Tahun ini kami memulai proyek besar untuk membuat tempat pelatihan dunia maya - platform pelatihan dunia maya untuk perusahaan di berbagai industri. Untuk melakukan ini, perlu untuk membuat infrastruktur virtual yang "identik dengan alam" - sehingga mereka mengulangi struktur internal khas bank, perusahaan energi, dll., Dan tidak hanya dalam hal segmen korporat jaringan. Beberapa saat kemudian, kita akan berbicara tentang perbankan dan infrastruktur lain dari cyber landfill, dan hari ini - tentang bagaimana kita menyelesaikan masalah ini dalam kaitannya dengan segmen teknologi perusahaan industri.
Tentu saja, topik latihan cyber dan poligon cyber tidak muncul kemarin. Di Barat, lingkaran proposal yang bersaing, berbagai pendekatan pelatihan dunia maya, dan juga praktik terbaik telah terbentuk sejak lama. "Bentuk baik" dari layanan keamanan informasi adalah mempraktikkan kesiapan secara berkala untuk menangkis serangan siber. Untuk Rusia, ini masih topik baru: ya, ada sedikit pasokan, dan muncul beberapa tahun lalu, tetapi permintaan, terutama di sektor industri, mulai terbentuk sedikit demi sedikit baru sekarang. Kami percaya ada tiga alasan utama untuk ini - ini adalah masalah yang sudah menjadi sangat jelas.
Dunia berubah terlalu cepat
Bahkan 10 tahun yang lalu, para peretas menyerang terutama organisasi yang darinya mereka dapat menarik uang dengan cepat. Untuk industri, ancaman ini kurang relevan. Sekarang kita lihat, infrastruktur organisasi negara, energi, dan perusahaan industri juga menjadi incaran mereka. Di sini, kami sering berurusan dengan upaya spionase, pencurian data untuk berbagai tujuan (intelijen kompetitif, pemerasan), serta mendapatkan titik kehadiran di infrastruktur untuk dijual lebih lanjut kepada rekan-rekan yang tertarik. Yah, bahkan ransomware sepele seperti WannaCry telah mengaitkan banyak objek serupa di seluruh dunia. Oleh karena itu, realitas modern memerlukan spesialis keamanan informasi untuk memperhitungkan risiko ini dan membentuk proses keamanan informasi baru. Secara khusus, untuk secara teratur meningkatkan kualifikasi mereka dan mempraktikkan keterampilan praktis.Personil di semua tingkat operasional dan manajemen pengiriman fasilitas industri harus memiliki pemahaman yang jelas tentang tindakan yang harus diambil jika terjadi serangan dunia maya. Tetapi untuk melakukan pelatihan dunia maya pada infrastruktur Anda sendiri - terima kasih, risikonya jelas lebih besar daripada manfaat yang mungkin didapat.
Kurangnya pemahaman tentang kemampuan sebenarnya dari penyerang untuk meretas sistem ICS dan IIoT
Masalah ini ada di semua tingkat organisasi: bahkan tidak semua spesialis memahami apa yang dapat terjadi pada sistem mereka, apa saja vektor penyerangannya. Apa yang bisa kami katakan tentang kepemimpinan.
Petugas keamanan sering mengajukan banding ke "celah udara", yang seharusnya tidak akan memungkinkan penyerang melampaui jaringan perusahaan, tetapi praktik menunjukkan bahwa di 90% organisasi ada hubungan antara segmen perusahaan dan teknologi. Pada saat yang sama, elemen membangun dan mengelola jaringan industri juga sering memiliki kerentanan, yang kami lihat secara khusus saat memeriksa peralatan MOXA dan Schneider Electric .
Sulit untuk membangun model ancaman yang memadai
Dalam beberapa tahun terakhir, telah terjadi proses komplikasi informasi dan sistem otomatis yang konstan, serta transisi ke sistem fisik siber, yang melibatkan integrasi sumber daya komputasi dan peralatan fisik. Sistem menjadi sangat kompleks sehingga tidak mungkin untuk memprediksi konsekuensi penuh dari serangan dunia maya menggunakan metode analitik. Kita berbicara tidak hanya tentang kerusakan ekonomi pada organisasi, tetapi juga tentang menilai konsekuensi yang dapat dimengerti oleh teknolog dan industri - kekurangan listrik, misalnya, atau jenis produk lain, jika kita berbicara tentang minyak dan gas atau petrokimia. Dan bagaimana memprioritaskan dalam situasi seperti itu?
Sebenarnya semua ini, menurut kami, menjadi prasyarat munculnya konsep pelatihan dunia maya dan poligon dunia maya di Rusia.
