[Информационная безопасность, Анализ и проектирование систем, SCADA, Инженерные системы] Как мы построили виртуальную инфраструктуру для киберучений промышленных предприятий
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/af0076b4afeb7e087476aad168447eb0.jpg)
В этом году мы начали большой проект по созданию киберполигона – площадки для киберучений компаний различных отраслей. Для этого надо создать виртуальные инфраструктуры, «идентичные натуральным» — чтобы они повторяли типовое внутреннее устройство банка, энергетической компании и т.д., причем не только в части корпоративного сегмента сети. Чуть позже расскажем о банковской и других инфраструктурах киберполигона, а сегодня – о том, как мы решали эту задачу применительно к технологическому сегменту промышленного предприятия.
Конечно, тема киберучений и киберполигонов возникла не вчера. На Западе уже достаточно давно сформировался круг конкурирующих предложений, различных подходов к киберучениям, а также и просто лучшие практики. «Хороший тон» службы ИБ – периодически отрабатывать готовность к отражению кибератак на практике. Для России же это пока новая тема: да, есть небольшое предложение, и оно возникло несколько лет назад, но спрос, особенно в промышленных отраслях, стал понемногу формироваться только сейчас. Мы считаем, на то есть три основные причины – они же проблемы, которые уже стали весьма очевидными.
Мир меняется слишком быстро
Еще 10 лет назад хакеры атаковали, в основном, те организации, откуда они могли быстро вывести деньги. Для промышленности эта угроза была менее релевантной. Сейчас мы видим, что предметом их интереса становятся и инфраструктуры государственных организаций, энергетических, промышленных предприятий. Здесь мы чаще имеем дело с попытками шпионажа, кражи данных в различных целях (конкурентная разведка, шантаж), а также получением точек присутствия в инфраструктуре для дальнейшей продажи их заинтересованным товарищам. Ну, и даже банальные шифровальщики типа WannaCry зацепили немало подобных объектов по всему миру. Поэтому современные реалии требуют от ИБ-специалистов учитывать эти риски и формировать новые процессы информационной безопасности. В частности, регулярно повышать квалификацию и отрабатывать именно практические навыки. Персонал на всех уровнях оперативно-диспетчерского управления промышленными объектами должен иметь четкое понимание, какие действия предпринимать в случае кибератаки. Но проводить киберучения на собственной инфраструктуре – увольте, риски явно перевешивают возможную пользу.
Непонимание реальных возможностей злоумышленников по взлому АСУ ТП и IIoT-систем
Эта проблема существует на всех уровнях организаций: даже не все специалисты понимают, что вообще может произойти с их системой, какие есть вектора атаки на нее. Что уж говорить о руководстве.
Безопасники часто апеллируют к «воздушному зазору», который якобы не позволит злоумышленнику уйти дальше корпоративной сети, но практика показывает, что в 90% организаций есть связь между корпоративным и технологическим сегментом. При этом сами элементы построения и управления технологическими сетями также часто имеют уязвимости, что мы, в частности, увидели, исследуя оборудование MOXA и Schneider Electric.
Трудно построить адекватную модель угроз
Последние годы постоянно идет процесс усложнения информационных и автоматизированных систем, а также переход к киберфизическим системам, предполагающим интеграцию вычислительных ресурсов и физического оборудования. Системы становятся настолько сложными, что аналитическими методами предсказать все последствия кибератак просто невозможно. Речь идет не только об экономическом ущербе для организации, но и об оценке последствий, понятных для технолога и для отрасли – недоотпуск электроэнергии, например, или другого вида продукции, если мы говорим о нефтегазе или нефтехимии. И как в такой ситуации выставить приоритеты?
Собственно, это все, на наш взгляд, и стало предпосылками к возникновению концепции киберучений и киберполигонов в России.
