- Виртуальные машины с операционными системами Kali Linux, REMnux Linux и Security Onion для проведения оценки защищенности и расследований промышленных приложений и устройств. В рамках курса ICS515 нам также предоставляли ПО для Windows, с помощью которого мы проводили расследование инцидентов на узлах АСУ ТП в промышленных сетях. Насколько я понял, в CybatiWorks оно не входит.
- ПО OPC-сервера, HMI и других промышленных приложений, например, RSLogix (ПО для программирования контроллеров).
- Информационные материалы по вопросам промышленной ИБ.
- Платформа Raspberry PI и общедоступные промышленные компоненты, имеющие интерфейсы ввода/вывода и позволяющие загружать на них соответствующую логику.
- Модель «светофора», на которой эмулируется работа реальной системы управления технологическими процессами. Вообще помимо «светофора» платформа Cybati может комплектоваться и другими «физическими» компонентами, включая и контроллеры MicroLogix или Siemens или Allen-Bradley.
Модель светофора выбрана не случайно. С одной стороны она компактна (это вам не стенд с цифровой подстанцией и не модель железной дороги), а с другой на ее основе можно тестировать вполне реальные сценарии (достаточно посмотреть вокруг и увидеть, что аналогичные системы у нас управляют автомобильным транспортом на дорогах, движением электропоездов и самолетов и т.п.
ПО, установленное на виртуальной машине, позволяет формировать нужную логику для контроллера, передающего команды на «светофор», тем самым изучая, как можно вмешаться в логику технологического процесса.
При этом, с помощью ПО, входящего в состав Kali и Security Onion, возможно проведение атак на элементы симулятора, а также мониторинг трафика в промышленной сети и обнаружение атак на нее.
В состав дистрибутива входит множество различных сценариев изучения промышленной ИБ — от детских занятий до проведения полноценных CTF, от базовых примеров использования платформы до прохождения целых миссий по промышленной ИБ и зарабатыванием баллов.
Также в дистрибутив включено несколько интересных компонентов:
- описание кейсов и инцидентов на промышленные системы
- отчеты Threat Intelligence по известным хакерским кампаниям (хотя, возможно, это уже добавили в рамках ICS515)
- описания промышленных протоколов
- куча сетевых дампов с трафиком промышленных систем и атаками для самостоятельного изучения
- и т.д.
Среди прочего, в CybatiWorks входит модуль The Brain, содержащий «карту памяти» (mind map) по вопросам промышленной ИБ — куча ссылок на различные стандарты, рабочие группы, решения, кейсы и т.п.
Для запоминания терминов по ИБ и промышленным системам в платформу включено два словаря и специальное ПО Anki для их запоминания.
Также в CybatiWorks входит интересный инструмент для моделирования атак — ADTool с кучей уже созданных примеров, на базе которых можно создавать свои «деревья атак» и мер по их нейтрализации.
Пока не до конца разобрался со всем тем, что есть в CybatiWorks. Но потенциал у нее богатый. Куча пока еще не изученного ПО, используемого в целях повышения защищенности промышленных сетей. Например, Firewall Builder для облегчения процесса создания правил для МСЭ на базе iptables, ASA/PIX, pf, ACL на маршрутизаторах и т.д.
