Năm nay, chúng tôi đã bắt đầu một dự án lớn nhằm tạo ra một sân tập huấn về mạng - một nền tảng cho các cuộc tập trận về mạng dành cho các công ty thuộc nhiều ngành khác nhau. Để làm được điều này, cần phải tạo ra cơ sở hạ tầng ảo “giống hệt với cơ sở hạ tầng tự nhiên” - để chúng sao chép cấu trúc nội bộ điển hình của một ngân hàng, công ty năng lượng, v.v., chứ không chỉ về phân khúc mạng doanh nghiệp . Một lát sau, chúng ta sẽ nói về ngân hàng và các cơ sở hạ tầng khác của phạm vi mạng, và hôm nay chúng ta sẽ nói về cách chúng ta giải quyết vấn đề này liên quan đến phân khúc công nghệ của một doanh nghiệp công nghiệp.
Tất nhiên, chủ đề về diễn tập mạng và sân tập không gian mạng ngày hôm qua đã không nảy sinh. Ở phương Tây, một vòng tròn các đề xuất cạnh tranh nhau, các cách tiếp cận khác nhau đối với các hoạt động không gian mạng và đơn giản là các phương pháp thực hành tốt nhất đã được hình thành từ lâu. “Hình thức tốt” của dịch vụ an toàn thông tin là định kỳ rèn luyện khả năng sẵn sàng đẩy lùi các cuộc tấn công mạng trong thực tế. Đối với Nga, đây vẫn là một chủ đề mới: vâng, có một nguồn cung nhỏ và nó đã nảy sinh cách đây vài năm, nhưng nhu cầu, đặc biệt là trong các lĩnh vực công nghiệp, mãi đến nay mới bắt đầu hình thành dần dần. Chúng tôi tin rằng có ba lý do chính cho việc này - đó cũng là những vấn đề đã trở nên rất rõ ràng.
Thế giới đang thay đổi quá nhanh
Chỉ 10 năm trước, tin tặc chủ yếu tấn công những tổ chức mà chúng có thể rút tiền nhanh chóng. Đối với ngành công nghiệp, mối đe dọa này ít liên quan hơn. Bây giờ chúng ta thấy rằng cơ sở hạ tầng của các tổ chức chính phủ, các doanh nghiệp năng lượng và công nghiệp cũng đang trở thành chủ đề được họ quan tâm. Ở đây chúng ta thường giải quyết các nỗ lực gián điệp, đánh cắp dữ liệu cho các mục đích khác nhau (tình báo cạnh tranh, tống tiền), cũng như giành được các điểm hiện diện trong cơ sở hạ tầng để bán thêm cho các đồng chí quan tâm. Chà, ngay cả những nhà mã hóa tầm thường như WannaCry cũng đã phát hiện được khá nhiều đối tượng tương tự trên khắp thế giới. Do đó, thực tế hiện đại đòi hỏi các chuyên gia bảo mật thông tin phải tính đến những rủi ro này và tạo ra các quy trình bảo mật thông tin mới. Đặc biệt, hãy thường xuyên nâng cao trình độ và rèn luyện kỹ năng thực tế. Nhân viên ở tất cả các cấp kiểm soát điều phối hoạt động của các cơ sở công nghiệp phải hiểu rõ những hành động cần thực hiện trong trường hợp bị tấn công mạng. Nhưng để tiến hành các cuộc tập trận mạng trên cơ sở hạ tầng của chính bạn - xin lỗi, rủi ro rõ ràng lớn hơn lợi ích có thể có.
Thiếu hiểu biết về khả năng thực sự của kẻ tấn công trong việc hack các hệ thống kiểm soát quy trình và hệ thống IIoT
Vấn đề này tồn tại ở mọi cấp độ tổ chức: thậm chí không phải tất cả các chuyên gia đều hiểu điều gì có thể xảy ra với hệ thống của họ, những vectơ tấn công nào có sẵn để chống lại nó. Chúng ta có thể nói gì về khả năng lãnh đạo?
