今年我们启动了一个大型项目,创建一个网络训练场——为各行业的公司提供网络演习的平台。 为此,有必要创建“与自然基础设施相同”的虚拟基础设施,以便它们复制银行、能源公司等的典型内部结构,而不仅仅是在网络的企业部分方面。 稍后我们将讨论网络范围的银行和其他基础设施,今天我们将讨论如何解决与工业企业的技术部分相关的这个问题。
当然,网络演习和网络训练场的话题并不是昨天出现的。 在西方,长期以来形成了一系列相互竞争的提案、不同的网络演习方法以及最佳实践。 信息安全服务的“好形式”是定期在实践中练习抵御网络攻击的准备状态。 对于俄罗斯来说,这仍然是一个新话题:是的,供应量很小,而且几年前就出现了,但需求,特别是工业部门的需求,现在才开始逐渐形成。 我们认为这主要有三个原因——它们也是已经变得非常明显的问题。
世界变化太快
就在10年前,黑客主要攻击那些可以快速提取资金的组织。 对于工业界来说,这种威胁不太重要。 现在我们看到政府机构、能源和工业企业的基础设施也正在成为他们感兴趣的主题。 在这里,我们更经常处理间谍活动、出于各种目的(竞争情报、勒索)的数据盗窃,以及获取基础设施中的存在点以进一步出售给感兴趣的同志。 好吧,即使是像 WannaCry 这样平庸的加密器也已经在世界各地捕获了相当多的类似对象。 因此,现代现实要求信息安全专家考虑这些风险并创建新的信息安全流程。 特别是要定期提高自己的资质,练习实践技能。 工业设施运营调度控制的各级人员必须清楚地了解在发生网络攻击时应采取哪些行动。 但在自己的基础设施上进行网络演习 - 抱歉,风险显然超过了可能的好处。
缺乏对攻击者攻击过程控制系统和工业物联网系统的真实能力的了解
这个问题存在于各个级别的组织中:甚至并非所有专家都了解他们的系统会发生什么,以及可以针对其进行哪些攻击向量。 对于领导层我们能说什么?
安全专家经常诉诸“气隙”,据说这不会让攻击者超越企业网络,但实践表明,在 90% 的组织中,企业和技术部门之间存在联系。 与此同时,构建和管理技术网络的要素也经常存在漏洞,我们在检查设备时尤其发现了这一点 и .
建立足够的威胁模型很困难
近年来,信息和自动化系统的复杂性不断增加,并向涉及计算资源和物理设备集成的网络物理系统过渡。 系统变得如此复杂,以至于根本不可能使用分析方法来预测网络攻击的所有后果。 我们不仅谈论对组织的经济损害,而且还评估技术人员和行业可以理解的后果 - 例如,如果我们谈论的是石油和天然气,则电力供应不足或其他类型的产品或石化产品。 在这种情况下如何确定优先顺序?
实际上,我们认为,这一切成为俄罗斯网络演习和网络训练场概念出现的先决条件。
网络靶场的技术部分如何运作
网络测试场是虚拟基础设施的综合体,复制了各行业企业的典型基础设施。 它可以让你“在猫身上练习”——练习专家的实践技能,而不用担心事情不会按计划进行,而网络练习会损害真实企业的活动。 大型网络安全公司开始开发这一领域,您可以以游戏形式观看类似的网络演习,例如在 Positive Hack Days 上。
大型企业或公司的典型网络基础设施图是一组相当标准的服务器、工作计算机和各种网络设备,以及一组标准的公司软件和信息安全系统。 行业网络测试场都是一样的,加上一些严重的细节,使虚拟模型变得非常复杂。
我们如何让网络靶场更接近现实
从概念上讲,网络测试站点工业部分的外观取决于所选择的复杂网络物理系统建模方法。 建模主要有以下三种方法:
这些方法中的每一种都有其自身的优点和缺点。 在不同的情况下,根据最终目标和现有的限制,上述三种建模方法都可以使用。 为了形式化这些方法的选择,我们编译了以下算法:
不同建模方法的优缺点可以用图表的形式表示,其中 y 轴是研究领域的覆盖范围(即所提出的建模工具的灵活性),x 轴是准确性模拟的程度(与真实系统的对应程度)。 结果几乎是一个 Gartner 正方形:
