Імітаційне моделювання питань інформаційної безпеки

12.09.2016

Імітаційне моделювання питань інформаційної безпеки

Тема кібербезпеки для енергетичних компаній, в силу абсолютно об’єктивних причин, стає все більш актуальною. У даній статті зроблено ухил на специфіку енергетичних компаній, але все методики і рекомендації практично повністю застосовні до будь-яких промислових систем автоматизації і управління незалежно від галузі.

Сьогодні процеси виробництва, передачі і розподілу електроенергії істотно залежать від інформаційних систем, включаючи і мережі передачі даних. Енергокомпанії централізовано здійснюють контроль і управління, що породжує якісно нові загрози і ризики, оскільки зовсім недавно ці функції виконувалися локально і децентралізовано.

Розвиток технологій smart- і microgrids і розумного обліку ведуть до появи численних нових послуг і сервісів, в тому числі і шляхом залучення споживачів, що кардинально змінює архітектуру систем в сторону розподіленої автоматизації і змінює принципи управління, доступу і використання інформаційних систем. Іншими словами, хакери можуть ставити під загрозу нормальне функціонування енергокомпаній вже не тільки шляхом віддаленої атаки на об’єкти ІТ-інфраструктури енергокомпаній, але і за допомогою атаки на (через) споживачів.

У ситуації, коли скорочення операційних витрат і збільшення виручки за рахунок надання нових сервісів можливо головним чином тільки завдяки використанню передових технологій, в тому числі і «Інтернету речей», тенденцію до інтеграції та збільшення числа зв’язків між рішеннями і системами вже не зупинити. Зростання вразливості подібних систем до кібератаки компенсується використанням нових технологій і засобів захисту. Як і в історичному процесі «змагання» броні і зброї переможця не буде, на кожному витку технологічної спіралі будуть вдосконалюватися способи нападу і вишукувати адекватні їм засоби захисту.

З практичної точки зору при плануванні технічних і організаційних заходів щодо забезпечення інформаційної безпеки виникає оптимізаційна задача мінімізації витрат при максимальному зниженні ризиків та недопущення критичних. Застереження про критичні ризики є важливим граничною умовою. У бізнесі неможливо компенсувати всі ризики, така лінія поведінки зробить вашу продукцію і послуги неконкурентоспроможними, тому якісь з них необхідно усвідомлено прийняти. Найчастіше допустимо прийняття навіть частини критичних ризиків. Головне – не допустити катастрофічних ризиків, при яких виникає загроза втрати бізнесу або пряма небезпека для життя людей.

Об’єктивні складності оптимізації витрат

Очевидно, що доцільність і точність визначення необхідності додаткових витрат на заходи щодо забезпечення кібербезпеки залежать від адекватності моделі загроз і правильності розрахунку ризиків. Поняття ризику відноситься до багатовимірним категоріям, але в інженерному сенсі і стосовно до задачі аналізу, «ризик» – це ймовірність, помножена на наслідки. У нашому випадку, коли мова йде про кіберзагрози, обидві частини цього рівняння нам, на жаль, невідомі або можуть бути оцінені лише приблизно. У частині оцінки ймовірності ми не можемо покладатися на статистику – надійної статистики стосовно до конкретних систем просто не існує в силу ряду об’єктивних і суб’єктивних причин:

– в повному обсязі інциденти фіксуються, а тим більше потрапляють у відкриті звіти;

– не завжди є можливість достовірно визначити зв’язок технологічних збоїв з діями хакерів, в «просунутих» атаках обов’язковим є етап приховування слідів проникнення;

– самі потенційно небезпечні атаки реалізуються рідко або взагалі поки не були зафіксовані, за існуючою статистикою від початку поширення просунутих вірусів до їх виявлення проходять роки;

– ймовірність успішної атаки пропорційна мотивації і ресурсу порушника, що в свою чергу є функцією часу і значної кількості подій, які ще не відбулися і не можуть бути достовірно передбачити.

