Цього року ми розпочали великий проект зі створення кіберполігону – майданчики для кіберучень компаній різних галузей. Для цього треба створити віртуальні інфраструктури, «ідентичні натуральним» — щоб вони повторювали типовий внутрішній устрій банку, енергетичної компанії тощо, причому не лише у корпоративному сегменті мережі. Трохи пізніше розповімо про банківську та інші інфраструктури кіберполігону, а сьогодні – про те, як ми вирішували це завдання стосовно технологічного сегменту промислового підприємства.
Звичайно, тема кіберучень та кіберполігонів виникла не вчора. На Заході вже досить давно сформувалося коло конкуруючих пропозицій, різних підходів до кібернавчання, а також просто кращі практики. "Гарний тон" служби ІБ - періодично відпрацьовувати готовність до відображення кібератак на практиці. Для Росії це поки що нова тема: так, є невелика пропозиція, і вона виникла кілька років тому, але попит, особливо в промислових галузях, став потроху формуватися тільки зараз. Ми вважаємо, що є три основні причини – вони ж проблеми, які вже стали дуже очевидними.
Світ змінюється дуже швидко
Ще 10 років тому хакери атакували, переважно, ті організації, звідки вони могли швидко вивести гроші. Для промисловості ця загроза була менш релевантною. Наразі ми бачимо, що предметом їхнього інтересу стають і інфраструктури державних організацій, енергетичних, промислових підприємств. Тут ми частіше маємо справу зі спробами шпигунства, крадіжки даних з різною метою (конкурентна розвідка, шантаж), а також отриманням точок присутності в інфраструктурі для подальшого продажу їхнім зацікавленим товаришам. Ну, і навіть банальні шифрувальники типу WannaCry зачепили чимало подібних об'єктів у всьому світі. Тому сучасні реалії вимагають від ІБ-фахівців враховувати ці ризики та формувати нові процеси інформаційної безпеки. Зокрема, регулярно підвищувати кваліфікацію та відпрацьовувати саме практичні навички. Персонал на всіх рівнях оперативно-диспетчерського управління промисловими об'єктами повинен мати чітке розуміння, які дії в разі кібератаки. Але проводити кібернавчання на власній інфраструктурі – звільніть, ризики явно переважують можливу користь.
Нерозуміння реальних можливостей зловмисників зі злому АСУ ТП та IIoT-систем
Ця проблема існує на всіх рівнях організацій: навіть не всі фахівці розуміють, що взагалі може статися з їхньою системою, які є векторами атаки на неї. Що вже казати про керівництво.
Безпеки часто апелюють до «повітряного зазору», який нібито не дозволить зловмисникові піти далі корпоративної мережі, але практика показує, що 90% організацій мають зв'язок між корпоративним і технологічним сегментом. При цьому самі елементи побудови та управління технологічними мережами також часто мають уразливості, що ми зокрема побачили, досліджуючи обладнання. и .
Важко побудувати адекватну модель загроз
Останні роки постійно триває процес ускладнення інформаційних та автоматизованих систем, а також перехід до кіберфізичних систем, що передбачають інтеграцію обчислювальних ресурсів та фізичного обладнання. Системи стають настільки складними, що аналітичними методами передбачити всі наслідки кібератак просто неможливо. Йдеться не лише про економічні збитки для організації, а й про оцінку наслідків, зрозумілих для технолога та для галузі – недовідпустку електроенергії, наприклад, або іншого виду продукції, якщо ми говоримо про нафтогаз чи нафтохімію. І як у такій ситуації виставити пріоритети?
Власне, це все, на наш погляд, і стало передумовами виникнення концепції кіберучень і кіберполігонів в Росії.
Як влаштований технологічний сегмент кіберполігону
Кіберполігон - це комплекс віртуальних інфраструктур, що повторюють типові інфраструктури підприємств різних галузей. Він дозволяє «потренуватися на кішках» – відпрацювати практичні навички фахівців без ризиків, що щось піде не за планом, і кібернавчання завдадуть шкоди діяльності реального підприємства. Великі ІБ-компанії починають розвивати цей напрямок, і подивитися на подібні кібернавчання в ігровому форматі можна, наприклад, на Positive Hack Days.
Типова схема мережної інфраструктури умовного великого підприємства чи корпорації – це досить стандартний набір серверів, робочих комп'ютерів та різних мережевих пристроїв з типовим набором корпоративного ПЗ та систем інформаційної безпеки. Галузевий кіберполігон – це все те саме плюс серйозна специфіка, що різко ускладнює віртуальну модель.
