Sa taong ito nagsimula kami ng isang malaking proyekto upang lumikha ng isang cyber training ground - isang platform para sa cyber exercises para sa mga kumpanya sa iba't ibang industriya. Upang gawin ito, kinakailangan na lumikha ng mga virtual na imprastraktura na "magkapareho sa mga natural" - upang kopyahin nila ang tipikal na panloob na istraktura ng isang bangko, kumpanya ng enerhiya, atbp., at hindi lamang sa mga tuntunin ng corporate segment ng network . Maya-maya ay pag-uusapan natin ang tungkol sa pagbabangko at iba pang mga imprastraktura ng saklaw ng cyber, at ngayon ay pag-uusapan natin kung paano natin nalutas ang problemang ito na may kaugnayan sa teknolohikal na segment ng isang pang-industriya na negosyo.
Siyempre, ang paksa ng cyber exercises at cyber training grounds ay hindi lumabas kahapon. Sa Kanluran, isang bilog ng nakikipagkumpitensyang mga panukala, iba't ibang mga diskarte sa cyber exercises, at simpleng pinakamahuhusay na kagawian ay matagal nang nabuo. Ang "magandang anyo" ng serbisyo sa seguridad ng impormasyon ay ang pana-panahong pagsasanay sa pagiging handa nito na itaboy ang mga cyber attack sa pagsasanay. Para sa Russia, ito ay isang bagong paksa pa rin: oo, mayroong isang maliit na supply, at ito ay lumitaw ilang taon na ang nakalilipas, ngunit ang demand, lalo na sa mga sektor ng industriya, ay nagsimulang unti-unting nabuo ngayon lamang. Naniniwala kami na mayroong tatlong pangunahing dahilan para dito - sila rin ay mga problema na naging napakalinaw na.
Masyadong mabilis ang pagbabago ng mundo
10 taon lamang ang nakalilipas, ang mga hacker ay pangunahing inatake ang mga organisasyong iyon kung saan maaari silang mabilis na mag-withdraw ng pera. Para sa industriya, ang banta na ito ay hindi gaanong nauugnay. Ngayon nakita natin na ang imprastraktura ng mga organisasyon ng gobyerno, enerhiya at industriyal na negosyo ay nagiging paksa din ng kanilang interes. Narito kami ay mas madalas na nakikitungo sa mga pagtatangka sa espiya, pagnanakaw ng data para sa iba't ibang layunin (competitive intelligence, blackmail), pati na rin ang pagkuha ng mga punto ng presensya sa imprastraktura para sa karagdagang pagbebenta sa mga interesadong kasama. Buweno, kahit na ang mga banal na encryptor tulad ng WannaCry ay nakakuha ng kaunting mga katulad na bagay sa buong mundo. Samakatuwid, ang mga modernong katotohanan ay nangangailangan ng mga espesyalista sa seguridad ng impormasyon na isaalang-alang ang mga panganib na ito at lumikha ng mga bagong proseso ng seguridad ng impormasyon. Sa partikular, regular na pagbutihin ang iyong mga kwalipikasyon at magsanay ng mga praktikal na kasanayan. Ang mga tauhan sa lahat ng antas ng operational dispatch control ng mga pasilidad na pang-industriya ay dapat magkaroon ng malinaw na pag-unawa sa kung anong mga aksyon ang gagawin kung sakaling magkaroon ng cyber attack. Ngunit upang magsagawa ng mga cyber exercise sa sarili mong imprastraktura - paumanhin, ang mga panganib ay malinaw na mas malaki kaysa sa mga posibleng benepisyo.
Kakulangan ng pag-unawa sa mga tunay na kakayahan ng mga umaatake na i-hack ang mga process control system at IIoT system
Ang problemang ito ay umiiral sa lahat ng antas ng mga organisasyon: kahit na ang lahat ng mga espesyalista ay hindi nauunawaan kung ano ang maaaring mangyari sa kanilang system, kung anong mga attack vector ang magagamit laban dito. Ano ang masasabi natin tungkol sa pamumuno?
