Как мы построили виртуальную инфраструктуру для киберучений промышленных предприятий

Как мы построили виртуальную инфраструктуру для киберучений промышленных предприятий


В этом году мы начали большой проект по созданию киберполигона – площадки для киберучений компаний различных отраслей. Для этого надо создать виртуальные инфраструктуры, «идентичные натуральным» — чтобы они повторяли типовое внутреннее устройство банка, энергетической компании и т.д., причем не только в части корпоративного сегмента сети. Чуть позже расскажем о банковской и других инфраструктурах киберполигона, а сегодня – о том, как мы решали эту задачу применительно к технологическому сегменту промышленного предприятия.

Конечно, тема киберучений и киберполигонов возникла не вчера. На Западе уже достаточно давно сформировался круг конкурирующих предложений, различных подходов к киберучениям, а также и просто лучшие практики. «Хороший тон» службы ИБ – периодически отрабатывать готовность к отражению кибератак на практике. Для России же это пока новая тема: да, есть небольшое предложение, и оно возникло несколько лет назад, но спрос, особенно в промышленных отраслях, стал понемногу формироваться только сейчас. Мы считаем, на то есть три основные причины – они же проблемы, которые уже стали весьма очевидными.

Мир меняется слишком быстро

Еще 10 лет назад хакеры атаковали, в основном, те организации, откуда они могли быстро вывести деньги. Для промышленности эта угроза была менее релевантной. Сейчас мы видим, что предметом их интереса становятся и инфраструктуры государственных организаций, энергетических, промышленных предприятий. Здесь мы чаще имеем дело с попытками шпионажа, кражи данных в различных целях (конкурентная разведка, шантаж), а также получением точек присутствия в инфраструктуре для дальнейшей продажи их заинтересованным товарищам. Ну, и даже банальные шифровальщики типа WannaCry зацепили немало подобных объектов по всему миру. Поэтому современные реалии требуют от ИБ-специалистов учитывать эти риски и формировать новые процессы информационной безопасности. В частности, регулярно повышать квалификацию и отрабатывать именно практические навыки. Персонал на всех уровнях оперативно-диспетчерского управления промышленными объектами должен иметь четкое понимание, какие действия предпринимать в случае кибератаки. Но проводить киберучения на собственной инфраструктуре – увольте, риски явно перевешивают возможную пользу.

Непонимание реальных возможностей злоумышленников по взлому АСУ ТП и IIoT-систем

Эта проблема существует на всех уровнях организаций: даже не все специалисты понимают, что вообще может произойти с их системой, какие есть вектора атаки на нее. Что уж говорить о руководстве.

Безопасники часто апеллируют к «воздушному зазору», который якобы не позволит злоумышленнику уйти дальше корпоративной сети, но практика показывает, что в 90% организаций есть связь между корпоративным и технологическим сегментом. При этом сами элементы построения и управления технологическими сетями также часто имеют уязвимости, что мы, в частности, увидели, исследуя оборудование MOXA и Schneider Electric .

Трудно построить адекватную модель угроз

Последние годы постоянно идет процесс усложнения информационных и автоматизированных систем, а также переход к киберфизическим системам, предполагающим интеграцию вычислительных ресурсов и физического оборудования. Системы становятся настолько сложными, что аналитическими методами предсказать все последствия кибератак просто невозможно. Речь идет не только об экономическом ущербе для организации, но и об оценке последствий, понятных для технолога и для отрасли – недоотпуск электроэнергии, например, или другого вида продукции, если мы говорим о нефтегазе или нефтехимии. И как в такой ситуации выставить приоритеты?

Собственно, это все, на наш взгляд, и стало предпосылками к возникновению концепции киберучений и киберполигонов в России.

Как устроен технологический сегмент киберполигона


Киберполигон – это комплекс виртуальных инфраструктур, повторяющих типовые инфраструктуры предприятий различных отраслей. Он позволяет «потренироваться на кошках» – отработать практические навыки специалистов без рисков, что что-то пойдет не по плану, и киберучения нанесут ущерб деятельности реального предприятия. Крупные ИБ-компании начинают развивать это направление, и посмотреть на подобные киберучения в игровом формате можно, например, на Positive Hack Days.

Типовая схема сетевой инфраструктуры условного крупного предприятия или корпорации – это достаточно стандартный набор серверов, рабочих компьютеров и различных сетевых устройств с типовым же набором корпоративного ПО и систем информационной безопасности. Отраслевой киберполигон – это все то же самое плюс серьезная специфика, резко усложняющая виртуальную модель.

Как мы приблизили киберполигон к реальности


Концептуально облик индустриальной части киберполигона зависит от выбранного метода моделирования сложной киберфизической системы. Основных подходов к моделированию три:



Каждый из этих подходов обладает своими преимуществами и недостатками. В разных случаях, в зависимости от конечной цели и имеющихся ограничений, могут применяться все три указанных выше способа моделирования. Для того, чтобы формализовать выбор этих способов, мы составили следующий алгоритм:



Плюсы и минусы разных методов моделирования можно представить в виде диаграммы, где ось ординат – это охват областей исследования (т.е. гибкость предложенного инструмента моделирования), а ось абсцисс – точность моделирования (степень соответствия реальной системе). Получается практически квадрат Гартнера:



