Este ano, lançamos um grande projeto para criar um campo de treinamento cibernético - uma plataforma de treinamento cibernético para empresas de diversos setores. Para tal, é necessária a criação de infraestruturas virtuais “idênticas às naturais” - de forma a que repitam a típica estrutura interna de um banco, empresa de energia, etc., e não apenas ao nível do segmento empresarial da rede. Um pouco mais tarde, falaremos sobre a banca e outras infraestruturas do cyber aterro, e hoje - sobre como resolvemos este problema em relação ao segmento tecnológico de uma empresa industrial.
Claro, o tópico de exercícios cibernéticos e polígonos cibernéticos não apareceu ontem. No Ocidente, um círculo de propostas concorrentes, várias abordagens para o treinamento cibernético e também simplesmente as melhores práticas foram formados há muito tempo. A "boa forma" do serviço de segurança da informação é praticar periodicamente a prontidão para repelir ataques cibernéticos na prática. Para a Rússia, este ainda é um tema novo: sim, a oferta é pequena, e ela surgiu há vários anos, mas a demanda, principalmente nos setores industriais, começou a se formar aos poucos, só agora. Acreditamos que existem três razões principais para isso - são problemas que já se tornaram muito óbvios.
O mundo está mudando muito rápido
Mesmo há 10 anos, os hackers atacaram principalmente as organizações das quais podiam retirar dinheiro rapidamente. Para a indústria, essa ameaça era menos relevante. Agora vemos que as infraestruturas das organizações estatais, energia e empresas industriais também estão se tornando objeto de seu interesse. Muitas vezes lidamos aqui com tentativas de espionagem, roubo de dados para diversos fins (inteligência competitiva, chantagem), bem como obtenção de pontos de presença na infraestrutura para posterior venda aos companheiros interessados. Bem, mesmo um ransomware trivial como o WannaCry prendeu muitos objetos semelhantes ao redor do mundo. Portanto, a realidade moderna exige que os especialistas em segurança da informação levem em consideração esses riscos e formem novos processos de segurança da informação. Em particular, para melhorar regularmente suas qualificações e praticar apenas habilidades práticas.O pessoal em todos os níveis de gerenciamento operacional e de despacho das instalações industriais deve ter uma compreensão clara de quais ações tomar em caso de um ataque cibernético. Mas, para realizar o treinamento cibernético em sua própria infraestrutura, obrigado, os riscos superam claramente os possíveis benefícios.
Falta de compreensão das reais capacidades dos invasores para hackear sistemas ICS e IIoT.
Esse problema existe em todos os níveis das organizações: nem mesmo todos os especialistas entendem o que pode acontecer com seu sistema, quais são os vetores de ataque a ele. O que podemos dizer sobre liderança.
Os agentes de segurança costumam apelar para o "air gap", que supostamente não permitirá que um invasor ultrapasse a rede corporativa, mas a prática mostra que em 90% das organizações há uma conexão entre os segmentos corporativo e de tecnologia. Ao mesmo tempo, os próprios elementos de construção e gerenciamento de redes industriais também costumam ter vulnerabilidades, que nós, em particular, vimos ao examinar os equipamentos MOXA e Schneider Electric .
É difícil construir um modelo de ameaça adequado
Nos últimos anos, tem ocorrido um processo constante de complicação de sistemas de informação e automatização, bem como uma transição para sistemas ciberfísicos, que envolve a integração de recursos informáticos e equipamentos físicos. Os sistemas estão se tornando tão complexos que é simplesmente impossível prever todas as consequências dos ataques cibernéticos usando métodos analíticos. Não estamos falando apenas do prejuízo econômico para a organização, mas também de avaliar as consequências que são compreensíveis para o tecnólogo e para a indústria - a escassez de energia elétrica, por exemplo, ou outro tipo de produto, se formos falar de petróleo e gás ou petroquímica. E como priorizar em tal situação?
Na verdade, tudo isso, em nossa opinião, tornou-se os pré-requisitos para o surgimento do conceito de treinamento cibernético e polígonos cibernéticos na Rússia.
