07.10.2015

Впечатления от CybatiWorks

CybatiWorks - это мобильная платформа (существенно меньше Tofino SCADA Security Simulator) для изучения вопросов кибербезопасности промышленных систем, которая состоит из следующих основных частей:

  • Виртуальные машины с операционными системами Kali Linux, REMnux Linux и Security Onion для проведения оценки защищенности и расследований промышленных приложений и устройств. В рамках курса ICS515 нам также предоставляли ПО для Windows, с помощью которого мы проводили расследование инцидентов на узлах АСУ ТП в промышленных сетях. Насколько я понял, в CybatiWorks оно не входит.
  • ПО OPC-сервера, HMI и других промышленных приложений, например, RSLogix (ПО для программирования контроллеров).
  • Информационные материалы по вопросам промышленной ИБ.
  • Платформа Raspberry PI и общедоступные промышленные компоненты, имеющие интерфейсы ввода/вывода и позволяющие загружать на них соответствующую логику.
  • Модель "светофора", на которой эмулируется работа реальной системы управления технологическими процессами. Вообще помимо "светофора" платформа Cybati может комплектоваться и другими "физическими" компонентами, включая и контроллеры MicroLogix или Siemens или Allen-Bradley.



Модель светофора выбрана не случайно. С одной стороны она компактна (это вам не стенд с цифровой подстанцией и не модель железной дороги), а с другой на ее основе можно тестировать вполне реальные сценарии (достаточно посмотреть вокруг и увидеть, что аналогичные системы у нас управляют автомобильным транспортом на дорогах, движением электропоездов и самолетов и т.п.


ПО, установленное на виртуальной машине, позволяет формировать нужную логику для контроллера, передающего команды на "светофор", тем самым изучая, как можно вмешаться в логику технологического процесса.


При этом, с помощью ПО, входящего в состав Kali и Security Onion, возможно проведение атак на элементы симулятора, а также мониторинг трафика в промышленной сети и обнаружение атак на нее.


В состав дистрибутива входит множество различных сценариев изучения промышленной ИБ - от детских занятий до проведения полноценных CTF, от базовых примеров использования платформы до прохождения целых миссий по промышленной ИБ и зарабатыванием баллов.


Также в дистрибутив включено несколько интересных компонентов:

  • описание кейсов и инцидентов на промышленные системы
  • отчеты Threat Intelligence по известным хакерским кампаниям (хотя, возможно, это уже добавили в рамках ICS515)
  • описания промышленных протоколов
  • куча сетевых дампов с трафиком промышленных систем и атаками для самостоятельного изучения
  • и т.д.



Среди прочего, в CybatiWorks входит модуль The Brain, содержащий "карту памяти" (mind map) по вопросам промышленной ИБ - куча ссылок на различные стандарты, рабочие группы, решения, кейсы и т.п.


Для запоминания терминов по ИБ и промышленным системам в платформу включено два словаря и специальное ПО Anki для их запоминания.


Также в CybatiWorks входит интересный инструмент для моделирования атак - ADTool с кучей уже созданных примеров, на базе которых можно создавать свои "деревья атак" и мер по их нейтрализации.


Пока не до конца разобрался со всем тем, что есть в CybatiWorks. Но потенциал у нее богатый. Куча пока еще не изученного ПО, используемого в целях повышения защищенности промышленных сетей. Например, Firewall Builder для облегчения процесса создания правил для МСЭ на базе iptables, ASA/PIX, pf, ACL на маршрутизаторах и т.д.


Вообще, интересная штука оказалась эта CybatiWorks. На ее основе строятся почти все учения в области промышленной кибербезопасности в последнее время. Тот же GridEx в США, в рамках которого эмулируются и отражаются атаки на электроэнергетику. Про эти учения я еще напишу отдельно. Ну а в заключении дам ссылку на сайт Cybati - https://cybati.org.