Що стосується оцінки збитку, то тут ситуація ще складніша. Всі енергетичні об’єкти є складними системами, тому порушення функціонування будь-якого елемента закономірно відбивається на інших елементах. В силу відсутності знання про способи і види майбутніх атак ступінь впливу на інші елементи передбачити складно. Ще більше ускладнює оцінку той факт, що в енергетичному секторі збої можуть викликати каскадний ефект і / або ефект доміно – коли проблеми в одній підсистемі негайно або з невеликою затримкою призводять до збою в залежних підсистемах. Порушення в енергетичній інфраструктурі однієї країни або регіону може спровокувати розвиток каскадного ефекту в такій мірі, що в результаті постраждає інфраструктура інших країн.

Передумови для проектування моделей

Оптимізаційна задача – складна функція від початкових (граничних) умов, наприклад таких, як розмір організації та склад пропонованих до неї вимог регуляторів, точки зору, з якої йде розгляд, – фахівця з ІБ, керівника або власника. Дуже важливо на початкових етапах не перевантажувати модель, в надії, що вдасться за допомогою математичних методів створити саморегулюючу і самообучающуюся програму, яка зможе оптимально відповідати на всі питання, в тому числі і не закладені в алгоритми спочатку. Принципи проектування моделі будуть також відрізнятися в залежності від сценарію: потрібно чи оптимізація захисту існуючої інфраструктури і програмно-технічних засобів або мова йде про нове будівництво. При наростаючих кризових явищах надзвичайно затребуваним може бути моделювання сценарію мінімальної достатності. Очевидно, що автоматичне урізання бюджету на заходи щодо забезпечення інформаційної безпеки, наприклад на 30%, виглядає, на перший погляд, розумним, на тлі триваючого процесу економії і скорочення інших бюджетів. Реальність така, що без моделювання та оцінки наслідків легко можна опинитися в ситуації, коли через 30-відсоткову економію вийде, що залишилися 70% ми витратимо даремно. Безпека – комплексне і багатофакторне поняття, способів атаки і потенційних вразливостей безліч, і зловмисники будуть використовувати будь-який слабке місце. Метафора для цієї тези дуже проста – немає необхідності витрачати гроші на решітки і сигналізацію на «вікна», якщо ми не замикаємо «двері». Одним з кращих способів досягнення пропорційності і збалансованості інвестицій для вирішення складних завдань є декомпозиція на більш прості завдання. З точки зору математики можливе послідовне застосування паралельно-послідовної декомпозиції, а стосовно простих функцій побудова їх суперпозиції.

У рекомендаціях National Institute of Standards and Technology «Framework for Improving Critical Infrastructure Cybersecurity» міститься детальний опис процесу дроблення функцій на категорії та підкатегорії. Звернемо увагу на верхній рівень функцій (рис. 1), що містить в причинно-наслідкового зв’язку базові функції, які повинні бути пропорційно забезпечені організаційними і технічними засобами.

структура мероприятий energy-01

Мал. 1. Структура заходів для досягнення конкретних результатів в області кібербезпеки

Обгрунтований спосіб визначення необхідних для моделювання агентів можна запозичувати зі стандарту ISO / IEC 27032 до: 2012 «Guidelines for cybersecurity». На мал. 2 наведено перелік видів агентів і відображені суттєві зв’язки між ними.

модель понятий безопасности energy-02

Мал. 2. Концептуальна модель понять безпеки і зв’язків між ними

Абсолютно аналогічну схему понять безпеки і їх взаємозв’язку з точністю до тонкощів перекладу містить ДСТУ ISO / IEC 15408-1-2012.

Вищезгаданий стандарт вносить важливе розширення в загальну модель ризику, він представляє ймовірність як суперпозицію «загроз» і «вразливостей» (мал. 3).

Общая модель риска energy-03

Мал. 3. Загальна модель ризику згідно ISO / IEC 27032 до: 2012

У граничних випадках це уточнення абсолютно зрозуміло: як би не були великі загрози, якщо відсутні уразливості, то ймовірність реалізації ризику дорівнює нулю.