Các chuyên gia bảo mật thường chú ý đến “khoảng trống”, được cho là sẽ không cho phép kẻ tấn công tiến xa hơn mạng công ty, nhưng thực tế cho thấy rằng ở 90% tổ chức có mối liên hệ giữa phân khúc công ty và công nghệ. Đồng thời, chính các yếu tố xây dựng và quản lý mạng công nghệ cũng thường có những lỗ hổng mà chúng tôi đặc biệt nhận thấy khi kiểm tra thiết bị. и .
Rất khó để xây dựng một mô hình mối đe dọa đầy đủ
Trong những năm gần đây, đã có một quá trình không ngừng gia tăng độ phức tạp của các hệ thống thông tin và tự động, cũng như sự chuyển đổi sang các hệ thống vật lý không gian mạng liên quan đến việc tích hợp các tài nguyên máy tính và thiết bị vật lý. Các hệ thống đang trở nên phức tạp đến mức không thể dự đoán được tất cả hậu quả của các cuộc tấn công mạng bằng các phương pháp phân tích. Chúng ta không chỉ nói về thiệt hại kinh tế cho tổ chức mà còn về việc đánh giá những hậu quả có thể hiểu được đối với nhà công nghệ và ngành công nghiệp - chẳng hạn như thiếu nguồn cung cấp điện hoặc một loại sản phẩm khác, nếu chúng ta đang nói về dầu khí hoặc hóa dầu. Và làm thế nào để thiết lập các ưu tiên trong tình huống như vậy?
Trên thực tế, theo chúng tôi, tất cả những điều này đã trở thành điều kiện tiên quyết cho sự xuất hiện của khái niệm diễn tập mạng và cơ sở huấn luyện mạng ở Nga.
Phân khúc công nghệ của phạm vi mạng hoạt động như thế nào
Khu thử nghiệm mạng là một tổ hợp cơ sở hạ tầng ảo tái tạo cơ sở hạ tầng điển hình của các doanh nghiệp trong các ngành khác nhau. Nó cho phép bạn "thực hành trên mèo" - thực hành các kỹ năng thực tế của các chuyên gia mà không có nguy cơ xảy ra điều gì đó không theo kế hoạch và các bài tập trên mạng sẽ làm hỏng hoạt động của một doanh nghiệp thực sự. Các công ty an ninh mạng lớn đang bắt đầu phát triển lĩnh vực này và bạn có thể xem các bài tập mạng tương tự ở dạng trò chơi, chẳng hạn như tại Tích cực Hack Days.
Sơ đồ cơ sở hạ tầng mạng điển hình cho một doanh nghiệp hoặc tập đoàn lớn là một bộ máy chủ, máy tính làm việc và các thiết bị mạng khác nhau khá chuẩn với một bộ phần mềm công ty và hệ thống bảo mật thông tin tiêu chuẩn. Nền tảng thử nghiệm mạng của ngành đều giống nhau, cộng với các chi tiết cụ thể nghiêm trọng làm phức tạp đáng kể mô hình ảo.
