Представление промежуточных результатов прикладных исследований, организованных и проводимых в Центре НТИ МЭИ. Исследования посвящены тематике обеспечения кибербезопасности вторичных систем объектов "Цифровой энергетики"

Transcript

1. Вопросы применения систем, основанных на знаниях, для целей моделирования угроз

   кибербезопасности индустриальных систем Авторы: к.т.н. Карантаев В.Г., Карпенко В.И. Центр НТИ МЭИ © Карантаев В.Г., Карпенко В.И. 1

2. «В энергетике проведена необходимая модернизация, преодолен разрыв между скоростью старения

   оборудования и внедрением нового оборудования на основе цифровых технологий. Потребителям предоставляется электроэнергия по оптимальному тарифу с прогнозируемым необходимым качеством и надежностью. Создана система готовая противостоять многообразию рисков: технологической зависимости, рисков нарушения надежного, безопасного, эффективного функционирования» http://digitenergy.ru/wp-content/themes/energy/img/pdf/0.pdf © Карантаев В.Г., Карпенко В.И. 2 Образ будущего «Цифровой электроэнергетики» в 2025 гг.

3. Возрастающие риски кибербезопасности вторичных подсистем объектов электроэнергетики в условиях цифровой

   трансформации отрасли. Методическая неопределенность в области оценки угроз безопасности функционирования вторичных подсистем объектов электроэнергетики. Востребованность прикладных исследований на уровне международных экспертных организаций CIGRE и IEEE. Приоритетные тематики: • Кибербезопасность вторичных подсистем объектов электроэнергетики при построении Smart Grid. • Повышение ситуационной осведомленности в условиях проведения компьютерных атак на вторичные системы объектов электроэнергетики. © Карантаев В.Г., Карпенко В.И. 3 Предпосылки к организации исследования

4. Цели научно-прикладной работы: • Разработать способ моделирования угроз кибербезопасности вторичных

   подсистем цифровых подстанций в условиях методической неопределенности. Задачи научно-прикладной работы: • Анализ основных технологических тенденций развития электроэнергетического комплекса. • Обзор исследований и публикаций, посвященных анализу угроз кибербезопасности вторичных подсистем объектов электроэнергетики и последствий их реализации. • Разработка демонстрационного прототипа экспертной системы. • Разработка частной модели угроз для подсистемы РЗА подстанции с высшим классом напряжения 500 кВ. © Карантаев В.Г., Карпенко В.И. 4 Цели и задачи работы:

5. © Карантаев В.Г., Карпенко В.И. 5 Терминология определяет если не

   все, то многое Миссиоцентрический подход к кибербезопасности АСУ ТП https://cyberrus.com/wpcontent/uploads/2 015/05/vkb_10_09.pdf Немного о кибербезопасности https://tb-inform.ru/wp- content/uploads/2016/03/Makarov- SHubinskij-1-statya-v-AIS.pdf Особенности анализа кибербезопасности АСУ ТП на железнодорожном транспорте Безродный Борис Федорович Доклад ITSF Дано около десятка определений кибербезопасность и кибербезопасность АСУ ТП.

6. РНК СИГРЭ Результаты деятельности объединенной проблемной рабочей группы №2 комитетов

   B5/D2 опубликованы: • Сборник докладов международная выставка РЗА 2017 • Обзор деятельности ПРГ РНК СИГРЭ "Кибербезопасность РЗА и систем управления современных объектов электроэнергетики" Генгринович Е.Л., Гуревич А.Ю., Карантаев В.Г., Никандров М.В. Релейщик №2, 2019 стр. 27-29 CIGRE • TB 790 Cybersecurity requirements for PACS and the resilience of PAC architectures WG B5.66 • WG D 2.51 «Implementation of Security Operations Centers (SOC) in Electric Power Industry as Part of Situational Awareness System» Лаборатория Касперского: Дащенко Ю. «Моделирование угроз в условиях методической неопределенности» Исследование Лаборатории кибербезопасности АСУ ТП «Анализ возможных нарушений работоспособности в результате деструктивных воздействий компьютерных атак на цифровые системы управления и защиты объектов электроэнергетического комплекса». Connect Карантаев В.Г., Карпенко В.И. Анализ нарушений работоспособности объектов электроэнергетики вследствие кибератак/Connect 2020 г./ № 1–2 11–12 стр © Карантаев В.Г., Карпенко В.И. 6 Отраслевые исследования