Как устроен технологический сегмент киберполигона
Киберполигон – это комплекс виртуальных инфраструктур, повторяющих типовые инфраструктуры предприятий различных отраслей. Он позволяет «потренироваться на кошках» – отработать практические навыки специалистов без рисков, что что-то пойдет не по плану, и киберучения нанесут ущерб деятельности реального предприятия. Крупные ИБ-компании начинают развивать это направление, и посмотреть на подобные киберучения в игровом формате можно, например, на Positive Hack Days.
Типовая схема сетевой инфраструктуры условного крупного предприятия или корпорации – это достаточно стандартный набор серверов, рабочих компьютеров и различных сетевых устройств с типовым же набором корпоративного ПО и систем информационной безопасности. Отраслевой киберполигон – это все то же самое плюс серьезная специфика, резко усложняющая виртуальную модель.
Как мы приблизили киберполигон к реальности
Концептуально облик индустриальной части киберполигона зависит от выбранного метода моделирования сложной киберфизической системы. Основных подходов к моделированию три:
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/46e02e23e6dc92ca59d6b4900d291ac0.png)
Каждый из этих подходов обладает своими преимуществами и недостатками. В разных случаях, в зависимости от конечной цели и имеющихся ограничений, могут применяться все три указанных выше способа моделирования. Для того, чтобы формализовать выбор этих способов, мы составили следующий алгоритм:
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/2386928670178927034dd9dbbb54dc97.png)
Плюсы и минусы разных методов моделирования можно представить в виде диаграммы, где ось ординат – это охват областей исследования (т.е. гибкость предложенного инструмента моделирования), а ось абсцисс – точность моделирования (степень соответствия реальной системе). Получается практически квадрат Гартнера:
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/6c760e0d097004d98bf7f5fc55775f6e.png)
Таким образом, оптимальным по соотношению точности и гибкости моделирования является так называемое полунатурное моделирование (hardware-in-the-loop, HIL). В рамках такого подхода киберфизическая система частично моделируется с помощью реального оборудования, а частично – с помощью математических моделей. Например, электрическая подстанция может быть представлена реальными микропроцессорными устройствами (терминалами релейной защиты), серверами автоматизированных систем управления и другим вторичным оборудованием, а сами физические процессы, происходящие в электрической сети – реализованы с помощью компьютерной модели. Окей, с методом моделирования определились. После этого необходимо было разработать архитектуру киберполигона. Чтобы киберучения были действительно полезны, все взаимосвязи реальной сложной киберфизической системы должны быть максимально точно воссозданы на полигоне. Поэтому, у нас, как и в реальной жизни, технологическая часть киберполигона состоит из нескольких взаимодействующих между собой уровней. Напомню, что типовая инфраструктура промышленных сетей включает самый нижний уровень, к которому относится так называемое «первичное оборудование» — это оптоволокно, электрическая сеть или что-то еще — в зависимости от отрасли. Оно обменивается данными и управляется специализированными промышленными контроллерами, а те, в свою очередь, SCADA-системами.
Мы начали создание промышленной части киберполгона с энергетического сегмента, который для нас сейчас в приоритете (в планах — нефтегазовая и химическая промышленность).
Очевидно, что уровень первичного оборудования невозможно реализовать через натурное моделирование с использованием реальных объектов. Поэтому на первом этапе мы разработали математическую модель энергообъекта и прилегающего участка энергосистемы. Данная модель включает в себя все силовое оборудование подстанций – линии электропередачи, трансформаторы и так далее, и выполняется в специальном программном комплексе RSCAD. Созданная таким образом модель может обрабатываться вычислительным комплексом реального времени – его основная фишка в том, что время процесса в реальной системе и время процесса в модели абсолютно идентичны – то есть, если в реальной сети короткое замыкание длится две секунды, ровно столько же оно будет моделироваться в RSCAD). Получаем «живой» участок электроэнергетической системы, функционирующий по всем законам физики и даже реагирующий на внешние воздействия (например, срабатывания терминалов релейной защиты и автоматики, отключение выключателей и т.д.). Взаимодействия с внешними устройствами удалось добиться с помощью специализированных настраиваемых интерфейсов связи, позволяющих математической модели взаимодействовать с уровнем контроллеров и уровнем автоматизированных систем.