У предметної області менеджменту ризиків існує принаймні 31 метод, рекомендований для підтримки процесу оцінки ризику. Всі вони мають різну застосовність і ефективність на різних стадіях: ідентифікації ризиків, аналізу наслідків, аналізу імовірнісних характеристик, порівняльних оцінок і рівня ризику. Стосовно до задачі побудови моделі загроз, на початковому етапі ідентифікації небезпек і ризику для людей, обладнання, навколишнього середовища ефективно використовувати методології дослідження небезпеки і працездатності (HAZOP – Hazard and Operability Study). Порівняльна оцінка ризику може бути отримана моделюванням методом Монте-Карло. Це хороший спосіб оцінки впливу невизначеності оцінки параметрів системи в широкому діапазоні ситуацій, особливо якщо характер розподілу змінних (рівномірний, трикутний, нормальний або логарифмічний) відомий заздалегідь з аналогічних процесів, фізичного сенсу і т. П. Слід лише пам’ятати, що метод Монте-Карло не може адекватно моделювати події з дуже високою або дуже низькою ймовірністю появи.

Поточний стан питання

Тема потенціалу використання агентного моделювання енергетичних систем в контексті кібербезпеки давно обговорюється в науковому співтоваристві. Незважаючи на багаторічний досвід досліджень, окремі позитивні результати і очевидну корисність, методи імітаційного моделювання питань інформаційної безпеки не отримали широкого практичного застосування. Для глибокого аналізу причин можна побудувати окрему модель, але щоб не потрапити в нескінченну рекурсію, обмежимося логічними побудовами.

В першу чергу припустимо, що і низька затребуваність попередніх результатів, і відмова від продовження фінансування, пов’язані з галузевою специфікою. Наукова школа в енергетиці надзвичайно сильна і розвинена в усьому, що стосується планування режимів, статики і динаміки електричних процесів, оцінки стану і багато чого іншого. В роботі використовується значна кількість симуляторів енергосистеми і режимних тренажерів диспетчера, побудованих на їх основі. Спроба, на цих же принципах і з тієї ж високою шкалою оцінок і вимог, підійти до обговорюваної задачі, приречена на провал. У наших моделях не діють фізичні закони Ома і Кірхгофа або диференціальні рівняння, що визначають поведінку електричних машин, всі вони, нехай і складні для вирішення при великій кількості вузлів, забезпечують необхідну визначеність і точність результату. Для подолання цього конфлікту очікувань і сприйняття результату необхідно взаємне рух назустріч команди аналітиків і персоналу замовника.

Інша очевидна трудність моделювання – необхідність працювати на стику абсолютно різних предметних областей. Важко очікувати, що глибокі пізнання в енергетиці перетнуться з широкими уявленнями в області інформаційної безпеки і примножиться на досвід в області застосування статистики та методів математичного моделювання в одній людині. Навіть якщо припустити, що ми знайдемо такого фахівця, то в силу масштабів завдання на рішення йому потрібно дуже багато часу. Ми з неминучістю приходимо до необхідності командної роботи в такому проекті, розподілу ролей, вироблення та узгодження термінології і т. Д. У великій організації і холдингу це повинна бути не разова акція, а постійний бізнес-процес.

Старту робіт найчастіше заважає відсутність сформульованої постановки завдань, що вимагають оптимізації шляхом моделювання. Найбільш частим станом питань інформаційної безпеки на підприємстві є відсутність власних актуальних моделей загроз і порушника або навіть запозичених, але належним чином адаптованих до операційної діяльності енергокомпанії. Ще частіше відсутні будь-які метрики поточного стану захищеності і розуміння цільового стану, що не дозволяє ефективно і комплексно планувати заходи та об’єктивно контролювати прогрес.

В останню чергу за списком, але не за значенням, поставимо питання секретності. Будь-яка інформація про стан захищеності об’єктів КСІІ (Ключова Система Інформаційної Інфраструктури), нехай і отримана шляхом моделювання, є закритою. Дотримання режиму конфіденційності серйозним чином ускладнює виконання робіт з моделювання. Наприклад, замовник не має права (або побоюється) розкривати певні дані і передаються тільки невеликі вибірки або навіть навмисно спотворені значення. При налагодженні моделі це призводить, відповідно, до помилкового визначення виду розподілу вихідних даних і серйозних помилок в масштабних коефіцієнтах, в результаті чого оптимізаційна крива має «правильну форму і поведінку», але початкова достовірність передбачених чисельних значень стає низькою.