Ang mga eksperto sa seguridad ay madalas na umaapela sa "air gap", na diumano'y hindi magpapahintulot sa isang umaatake na lumayo pa kaysa sa corporate network, ngunit ipinapakita ng kasanayan na sa 90% ng mga organisasyon ay may koneksyon sa pagitan ng mga segment ng korporasyon at teknolohiya. Kasabay nito, ang mismong mga elemento ng pagtatayo at pamamahala ng mga teknolohikal na network ay madalas ding may mga kahinaan, na kung saan namin, sa partikular, ay nakita kapag sinusuri ang kagamitan. ΠΈ .
Mahirap bumuo ng isang sapat na modelo ng pagbabanta
Sa mga nagdaang taon, nagkaroon ng patuloy na proseso ng pagtaas ng pagiging kumplikado ng impormasyon at mga automated na sistema, pati na rin ang paglipat sa cyber-physical system na may kinalaman sa pagsasama ng mga mapagkukunan ng computing at pisikal na kagamitan. Ang mga sistema ay nagiging napakakumplikado na imposibleng mahulaan ang lahat ng mga kahihinatnan ng pag-atake sa cyber gamit ang mga analytical na pamamaraan. Pinag-uusapan natin hindi lamang ang tungkol sa pinsala sa ekonomiya sa organisasyon, kundi pati na rin ang tungkol sa pagtatasa ng mga kahihinatnan na nauunawaan para sa technologist at para sa industriya - kulang sa suplay ng kuryente, halimbawa, o isa pang uri ng produkto, kung pinag-uusapan natin ang tungkol sa langis at gas. o petrochemical. At paano magtakda ng mga priyoridad sa ganoong sitwasyon?
Sa totoo lang, ang lahat ng ito, sa aming opinyon, ay naging mga kinakailangan para sa paglitaw ng konsepto ng cyber exercises at cyber training grounds sa Russia.
Paano gumagana ang teknolohikal na segment ng cyber range
Ang isang cyber testing ground ay isang kumplikado ng mga virtual na imprastraktura na ginagaya ang mga tipikal na imprastraktura ng mga negosyo sa iba't ibang industriya. Pinapayagan ka nitong "magsanay sa mga pusa" - upang magsanay ng mga praktikal na kasanayan ng mga espesyalista nang walang panganib na ang isang bagay ay hindi mangyayari ayon sa plano, at ang mga pagsasanay sa cyber ay makapinsala sa mga aktibidad ng isang tunay na negosyo. Nagsisimula nang bumuo ang malalaking kumpanya ng cybersecurity sa lugar na ito, at maaari kang manood ng mga katulad na cyber exercise sa isang format ng laro, halimbawa, sa Positive Hack Days.
Ang isang karaniwang diagram ng imprastraktura ng network para sa isang malaking negosyo o korporasyon ay isang medyo karaniwang hanay ng mga server, work computer at iba't ibang network device na may karaniwang hanay ng corporate software at information security system. Ang isang industriya ng cyber testing ground ay pareho, kasama ang mga seryosong detalye na kapansin-pansing nagpapalubha sa virtual na modelo.