Como funciona o segmento tecnológico do aterro cibernético
O polígono cibernético é um complexo de infraestruturas virtuais que replicam as infraestruturas típicas de empresas em vários setores. Ele permite que você "treine em gatos" - desenvolva as habilidades práticas de especialistas sem o risco de que algo dê errado e o treinamento cibernético prejudique as atividades de uma empresa real. Grandes empresas de segurança da informação estão começando a desenvolver essa área e você pode ver esse treinamento cibernético em formato de jogo, por exemplo, no Positive Hack Days.
Um esquema típico de infraestrutura de rede para uma grande empresa ou corporação convencional é um conjunto razoavelmente padrão de servidores, computadores de trabalho e vários dispositivos de rede com um conjunto típico de software corporativo e sistemas de segurança da informação. O polígono cibernético da indústria é o mesmo, além de detalhes específicos que complicam drasticamente o modelo virtual.
Como trouxemos o polígono cibernético para mais perto da realidade
Conceitualmente, o surgimento da parte industrial do polígono cibernético depende do método escolhido para modelar um sistema ciberfísico complexo. Existem três abordagens principais para a modelagem:
Cada uma dessas abordagens tem suas próprias vantagens e desvantagens. Em diferentes casos, dependendo do objetivo final e das restrições existentes, todos os três métodos de modelagem acima podem ser aplicados. A fim de formalizar a escolha desses métodos, compilamos o seguinte algoritmo: Os
prós e contras dos diferentes métodos de modelagem podem ser representados na forma de um diagrama, onde a ordenada é a cobertura das áreas de pesquisa (ou seja, a flexibilidade da ferramenta de modelagem proposta), e a abcissa é a precisão modelagem (grau de correspondência com o sistema real). Acontece quase um quadrado do Gartner:
Assim, a chamada simulação de hardware-in-the-loop (HIL) é ótima em termos da proporção de precisão e flexibilidade da simulação. No âmbito desta abordagem, o sistema ciber-físico é parcialmente modelado usando equipamento real e parcialmente usando modelos matemáticos. Por exemplo, uma subestação elétrica pode ser representada por dispositivos microprocessadores reais (terminais de proteção de relé), servidores de sistemas de controle automatizados e outros equipamentos secundários, e os processos físicos que ocorrem na rede elétrica podem ser implementados usando um modelo de computador. Ok, decidimos sobre o método de modelagem. Depois disso, foi necessário desenvolver a arquitetura do polígono cibernético. Para tornar o treinamento cibernético realmente útil,todas as interconexões de um sistema ciber-físico complexo real devem ser recriadas com a maior precisão possível no local de teste. Portanto, em nosso país, como na vida real, a parte tecnológica do polígono cibernético consiste em vários níveis de interação. Gostaria de lembrar que uma típica infraestrutura de rede industrial inclui o nível mais baixo, ao qual pertence o chamado "equipamento primário" - ou seja, fibra óptica, rede elétrica ou qualquer outra, dependendo do setor. Ele troca dados e é controlado por controladores industriais especializados, que, por sua vez, são sistemas SCADA.que uma infraestrutura de rede industrial típica inclui o nível mais baixo, ao qual pertence o chamado "equipamento primário" - isto é fibra óptica, rede elétrica ou outra coisa - dependendo da indústria. Ele troca dados e é controlado por controladores industriais especializados, que, por sua vez, são sistemas SCADA.que uma infraestrutura de rede industrial típica inclui o nível mais baixo, ao qual pertence o chamado "equipamento primário" - isto é fibra óptica, rede elétrica ou outra coisa - dependendo do setor. Ele troca dados e é controlado por controladores industriais especializados, que, por sua vez, são sistemas SCADA.
Iniciamos a criação da parte industrial do cyber polgon do segmento de energia, que agora é uma prioridade para nós (os planos incluem as indústrias de óleo e gás e química).
