今年、私たちはサイバートレーニンググラウンドを作成するための大規模なプロジェクトを立ち上げました。これは、さまざまな業界の企業向けのサイバートレーニングのプラットフォームです。これを行うには、「自然と同一」の仮想インフラストラクチャを作成する必要があります。これにより、ネットワークの企業セグメントだけでなく、銀行やエネルギー会社などの一般的な内部構造が繰り返されます。少し後で、サイバー埋め立て地の銀行業務やその他のインフラストラクチャについて、そして今日は、産業企業の技術セグメントに関連してこの問題をどのように解決したかについて説明します。
もちろん、サイバー演習とサイバーポリゴンのトピックは昨日登場しませんでした。欧米では、競合する提案の輪、サイバートレーニングへのさまざまなアプローチ、そして単にベストプラクティスが長い間形成されてきました。情報セキュリティサービスの「良い形」は、実際にサイバー攻撃を撃退する準備を定期的に実践することです。ロシアにとって、これはまだ新しいトピックです。はい、供給は少なく、数年前に発生しましたが、特に産業部門での需要は、今から少しずつ形成され始めました。これには3つの主な理由があると私たちは信じています-それらはすでに非常に明白になっている問題です。
世界は急速に変化しています
10年前でさえ、ハッカーは主に、すぐにお金を引き出すことができる組織を攻撃しました。業界にとって、この脅威はそれほど重要ではありませんでした。現在、州の組織、エネルギー、産業企業のインフラストラクチャも関心の対象になりつつあることがわかります。ここでは、スパイ活動、さまざまな目的(競争力のあるインテリジェンス、ブラックメール)でのデータ盗難の試み、および関心のある仲間にさらに販売するためのインフラストラクチャ内のプレゼンスポイントの取得を頻繁に扱います。さて、WannaCryのような些細な身代金でさえ、世界中の多くの同様のオブジェクトをフックしました。したがって、現代の現実では、情報セキュリティの専門家がこれらのリスクを考慮に入れて、新しい情報セキュリティプロセスを形成する必要があります。特に、定期的に資格を向上させ、実践的なスキルだけを実践すること。産業施設の運用および派遣管理のすべてのレベルの担当者は、サイバー攻撃が発生した場合に実行するアクションを明確に理解している必要があります。しかし、あなた自身のインフラストラクチャでサイバートレーニングを実行するために-ありがとう、リスクは明らかに可能な利益を上回ります。
攻撃者がICSおよびIIoTシステムをクラックする実際の機能を
理解していないこの問題は、組織のすべてのレベルに存在します。すべての専門家でさえ、システムに何が起こり得るか、システムへの攻撃のベクトルは何かを理解しているわけではありません。リーダーシップについて何が言えますか。
セキュリティ担当者は、攻撃者が企業ネットワークを超えることを許可しないと思われる「エアギャップ」に訴えることがよくありますが、実際には、組織の90%で企業セグメントとテクノロジーセグメントの間に関係があることが示されています。同時に、産業用ネットワークの構築と管理の要素そのものにも脆弱性があることがよくあります。これは、特にMOXAとSchneiderElectricの機器を調べているときに見られました。
適切な脅威モデルを構築することは困難です
近年、情報と自動化システムの複雑化の絶え間ないプロセス、およびコンピューティングリソースと物理的機器の統合を含むサイバー物理システムへの移行がありました。システムは非常に複雑になっているため、分析手法を使用してサイバー攻撃の完全な結果を予測することは不可能です。組織への経済的損害だけでなく、技術者や業界にとって理解できる結果の評価についても話し合っています。たとえば、電力不足や、石油やガス、石油化学製品について話している場合は、別の種類の製品です。そして、そのような状況でどのように優先順位を付けるのですか?