Cách chúng tôi đưa phạm vi mạng đến gần hơn với thực tế
Về mặt khái niệm, sự xuất hiện của bộ phận công nghiệp của địa điểm thử nghiệm mạng phụ thuộc vào phương pháp được chọn để mô hình hóa một hệ thống vật lý không gian mạng phức tạp. Có ba cách tiếp cận chính để mô hình hóa:
Mỗi cách tiếp cận này đều có những ưu điểm và nhược điểm riêng. Trong các trường hợp khác nhau, tùy thuộc vào mục tiêu cuối cùng và những hạn chế hiện có, cả ba phương pháp lập mô hình trên đều có thể được sử dụng. Để chính thức hóa việc lựa chọn các phương pháp này, chúng tôi đã biên soạn thuật toán sau:
Ưu và nhược điểm của các phương pháp lập mô hình khác nhau có thể được biểu diễn dưới dạng sơ đồ, trong đó trục y là phạm vi bao quát của các lĩnh vực nghiên cứu (tức là tính linh hoạt của công cụ lập mô hình được đề xuất) và trục x là độ chính xác của mô phỏng (mức độ tương ứng với hệ thống thực). Hóa ra gần như một quảng trường Gartner:
Do đó, sự cân bằng tối ưu giữa độ chính xác và tính linh hoạt của mô hình hóa được gọi là mô hình bán tự nhiên (phần cứng trong vòng lặp, HIL). Theo cách tiếp cận này, hệ thống vật lý không gian mạng được mô hình hóa một phần bằng thiết bị thực và một phần sử dụng mô hình toán học. Ví dụ, một trạm biến áp điện có thể được biểu diễn bằng các thiết bị vi xử lý thực (thiết bị đầu cuối bảo vệ rơle), máy chủ của hệ thống điều khiển tự động và các thiết bị thứ cấp khác và các quá trình vật lý xảy ra trong mạng điện được thực hiện bằng mô hình máy tính. Được rồi, chúng ta đã quyết định phương pháp lập mô hình. Sau đó, cần phải phát triển kiến trúc của phạm vi mạng. Để các cuộc diễn tập mạng thực sự hữu ích, tất cả các kết nối của một hệ thống vật lý mạng phức tạp thực sự phải được tái tạo chính xác nhất có thể trên địa điểm thử nghiệm. Do đó, ở nước ta, cũng như trong đời thực, phần công nghệ của phạm vi mạng bao gồm nhiều cấp độ tương tác. Hãy để tôi nhắc bạn rằng cơ sở hạ tầng mạng công nghiệp điển hình bao gồm cấp độ thấp nhất, bao gồm cái gọi là “thiết bị chính” - đây là cáp quang, mạng điện hoặc thứ gì khác, tùy thuộc vào ngành. Nó trao đổi dữ liệu và được điều khiển bởi các bộ điều khiển công nghiệp chuyên dụng, và đến lượt chúng, bởi các hệ thống SCADA.
Chúng tôi bắt đầu tạo ra phần công nghiệp của trang mạng từ phân khúc năng lượng, hiện là ưu tiên của chúng tôi (ngành công nghiệp dầu khí và hóa chất nằm trong kế hoạch của chúng tôi).
Rõ ràng là không thể hiện thực hóa được mức độ của thiết bị sơ cấp thông qua mô hình hóa quy mô đầy đủ bằng cách sử dụng các vật thể thực. Vì vậy, ở giai đoạn đầu, chúng tôi đã xây dựng mô hình toán học của cơ sở điện và phần lân cận của hệ thống điện. Mô hình này bao gồm tất cả các thiết bị điện của trạm biến áp - đường dây điện, máy biến áp, v.v. và được thực thi trong gói phần mềm RSCAD đặc biệt. Mô hình được tạo theo cách này có thể được xử lý bởi tổ hợp tính toán thời gian thực - đặc điểm chính của nó là thời gian xử lý trong hệ thống thực và thời gian xử lý trong mô hình hoàn toàn giống nhau - nghĩa là, nếu xảy ra đoản mạch trong hệ thống thực mạng kéo dài hai giây, nó sẽ được mô phỏng trong cùng một khoảng thời gian trong RSCAD). Chúng ta có một phần “sống” của hệ thống điện, hoạt động theo tất cả các định luật vật lý và thậm chí phản ứng với các tác động bên ngoài (ví dụ: kích hoạt bảo vệ rơle và các thiết bị đầu cuối tự động hóa, ngắt công tắc, v.v.). Tương tác với các thiết bị bên ngoài đạt được bằng cách sử dụng các giao diện truyền thông có thể tùy chỉnh chuyên dụng, cho phép mô hình toán học tương tác với cấp độ của bộ điều khiển và cấp độ của hệ thống tự động.