因此,建模的准确性和灵活性之间的最佳平衡就是所谓的半自然建模(硬件在环,HIL)。 在这种方法中,网络物理系统部分使用真实设备建模,部分使用数学模型。 例如,变电站可以用真实的微处理器设备(继电保护终端)、自动化控制系统的服务器和其他二次设备来表示,并且电网中发生的物理过程本身是使用计算机模型来实现的。 好的,我们已经决定了建模方法。 此后,有必要开发网络靶场的架构。 为了使网络演习真正有用,必须在测试站点上尽可能准确地重新创建真正复杂的网络物理系统的所有互连。 因此,在我国,就像在现实生活中一样,网络靶场的技术部分由几个相互作用的层面组成。 让我提醒您,典型的工业网络基础设施包括最底层,其中包括所谓的“主要设备”——光纤、电气网络或其他设备,具体取决于行业。 它交换数据并由专门的工业控制器控制,而这些控制器又由 SCADA 系统控制。
我们开始从能源领域创建网络站点的工业部分,这是现在我们的首要任务(石油、天然气和化学工业都在我们的计划中)。
可见,一次装备的水平并不能通过实物的全尺寸建模来实现。 因此,在第一阶段,我们建立了电力设施和电力系统相邻部分的数学模型。 该模型包括变电站的所有电力设备——电力线、变压器等,并在特殊的RSCAD软件包中执行。 以这种方式创建的模型可以由实时计算复合体进行处理 - 其主要特点是真实系统中的处理时间和模型中的处理时间绝对相同 - 也就是说,如果真实系统中发生短路网络持续两秒,在 RSCAD 中将模拟完全相同的时间)。 我们得到电力系统的“实时”部分,根据所有物理定律运行,甚至响应外部影响(例如,继电保护和自动化终端的激活、开关跳闸等)。 与外部设备的交互是使用专门的可定制通信接口实现的,允许数学模型与控制器级别和自动化系统级别交互。
但是电力设施的控制器和自动化控制系统的级别可以使用真实的工业设备来创建(尽管,如果需要,我们也可以使用虚拟模型)。 在这两个层次上分别有控制器和自动化设备(继电保护、PMU、USPD、仪表)和自动化控制系统(SCADA、OIK、AIISKUE)。 全面建模可以显着提高模型的真实性,从而提高网络演习本身的真实性,因为团队将与真实的工业设备进行交互,而真实的工业设备有自己的特点、错误和漏洞。
在第三阶段,我们使用专门的硬件和软件接口以及信号放大器实现了模型的数学和物理部分的交互。
结果,基础设施看起来像这样:
所有测试站点设备之间的交互方式与真实的网络物理系统中的方式相同。 更具体地说,在构建这个模型时,我们使用了以下设备和计算工具:
- 计算复杂的 RTDS 以进行“实时”计算;
- 操作员的自动化工作站(AWS),安装有软件,用于对变电站的工艺流程和主要设备进行建模;
- 装有通信设备、继电保护和自动化终端、自动化过程控制设备的机柜;
- 放大器柜设计用于放大来自 RTDS 模拟器数模转换器板的模拟信号。 每个放大器柜包含一组不同的放大模块,用于为所研究的继电保护端子生成电流和电压输入信号。 输入信号被放大到继电保护端子正常运行所需的电平。
这不是唯一可能的解决方案,但我们认为,它是进行网络演习的最佳选择,因为它反映了绝大多数现代变电站的真实架构,同时它可以进行定制,以便重新创建尽可能准确地描述特定物体的某些特征。
总之
网络靶场是一项浩大的工程,未来还有大量工作要做。 一方面,我们学习西方同事的经验,另一方面,我们必须根据我们与俄罗斯工业企业具体合作的经验做很多事情,因为不仅不同的行业,而且不同的国家都有其特殊性。 这是一个既复杂又有趣的话题。
尽管如此,我们相信,当业界也了解网络演习的必要性时,我们俄罗斯已经达到了通常所说的“成熟度”。 这意味着很快该行业将拥有自己的最佳实践,我们有望加强我们的安全水平。
作者
奥列格·阿尔汉格尔斯基(Oleg Arkhangelsky),工业网络测试场项目的首席分析师和方法学家。
Dmitry Syutov,工业网络测试场项目总工程师;
安德烈·库兹涅佐夫(Andrey Kuznetsov),“工业网络测试场”项目负责人、生产自动化过程控制系统网络安全实验室副主任
来源: habr.com