Таким образом, оптимальным по соотношению точности и гибкости моделирования является так называемое полунатурное моделирование (hardware-in-the-loop, HIL). В рамках такого подхода киберфизическая система частично моделируется с помощью реального оборудования, а частично – с помощью математических моделей. Например, электрическая подстанция может быть представлена реальными микропроцессорными устройствами (терминалами релейной защиты), серверами автоматизированных систем управления и другим вторичным оборудованием, а сами физические процессы, происходящие в электрической сети – реализованы с помощью компьютерной модели. Окей, с методом моделирования определились. После этого необходимо было разработать архитектуру киберполигона. Чтобы киберучения были действительно полезны, все взаимосвязи реальной сложной киберфизической системы должны быть максимально точно воссозданы на полигоне. Поэтому, у нас, как и в реальной жизни, технологическая часть киберполигона состоит из нескольких взаимодействующих между собой уровней. Напомню, что типовая инфраструктура промышленных сетей включает самый нижний уровень, к которому относится так называемое «первичное оборудование» — это оптоволокно, электрическая сеть или что-то еще — в зависимости от отрасли. Оно обменивается данными и управляется специализированными промышленными контроллерами, а те, в свою очередь, SCADA-системами.

Мы начали создание промышленной части киберполгона с энергетического сегмента, который для нас сейчас в приоритете (в планах — нефтегазовая и химическая промышленность).

Очевидно, что уровень первичного оборудования невозможно реализовать через натурное моделирование с использованием реальных объектов. Поэтому на первом этапе мы разработали математическую модель энергообъекта и прилегающего участка энергосистемы. Данная модель включает в себя все силовое оборудование подстанций – линии электропередачи, трансформаторы и так далее, и выполняется в специальном программном комплексе RSCAD. Созданная таким образом модель может обрабатываться вычислительным комплексом реального времени – его основная фишка в том, что время процесса в реальной системе и время процесса в модели абсолютно идентичны – то есть, если в реальной сети короткое замыкание длится две секунды, ровно столько же оно будет моделироваться в RSCAD). Получаем «живой» участок электроэнергетической системы, функционирующий по всем законам физики и даже реагирующий на внешние воздействия (например, срабатывания терминалов релейной защиты и автоматики, отключение выключателей и т.д.). Взаимодействия с внешними устройствами удалось добиться с помощью специализированных настраиваемых интерфейсов связи, позволяющих математической модели взаимодействовать с уровнем контроллеров и уровнем автоматизированных систем.

А вот уже сами уровни контроллеров и автоматизированных систем управления энергообъекта можно создавать с помощью реального промышленного оборудования (хотя, при необходимости, мы можем также использовать виртуальные модели). На двух данных уровнях располагаются, соответственно, контроллеры и средства автоматизации (РЗА, PMU, УСПД, счетчики) и автоматизированные системы управления (SCADA, ОИК, АИИСКУЭ). Натурное моделирование позволяет значительно повысить реалистичность модели и, соответственно, самих киберучений, поскольку команды будут взаимодействовать с реальным промышленным оборудованием, которое имеет свои особенности, баги и уязвимости.

На третьем этапе мы реализовали взаимодействие математической и физической частей модели с помощью специализированных аппаратных и программных интерфейсов и усилителей сигнала.

В итоге инфраструктура выглядит примерно так:



Все оборудование полигона взаимодействует между собой так же, как и в реальной киберфизической системе. Если говорить более предметно, то при построении этой модели мы использовали следующее оборудование и вычислительные средства:

  • Вычислительный комплекс RTDS для проведения расчета «в реальном времени»;
  • Автоматизированное рабочее место (АРМ) оператора с установленным программным обеспечением для моделирования технологического процесса и первичного оборудования электрических подстанций;
  • Шкафы с оборудованием связи, терминалами РЗА, и оборудованием АСУ ТП;
  • Шкафы усилителей, предназначенные для усиления аналоговых сигналов с платы цифро-аналогового преобразователя симулятора RTDS. Каждый шкаф усилителей содержит различный набор блоков усиления, используемых для формирования входных сигналов тока и напряжения для исследуемых терминалов РЗА. Входные сигналы усиливаются до уровня, требуемого для нормальной работы терминалов РЗА.




Это не единственно возможное решение, но, на наш взгляд, оно оптимально для проведения киберучений, так как отражает реальную архитектуру абсолютного большинства современных подстанций, и при этом ее можно кастомизировать так, чтобы максимально точно воссоздать какие-то особенности конкретного объекта.

В заключение


Киберполигон – огромный проект, и впереди еще масса работы. Мы, с одной стороны, изучаем опыт западных коллег, с другой – многое приходится делать, опираясь на свой опыт работы именно с российскими промышленными предприятиями, поскольку специфика есть не только у разных отраслей, но и у разных стран. Это и сложная, и интересная тема.
Тем не менее, убеждены, что мы в России достигли того, как принято говорить, «уровня зрелости», когда и у промышленности возникает понимание потребности в киберучениях. Это значит, что скоро и у отрасли появятся свои лучшие практики, и уровнем защищенности мы, надеюсь, укрепимся.

Авторы
Олег Архангельский, ведущий аналитик-методолог проекта «Индустриальный киберполигон».
Дмитрий Сютов, главный инженер проекта «Индустриальный киберполигон»;
Андрей Кузнецов, руководитель проекта «Индустриальный киберполигон», заместитель руководителя Лаборатории Кибербезопасности АСУ ТП по производству
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.