実際、私たちの意見では、これらすべてが、ロシアでサイバートレーニングとサイバーポリゴンの概念が出現するための前提条件になりました。
サイバー埋め立ての技術セグメントの仕組み
サイバーポリゴンは、さまざまな業界の企業の典型的なインフラストラクチャを複製する仮想インフラストラクチャの複合体です。これにより、「猫のトレーニング」が可能になります。何かがうまくいかず、サイバートレーニングが実際の企業の活動に損害を与えるリスクなしに、スペシャリストの実践的なスキルを習得できます。大規模な情報セキュリティ会社がこの分野の開発を始めています。このようなサイバートレーニングは、Positive HackDaysなどのゲーム形式で見ることができます。
従来の大企業または企業の典型的なネットワークインフラストラクチャスキームは、かなり標準的なサーバーのセット、作業用コンピュータ、および企業のソフトウェアと情報セキュリティシステムの典型的なセットを備えたさまざまなネットワークデバイスです。業界のサイバーポリゴンはすべて同じですが、仮想モデルを大幅に複雑にする深刻な詳細があります。
サイバーポリゴンを現実に近づけた方法
概念的には、サイバーポリゴンの工業部分の外観は、複雑なサイバー物理システムをモデル化するために選択した方法に依存します。モデリングには3つの主要なアプローチがあります
。これらのアプローチにはそれぞれ長所と短所があります。場合によっては、最終的な目標と既存の制約に応じて、上記の3つのモデリング方法すべてを適用できます。これらの方法の選択を形式化するために、次のアルゴリズムをまとめました。
さまざまなモデリング方法の長所と短所を図の形式で表すことができます。ここで、縦軸は研究領域の範囲(つまり、提案されたモデリングツールの柔軟性)であり、横軸は精度です。モデリング(実際のシステムとの対応の程度)。それはほとんどガートナーの正方形であることがわかります:
したがって、いわゆるハードウェアインザループ(HIL)シミュレーションは、シミュレーションの精度と柔軟性の比率の観点から最適です。このアプローチの枠組みの中で、サイバー物理システムは、一部は実際の機器を使用してモデル化され、一部は数学モデルを使用してモデル化されます。たとえば、電気変電所は、実際のマイクロプロセッサデバイス(リレー保護端末)、自動制御システムのサーバー、およびその他の二次機器で表すことができ、電気ネットワークで行われる物理プロセスは、コンピュータモデルを使用して実装できます。さて、モデリング方法を決定しました。その後、サイバーポリゴンのアーキテクチャを開発する必要がありました。サイバートレーニングを本当に役立つものにするために、実際の複雑なサイバー物理システムのすべての相互接続は、テストサイトで可能な限り正確に再作成する必要があります。したがって、私たちの国では、実際の生活と同様に、サイバーポリゴンの技術的な部分はいくつかの相互作用するレベルで構成されています。典型的な産業用ネットワークインフラストラクチャには、いわゆる「一次機器」が属する最低レベルが含まれていることを思い出してください。これは、業界に応じて、光ファイバ、電気ネットワーク、またはその他のものです。データを交換し、SCADAシステムである特殊な産業用コントローラーによって制御されます。典型的な産業用ネットワークインフラストラクチャには、業界に応じて、いわゆる「一次機器」が属する最低レベルが含まれます。これは、光ファイバ、電気ネットワーク、またはその他のものです。データを交換し、SCADAシステムである特殊な産業用コントローラーによって制御されます。典型的な産業用ネットワークインフラストラクチャには、業界に応じて、いわゆる「一次機器」が属する最低レベルが含まれます。これは、光ファイバ、電気ネットワーク、またはその他のものです。データを交換し、SCADAシステムである特殊な産業用コントローラーによって制御されます。
サイバーポルゴンの産業部分の作成をエネルギーセグメントから開始しました。これは現在私たちの優先事項です(計画には石油、ガス、化学産業が含まれます)。