Bagaimana segmen teknologi poligon cyber bekerja
Cyber polygon adalah kompleks infrastruktur virtual yang mereplikasi infrastruktur tipikal perusahaan di berbagai industri. Ini memungkinkan Anda untuk "melatih kucing" - melatih keterampilan praktis para spesialis tanpa risiko ada yang tidak beres, dan pelatihan dunia maya akan membahayakan aktivitas perusahaan yang sebenarnya. Perusahaan keamanan informasi besar mulai mengembangkan area ini, dan Anda dapat melihat pelatihan dunia maya semacam itu dalam format permainan, misalnya, di Positive Hack Days.
Skema infrastruktur jaringan yang khas untuk perusahaan besar atau korporasi konvensional adalah serangkaian server, komputer kerja, dan berbagai perangkat jaringan yang cukup standar dengan perangkat lunak perusahaan dan sistem keamanan informasi yang khas. Poligon dunia maya industri semuanya sama, ditambah hal-hal spesifik serius yang memperumit model virtual secara tajam.
Bagaimana kami membawa poligon maya lebih dekat ke kenyataan
Secara konseptual, kemunculan bagian industri dari poligon siber bergantung pada metode yang dipilih untuk memodelkan sistem fisik siber yang kompleks. Ada tiga pendekatan utama untuk pemodelan:
Masing-masing pendekatan ini memiliki kelebihan dan kekurangannya sendiri. Dalam kasus yang berbeda, tergantung pada tujuan akhir dan kendala yang ada, ketiga metode pemodelan di atas dapat diterapkan. Untuk memformalkan pilihan metode ini, kami telah menyusun algoritme berikut:
Pro dan kontra dari metode pemodelan yang berbeda dapat direpresentasikan dalam bentuk diagram, di mana ordinat adalah cakupan area penelitian (yaitu fleksibilitas alat pemodelan yang diusulkan), dan absis adalah keakuratan pemodelan (derajat korespondensi dengan sistem nyata). Ternyata hampir persegi Gartner:
Jadi, simulasi hardware-in-the-loop (HIL) adalah optimal dalam hal rasio akurasi dan fleksibilitas simulasi. Dalam kerangka pendekatan ini, sistem fisik siber sebagian dimodelkan menggunakan peralatan nyata, dan sebagian lagi menggunakan model matematika. Misalnya, gardu listrik dapat diwakili oleh perangkat mikroprosesor nyata (terminal perlindungan relai), server sistem kontrol otomatis dan peralatan sekunder lainnya, dan proses fisik yang terjadi di jaringan listrik dapat diimplementasikan menggunakan model komputer. Oke, kami telah memutuskan metode pemodelannya. Setelah itu perlu dikembangkan arsitektur cyber polygon. Untuk membuat pelatihan dunia maya sangat berguna,semua interkoneksi dari sistem fisik-siber yang sangat kompleks harus dibuat ulang seakurat mungkin di lokasi pengujian. Oleh karena itu, di negara kita, seperti dalam kehidupan nyata, bagian teknologi dari poligon siber terdiri dari beberapa tingkatan yang saling berinteraksi. Izinkan saya mengingatkan Anda bahwa infrastruktur jaringan industri yang khas mencakup tingkat terendah, yang mana yang disebut sebagai "peralatan utama" - ini adalah serat optik, jaringan listrik atau yang lainnya, tergantung pada industrinya. Ini bertukar data dan dikendalikan oleh pengontrol industri khusus, yang, pada gilirannya, adalah sistem SCADA.bahwa infrastruktur jaringan industri yang khas mencakup tingkat terendah yang disebut "peralatan utama" - ini adalah serat optik, jaringan listrik, atau yang lainnya - tergantung pada industrinya. Ini bertukar data dan dikendalikan oleh pengontrol industri khusus, yang, pada gilirannya, adalah sistem SCADA.bahwa infrastruktur jaringan industri pada umumnya mencakup tingkat terendah yang disebut "peralatan utama" - ini adalah serat optik, jaringan listrik, atau yang lainnya - tergantung pada industrinya. Ini bertukar data dan dikendalikan oleh pengontrol industri khusus, yang, pada gilirannya, adalah sistem SCADA.
Kami memulai pembuatan bagian industri poligon siber dari segmen energi, yang kini menjadi prioritas kami (rencananya termasuk industri minyak dan gas serta kimia).
