอร์และสนามฝึกอบรมทางไซเบอร์ในรัสเซีย
ส่วนเทคโนโลยีของกลุ่มไซเบอร์ทำงานอย่างไร
พื้นที่ทดสอบทางไซเบอร์เป็นโครงสร้างพื้นฐานเสมือนจริงที่ซับซ้อนซึ่งจำลองโครงสร้างพื้นฐานทั่วไปขององค์กรในอุตสาหกรรมต่างๆ ช่วยให้คุณ "ฝึกแมว" - ฝึกฝนทักษะการปฏิบัติของผู้เชี่ยวชาญโดยไม่มีความเสี่ยงที่บางสิ่งจะไม่เป็นไปตามแผนและแบบฝึกหัดทางไซเบอร์จะสร้างความเสียหายต่อกิจกรรมขององค์กรที่แท้จริง บริษัทรักษาความปลอดภัยทางไซเบอร์ขนาดใหญ่กำลังเริ่มพัฒนาพื้นที่นี้ และคุณสามารถดูแบบฝึกหัดทางไซเบอร์ที่คล้ายกันในรูปแบบเกม เช่น ที่ Positive Hack Days
แผนภาพโครงสร้างพื้นฐานเครือข่ายทั่วไปสำหรับองค์กรขนาดใหญ่หรือองค์กรคือชุดเซิร์ฟเวอร์ คอมพิวเตอร์ที่ทำงาน และอุปกรณ์เครือข่ายต่างๆ ที่มีมาตรฐานพอสมควร พร้อมด้วยชุดซอฟต์แวร์องค์กรและระบบรักษาความปลอดภัยข้อมูลมาตรฐาน พื้นที่ทดสอบทางไซเบอร์ของอุตสาหกรรมนั้นเหมือนกันหมด บวกกับข้อมูลเฉพาะที่จริงจังที่ทำให้โมเดลเสมือนจริงมีความซับซ้อนอย่างมาก
วิธีที่เรานำขอบเขตไซเบอร์เข้าใกล้ความเป็นจริงมากขึ้น
ตามแนวคิดแล้ว การปรากฏของส่วนอุตสาหกรรมของพื้นที่ทดสอบทางไซเบอร์นั้นขึ้นอยู่กับวิธีการที่เลือกในการสร้างแบบจำลองระบบทางกายภาพทางไซเบอร์ที่ซับซ้อน มีสามวิธีหลักในการสร้างแบบจำลอง:
แต่ละแนวทางเหล่านี้มีข้อดีและข้อเสียในตัวเอง ในกรณีที่แตกต่างกัน ขึ้นอยู่กับเป้าหมายสุดท้ายและข้อจำกัดที่มีอยู่ สามารถใช้วิธีการสร้างแบบจำลองทั้งสามวิธีข้างต้นได้ เพื่อให้การเลือกวิธีการเหล่านี้เป็นทางการ เราได้รวบรวมอัลกอริทึมต่อไปนี้:
ข้อดีและข้อเสียของวิธีการสร้างแบบจำลองต่างๆ สามารถแสดงได้ในรูปแบบของแผนภาพ โดยที่แกน y คือความครอบคลุมของพื้นที่การศึกษา (นั่นคือ ความยืดหยุ่นของเครื่องมือการสร้างแบบจำลองที่นำเสนอ) และแกน x คือความแม่นยำ ของการจำลอง (ระดับความสอดคล้องกับระบบจริง) ปรากฎว่าเกือบจะเป็นจัตุรัสการ์ตเนอร์:
ดังนั้น ความสมดุลที่เหมาะสมที่สุดระหว่างความแม่นยำและความยืดหยุ่นของการสร้างแบบจำลองจึงเรียกว่าการสร้างแบบจำลองกึ่งธรรมชาติ (hardware-in-the-loop, HIL) ภายในแนวทางนี้ ระบบไซเบอร์-กายภาพได้รับการสร้างแบบจำลองบางส่วนโดยใช้อุปกรณ์จริง และบางส่วนใช้แบบจำลองทางคณิตศาสตร์ ตัวอย่างเช่น สถานีไฟฟ้าย่อยสามารถแสดงด้วยอุปกรณ์ไมโครโปรเซสเซอร์จริง (เทอร์มินัลป้องกันรีเลย์) เซิร์ฟเวอร์ของระบบควบคุมอัตโนมัติและอุปกรณ์รองอื่น ๆ และกระบวนการทางกายภาพที่เกิดขึ้นในเครือข่ายไฟฟ้านั้นถูกนำไปใช้โดยใช้แบบจำลองคอมพิวเตอร์ เอาล่ะ เราได้ตัดสินใจเกี่ยวกับวิธีการสร้างแบบจำลองแล้ว หลังจากนี้จึงจำเป็นต้องพัฒนาสถาปัตยกรรมของขอบเขตไซเบอร์ เพื่อให้แบบฝึกหัดทางไซเบอร์มีประโยชน์อย่างแท้จริง การเชื่อมโยงทั้งหมดของระบบไซเบอร์-กายภาพที่ซับซ้อนอย่างแท้จริงจะต้องถูกสร้างขึ้นใหม่อย่างถูกต้องแม่นยำที่สุดเท่าที่จะเป็นไปได้บนเว็บไซต์ทดสอบ ดังนั้นในประเทศของเราเช่นเดียวกับในชีวิตจริง ส่วนทางเทคโนโลยีของช่วงไซเบอร์ประกอบด้วยระดับการโต้ตอบหลายระดับ ฉันขอเตือนคุณว่าโครงสร้างพื้นฐานเครือข่ายอุตสาหกรรมทั่วไปรวมถึงระดับต่ำสุด ซึ่งรวมถึงสิ่งที่เรียกว่า "อุปกรณ์หลัก" - นี่คือใยแก้วนำแสง เครือข่ายไฟฟ้า หรืออย่างอื่น ขึ้นอยู่กับอุตสาหกรรม โดยจะแลกเปลี่ยนข้อมูลและควบคุมโดยผู้ควบคุมทางอุตสาหกรรมเฉพาะทาง และในทางกลับกันโดยระบบ SCADA
เราเริ่มสร้างส่วนอุตสาหกรรมของไซต์ไซเบอร์จากส่วนพลังงานซึ่งขณะนี้เป็นสิ่งที่เราให้ความสำคัญเป็นอันดับแรก (อุตสาหกรรมน้ำมันและก๊าซและเคมีอยู่ในแผนของเรา)
เห็นได้ชัดว่าระดับของอุปกรณ์หลักไม่สามารถรับรู้ได้จากการสร้างแบบจำลองเต็มรูปแบบโดยใช้วัตถุจริง ดังนั้นในขั้นแรก เราจึงพัฒนาแบบจำลองทางคณิตศาสตร์ของโรงไฟฟ้าและส่วนที่อยู่ติดกันของระบบไฟฟ้า รุ่นนี้ประกอบด้วยอุปกรณ์ไฟฟ้าทั้งหมดของสถานีย่อย - สายไฟ หม้อแปลง ฯลฯ และดำเนินการในแพ็คเกจซอฟต์แวร์ RSCAD พิเศษ โมเดลที่สร้างขึ้นในลักษณะนี้สามารถประมวลผลได้โดยคอมเพล็กซ์การประมวลผลแบบเรียลไทม์ - คุณสมบัติหลักของมันคือเวลาประมวลผลในระบบจริงและเวลาประมวลผลในแบบจำลองนั้นเหมือนกันทุกประการ - นั่นคือหากเกิดไฟฟ้าลัดวงจรในระบบจริง เครือข่ายจะใช้เวลาสองวินาที โดยจะจำลองด้วยระยะเวลาเท่ากันทุกประการใน RSCAD) เราได้รับส่วน "สด" ของระบบกำลังไฟฟ้าซึ่งทำงานตามกฎฟิสิกส์ทั้งหมดและแม้แต่ตอบสนองต่ออิทธิพลภายนอก (เช่น การเปิดใช้งานการป้องกันรีเลย์และเทอร์มินัลอัตโนมัติ การสะดุดสวิตช์ ฯลฯ ) การโต้ตอบกับอุปกรณ์ภายนอกทำได้โดยใช้อินเทอร์เฟซการสื่อสารแบบพิเศษที่ปรับแต่งได้ ทำให้แบบจำลองทางคณิตศาสตร์สามารถโต้ตอบกับระดับของตัวควบคุมและระดับของระบบอัตโนมัติได้
แต่ระดับของตัวควบคุมและระบบควบคุมอัตโนมัติของโรงไฟฟ้าสามารถสร้างได้โดยใช้อุปกรณ์อุตสาหกรรมจริง (แม้ว่าจำเป็น เราก็สามารถใช้แบบจำลองเสมือนจริงได้เช่นกัน) ในสองระดับนี้ จะมีตัวควบคุมและอุปกรณ์อัตโนมัติ (การป้องกันรีเลย์, PMU, USPD, เมตร) และระบบควบคุมอัตโนมัติ (SCADA, OIK, AIISKUE) ตามลำดับ การสร้างแบบจำลองเต็มรูปแบบสามารถเพิ่มความสมจริงของแบบจำลองได้อย่างมาก และด้วยเหตุนี้ แนวทางปฏิบัติทางไซเบอร์ด้วยตนเอง เนื่องจากทีมจะต้องมีปฏิสัมพันธ์กับอุปกรณ์ทางอุตสาหกรรมจริง ซึ่งมีลักษณะเฉพาะ จุดบกพร่อง และช่องโหว่ของตัวเอง