Nhưng các cấp độ của bộ điều khiển và hệ thống điều khiển tự động của một cơ sở điện có thể được tạo ra bằng cách sử dụng thiết bị công nghiệp thực (mặc dù, nếu cần, chúng ta cũng có thể sử dụng các mô hình ảo). Ở hai cấp độ này, các bộ điều khiển và thiết bị tự động hóa (bảo vệ và tự động hóa rơle, PMU, USPD, đồng hồ đo) và các hệ thống điều khiển tự động (SCADA, OIK, AIISKUE) lần lượt được đặt. Mô hình hóa quy mô đầy đủ có thể làm tăng đáng kể tính chân thực của mô hình và theo đó, mạng tự thực hiện, vì các nhóm sẽ tương tác với thiết bị công nghiệp thực, có đặc điểm, lỗi và lỗ hổng riêng.
Ở giai đoạn thứ ba, chúng tôi đã triển khai sự tương tác giữa các phần toán học và vật lý của mô hình bằng cách sử dụng các giao diện phần cứng và phần mềm chuyên dụng cũng như bộ khuếch đại tín hiệu.
Kết quả là, cơ sở hạ tầng trông giống như thế này:
Tất cả các thiết bị tại địa điểm thử nghiệm đều tương tác với nhau theo cách giống như trong hệ thống vật lý không gian mạng thực. Cụ thể hơn, khi xây dựng mô hình này chúng tôi đã sử dụng các thiết bị và công cụ tính toán sau:
- Tính toán RTDS phức tạp để thực hiện các phép tính trong “thời gian thực”;
- Máy trạm tự động (AWS) của nhân viên vận hành được cài đặt phần mềm mô hình hóa quy trình công nghệ và thiết bị sơ cấp của trạm biến áp điện;
- Tủ có thiết bị liên lạc, thiết bị đầu cuối bảo vệ rơle và tự động hóa, thiết bị điều khiển quá trình tự động;
- Tủ khuếch đại được thiết kế để khuếch đại tín hiệu tương tự từ bảng chuyển đổi kỹ thuật số sang tương tự của bộ mô phỏng RTDS. Mỗi tủ khuếch đại chứa một bộ khối khuếch đại khác nhau được sử dụng để tạo ra tín hiệu đầu vào dòng điện và điện áp cho các cực bảo vệ rơle đang được nghiên cứu. Tín hiệu đầu vào được khuếch đại đến mức cần thiết cho hoạt động bình thường của các cực bảo vệ rơle.
Đây không phải là giải pháp khả thi duy nhất, nhưng theo chúng tôi, nó là giải pháp tối ưu để tiến hành các bài tập mạng vì nó phản ánh kiến trúc thực của đại đa số các trạm biến áp hiện đại, đồng thời có thể được tùy chỉnh để tái tạo như một cách chính xác nhất có thể một số tính năng của một đối tượng cụ thể.
Kết luận
Phạm vi mạng là một dự án lớn và vẫn còn rất nhiều việc phải làm ở phía trước. Một mặt, chúng tôi nghiên cứu kinh nghiệm của các đồng nghiệp phương Tây, mặt khác, chúng tôi phải làm rất nhiều việc dựa trên kinh nghiệm làm việc cụ thể với các doanh nghiệp công nghiệp Nga, vì không chỉ các ngành khác nhau mà các quốc gia khác nhau cũng có những đặc thù riêng. Đây vừa là một chủ đề phức tạp vừa thú vị.
Tuy nhiên, chúng tôi tin rằng ở Nga chúng tôi đã đạt đến cái thường được gọi là “mức độ trưởng thành” khi ngành công nghiệp cũng hiểu được sự cần thiết của các hoạt động không gian mạng. Điều này có nghĩa là ngành này sẽ sớm có những phương pháp thực hành tốt nhất của riêng mình và chúng tôi hy vọng sẽ tăng cường mức độ bảo mật của mình.
Tác giả
Oleg Arkhangelsky, nhà phân tích và nhà phương pháp học hàng đầu của dự án Địa điểm thử nghiệm mạng công nghiệp.
Dmitry Syutov, kỹ sư trưởng của dự án Khu thử nghiệm mạng công nghiệp;
Andrey Kuznetsov, người đứng đầu dự án “Địa điểm thử nghiệm mạng công nghiệp”, phó phòng thí nghiệm An ninh mạng về Hệ thống kiểm soát quy trình tự động cho sản xuất
Nguồn: www.habr.com