Jelas bahwa level peralatan primer tidak dapat direalisasikan melalui pemodelan skala penuh menggunakan objek nyata. Oleh karena itu, pada tahap pertama, kami mengembangkan model matematis dari fasilitas tenaga dan bagian sistem tenaga yang berdekatan. Model ini mencakup semua peralatan listrik gardu induk - saluran listrik, transformator, dan sebagainya, dan dilakukan dalam paket perangkat lunak RSCAD khusus. Model yang dibuat dengan cara ini dapat diproses oleh kompleks komputasi waktu nyata - fitur utamanya adalah waktu proses dalam sistem nyata dan waktu proses dalam model benar-benar identik - yaitu, jika dalam jaringan nyata terjadi korsleting selama dua detik, maka akan disimulasikan dengan jumlah yang persis sama di RSCAD). Kami mendapatkan bagian "hidup" dari sistem tenaga listrik,berfungsi sesuai dengan semua hukum fisika dan bahkan bereaksi terhadap pengaruh eksternal (misalnya, penggerak proteksi relai dan terminal otomasi, pemutusan sakelar, dll.). Interaksi dengan perangkat eksternal dicapai dengan menggunakan antarmuka komunikasi kustom khusus yang memungkinkan model matematika untuk berinteraksi dengan level pengontrol dan level sistem otomatis.
Tetapi tingkat pengontrol dan sistem kontrol otomatis dari fasilitas daya dapat dibuat menggunakan peralatan industri nyata (meskipun, jika perlu, kita juga dapat menggunakan model virtual). Pada dua level ini, terdapat masing-masing, pengendali dan peralatan otomasi (perlindungan relai dan peralatan otomatisasi, PMU, USPD, meter) dan sistem kontrol otomatis (SCADA, OIC, AIISKUE). Pemodelan skala penuh dapat secara signifikan meningkatkan realisme model dan, karenanya, latihan dunia maya itu sendiri, karena tim akan berinteraksi dengan peralatan industri nyata, yang memiliki karakteristik, bug, dan kerentanannya sendiri.
Pada tahap ketiga, kami menerapkan interaksi bagian matematika dan fisik model menggunakan antarmuka perangkat keras dan perangkat lunak khusus dan penguat sinyal.
Akibatnya, infrastruktur terlihat seperti ini:
Semua peralatan TPA berinteraksi satu sama lain dengan cara yang sama seperti dalam sistem fisik siber yang sebenarnya. Lebih khusus lagi, saat membangun model ini, kami menggunakan peralatan dan fasilitas komputasi berikut:
- Menghitung RTDS kompleks untuk melakukan penghitungan "dalam waktu nyata";
- Stasiun kerja otomatis (AWS) operator dengan perangkat lunak yang diinstal untuk pemodelan proses teknologi dan peralatan utama gardu induk listrik;
- Kabinet dengan peralatan komunikasi, proteksi relai dan terminal otomasi, dan peralatan APCS;
- Kabinet amplifier dirancang untuk memperkuat sinyal analog dari papan konverter digital-ke-analog dari simulator RTDS. Setiap kabinet amplifier berisi satu set unit amplifikasi berbeda yang digunakan untuk menghasilkan sinyal input arus dan tegangan untuk terminal proteksi relai yang dipelajari. Sinyal input diperkuat ke tingkat yang diperlukan untuk pengoperasian normal terminal relai.
Ini bukan satu-satunya solusi yang mungkin, tetapi, menurut kami, ini optimal untuk melakukan latihan dunia maya, karena ini mencerminkan arsitektur nyata dari sebagian besar gardu induk modern, dan pada saat yang sama dapat disesuaikan sehingga dapat secara akurat membuat ulang beberapa fitur dari objek tertentu.
Akhirnya
TPA Cyber adalah proyek besar, dan masih banyak pekerjaan yang harus dilakukan. Di satu sisi, kami mempelajari pengalaman rekan-rekan Barat kami, di sisi lain, kami harus melakukan banyak hal, mengandalkan pengalaman kami bekerja dengan perusahaan industri Rusia, karena kekhususan tidak hanya di industri yang berbeda, tetapi juga di negara yang berbeda. Ini adalah topik yang kompleks dan menarik.
Namun demikian, kami yakin bahwa di Rusia kami telah mencapai, seperti yang mereka katakan, "tingkat kedewasaan", ketika industri juga memahami perlunya pelatihan dunia maya. Artinya, industri ini akan segera memiliki praktik terbaiknya sendiri, dan kami berharap dapat memperkuat tingkat keamanan.
Penulis
Oleg Arkhangelsky, Analis Utama dan Metodologi dari proyek Industrial Cyber Polygon.
Dmitry Syutov, Kepala Insinyur proyek Industri Cyber Polygon;
Andrey Kuznetsov, Kepala proyek Industri Cyber Polygon, Wakil Kepala Laboratorium Keamanan Siber ICS untuk produksi