7. © Карантаев В.Г., Карпенко В.И. 7 Результаты работы ПРГ №2

   РНК СИГРЭ Тип исполнения вторичного оборудования электрических подстанций и распредустройств генерации: - электромеханические; - микропроцессорные 1 типа; - микропроцессорные 2 типа (МЭК 61850). Журнал Релейщик №2-2019 27 с.

8. Исследование РНК СИГРЭ. Объединенная группа ПРГ-2 исследовательских комитетов B5/D2 ©

   Карантаев В.Г., Карпенко В.И. 8 Общий принцип объединения подходов ИБ и ФБ Моделирование угроз кибербезопасности в разрезе функциональной безопасности объектов электроэнергетики. Д. Даренский http://rza-expo.ru/doc/rza_materialy3.pdf

9. Результаты исследования отражают экспертную позицию авторского коллектива. Наиболее значимый практический

   результат работы – это следующий вывод: нарушение устойчивости функционирования объектов электроэнергетики с высоким уровнем цифровизации вторичных систем из-за воздействия на них кибератак возможно. Достигнутый результат заставляет по иному воспринимать риски цифровой трансформации электроэнергетической отрасли. © Карантаев В.Г., Карпенко В.И. 9 Актуальные угрозы или история одного НИР Презентация МФЭС 2019 Карантаев В.Г. «Вопросы реализации киберзащищенной цифровой подстанции на основе российских технологий» Connect Карантаев В.Г., Карпенко В.И. Анализ нарушений работоспособности объектов электроэнергетики вследствие кибератак/Connect 2020 г./ № 1–2 11–12 стр

10. © Карантаев В.Г., Карпенко В.И. 10 Вопросы развития РЗА А.В.

    Жуков 5-я Международная научно-техническая конференция «Современные направления развития систем релейной защиты и автоматики энергосистем»

11. • селективность (избирательность) • чувствительность • быстродействие • надежность ©

    Карантаев В.Г., Карпенко В.И. 11 Классические свойства РЗА (Чернобровов Н.В. «Релейная защита»)

12. • CWE Library • CVE Library • CAPEC Library •

    ATT&CK Matrix for Enterprise • ICS ATT&CK Matrix © Карантаев В.Г., Карпенко В.И. 12 Методики моделирования угроз кибербезопасности РЗА ЦПС • Cyber KillChain • ICS Cyber KillChain • STRIDE • Проект методики МУиН 2020

13. © Карантаев В.Г., Карпенко В.И. 13 Способ моделирования угроз кибербезопасности

    РЗА ЦПС Последствие Воздействие Результат реализации киберугрозы Киберугроза Уязвимость Компонент подсистемы Нарушитель Отключение оборудования Ложное срабатывание РЗ Изменение конфигурации ИЭУ РЗА НСД АРМ РЗА CVE-2018- xxxx Внешний хакер АРМ РЗА

14. Для проверки разработанного способа моделирования угроз кибербезопасности были выбраны компоненты

    подсистемы РЗА и проведена разработка МУиН в выбранных детерминированных условиях. Авторами было предположено, что будет рассмотрена ЦПС с высшим классом напряжения 500кВ и последствия, которые могут быть вызваны отключением или повреждением ЛЭП 500кВ или АТ. Далее было зафиксировано, что данные ИЭУ производства наиболее популярного в России иностранного вендора. Дополнительные условия: • ЦПС 3-й архитектуры с децентрализованной системой РЗА. Рассматриваются два терминала: • Комплект основной и резервной защиты ЛЭП 500 и основная защита АТ 500/220/10. • Также рассмотрению подлежит АРМ РЗА © Карантаев В.Г., Карпенко В.И. 14 Реализация частной модели угроз ПАО «ФСК ЕЭС» СТО 56947007-29.240.10.299-2020 Цифровая подстанция. Методические указания по проектированию ЦПС 26.02.2020