Як ми наблизили кіберполігон до реальності
Концептуально вигляд індустріальної частини кіберполігону залежить від обраного методу моделювання складної кіберфізичної системи. Основних підходів до моделювання три:
Кожен з цих підходів має свої переваги і недоліки. У різних випадках, залежно від кінцевої мети та наявних обмежень, можуть застосовуватися всі три зазначені вище способи моделювання. Для того щоб формалізувати вибір цих способів, ми склали наступний алгоритм:
Плюси та мінуси різних методів моделювання можна представити у вигляді діаграми, де вісь ординат – це охоплення областей дослідження (тобто гнучкість запропонованого інструменту моделювання), а вісь абсцис – точність моделювання (ступінь відповідності реальній системі). Виходить майже квадрат Гартнера:
Таким чином, оптимальним за співвідношенням точності та гнучкості моделювання є так зване напівнатурне моделювання (hardware-in-the-loop, HIL). У межах такого підходу кіберфізична система частково моделюється з допомогою реального устаткування, а частково – з допомогою математичних моделей. Наприклад, електрична підстанція може бути представлена реальними мікропроцесорними пристроями (терміналами релейного захисту), серверами автоматизованих систем управління та іншим вторинним обладнанням, а самі фізичні процеси, що відбуваються в електричній мережі, реалізовані за допомогою комп'ютерної моделі. Окей, з методом моделювання визначились. Після цього потрібно було розробити архітектуру кіберполігону. Щоб кібернавчання були справді корисні, всі взаємозв'язки реальної складної кіберфізичної системи мають бути максимально точно відтворені на полігоні. Тому, у нас, як і в реальному житті, технологічна частина кіберполігону складається з кількох рівнів, що взаємодіють між собою. Нагадаю, що типова інфраструктура промислових мереж включає найнижчий рівень, до якого належить так зване «первинне обладнання» — це оптоволокно, електрична мережа чи ще щось — залежно від галузі. Воно обмінюється даними та управляється спеціалізованими промисловими контролерами, а ті, у свою чергу, SCADA-системами.
Ми розпочали створення промислової частини кіберполгону з енергетичного сегменту, який для нас зараз у пріоритеті (у планах — нафтогазова та хімічна промисловість).
Вочевидь, що первинного устаткування неможливо реалізувати через натурне моделювання з допомогою реальних об'єктів. Тому на першому етапі ми розробили математичну модель енергооб'єкта та прилеглої ділянки енергосистеми. Ця модель включає все силове обладнання підстанцій - лінії електропередачі, трансформатори і так далі, і виконується в спеціальному програмному комплексі RSCAD. Створена таким чином модель може оброблятися обчислювальним комплексом реального часу - його основна фішка в тому, що час процесу в реальній системі і час процесу в моделі абсолютно ідентичні - тобто, якщо в реальній мережі коротке замикання триває дві секунди, стільки ж воно моделюватиметься у RSCAD). Отримуємо «живу» ділянку електроенергетичної системи, що функціонує за всіма законами фізики і навіть реагує на зовнішні дії (наприклад, спрацювання терміналів релейного захисту та автоматики, відключення вимикачів тощо). Взаємодії із зовнішніми пристроями вдалося домогтися за допомогою спеціалізованих інтерфейсів зв'язку, що налаштовуються, що дозволяють математичній моделі взаємодіяти з рівнем контролерів і рівнем автоматизованих систем.
А ось вже самі рівні контролерів та автоматизованих систем управління енергооб'єкта можна створювати за допомогою реального промислового обладнання (хоча, за потреби, ми можемо також використовувати віртуальні моделі). На двох даних рівнях розташовуються, відповідно, контролери та засоби автоматизації (РЗА, PMU, УСПД, лічильники) та автоматизовані системи управління (SCADA, ОВК, АІІСКУЕ). Натурне моделювання дозволяє значно підвищити реалістичність моделі і, відповідно, самих кіберучень, оскільки команди взаємодіятимуть із реальним промисловим обладнанням, яке має свої особливості, баги та вразливості.
На третьому етапі ми реалізували взаємодію математичної та фізичної частин моделі за допомогою спеціалізованих апаратних та програмних інтерфейсів та підсилювачів сигналу.
У результаті інфраструктура виглядає приблизно так:
Все обладнання полігону взаємодіє між собою так само, як і у реальній кіберфізичній системі. Якщо говорити предметніше, то при побудові цієї моделі ми використовували наступне обладнання та обчислювальні засоби:
- Обчислювальний комплекс RTDS щодо розрахунку «в реальному часі»;
- Автоматизоване робоче місце (АРМ) оператора із встановленим програмним забезпеченням для моделювання технологічного процесу та первинного обладнання електричних підстанцій;
- Шафи з обладнанням зв'язку, терміналами РЗА та обладнанням АСУ ТП;
- Шафи підсилювачів, призначені для посилення аналогових сигналів із плати цифро-аналогового перетворювача симулятора RTDS. Кожна шафа підсилювачів містить різний набір блоків посилення, що використовуються для формування вхідних сигналів струму та напруги досліджуваних терміналів РЗА. Вхідні сигнали посилюються рівня, необхідного нормальної роботи терміналів РЗА.
Це не єдине можливе рішення, але, на наш погляд, воно оптимальне для проведення кіберучень, оскільки відображає реальну архітектуру більшості сучасних підстанцій, і при цьому її можна кастомізувати так, щоб максимально точно відтворити якісь особливості конкретного об'єкта.
На закінчення
Кіберполігон – величезний проект, і попереду ще багато роботи. Ми, з одного боку, вивчаємо досвід західних колег, з іншого – багато що доводиться робити, спираючись на свій досвід роботи саме з російськими промисловими підприємствами, оскільки специфіка є не лише у різних галузей, а й у різних країнах. Це складна і цікава тема.
Тим не менш, переконані, що ми в Росії досягли того, як заведено говорити, «рівня зрілості», коли і в промисловості виникає розуміння потреб у кібернавчаннях. Це означає, що незабаром і в галузі з'являться свої найкращі практики, і рівнем захищеності ми, сподіваюся, зміцнимося.
Автори
Олег Архангельський, провідний аналітик-методолог проекту «Індустріальний кіберполігон».
Дмитро Сютов, головний інженер проекту "Індустріальний кіберполігон";
Андрій Кузнєцов, керівник проекту «Індустріальний кіберполігон», заступник керівника Лабораторії Кібербезпеки АСУ ТП з виробництва
Джерело: habr.com