ในขั้นตอนที่สาม เราได้นำการโต้ตอบของส่วนทางคณิตศาสตร์และฟิสิกส์ของแบบจำลองไปใช้โดยใช้อินเทอร์เฟซฮาร์ดแวร์และซอฟต์แวร์เฉพาะ และเครื่องขยายสัญญาณ
ด้วยเหตุนี้ โครงสร้างพื้นฐานจึงมีลักษณะดังนี้:
อุปกรณ์ของไซต์ทดสอบทั้งหมดโต้ตอบกันในลักษณะเดียวกับในระบบทางกายภาพทางไซเบอร์ของจริง โดยเฉพาะอย่างยิ่ง เมื่อสร้างแบบจำลองนี้ เราใช้อุปกรณ์และเครื่องมือคำนวณต่อไปนี้:
- การคำนวณ RTDS ที่ซับซ้อนสำหรับการคำนวณแบบเรียลไทม์
- เวิร์กสเตชันอัตโนมัติ (AWS) ของผู้ปฏิบัติงานพร้อมซอฟต์แวร์ที่ติดตั้งสำหรับการสร้างแบบจำลองกระบวนการทางเทคโนโลยีและอุปกรณ์หลักของสถานีไฟฟ้าย่อย
- ตู้ที่มีอุปกรณ์สื่อสาร เทอร์มินัลป้องกันรีเลย์และเทอร์มินัลอัตโนมัติ และอุปกรณ์ควบคุมกระบวนการอัตโนมัติ
- ตู้เครื่องขยายเสียงที่ออกแบบมาเพื่อขยายสัญญาณอะนาล็อกจากบอร์ดแปลงสัญญาณดิจิทัลเป็นอนาล็อกของเครื่องจำลอง RTDS ตู้เครื่องขยายเสียงแต่ละตู้มีชุดบล็อกขยายสัญญาณที่แตกต่างกันซึ่งใช้ในการสร้างสัญญาณอินพุตกระแสและแรงดันไฟฟ้าสำหรับขั้วต่อการป้องกันรีเลย์ที่กำลังศึกษาอยู่ สัญญาณอินพุตจะถูกขยายจนถึงระดับที่จำเป็นสำหรับการทำงานปกติของขั้วต่อการป้องกันรีเลย์
นี่ไม่ใช่วิธีแก้ปัญหาที่เป็นไปได้เท่านั้น แต่ในความเห็นของเรา เป็นการดีที่สุดสำหรับการดำเนินการฝึกหัดทางไซเบอร์ เนื่องจากมันสะท้อนถึงสถาปัตยกรรมที่แท้จริงของสถานีย่อยสมัยใหม่ส่วนใหญ่ และในขณะเดียวกันก็สามารถปรับแต่งเพื่อสร้างใหม่ได้ คุณสมบัติบางอย่างของวัตถุเฉพาะอย่างแม่นยำที่สุด
ในข้อสรุป
ขอบเขตทางไซเบอร์เป็นโครงการขนาดใหญ่ และยังมีงานอีกมากรออยู่ข้างหน้า ในอีกด้านหนึ่ง เราศึกษาประสบการณ์ของเพื่อนร่วมงานชาวตะวันตก ในทางกลับกัน เราต้องทำหลายอย่างจากประสบการณ์ในการทำงานกับองค์กรอุตสาหกรรมของรัสเซียโดยเฉพาะ เนื่องจากไม่เพียงแต่อุตสาหกรรมที่แตกต่างกันเท่านั้น แต่ยังมีประเทศต่าง ๆ ที่มีความเฉพาะเจาะจงด้วย นี่เป็นทั้งหัวข้อที่ซับซ้อนและน่าสนใจ
อย่างไรก็ตาม เราเชื่อมั่นว่าพวกเราในรัสเซียได้มาถึงสิ่งที่เรียกกันทั่วไปว่า "ระดับวุฒิภาวะ" เมื่ออุตสาหกรรมเข้าใจถึงความจำเป็นของการฝึกทางไซเบอร์ด้วย ซึ่งหมายความว่าในไม่ช้าอุตสาหกรรมนี้จะมีแนวปฏิบัติที่เป็นเลิศของตัวเอง และหวังว่าจะทำให้ระดับการรักษาความปลอดภัยของเราแข็งแกร่งขึ้น
ผู้เขียน
Oleg Arkhangelsky นักวิเคราะห์ชั้นนำและนักระเบียบวิธีของโครงการ Industrial Cyber Test Site
Dmitry Syutov หัวหน้าวิศวกรของโครงการ Industrial Cyber Test Site;
Andrey Kuznetsov หัวหน้าโครงการ "ไซต์ทดสอบทางไซเบอร์ทางอุตสาหกรรม" รองหัวหน้าห้องปฏิบัติการความปลอดภัยทางไซเบอร์ของระบบควบคุมกระบวนการอัตโนมัติสำหรับการผลิต
ที่มา: will.com