15. Приведена первичная схема присоединения и фрагмент схемы ИТС для ИЭУ

    РЗА (показаны точки подключения к измерительным трансформаторам тока и напряжения). На ней присутствуют ЛЭП 500кВ (С), 220кВ(Е), 10кВ(K); Автотрансформатор 500/220/10кВ; Коммутационная аппаратура. © Карантаев В.Г., Карпенко В.И. 15 Первичная схема присоединения ДЗЛ+СЗ ЛЭП В-W1C IED1 ~ ~ ДТЗ АТ1 IED 2 ТА-1-500 TV-1-500 ТА-2-500 ТА-2-220 ТА-1-220 B-W1C B-АТ1C ТА-1-10 B-АТ1E B-W1E B-АТ1K TV-1-220 TV-1-10 TV-2-10

16. Так как рассматривается ЦПС , то необходимо распределение ИЭУ РЗА

    (IED) по УСО (MU) © Карантаев В.Г., Карпенко В.И. 16 Схема распределения по ПАС, ПДС ПАС РУ 500 MU ПАС АТ1 MU ДЗЛ+СЗ ЛЭП W1C IED1 ДТЗ АТ1 IED2 TV-1-500 ТА-2-500 ТА-2-220 ТА-1-10 ТА-1-500 ПДС В- W1C MU ПДС В- АТ1C MU ПДС В- АТ1E MU ПДС В- АТ1K MU

17. © Карантаев В.Г., Карпенко В.И. 17 Схема ЛВС моделируемой ЦПС

    ДЗЛ+СЗ ЛЭП W1C IED1 ДТЗ АТ1 IED2 ПАС РУ 500 MU ПАС АТ1 MU GPS/ГЛОНАСС ПДС В- W1C MU ПДС В- АТ1C MU ПДС В- АТ1E MU ПДС В- АТ1K MU АРМ инженера РЗА Маршрутизатор Граница Подстанции Межсетевой экран Шина подстанции Шина процесса Сетевое оборудование Сетевое оборудование Сервер СОЕВ Контроллер среднего уровня Коммутатор

18. © Карантаев В.Г., Карпенко В.И. 18 Представление входных данных для

    экспертной системы Фрагмент таблицы информационных потоков Фрагмент таблицы анализа известных уязвимостей компонентов подсистемы РЗА ЦПС Компонент подсистемы Составная часть Уязвимости Комплексность Рейтинг CVSS Вид доступа Киберугрозы АРМ Аппаратное обеспечение (BIOS UEFI) CVE-2019- 6322 Low 6.8 (V 3.1) Сетевой Модификация кода BIOS CVE-2019- 6321 Low 7.2 (V 3.1) Сетевой Модификация кода BIOS CVE-2019- 18913 Low 6.8 (V 3.1) Физический Модификация кода BIOS CVE-2012- 5218 Low 7.2 (V 2.0) Физический (Локальный) Подмена загружаемой ОС Отправитель Получатель Информация Протокол ПАС РУ 500 ИЭУ 1 (ДЗЛ W1C) Поток мгновенных значения токов и напряжений SV ПАС АТ1 ИЭУ 2 (ДТЗ АТ1) Поток мгновенных значения токов и напряжений SV ПДС В-W1C ИЭУ 1 (ДЗЛ W1C) Положение выключателя В-W1C GOOSE ИЭУ 1 (ДЗЛ W1C) ПДС В-W1C Сигнал срабатывания защиты ЛЭП GOOSE ПДС В-АТ1C ИЭУ 2 (ДТЗ АТ1) Положение выключателя В-АТ1C GOOSE

19. © Карантаев В.Г., Карпенко В.И. 19 Описание ЭС для МУиН

    База знаний (БЗ) Система управления БЗ Редактор БЗ Интерфейс инженера знаний Инженер знаний Машина логического вывода Подсистема объяснений Лингвистический процессор Интерфейс пользователя Эксперт Техническая документация объекта (*.scd) Книги, ан. налы предметной области Пользователь База CVE База CWE БДУ ФСТЭК ICS Mitre ATT&CK База САРЕС Информация об объекте, последствия, воздействия, результаты реализации угроз, нарушитель Уязвимости, угрозы, тактики, техники