Метрики інформаційної безпеки

Зазначені вище наводить на думку, що перед нами типова «слонова» завдання, яка піддається вирішенню тільки шляхом розбиття на частини. Почнемо процес декомпозиції.

В першу чергу, для кожного об’єкта треба визначитися з його «розмірністю» і потенційними «слабкостями». Уразливість – це невід’ємна властивість практично будь-якого елементу інфраструктури інформаційних технологій: комп’ютера, телекомунікаційного обладнання, програмного забезпечення, сервера, контролера і т. П. Очевидно, що чим більше таких позицій, тим більше потенційна «поверхню для атаки» в цьому ж переліку. (У дужках хотілося б зазначити, що при проведенні моделювання наочним чином можна продемонструвати, що для кожної «розмірності» об’єкта існує якийсь оптимум складу і засобів захисту. Справді, обладнання та спеціалізоване програмне забезпечення, призначене для захисту від атак, також може містити уразливості і його наявність збільшує «поверхню» для атаки. Особливо часто мішенню для хакерів стають засоби захисту, які діють в автоматичному режимі. Не будемо також забувати, що зломщик зазвичай не я вляется фахівцем в енергетиці, а у протидії системам захисту розбирається краще, оскільки один і той же програмне забезпечення використовується в різних галузях).

Окремим вектором необхідно врахувати і обслуговуючий персонал. Кожному з видів пристроїв є можливість експертним шляхом або, грунтуючись на даних статистики, встановити індивідуальний ваговий коефіцієнт «уразливості». Очевидно, що пристрої, які не мають доступу по IP, менш уразливі, а за даними статистики OC Linux, рідше піддається вірусним атакам. Ці порівняно нескладні оцінки, після нанесення на радарну діаграму, дадуть нам наочну картину розподілу потенційних вразливостей для обґрунтованого планування заходів, а використавши формулу довжини n мірного вектора a = {a1; a2; …; an},

отримаємо необхідну метрику.

схема energy-04

Отримане значення можна навести таким чином, щоб максимальне значення дорівнювало одиниці, і отримати синтетичну метрику «уразливості» конкретного об’єкта. Принципово важливим є процес запуску процедури перерахунку при кожній зміні таких параметрів як:

– зміна кількості, виду і стану обладнання (відключений і виведене в ремонт обладнання не може використовуватися для атаки);

– чисельного складу персоналу, його кваліфікації, ролей і обов’язків;

– зміна конфігурації мережі, поділу та об’єднання її сегментів;

– при появі нових відомостей в базах даних вразливостей (ФСТЕК Росії спільно із зацікавленими федеральними органами виконавчої влади та організаціями сформував банк даних загроз безпеки інформації).

Після нанесення значень на лінію часу ми отримаємо динаміку змін уразливості як функцію часу, поки без урахування ефективності наших контрзаходів. При будь-якій кількості об’єктів різних видів, застосовуючи ті ж дії, ми можемо отримувати різні радарні діаграми в залежності від рішень, які нам необхідно прийняти. І завжди мати інтегральний показник, важливий не сам по собі, а саме в динаміці. Керівництво компанії матиме оцінку, в який бік змінюється ситуація з часом і яка динаміка цих змін.

Дотримуючись описаної технології, можна отримати потрібну кількість як незалежних метрик, так і похідних від них KPI, орієнтованих на прийняття управлінських рішень. У якості відправної точки можна порекомендувати схему (мал. 4).