Obviamente, o nível do equipamento primário não pode ser realizado por meio de modelagem em escala real usando objetos reais. Portanto, no primeiro estágio, desenvolvemos um modelo matemático da usina e da seção adjacente do sistema de potência. Este modelo inclui todos os equipamentos de energia de subestações - linhas de energia, transformadores e assim por diante, e é executado em um pacote de software RSCAD especial. O modelo criado desta forma pode ser processado por um complexo de computação em tempo real - sua principal característica é que o tempo de processo em um sistema real e o tempo de processo no modelo são absolutamente idênticos - ou seja, se em uma rede real um curto-circuito durar dois segundos, será simulado exatamente a mesma quantidade em RSCAD). Temos uma seção "ativa" do sistema de energia elétrica,funcionando de acordo com todas as leis da física e até reagindo a influências externas (por exemplo, acionamento de proteção de relé e terminais de automação, desconexão de chaves, etc.). A interação com dispositivos externos foi alcançada usando interfaces de comunicação personalizadas especializadas que permitem que o modelo matemático interaja com o nível dos controladores e o nível dos sistemas automatizados.
Mas os próprios níveis de controladores e sistemas de controle automatizados de uma instalação de energia podem ser criados usando equipamentos industriais reais (embora, se necessário, também possamos usar modelos virtuais). Nestes dois níveis, existem, respectivamente, controladores e equipamentos de automação (proteção de relés e equipamentos de automação, PMU, USPD, medidores) e sistemas de controle automatizado (SCADA, OIC, AIISKUE). A modelagem em escala real pode aumentar significativamente o realismo do modelo e, consequentemente, dos próprios cyber exercícios, já que as equipes irão interagir com equipamentos industriais reais, que possuem características próprias, bugs e vulnerabilidades.
No terceiro estágio, implementamos a interação das partes matemáticas e físicas do modelo usando interfaces de hardware e software especializadas e amplificadores de sinal.
Como resultado, a infraestrutura é mais ou menos assim:
Todos os equipamentos do aterro sanitário interagem entre si da mesma forma que em um sistema ciberfísico real. Mais especificamente, ao construir este modelo, usamos os seguintes equipamentos e instalações de computação:
- Computação de RTDS complexos para realização de cálculos "em tempo real";
- Estação de trabalho automatizada (AWS) da operadora com software instalado para modelagem do processo tecnológico e equipamentos primários de subestações elétricas;
- Gabinetes com equipamentos de comunicação, terminais de proteção e automação de relés e equipamentos APCS;
- Gabinetes amplificadores projetados para amplificar sinais analógicos da placa conversora de digital para analógico do simulador RTDS. Cada gabinete do amplificador contém um conjunto diferente de unidades de amplificação usadas para gerar sinais de entrada de corrente e tensão para os terminais de proteção do relé em estudo. Os sinais de entrada são amplificados para o nível necessário para a operação normal dos terminais do relé.
Esta não é a única solução possível, mas, em nossa opinião, é ideal para a realização de exercícios cibernéticos, uma vez que reflete a arquitetura real da grande maioria das subestações modernas, e ao mesmo tempo pode ser personalizada de forma a recriar com precisão algumas características de um determinado objeto.
Finalmente
O aterro cibernético é um projeto enorme e ainda há muito trabalho pela frente. Por um lado, estudamos a experiência de nossos colegas ocidentais, por outro, temos que fazer muito, contando com nossa experiência de trabalhar com empresas industriais russas, já que não só diferentes indústrias, mas também diferentes países têm características específicas. Este é um tópico complexo e interessante.
No entanto, estamos convencidos de que na Rússia atingimos, como dizem, “o nível de maturidade”, quando a indústria também entende a necessidade do ciber-treinamento. Isso significa que em breve o setor terá suas próprias melhores práticas e esperamos fortalecer o nível de segurança.
Autores
Oleg Arkhangelsky, Analista Líder e Metodologista do projeto Industrial Cyber Polygon.
Dmitry Syutov, engenheiro-chefe do projeto Industrial Cyber Polygon;
Andrey Kuznetsov, Chefe do Projeto Industrial de Polígonos Cibernéticos, Chefe Adjunto do Laboratório de Segurança Cibernética ICS para Produção