CybatiWorks - это мобильная платформа (существенно меньше Tofino SCADA Security Simulator) для изучения вопросов кибербезопасности промышленных систем, которая состоит из следующих основных частей:
Модель светофора выбрана не случайно. С одной стороны она компактна (это вам не стенд с цифровой подстанцией и не модель железной дороги), а с другой на ее основе можно тестировать вполне реальные сценарии (достаточно посмотреть вокруг и увидеть, что аналогичные системы у нас управляют автомобильным транспортом на дорогах, движением электропоездов и самолетов и т.п.
ПО, установленное на виртуальной машине, позволяет формировать нужную логику для контроллера, передающего команды на "светофор", тем самым изучая, как можно вмешаться в логику технологического процесса.
При этом, с помощью ПО, входящего в состав Kali и Security Onion, возможно проведение атак на элементы симулятора, а также мониторинг трафика в промышленной сети и обнаружение атак на нее.
В состав дистрибутива входит множество различных сценариев изучения промышленной ИБ - от детских занятий до проведения полноценных CTF, от базовых примеров использования платформы до прохождения целых миссий по промышленной ИБ и зарабатыванием баллов.
Также в дистрибутив включено несколько интересных компонентов:
Среди прочего, в CybatiWorks входит модуль The Brain, содержащий "карту памяти" (mind map) по вопросам промышленной ИБ - куча ссылок на различные стандарты, рабочие группы, решения, кейсы и т.п.
Для запоминания терминов по ИБ и промышленным системам в платформу включено два словаря и специальное ПО Ankiдля их запоминания.
Также в CybatiWorks входит интересный инструмент для моделирования атак - ADToolс кучей уже созданных примеров, на базе которых можно создавать свои "деревья атак" и мер по их нейтрализации.
Пока не до конца разобрался со всем тем, что есть в CybatiWorks. Но потенциал у нее богатый. Куча пока еще не изученного ПО, используемого в целях повышения защищенности промышленных сетей. Например, Firewall Builderдля облегчения процесса создания правил для МСЭ на базе iptables, ASA/PIX, pf, ACL на маршрутизаторах и т.д.
- Виртуальные машины с операционными системами Kali Linux, REMnux Linux и Security Onion для проведения оценки защищенности и расследований промышленных приложений и устройств. В рамках курса ICS515 нам также предоставляли ПО для Windows, с помощью которого мы проводили расследование инцидентов на узлах АСУ ТП в промышленных сетях. Насколько я понял, в CybatiWorks оно не входит.
- ПО OPC-сервера, HMI и других промышленных приложений, например, RSLogix (ПО для программирования контроллеров).
- Информационные материалы по вопросам промышленной ИБ.
- Платформа Raspberry PI и общедоступные промышленные компоненты, имеющие интерфейсы ввода/вывода и позволяющие загружать на них соответствующую логику.
- Модель "светофора", на которой эмулируется работа реальной системы управления технологическими процессами. Вообще помимо "светофора" платформа Cybati может комплектоваться и другими "физическими" компонентами, включая и контроллеры MicroLogix или Siemens или Allen-Bradley.
Модель светофора выбрана не случайно. С одной стороны она компактна (это вам не стенд с цифровой подстанцией и не модель железной дороги), а с другой на ее основе можно тестировать вполне реальные сценарии (достаточно посмотреть вокруг и увидеть, что аналогичные системы у нас управляют автомобильным транспортом на дорогах, движением электропоездов и самолетов и т.п.
ПО, установленное на виртуальной машине, позволяет формировать нужную логику для контроллера, передающего команды на "светофор", тем самым изучая, как можно вмешаться в логику технологического процесса.
При этом, с помощью ПО, входящего в состав Kali и Security Onion, возможно проведение атак на элементы симулятора, а также мониторинг трафика в промышленной сети и обнаружение атак на нее.
В состав дистрибутива входит множество различных сценариев изучения промышленной ИБ - от детских занятий до проведения полноценных CTF, от базовых примеров использования платформы до прохождения целых миссий по промышленной ИБ и зарабатыванием баллов.
Также в дистрибутив включено несколько интересных компонентов:
- описание кейсов и инцидентов на промышленные системы
- отчеты Threat Intelligence по известным хакерским кампаниям (хотя, возможно, это уже добавили в рамках ICS515)
- описания промышленных протоколов
- куча сетевых дампов с трафиком промышленных систем и атаками для самостоятельного изучения
- и т.д.
Среди прочего, в CybatiWorks входит модуль The Brain, содержащий "карту памяти" (mind map) по вопросам промышленной ИБ - куча ссылок на различные стандарты, рабочие группы, решения, кейсы и т.п.
Для запоминания терминов по ИБ и промышленным системам в платформу включено два словаря и специальное ПО Ankiдля их запоминания.
Также в CybatiWorks входит интересный инструмент для моделирования атак - ADToolс кучей уже созданных примеров, на базе которых можно создавать свои "деревья атак" и мер по их нейтрализации.
Пока не до конца разобрался со всем тем, что есть в CybatiWorks. Но потенциал у нее богатый. Куча пока еще не изученного ПО, используемого в целях повышения защищенности промышленных сетей. Например, Firewall Builderдля облегчения процесса создания правил для МСЭ на базе iptables, ASA/PIX, pf, ACL на маршрутизаторах и т.д.
Вообще, интересная штука оказалась эта CybatiWorks. На ее основе строятся почти все учения в области промышленной кибербезопасности в последнее время. Тот же GridEx в США, в рамках которого эмулируются и отражаются атаки на электроэнергетику. Про эти учения я еще напишу отдельно. Ну а в заключении дам ссылку на сайт Cybati - https://cybati.org.