информационная безопасность energy-05

Мал. 4. Логічна структура контролю заходів щодо забезпечення інформаційної безпеки

І ще кілька слів про користь, яка може бути отримана від регулярного розрахунку метрик і вимірювань характеристик процесів, пов’язаних з інформаційною безпекою. Загальновідомо, що рішення треба приймати, базуючись на об’єктивних даних. У більшості випадків навіть 15 значень це вже непогано, а 30 – дозволяє робити досить обґрунтовані припущення. У тому числі з’являється можливість зробити важливий висновок: чи є вимірюваний процес регулярним в бізнес-розумінні цього терміна. Неможливо покращувати нерегулярні бізнес-процеси, їх спочатку треба «поставити»! Основним статистичним критерієм та доказом регулярності бізнес-процесу є той факт, що відхилення його метрики або KPI добре описуються нормальним розподілом (ці положення є одним з наріжних каменів Лін Шість Сигм).

Напрямки і методи оптимізації

Один з базових способів прискорення обчислень в імітаційних моделях, спрощення їх створення і налагодження – зниження розмірності моделі при одночасному зменшенні кількості зв’язків між агентами. Застосуємо цю техніку до отримання портрета зловмисника. Для класифікації порушників визначимо набір ознак, що впливають на успіх проведення атаки (мал. 5).

energy-06

Мал. 5. Набір ознак, що впливають на успіх проведення атаки

Різні набори значення по різних осях дають нам можливість побудувати «спектр порушників», для практичних цілей кількість груп треба звести до рівня мінімальної достатності. В якості першого наближення рекомендуємо обмежитися наступної типизацией:

– «Хакер-любитель» – приватна особа, що намагається знайти можливості і способи злому технологічних і SCADA-систем, що мають інтерфейси в Інтернет за допомогою відомих вразливостей, знайдених з використанням пошукової системи «Shodan»;

– «Інсайдер» (в тому числі «без злого умислу») – незадоволений співробітник або обслуговуючий персонал власної або сторонніх організацій (постачальники, партнери, наладчики), який має права доступу і знає тонкощі експлуатації систем і способи зберігання конфіденційних даних;

– «Ворог» – злочинні угруповання і іноземні уряди (Cyber ​​Espionage, Cyber ​​Crime, Cyber ​​Activism, Cyber ​​Terrorism, Cyber ​​War і т. П.).

Такий поділ еквівалентно в математичному сенсі переходу від матриць більшої розмірності до матриць меншої розмірності або навіть векторах.

На практиці поведінка «хакерів-любителів» успішно описується мовою ймовірностей, оскільки по частоті і способам таких атак є значна кількість статистичних даних. Досить ефективним захистом є спеціалізовані програмні та технічні засоби, навіть прості і бюджетні. Заходи від цієї категорії порушників повинні плануватися і виконуватися в першу чергу. (Слід пам’ятати, що в цьому випадку «не обов’язково бути метою, щоб стати жертвою». Наприклад, вірус, призначений для крадіжки паролів в онлайнових іграх, цілком може пошкодити АСУ ТП. Зрозуміло, автори не тестували його на сумісність з технологічними системами).

«Інсайдер» – найскладніший в моделюванні та протидію тип порушника. Ризики, пов’язані з ними, часто недооцінюються. Компенсаційні заходи обов’язково повинні включати в себе комплекс організаційно-технічних заходів. Для їх обґрунтованої розробки повинні розглядатися різні типізовані образи внутрішнього порушника, такі як «недбалий», «маніпульований», «ображений», «нелояльний», «підробляє», «впроваджений».

Мотивация внутренних нарушителей energy-07

Мал. 6. Мотивація внутрішніх порушників

Що стосується останнього типу порушника, то ми маємо відразу і найбільш складні, і дорогі заходи щодо захисту, а для об’єктів КСІІ ще й високі ризики. Виходом із цього глухого кута, на перший погляд, ситуації є розуміння того факту, що ви не можете (і не повинні!) Самостійно і самотужки протистояти таким загрозам. Наочну аналогію можна знайти в суміжній галузі фізичного захисту і безпеки. Припустимо, навколо об’єкта встановлений паркан і ведеться відеоспостереження, це абсолютно адекватний спосіб захисту від диких тварин, нетверезих громадян, «мисливців» за кольоровими металами, але якщо об’єкт атакує збройне бандформування, треба викликати ОМОН, спецназ або навіть звертатися до військових. Цілком делегувати ризик не вийде. Звернення за допомогою повинно бути своєчасним і обґрунтованим, а для подальшого розшуку і покарання винних надана доказова база. З цією метою технічними та організаційними засобами повинно бути забезпечено виявлення атак, моніторинг стану і надійне ведення журналів подій.