実物を使った本格的なモデリングでは、一次設備のレベルを実現できないことは明らかです。そのため、最初の段階で、電力設備と電力システムの隣接セクションの数学モデルを開発しました。このモデルには、変電所のすべての電力設備(電力線、変圧器など)が含まれ、特別なRSCADソフトウェアパッケージで実行されます。この方法で作成されたモデルは、リアルタイムコンピューティングコンプレックスで処理できます-その主な機能は、実際のシステムでの処理時間とモデルでの処理時間が完全に同一であるということです-つまり、実際のネットワークで短絡が2秒間続く場合、まったく同じ量でシミュレートされますRSCADで)。電力システムの「ライブ」セクションを取得します。すべての物理法則に従って機能し、外部の影響(たとえば、リレー保護および自動化端子の作動、スイッチの切断など)にさえ反応します。外部デバイスとの相互作用は、数学モデルがコントローラーのレベルおよび自動システムのレベルと相互作用できるようにする特殊なカスタム通信インターフェースを使用して実現されました。
しかし、電力設備のまさにレベルのコントローラーと自動制御システムは、実際の産業機器を使用して作成できます(ただし、必要に応じて、仮想モデルを使用することもできます)。これらの2つのレベルには、それぞれ、コントローラーと自動化装置(リレー保護および自動化装置、PMU、USPD、メーター)と自動制御システム(SCADA、OIC、AIISKUE)があります。本格的なモデリングは、モデルのリアリズムを大幅に向上させることができ、したがって、チームは独自の特性、バグ、および脆弱性を持つ実際の産業機器と対話するため、サイバー演習自体を実行できます。
第3段階では、専用のハードウェアおよびソフトウェアインターフェイスと信号増幅器を使用して、モデルの数学的部分と物理的部分の相互作用を実装しました。
その結果、インフラストラクチャは次のようになります。
埋め立て地のすべての機器は、実際のサイバー物理システムと同じように相互作用します。具体的には、このモデルを構築する際に、次の機器とコンピューティング設備を使用しました。
- 「リアルタイム」で計算を実行するための複雑なRTDSの計算。
- 電気変電所の技術プロセスと主要機器をモデル化するためのソフトウェアがインストールされた、オペレーターの自動ワークステーション(AWS)。
- 通信機器、リレー保護および自動化端末、およびAPCS機器を備えたキャビネット。
- RTDSシミュレータのデジタルからアナログへのコンバータボードからのアナログ信号を増幅するように設計されたアンプキャビネット。各アンプキャビネットには、調査中のリレー保護端子の電流および電圧入力信号を生成するために使用される増幅ユニットの異なるセットが含まれています。入力信号は、リレー端子の通常の動作に必要なレベルまで増幅されます。
これが唯一の可能な解決策ではありませんが、現代の大多数の変電所の実際のアーキテクチャを反映していると同時に、特定のオブジェクトの一部の機能を正確に再現するようにカスタマイズできるため、サイバー演習の実行に最適であると考えています。
最後に
サイバーポリゴンは巨大なプロジェクトであり、まだ多くの作業があります。欧米の同僚の経験を研究する一方で、ロシアの産業企業と協力した経験に頼って、さまざまな業界だけでなくさまざまな国にも特定の特徴があるため、多くのことをしなければなりません。これは複雑で興味深いトピックです。
それでも、ロシアでは、業界がサイバートレーニングの必要性も理解しているときに、彼らが言うように「成熟度」に到達したと確信しています。これは、業界がまもなく独自のベストプラクティスを持つことを意味し、セキュリティのレベルを強化したいと考えています。
著者
OlegArkhangelsky、Industrial CyberPolygonプロジェクトのリードアナリスト兼メソドロジスト。
インダストリアルサイバーポリゴンプロジェクトのチーフエンジニア、Dmitry Syutov;
Andrey Kuznetsov、産業サイバーポリゴンプロジェクトの責任者、生産のためのICSサイバーセキュリティ研究所の副責任者