А вот уже сами уровни контроллеров и автоматизированных систем управления энергообъекта можно создавать с помощью реального промышленного оборудования (хотя, при необходимости, мы можем также использовать виртуальные модели). На двух данных уровнях располагаются, соответственно, контроллеры и средства автоматизации (РЗА, PMU, УСПД, счетчики) и автоматизированные системы управления (SCADA, ОИК, АИИСКУЭ). Натурное моделирование позволяет значительно повысить реалистичность модели и, соответственно, самих киберучений, поскольку команды будут взаимодействовать с реальным промышленным оборудованием, которое имеет свои особенности, баги и уязвимости.
На третьем этапе мы реализовали взаимодействие математической и физической частей модели с помощью специализированных аппаратных и программных интерфейсов и усилителей сигнала.
В итоге инфраструктура выглядит примерно так:
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/9ef992189707620949d02d5aa64df9f4.png)
Все оборудование полигона взаимодействует между собой так же, как и в реальной киберфизической системе. Если говорить более предметно, то при построении этой модели мы использовали следующее оборудование и вычислительные средства:
- Вычислительный комплекс RTDS для проведения расчета «в реальном времени»;
- Автоматизированное рабочее место (АРМ) оператора с установленным программным обеспечением для моделирования технологического процесса и первичного оборудования электрических подстанций;
- Шкафы с оборудованием связи, терминалами РЗА, и оборудованием АСУ ТП;
- Шкафы усилителей, предназначенные для усиления аналоговых сигналов с платы цифро-аналогового преобразователя симулятора RTDS. Каждый шкаф усилителей содержит различный набор блоков усиления, используемых для формирования входных сигналов тока и напряжения для исследуемых терминалов РЗА. Входные сигналы усиливаются до уровня, требуемого для нормальной работы терминалов РЗА.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/e852bacd441a2641d85f809d65f0a729.png)
Это не единственно возможное решение, но, на наш взгляд, оно оптимально для проведения киберучений, так как отражает реальную архитектуру абсолютного большинства современных подстанций, и при этом ее можно кастомизировать так, чтобы максимально точно воссоздать какие-то особенности конкретного объекта.
В заключение
Киберполигон – огромный проект, и впереди еще масса работы. Мы, с одной стороны, изучаем опыт западных коллег, с другой – многое приходится делать, опираясь на свой опыт работы именно с российскими промышленными предприятиями, поскольку специфика есть не только у разных отраслей, но и у разных стран. Это и сложная, и интересная тема.
Тем не менее, убеждены, что мы в России достигли того, как принято говорить, «уровня зрелости», когда и у промышленности возникает понимание потребности в киберучениях. Это значит, что скоро и у отрасли появятся свои лучшие практики, и уровнем защищенности мы, надеюсь, укрепимся.
Авторы
Олег Архангельский, ведущий аналитик-методолог проекта «Индустриальный киберполигон».
Дмитрий Сютов, главный инженер проекта «Индустриальный киберполигон»;
Андрей Кузнецов, руководитель проекта «Индустриальный киберполигон», заместитель руководителя Лаборатории Кибербезопасности АСУ ТП по производству
===========
Источник:
habr.com
===========
Похожие новости:
- [Python, Анализ и проектирование систем] Анализ сетей с использованием графов
- [Информационная безопасность, Конференции] Голландским хакерам удалось взломать светофоры в нескольких городах
- [Информационная безопасность, Сетевые технологии, Разработка под Windows, Софт] Microsoft включила в новейших сборках Windows 10 TLS 1.3 по умолчанию
- [Информационная безопасность] Security Week 35: масштабирование голосового фишинга
- [Информационная безопасность, Криптография, Серверное администрирование, Распределённые системы] FritzFrog — новое поколение ботнетов (перевод)
- [Информационная безопасность, Законодательство в IT, Видеотехника] «Ъ»: мэрия Москвы имеет право продавать и выкладывать в свободный доступ записи с камер наблюдения
- [Информационная безопасность, Git, GitHub] Линус Торвальдс, Бьёрн Страуструп и Брендан Грегг контрибьютят в мой хобби-проект. Зачем?