20. © Карантаев В.Г., Карпенко В.И. 20 Описание ЭС для СППР

    База знаний (БЗ) Система управления БЗ Редактор БЗ Интерфейс инженера знаний Инженер знаний Машина логического вывода Подсистема объяснений Лингвистический процессор Интерфейс пользователя Эксперт Техническая документация объекта (*.scd) Книги, ан. налы предметной области Пользователь API загрузки БДУ ФСТЭК API загрузки САРЕС Уязвимости, угрозы, тактики, техники База данных Логи Industrial IDS Информация об объекте, последствия, воздействия, результаты реализации угроз, нарушитель База CVE База CWE БДУ ФСТЭК ICS Mitre ATT&CK База САРЕС

21. © Карантаев В.Г., Карпенко В.И. 21 Разработка прототипа База знаний

    (БЗ) Система управления БЗ Редактор БЗ Машина логического вывода База CVE Результат Написано на java Файл онтологии Pellet Модель угроз Файл описания системы Файлы экспертн. знаний

22. © Карантаев В.Г., Карпенко В.И. 22 Проект онтологии Компонент подсистемы

    Последствие 1 Аппаратное обеспечение Системное ПО Прикладное ПО Сетевой стек Изв. уязвимост и АО (CVE) ZeroDay АО Изв. уязвимост и Сис. ПО (CVE) ZeroDay Сис. ПО Изв. уязвимост и Приклад. ПО (CVE) ZeroDay Приклад. ПО Уязвимост и протокола Угроза 1 Угроза 2 Угроза 1 Угроза 2 создает Угроза 1 Угроза 2 Угроза 1 Угроза 2 Результат реализации угрозы 1 Результат реализации угрозы 2 Результат реализации угрозы 3 Результат реализации угрозы 4 Результат реализации угрозы N Воздействи е 1 Воздействи е 2 Воздействи е 3 Воздействи е 4 Воздействи е N Последствие 2 Последствие 3 Последствие N Приводит_к

23. © Карантаев В.Г., Карпенко В.И. 23 Онтограф в Protégé 5.5.0

24. В результате работы написанного кода и данных, полученных на вход

    программы была воспроизведена модель угроз для компонентов подсистемы РЗА ЦПС. Результат приведен на рисунке ниже. В итоге при двух ИЭУ и их уязвимостях получено 210 вариантов угроз © Карантаев В.Г., Карпенко В.И. 24 Частная модель угроз

25. Уникальность текущих результатов © Карантаев В.Г., Карпенко В.И. 25 •

    Сформирована гипотеза о недостаточности обеспечения классических свойств подсистемы РЗА для ее устойчивого функционирования; • Впервые предложен способ моделирования угроз кибербезопасности на основе проекта методики МУиН ФСТЭК России 2020 с учетом отраслевой специфики электроэнергетики; • Задействованы подходы инженерии знаний для моделирования угроз кибербезопасности подсистемы РЗА ЦПС; • Разработан прототип экспертной системы, учитывающий возможную комбинаторику в детерминированных условиях; • Результаты данного исследования имеют возможность масштабирования при дальнейшем развитии за счет разработки референсных моделей угроз для каждого типа компонента подсистемы РЗА.

26. Продолжение следует… © Карантаев В.Г., Карпенко В.И. 26 • Изучение

    угроз кибербезопасности вторичных подсистем ЦПС помимо РЗА; • Изучение угроз кибербезопасности ИЭУ разных архитектурных принципов построения; • Сравнительный анализ влияния угроз кибербезопасности на функционирование ЦПС в зависимости от выбранной архитектуры построения в соответствии с СТО отраслевых организаций; • Организация и проведения исследований по полунатурному моделированию угроз кибербезопасности ЦПС.

27. Спасибо за внимание To be continued… © Карантаев В.Г., Карпенко

    В.И. 27