Ймовірна структура загроз

Точне розуміння видів загроз має вирішальне значення для планування заходів щодо захисту. У якості відправної точки можна використовувати рекомендації, представлені в таблиці.

 

Десять основних загроз для промислових систем автоматизації і управління

Угроза Примечание
1 Несанкционированное использование точек доступа дистанционного технического обслуживания Точки доступа для технического обслуживания – специально созданные внешние входы в сеть ICS*, которые часто бывают недостаточно безопасными.
2 Сетевые атаки через корпоративную сеть В большинстве случаев также существуют сетевые связи между офисами и сетью ICS, которые нарушители также могут использовать для получения доступа к сети.
3 Атаки на стандартные компоненты, используемые в сети ICS Стандартные компоненты ИТ (готовые коммерческие продукты), такие как системное программное обеспечение, сервер приложений или баз данных, часто содержат недостатки и уязвимости, которыми могут воспользоваться нарушители. Если эти стандартные компоненты также используются в сети ICS, то риск успешной атаки на сеть ICS повышается.
4 (D)DoS-атаки (Распределённая) атака типа «отказ в обслуживании» может негативно сказаться на работе сетевых соединений и важнейших ресурсов, а также вызвать сбой систем, например для того, чтобы прервать работу ICS.
5 Человеческая ошибка и саботаж Преднамеренные действия – как со стороны внутренних, так и внешних нарушителей – представляют собой массовую угрозу для всех защищаемых объектов. Большую угрозу также представляют халатность и человеческая ошибка, особенно в отношении защиты конфиденциальности и доступности объектов.
6 Проникновение вируса через съёмный носитель и внешние устройства Использование съёмных носителей и мобильных ИТ-компонентов персоналом всегда связано с высоким риском заражения вирусом.
7 Чтение и запись данных в сети ICS Большинство компонентов контроля в настоящее время использует протоколы без использования шифрования, таким образом, коммуникации остаются незащищёнными. Это упрощает чтение и ввод команд управления.
8 Несанкционированный доступ к ресурсам Внутренним нарушителям и нападающим, чьи атаки следуют за первоначальным внешним проникновением, особенно просто добиться успеха, если сервисы и компоненты в сетевой схеме процесса не используют методы аутентификации и авторизации или если эти методы ненадёжны.
9 Атаки на компоненты сети Нападающие могут манипулировать компонентами сети, чтобы провести атаку с применением технологии «незаконный посредник» или, например, упростить анализ трафика.
10 Технические сбои или форс-мажор Сбои в результате экстремальных погодных условий или технических неполадок могут произойти в любое время – в таких случаях можно только минимизировать риск и потенциальный ущерб.
* Промышленные системы автоматизации и управления. Также часто используется аббревиатура IACS- Industrial Automation & Control Systems

Не завжди можна повністю покладатися на готові рекомендації у виборі пар {[загрози] ‘[заходи захисту]}. По-перше, для частини вузькоспеціальних систем їх може просто не бути, по-друге, ландшафт загроз постійно змінюється, і нарешті автори могли щось пропустити або забути врахувати. Забезпечити повноту перебору всіх можливих варіантів не вдаючись до допомоги допоміжних засобів досить складно. Як приклад (рис. 7) наведено один з інтерфейсів інформаційно-аналітичної системи, одна з підсистем якої допомагає декомпозировать нормативно-довідкову документацію предметної області і зберігати її у вигляді ієрархії тез.