Kung paano namin inilapit ang cyber range sa katotohanan
Sa konsepto, ang hitsura ng pang-industriyang bahagi ng cyber test site ay nakasalalay sa napiling paraan ng pagmomodelo ng isang komplikadong cyber-physical system. Mayroong tatlong pangunahing diskarte sa pagmomodelo:
Ang bawat isa sa mga pamamaraang ito ay may sariling mga pakinabang at disadvantages. Sa iba't ibang mga kaso, depende sa panghuling layunin at umiiral na mga limitasyon, lahat ng tatlong pamamaraan sa pagmomodelo sa itaas ay maaaring gamitin. Upang gawing pormal ang pagpili ng mga pamamaraang ito, pinagsama-sama namin ang sumusunod na algorithm:
Ang mga kalamangan at kahinaan ng iba't ibang paraan ng pagmomodelo ay maaaring ilarawan sa anyo ng isang diagram, kung saan ang y-axis ay ang saklaw ng mga lugar ng pag-aaral (ibig sabihin, ang flexibility ng iminungkahing tool sa pagmomodelo), at ang x-axis ay ang katumpakan ng simulation (ang antas ng pagsusulatan sa tunay na sistema). Ito ay lumiliko halos isang Gartner square:
Kaya, ang pinakamainam na balanse sa pagitan ng katumpakan at flexibility ng pagmomodelo ay ang tinatawag na semi-natural na pagmomolde (hardware-in-the-loop, HIL). Sa loob ng diskarteng ito, ang cyber-physical system ay bahagyang namodelo gamit ang tunay na kagamitan, at bahagyang gumagamit ng mga modelong matematikal. Halimbawa, ang isang de-koryenteng substation ay maaaring katawanin ng mga tunay na microprocessor device (relay protection terminals), mga server ng mga automated control system at iba pang pangalawang kagamitan, at ang mga pisikal na proseso mismo na nagaganap sa electrical network ay ipinapatupad gamit ang isang modelo ng computer. Okay, napagpasyahan namin ang paraan ng pagmomodelo. Pagkatapos nito, kinakailangan na bumuo ng arkitektura ng hanay ng cyber. Para maging tunay na kapaki-pakinabang ang mga cyber exercise, ang lahat ng interconnection ng isang tunay na kumplikadong cyber-physical system ay dapat na muling likhain nang tumpak hangga't maaari sa site ng pagsubok. Samakatuwid, sa ating bansa, tulad ng sa totoong buhay, ang teknolohikal na bahagi ng hanay ng cyber ay binubuo ng ilang mga antas ng pakikipag-ugnayan. Ipaalala ko sa iyo na ang karaniwang imprastraktura ng network ng industriya ay kinabibilangan ng pinakamababang antas, na kinabibilangan ng tinatawag na "pangunahing kagamitan" - ito ay optical fiber, isang de-koryenteng network, o iba pa, depende sa industriya. Nagpapalitan ito ng data at kinokontrol ng mga dalubhasang pang-industriya na controller, at ang mga iyon naman, ng mga SCADA system.
Sinimulan naming likhain ang pang-industriyang bahagi ng cyber site mula sa segment ng enerhiya, na ngayon ay aming priyoridad (ang mga industriya ng langis at gas at kemikal ay nasa aming mga plano).
Malinaw na ang antas ng pangunahing kagamitan ay hindi maisasakatuparan sa pamamagitan ng full-scale na pagmomodelo gamit ang mga tunay na bagay. Samakatuwid, sa unang yugto, bumuo kami ng isang mathematical model ng power facility at ang katabing seksyon ng power system. Kasama sa modelong ito ang lahat ng power equipment ng mga substation - mga linya ng kuryente, mga transformer, atbp., at isinasagawa sa isang espesyal na pakete ng software ng RSCAD. Ang modelong nilikha sa ganitong paraan ay maaaring iproseso ng isang real-time computing complex - ang pangunahing tampok nito ay ang oras ng proseso sa totoong system at ang oras ng proseso sa modelo ay ganap na magkapareho - iyon ay, kung ang isang maikling circuit sa isang tunay na network ay tumatagal ng dalawang segundo, ito ay gayahin para sa eksaktong parehong dami ng oras sa RSCAD). Nakukuha namin ang isang "live" na seksyon ng sistema ng kuryente, gumagana ayon sa lahat ng mga batas ng pisika at kahit na tumutugon sa mga panlabas na impluwensya (halimbawa, pag-activate ng proteksyon ng relay at mga terminal ng automation, pag-trip ng mga switch, atbp.). Nakamit ang pakikipag-ugnayan sa mga panlabas na device gamit ang espesyal na nako-customize na mga interface ng komunikasyon, na nagpapahintulot sa modelo ng matematika na makipag-ugnayan sa antas ng mga controller at sa antas ng mga automated na system.