- [Анализ и проектирование систем, CAD/CAM, Визуализация данных, Управление продуктом] CATIA: из истории одного проекта
- [Информационная безопасность] ФБР предупредило об угрозе голосового фишинга — вишинга
- [CMS, Habr, Антивирусная защита] 10 лучших способов для повышения безопасности веб-сайтов в 2020 году
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_analiz_i_proektirovanie_sistem (Анализ и проектирование систем), #_scada, #_inzhenernye_sistemy (Инженерные системы), #_asutp (асутп), #_kiberpoligon (киберполигон), #_kiberbezopasnost (кибербезопасность), #_kiberuchenija (киберучения), #_blog_kompanii_rostelekomsolar (
Блог компании Ростелеком-Солар
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_analiz_i_proektirovanie_sistem (
Анализ и проектирование систем
), #_scada, #_inzhenernye_sistemy (
Инженерные системы
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Июл 00:03
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 4 месяца |
|
![]() В этом году мы начали большой проект по созданию киберполигона – площадки для киберучений компаний различных отраслей. Для этого надо создать виртуальные инфраструктуры, «идентичные натуральным» — чтобы они повторяли типовое внутреннее устройство банка, энергетической компании и т.д., причем не только в части корпоративного сегмента сети. Чуть позже расскажем о банковской и других инфраструктурах киберполигона, а сегодня – о том, как мы решали эту задачу применительно к технологическому сегменту промышленного предприятия. Конечно, тема киберучений и киберполигонов возникла не вчера. На Западе уже достаточно давно сформировался круг конкурирующих предложений, различных подходов к киберучениям, а также и просто лучшие практики. «Хороший тон» службы ИБ – периодически отрабатывать готовность к отражению кибератак на практике. Для России же это пока новая тема: да, есть небольшое предложение, и оно возникло несколько лет назад, но спрос, особенно в промышленных отраслях, стал понемногу формироваться только сейчас. Мы считаем, на то есть три основные причины – они же проблемы, которые уже стали весьма очевидными. Мир меняется слишком быстро Еще 10 лет назад хакеры атаковали, в основном, те организации, откуда они могли быстро вывести деньги. Для промышленности эта угроза была менее релевантной. Сейчас мы видим, что предметом их интереса становятся и инфраструктуры государственных организаций, энергетических, промышленных предприятий. Здесь мы чаще имеем дело с попытками шпионажа, кражи данных в различных целях (конкурентная разведка, шантаж), а также получением точек присутствия в инфраструктуре для дальнейшей продажи их заинтересованным товарищам. Ну, и даже банальные шифровальщики типа WannaCry зацепили немало подобных объектов по всему миру. Поэтому современные реалии требуют от ИБ-специалистов учитывать эти риски и формировать новые процессы информационной безопасности. В частности, регулярно повышать квалификацию и отрабатывать именно практические навыки. Персонал на всех уровнях оперативно-диспетчерского управления промышленными объектами должен иметь четкое понимание, какие действия предпринимать в случае кибератаки. Но проводить киберучения на собственной инфраструктуре – увольте, риски явно перевешивают возможную пользу. Непонимание реальных возможностей злоумышленников по взлому АСУ ТП и IIoT-систем Эта проблема существует на всех уровнях организаций: даже не все специалисты понимают, что вообще может произойти с их системой, какие есть вектора атаки на нее. Что уж говорить о руководстве. Безопасники часто апеллируют к «воздушному зазору», который якобы не позволит злоумышленнику уйти дальше корпоративной сети, но практика показывает, что в 90% организаций есть связь между корпоративным и технологическим сегментом. При этом сами элементы построения и управления технологическими сетями также часто имеют уязвимости, что мы, в частности, увидели, исследуя оборудование MOXA и Schneider Electric. Трудно построить адекватную модель угроз