Интерфейс информационно-аналитической системы energy-08

Мал. 7. Інтерфейс інформаційно-аналітичної системи

Робота по декомпозиції – це спільна праця аналітика і технолога, програмне забезпечення дозволяє формалізувати цей процес, підтримати процедурно і організувати колективний введення і редагування інформації, в тому числі з використанням веб-інтерфейсу. На наступному етапі з’являється можливість встановлювати зв’язки між різними сутностями. Зв’язки можуть бути логічні, семантичні, причинно-наслідкові та т. П. На екрані для прикладу взято два документа – ГОСТ Р 51275-2006 «Перелік об’єктивних і суб’єктивних факторів, що впливають на безпеку інформації, що захищається об’єкта інформатизації» та Наказ ФСТЕК №31 «Склад заходів захисту інформації та їх базові набори для відповідного класу захищеності автоматизованої системи управління ». Кожному фактору ми можемо поставити у відповідність одну або кілька заходів захисту. Кількість сутностей може бути і більше, «тримати в голові» і нічого не пропустити без використання допоміжних засобів, в разі множинних зв’язків, нереально навіть в разі великого досвіду і знань в предметній області. Також засобами інформаційно-аналітичної системи вирішується завдання організації роботи та консолідації оцінок експертів з різних предметних областей. Кожен експерт відповідає за перебування істотних зв’язків між наборами сутностей в своїй галузі знань. Наступним кроком за встановленням зв’язків є «прив’язка вузлів» до інших сутностей. Наприклад, прив’язка до завдань і подій дає нам план заходів, до описів – зв’язний структурований документ і т. П.

Інший цікавий досвід з метою спростити моделювання – це спроба створити спеціалізований мова – Cyber ​​Security Modeling Language (CySeMoL) – розпочата в «KTH Royal Institute of Technology» в Швеції. Мова дозволяє формально описати 59 видів атак, 58 типів захисту для 23-х різновидів активів і встановити відносини між цими сутностями. За задумом авторів, CySeMoL дозволяє користувачеві, що не володіє спеціальними знаннями в області кібербезпеки, моделювати інформаційні системи масштабу підприємства і аналізувати їх вразливість.

Заходи щодо забезпечення кібербезпеки

Ми розглянули теми ризиків, вразливостей, зловмисників і загроз. Перейдемо до обговорення способів планування, здійснення і контролю контрзаходів, спрямованих на захист. Застосуємо той же самий прийом – декомпозіруем завдання на складові. Це дозволить нам перейти від глобальної моделі до суперпозиції локальних моделей. На перших кроках можна знехтувати зв’язками, потім врахувати лише найсуттєвіші з них і так поступово збільшувати складність. Таке наближення і послідовність дій цілком припустимі при виборі «ортотональних» один одному доменів, що мінімізує взаємовплив. Гарний варіант:

– Cистемное адміністрування (SA);

– Мережева безпека (NS);

– безпеку додатків (AS);

– безпеку робочих станцій, серверів і пристроїв (ESDS);

– ідентифікація, аутентифікація і управління доступом (IAAM);

– захист даних і криптографія (DPC);

– моніторинг, управління виправленнями (MVPM);

– аварійне відновлення і фізичний захист (HADRPP);

– реагування на інциденти (IR);

– управління активами і управління ланцюгами поставок (AMSC);

– політики безпеки, аудит і навчання персоналу (PAET).

Як вже розглядалося в розділі «Метрики інформаційної безпеки», радарна діаграма є наочним способом візуалізації (рис. 8). Для прикладу візьмемо експертні оцінки в балах, нанесемо значення на відповідні осі, застосуємо формулу (1) і отримаємо відповідно метрики 7,2 і 15,7 (після приведення до одиниці – 0,22 і 0,47).

меры по обеспечению киберзащиты energy-09

Мал. 8. Приклад подання поточного і цільового стану заходів щодо забезпечення кіберзахисту

Ви можете використовувати власне поділ або адаптувати з існуючих стандартів, як правило, містять такий розподіл. Залежно від обраного стандарту кількість доменів може коливатися від десяти (Department of Homeland Security Cyber ​​Resilience Review – DHS CRR) до тридцяти п’яти (Australian Defense Signals Directorate (DSD) Strategies)!