Ngunit ang mga antas ng mga controller at automated control system ng isang power facility ay maaaring malikha gamit ang tunay na pang-industriya na kagamitan (bagaman, kung kinakailangan, maaari din tayong gumamit ng mga virtual na modelo). Sa dalawang antas na ito ay mayroong, ayon sa pagkakabanggit, mga controllers at automation equipment (relay protection, PMU, USPD, meters) at mga automated control system (SCADA, OIK, AIISKUE). Ang full-scale modeling ay maaaring makabuluhang tumaas ang pagiging totoo ng modelo at, nang naaayon, ang cyber exercises mismo, dahil ang mga koponan ay makikipag-ugnayan sa mga tunay na pang-industriya na kagamitan, na may sarili nitong mga katangian, mga bug at mga kahinaan.
Sa ikatlong yugto, ipinatupad namin ang pakikipag-ugnayan ng matematika at pisikal na mga bahagi ng modelo gamit ang mga espesyal na interface ng hardware at software at mga signal amplifier.
Bilang resulta, ganito ang hitsura ng imprastraktura:
Ang lahat ng kagamitan sa pagsubok sa site ay nakikipag-ugnayan sa isa't isa sa parehong paraan tulad ng sa isang tunay na cyber-physical system. Higit na partikular, sa pagbuo ng modelong ito ginamit namin ang mga sumusunod na kagamitan at mga tool sa pag-compute:
- Computing complex RTDS para sa pagsasagawa ng mga kalkulasyon sa "real time";
- Automated workstation (AWS) ng isang operator na may naka-install na software para sa pagmomodelo ng teknolohikal na proseso at pangunahing kagamitan ng mga de-koryenteng substation;
- Mga cabinet na may mga kagamitan sa komunikasyon, proteksyon ng relay at mga terminal ng automation, at mga kagamitan sa awtomatikong pagkontrol sa proseso;
- Mga kabinet ng amplifier na idinisenyo upang palakasin ang mga analog na signal mula sa digital-to-analog converter board ng RTDS simulator. Ang bawat amplifier cabinet ay naglalaman ng iba't ibang hanay ng mga amplification block na ginagamit upang bumuo ng kasalukuyang at boltahe na input signal para sa mga terminal ng proteksyon ng relay na pinag-aaralan. Ang mga signal ng input ay pinalakas sa antas na kinakailangan para sa normal na operasyon ng mga terminal ng proteksyon ng relay.
Ito ay hindi lamang ang posibleng solusyon, ngunit, sa aming opinyon, ito ay pinakamainam para sa pagsasagawa ng cyber exercises, dahil ito ay sumasalamin sa tunay na arkitektura ng karamihan ng mga modernong substation, at sa parehong oras maaari itong ipasadya upang muling likhain bilang tumpak hangga't maaari ilang mga tampok ng isang partikular na bagay.
Sa pagtatapos
Ang hanay ng cyber ay isang malaking proyekto, at marami pa ring trabaho sa hinaharap. Sa isang banda, pinag-aaralan namin ang karanasan ng aming mga kasamahan sa Kanluran, sa kabilang banda, marami kaming kailangang gawin batay sa aming karanasan sa partikular na pagtatrabaho sa mga pang-industriyang negosyo ng Russia, dahil hindi lamang iba't ibang mga industriya, kundi pati na rin ang iba't ibang mga bansa ay may mga partikular na detalye. Ito ay parehong kumplikado at kawili-wiling paksa.
Gayunpaman, kumbinsido kami na naabot namin sa Russia ang karaniwang tinatawag na "level of maturity" kapag naiintindihan din ng industriya ang pangangailangan para sa cyber exercises. Nangangahulugan ito na sa lalong madaling panahon ang industriya ay magkakaroon ng sarili nitong pinakamahuhusay na kagawian, at sana ay palakasin natin ang ating antas ng seguridad.
Mga May-akda
Oleg Arkhangelsky, nangungunang analyst at methodologist ng Industrial Cyber ββββTest Site project.
Dmitry Syutov, punong inhinyero ng proyekto ng Industrial Cyber ββββTest Site;
Andrey Kuznetsov, pinuno ng proyektong "Industrial Cyber ββββTest Site", representante na pinuno ng Cyber ββββSecurity Laboratory ng Automated Process Control Systems para sa Produksyon
Pinagmulan: www.habr.com