Последние годы постоянно идет процесс усложнения информационных и автоматизированных систем, а также переход к киберфизическим системам, предполагающим интеграцию вычислительных ресурсов и физического оборудования. Системы становятся настолько сложными, что аналитическими методами предсказать все последствия кибератак просто невозможно. Речь идет не только об экономическом ущербе для организации, но и об оценке последствий, понятных для технолога и для отрасли – недоотпуск электроэнергии, например, или другого вида продукции, если мы говорим о нефтегазе или нефтехимии. И как в такой ситуации выставить приоритеты? Собственно, это все, на наш взгляд, и стало предпосылками к возникновению концепции киберучений и киберполигонов в России. Как устроен технологический сегмент киберполигона Киберполигон – это комплекс виртуальных инфраструктур, повторяющих типовые инфраструктуры предприятий различных отраслей. Он позволяет «потренироваться на кошках» – отработать практические навыки специалистов без рисков, что что-то пойдет не по плану, и киберучения нанесут ущерб деятельности реального предприятия. Крупные ИБ-компании начинают развивать это направление, и посмотреть на подобные киберучения в игровом формате можно, например, на Positive Hack Days. Типовая схема сетевой инфраструктуры условного крупного предприятия или корпорации – это достаточно стандартный набор серверов, рабочих компьютеров и различных сетевых устройств с типовым же набором корпоративного ПО и систем информационной безопасности. Отраслевой киберполигон – это все то же самое плюс серьезная специфика, резко усложняющая виртуальную модель. Как мы приблизили киберполигон к реальности Концептуально облик индустриальной части киберполигона зависит от выбранного метода моделирования сложной киберфизической системы. Основных подходов к моделированию три: ![]() Каждый из этих подходов обладает своими преимуществами и недостатками. В разных случаях, в зависимости от конечной цели и имеющихся ограничений, могут применяться все три указанных выше способа моделирования. Для того, чтобы формализовать выбор этих способов, мы составили следующий алгоритм: ![]() Плюсы и минусы разных методов моделирования можно представить в виде диаграммы, где ось ординат – это охват областей исследования (т.е. гибкость предложенного инструмента моделирования), а ось абсцисс – точность моделирования (степень соответствия реальной системе). Получается практически квадрат Гартнера: ![]() Таким образом, оптимальным по соотношению точности и гибкости моделирования является так называемое полунатурное моделирование (hardware-in-the-loop, HIL). В рамках такого подхода киберфизическая система частично моделируется с помощью реального оборудования, а частично – с помощью математических моделей. Например, электрическая подстанция может быть представлена реальными микропроцессорными устройствами (терминалами релейной защиты), серверами автоматизированных систем управления и другим вторичным оборудованием, а сами физические процессы, происходящие в электрической сети – реализованы с помощью компьютерной модели. Окей, с методом моделирования определились. После этого необходимо было разработать архитектуру киберполигона. Чтобы киберучения были действительно полезны, все взаимосвязи реальной сложной киберфизической системы должны быть максимально точно воссозданы на полигоне. Поэтому, у нас, как и в реальной жизни, технологическая часть киберполигона состоит из нескольких взаимодействующих между собой уровней. Напомню, что типовая инфраструктура промышленных сетей включает самый нижний уровень, к которому относится так называемое «первичное оборудование» — это оптоволокно, электрическая сеть или что-то еще — в зависимости от отрасли. Оно обменивается данными и управляется специализированными промышленными контроллерами, а те, в свою очередь, SCADA-системами. Мы начали создание промышленной части киберполгона с энергетического сегмента, который для нас сейчас в приоритете (в планах — нефтегазовая и химическая промышленность). Очевидно, что уровень первичного оборудования невозможно реализовать через натурное моделирование с использованием реальных объектов. Поэтому на первом этапе мы разработали математическую модель энергообъекта и прилегающего участка энергосистемы. Данная модель включает в себя все силовое оборудование подстанций – линии электропередачи, трансформаторы и так далее, и выполняется в специальном программном комплексе RSCAD. Созданная таким образом модель может обрабатываться вычислительным комплексом реального времени – его основная фишка в том, что время процесса в реальной системе и время процесса в модели абсолютно идентичны – то есть, если в реальной сети короткое замыкание длится две секунды, ровно столько же оно будет моделироваться в RSCAD). Получаем «живой» участок электроэнергетической системы, функционирующий по всем законам физики и даже реагирующий на внешние воздействия (например, срабатывания терминалов релейной защиты и автоматики, отключение выключателей и т.д.). Взаимодействия с внешними устройствами удалось добиться с помощью специализированных настраиваемых интерфейсов связи, позволяющих математической модели взаимодействовать с уровнем контроллеров и уровнем автоматизированных систем. А вот уже сами уровни контроллеров и автоматизированных систем управления энергообъекта можно создавать с помощью реального промышленного оборудования (хотя, при необходимости, мы можем также использовать виртуальные модели). На двух данных уровнях располагаются, соответственно, контроллеры и средства автоматизации (РЗА, PMU, УСПД, счетчики) и автоматизированные системы управления (SCADA, ОИК, АИИСКУЭ). Натурное моделирование позволяет значительно повысить реалистичность модели и, соответственно, самих киберучений, поскольку команды будут взаимодействовать с реальным промышленным оборудованием, которое имеет свои особенности, баги и уязвимости. На третьем этапе мы реализовали взаимодействие математической и физической частей модели с помощью специализированных аппаратных и программных интерфейсов и усилителей сигнала. В итоге инфраструктура выглядит примерно так: ![]() Все оборудование полигона взаимодействует между собой так же, как и в реальной киберфизической системе. Если говорить более предметно, то при построении этой модели мы использовали следующее оборудование и вычислительные средства:
![]() Это не единственно возможное решение, но, на наш взгляд, оно оптимально для проведения киберучений, так как отражает реальную архитектуру абсолютного большинства современных подстанций, и при этом ее можно кастомизировать так, чтобы максимально точно воссоздать какие-то особенности конкретного объекта. В заключение Киберполигон – огромный проект, и впереди еще масса работы. Мы, с одной стороны, изучаем опыт западных коллег, с другой – многое приходится делать, опираясь на свой опыт работы именно с российскими промышленными предприятиями, поскольку специфика есть не только у разных отраслей, но и у разных стран. Это и сложная, и интересная тема. Тем не менее, убеждены, что мы в России достигли того, как принято говорить, «уровня зрелости», когда и у промышленности возникает понимание потребности в киберучениях. Это значит, что скоро и у отрасли появятся свои лучшие практики, и уровнем защищенности мы, надеюсь, укрепимся. Авторы Олег Архангельский, ведущий аналитик-методолог проекта «Индустриальный киберполигон». Дмитрий Сютов, главный инженер проекта «Индустриальный киберполигон»; Андрей Кузнецов, руководитель проекта «Индустриальный киберполигон», заместитель руководителя Лаборатории Кибербезопасности АСУ ТП по производству =========== Источник: habr.com =========== Похожие новости:
Блог компании Ростелеком-Солар ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_analiz_i_proektirovanie_sistem ( Анализ и проектирование систем ), #_scada, #_inzhenernye_sistemy ( Инженерные системы ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Июл 00:03
Часовой пояс: UTC + 5