Якби автору дозволили дати тільки одна порада, на тему, як оптимізувати побудову моделей, відповідь була б: «Менше винаходьте самі, більше покладайтеся на стандарти!». Для кожного випадку можна знайти рекомендації, вибрати з них найбільш підходящі і на їх основі починати моделювання. Як приклад розглянемо докладніше порядок дій, вибравши розділ, де знаходиться «управління виправленнями». Відповідним стандартом буде IEC TR 62443-2-3 «Patch management in the IACS environment». У ньому міститься блок-схема алгоритму застосування «латок безпеки», випущених виробниками (рис. 9). Вивчивши схему, можна однозначно вибрати оптимальну методологію – дискретно-подієвого моделювання. Також стають очевидними напрямки прогнозування та оптимізації – передбачуваний час очікування, протягом якого система буде залишатися вразливою, і порядок і момент накладення виправлень в разі необхідності зупинки технологічного процесу (нижня частина схеми). Потенційно оптимізація часу накладення виправлень безпеки може дати значний економічний ефект при обгрунтованому виборі альтернатив:

– чекати до наступного планового відключення для виведення в ремонт або технічного обслуговування;

– ініціювати негайне оновлення і миритися з втратами;

– змінити графік ТОіР, якщо втрати від простою значні, але не можна відкладати оновлення через високі ризики.

Patch management energy-10

Мал. 9. Patch management (Блок-схема в згаданій версії стандарту може трохи відрізнятися, автор використовував Draft 1 Edit 4, опублікований в 2012 р)

У разі великого парку устаткування і потоку робіт по оновленню ПЗ і прошивок контролерів, якщо нас цікавить моделювання на великий проміжок часу з метою прийняття стратегічних рішень, краще використовувати моделювання методом системної динаміки. За відправну точку при складанні системи диференціальних рівнянь можна взяти схему, яка опублікована в матеріалах CIGRE (мал. 10).

Модель системной динамики для применения исправлений energy-11

Мал. 10. Модель системної динаміки для застосування виправлень

 

На частий питання замовників, якою мірою можна довіряти результатам моделювання, можна відповісти так. Сам процес моделювання вже корисний, оскільки він підштовхує мислити широко і об’ємно і допомагає нам формалізувати знання і досвід інженерів і експертів. На користь моделювання свідчить також і такий простий факт, що при ухваленні рішення ми довіряємо своєї інтуїції і досвіду. У темі кібербезпеки досвіду у всіх ще мало, що стосується «інтуїції», це не більше ніж прості моделі, які будує наш мозок. З психології відомо, що людському мозку складно побудувати інтерполяції-екстраполяції і регресії, відмінні від лінійних, і відслідковувати взаємовплив більш ніж п’яти чинників. При цьому процеси, залежні від часу, зазвичай описуються системами диференціальних рівнянь, і форма і поведінку результуючої оптимизационной кривої можуть бути зовсім несподіваними.

У кожної методології є свої обмеження і область найбільш ефективного застосування. Побудувати модель, яка «сама» запропонує способи оптимізації, практично неможливо. Інша справа, коли є конкретне завдання і ідеї щодо її вирішення. Тоді, за допомогою моделювання, реально виконати оцінку наслідків, термінів, вартості, ймовірності успішної реалізації для кожного сценарію, вибрати кращий варіант і оптимізувати план його реалізації. Обговорення та приклади моделювання різних сценаріїв оптимізації – це тема окремої статті.

 

Павло Литвинов, RTSoft

 

При використанні матеріалів сайту vkt.ua активне посилання на джерело обов’язкове

Статьи

11.09.2018

Промислові компанії все частіше впроваджують Інтернет Речей (IoT) у виробництво і сільське господарство. Таке масштабне підключення до Інтернет-протоколу (IP) створює не тільки багато можливостей (читать далее)

21.08.2018

Можливо, найбільш відома для криптовалюти технологія блокування може бути потужним інструментом для вбудованих систем. Відкладіть на мить Біткойн та розгляньте, що забезпечує блокування: перевірену, (читать далее)